SOU 1997:101

Behandling av personuppgifter om totalförsvarspliktiga

FÖRKORTNINGAR

ADB Automatisk databehandling CLA Centrala läkarhandlingsarkivet Dir. Direktiv Ds Departementsserien EG Europeiska gemenskapen EU Europeiska unionen FFS Försvarets författningssamling KU Konstitutionsutskottet OECD Organisation for Economic Co-operation and Development (Organisationen för ekonomiskt samarbete och utveckling) PliktverketTotalförsvarets Pliktverk PLIS Pliktverkets informationssystem Prop. Proposition RA-FS Riksarkivets författningssamling RF Regeringsformen Rskr. Riksdagsskrivelse SOU Statens offentliga utredningar TF Tryckfrihetsförordningen YGL Yttrandefrihetsgrundlagen ÖCB Överstyrelsen för civil beredskap

SAMMANFATTNING

Bakgrund

Totalförsvarets personalförsörjning tryggas genom en plikt för svenska medborgare och för utlänningar som är bosatta i riket att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskrafter och hälsotillstånd tillåter. Tjänstgöringen fullgörs som värnplikt, civilplikt eller allmän tjänsteplikt. För uttagning av pliktpersonal med värnplikt och civilplikt samt för redovisning av denna och övrig personal med uppgifter inom totalförsvaret svarar Totalförsvarets pliktverk (Pliktverket). Förutom pliktpersonal finns inom totalförsvaret olika personalkategorier av anställda och frivilliga.

För att klara uppgifterna med uttagning och redovisning har Pliktverket ett omfattande

datorstöd med ADB-baserade register över totalförsvarets personal. Registren innehåller uppgifter som är av känslig karaktär såväl för den enskilde som från försvarssynpunkt. Registren regleras i dag dels av datalagens allmänna bestämmelser om personregister, dels av föreskrifter som meddelats av Datainspektionen i samband med att tillstånd givits för registren. Förändringar är förestående såväl vad gäller registrens faktiska utformning som beträffande de legala förutsättningarna för att behandla personuppgifter med automatik. Pliktverket är inne i en teknisk utvecklingsfas som bl.a. innebär att personuppgifterna om totalförsvarets personal skall samlas i ett enda stort register (PLIS= Pliktverkets informationssystem), med stora möjligheter till elektronisk kommunikation med olika enheter inom totalförsvaret. Samtidigt är Sverige på väg att implementera ett EG-direktiv om personuppgifter som kommer att innebära förändringar såvitt avser tillåtligheten att hantera personuppgifter i register och/eller på automatisk väg.

Uppdraget

Behovet av en författningsreglering av Pliktverkets personregister uppmärksammades redan i samband med att lagen (1994:1809) om totalförsvarsplikt arbetades fram. Regeringen valde då emellertid att avvakta tills det stod klart vilka uppgifter som i framtiden borde finnas med i registret. I direktiven för vår utredning som lades fram under våren 1996 angavs att tiden nu var mogen för att lagreglera ett av landets största befolkningsregister. Uppdraget har — kort sammanfattat — bestått i att lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas av Pliktverket. Arbetet har i stora delar gått ut på att finna en lämplig avvägning mellan, å ena sidan, kraven på en ändamålsenlig och effektiv verksamhet och, å andra sidan, den enskildes intresse av skyddad personlig integritet.

Betänkandet

I detta betänkande lägger vi fram förslag till en lag om behandling av personuppgifter om totalförsvarspliktiga. Med totalförsvarspliktiga jämställes i lagen de som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt. De överväganden och förslag vi redovisar rör främst: — ändamålen med behandlingen av personuppgifterna,

— vilka uppgifter som skall få behandlas, — vem som skall få tillgång till uppgifterna och på vilket sätt, — ansvar för att uppgifterna är korrekta och aktuella m.m., — vilka sökbegrepp som skall få användas i Pliktverkets register över totalförsvarspliktiga, — gallring av registeruppgifterna samt — sekretess.

Förslagen

Vårt förslag till lag om behandling av personuppgifter om totalförsvarspliktiga bygger på det förslag till persondatalag som nyligen lagts fram av Datalagskommittén i betänkandet Integritet — Offentlighet — Informationsteknik (SOU 1997:39). Persondatalagen, som i sin tur bygger på EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG), skall enligt förslaget i princip ersätta datalagen från och med den 1 januari 1999. I vårt lagförslag anger vi de preciseringar av och undantag från persondatalagens bestämmelser som vi ansett motiverade vid Pliktverkets behandling av personuppgifter om totalförsvarspliktiga och med totalförsvarspliktiga jämställd personal.

Persondatalagen reglerar inte, till skillnad från datalagen, enbart ADB-registrering av person-

uppgifter utan all behandling av sådana uppgifter som är automatisk samt annan behandling av personuppgifter som ingår i eller är avsedda att ingå i ett register. Med behandling avses varje åtgärd som vidtas beträffande personuppgifter. Vårt förslag följer persondatalagens tillämpningsområde i denna del. Vi har dock ansett att registrering av uppgifter med hjälp av ADB alltjämt utgör en särskilt riskfylld hantering av uppgifterna för den registrerades del och därför föreslagit särskilda bestämmelser för Pliktverkets ADB-register över totalförsvarspliktiga. Det rör sig om för registerförfattningar sedvanliga bestämmelser om registerinnehåll, terminalåtkomst och sökmöjligheter m.m.

Lagen om behandling av personuppgifter om totalförsvarspliktiga är — med ett par un-

dantag — endast tillämplig i Pliktverkets verksamhet. Lagen ger t.ex. i princip inga föreskrifter om vad den som emottar personuppgifter från Pliktverket har att iaktta. I konsekvens med detta anges i lagen Pliktverket som ansvarigt (persondataansvarigt) för den behandling av personuppgifterna som verket utför. Hur ansvaret kan vara fördelat bland andra som behandlar samma uppgifter tar vi inte ställning till. Svaret på den frågan får sökas i persondatalagen i varje särskilt fall.

Enligt den nya ordning som kommer att bli gällande i och med persondatalagen krävs inte

längre tillstånd för registrering (eller för annan behandling) av personuppgifter. Vi föreskriver därför inte att Pliktverket får behandla personuppgifter för vissa ändamål utan anger istället vad som gäller när Pliktverket behandlar personuppgifter för vissa ändamål. Ändamålen med behandlingen — som enligt persondatalagens bestämmelser skall anges redan då personuppgifterna samlas in — avgränsar därmed lagens tillämpningsområde och uttrycks i lagen med utgångspunkt i Pliktverkets arbetsuppgifter med att mönstra (motsv.), skriva in, krigsplacera och redovisa personal för totalförsvaret. För dessa ändamål, som bärs upp av ett mycket starkt kollektivt intresse, bör Pliktverket ha rätt att behandla de personuppgifter som krävs och då även — i den mån det är nödvändigt — känsliga personuppgifter som t.ex. uppgifter om hälsa och religiös övertygelse. Vårt förslag till lag om behandling av personuppgifter om totalförsvarspliktiga följer detta resonemang. När det gäller frågan om vilka uppgifter som skall få antecknas i Pliktverkets ADB-register över totalförsvarspliktiga finns det enligt vår uppfattning anledning att vara mer precis och uttömmande ange vad som är tillåtet register-

innehåll. Att uppgifterna ordnas i ett ADB-register innebär att möjligheterna att söka bland dem och med hjälp av olika sökbegrepp göra sammanställningar av olika slag är betydligt större än om uppgifterna hanteras på annat sätt. Till skydd för den enskildes personliga integritet lämnar vi därför i vårt förslag till lag en uttömmande uppräkning av vilka personer som får registreras och vilka uppgifter som får antecknas om dem. I samma syfte — att särskilt skydda uppgifter i ADB-register — lämnar vi förslag till begränsningar av sökbegrepp och av terminalåtkomst till registret för andra än Pliktverket. Vi föreslår också bestämmelser som anger när personuppgifterna i ADB-registret skall gallras (förstöras).

I övrigt innehåller vårt lagförslag en erinran om sekretesslagens bestämmelser, en bestäm-

melse som innebär viss inskränkning av Datainspektionens (tillsynsmyndighetens) befogenheter vid den tillsyn inspektionen skall utöva enligt persondatalagen samt föreskrifter som medför att persondatalagens bestämmelser om rättelse m.m. av personuppgifter och om skadestånd blir tillämpliga även när uppgifter behandlats i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd därav.

Vi föreslår att lagen skall träda i kraft samma dag som persondatalagen (den 1 januari

1999).

Slutligen lämnar vi förslag till ändringar i sekretesslagen och till vissa sekretessbrytande

bestämmelser i andra författningar, allt för att personuppgifterna om de totalförsvarspliktiga skall vara lagligen skyddade mot att obehöriga får del av dem medan de som behöver uppgifterna skall kunna få ut dem utan hinder av sekretessen.

Föreskrifter i förordningsform

Vi har föreslagit att regeringen skall ha möjlighet att utfärda närmare föreskrifter i följande fall.

— Regeringen får till skydd för de registrerades personliga integritet föreskriva ytterligare begränsningar av vad som får antecknas i ADB-register över totalförsvarspliktiga.

— Regeringen får föreskriva att annan än Pliktverket får ha terminalåtkomst till ADB-register över totalförsvarspliktiga samt i vilken omfattning.

— Regeringen får föreskriva att annan än Pliktverket får föra in och rätta uppgifter i ADBregister över totalförsvarspliktiga samt i vilken omfattning.

— Regeringen får föreskriva ytterligare begränsningar av sökbegrepp.

— Regeringen får föreskriva kortare tid för gallring samt undantag från skyldigheten att gallra personuppgifter när det gäller bevarande av material för forskningens behov.

FÖRFATTNINGSFÖRSLAG

1. Förslag till lag om behandling av personuppgifter om totalförsvarspliktiga

Härmed föreskrivs följande.

Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verk-

samhet Totalförsvarets pliktverk bedriver för att

1. ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,

2. redovisa personal med uppgifter inom totalförsvaret,

3. säkerställa att den registrerade fortlöpande erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret,

4. tillse att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,

5. tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig och

6. planera, följa upp och utvärdera den verksamhet som anges i 1—5. I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av annan än Totalförsvarets pliktverk.

Lagen gäller endast om behandlingen är helt eller delvis automatisk eller om personuppgifte-

rna ingår i eller är avsedda att ingå i ett register.

Med totalförsvarspliktiga jämställes vid tillämpningen av denna lag personer som har en

uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt.

Definitioner 2 § Med behandling, blockering, register, den registrerade, persondataansvarig, personuppgifter,

känsliga personuppgifter, tillsynsmyndigheten och tredje man förstås i denna lag detsamma som i persondatalagen (1998:000).

Med utredning avses i denna lag mönstring och annan utredning om den totalförsvars-

pliktiges förhållanden som kan utföras enligt lagen (1994:1809) om totalförsvarsplikt samt särskild antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.

Med ADB-register över totalförsvarspliktiga avses register med personuppgifter om

totalförsvarspliktiga som förs av Totalförsvarets pliktverk med hjälp av automatisk databehandling för de ändamål som anges i 1 § första stycket.

Förhållandet till persondatalagen3 § Om inget annat följer av denna lag eller av föreskrifter som meddelats med stöd härav,

tillämpas persondatalagen vid behandling av personuppgifter om totalförsvarspliktiga.

Ändamålen med behandlingen 4 § Personuppgifter som samlats in av Totalförsvarets pliktverk skall anses insamlade för de

ändamål som anges i 1 § första stycket om inte Totalförsvarets pliktverk vid insamlingen ut-

Behandling av känsliga personuppgifter 5 § Känsliga personuppgifter får behandlas om det är nödvändigt för de ändamål som anges i

1 § första stycket.

Första stycket gäller även kommuner, landsting, kyrkliga kommuner och de statliga myn-

digheter som anges i 4 kap. 5 § andra stycket förordningen (1995:238) om totalförsvarsplikt, om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden med stöd av 2 kap. 1 § lagen om totalförsvarsplikt.

Ansvaret för behandlingen 6 § Totalförsvarets pliktverk är persondataansvarigt för den behandling av personuppgifter

om totalförsvarspliktiga som verket utför.

Registerinnehåll 7 § I ADB-register över totalförsvarspliktiga får antecknas personuppgifter endast om den som

1. är aktuell för utredning enligt 2 § andra stycket,

2. genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret,

3. skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret,

4. av en redan registrerad uppgetts som närstående eller

5. nämns bland de uppgifter som antecknas med stöd av 8 § första stycket 13. Uppgifter om en person som avses i första stycket 4, får antecknas i registret endast vid höjd beredskap.

Utan hinder av vad som sägs i första stycket får personuppgifter antecknas i registret om

den som fattat beslut eller handlagt ärende rörande den registrerade hos Totalförsvarets pliktverk eller hos annan som utför utredning som avses i 2 § andra stycket. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring inom totalförsvaret.

8 § I ADB-register över totalförsvarspliktiga får endast följande personuppgifter antecknas:

1. personnummer, namn, adress, telefonnummer och folkbokföringsort,

2. hinder för genomförande av utredning som avses i 2 § andra stycket, för utbildning och för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,

3. boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets pliktverk skall kunna fullgöra sina åligganden enligt förordningen (1995:239) om förmåner till totalförsvarspliktiga,

4. utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,

5. fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,

6. om den registrerade är svensk medborgare eller inte,

7. utgången i mål om ansvar för brott mot totalförsvarsplikten,

8. att den registrerade har dömts till påföljd för brott som anges i 19 § femte stycket polisregisterkungörelsen (1969:38),

9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,

10. vad som bestämts vid inskrivning enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning, 11. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon skall utföra vid höjd beredskap, 12. tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna samt 13. personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.

Utan hinder av vad som sägs i första stycket får beslut som rör totalförsvarsplikten, tid-

punkter och tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter antecknas.

Beträffande den som antecknas i registret med stöd av 7 § första stycket 4, får endast

namn, adressuppgifter och relation till den som uppgett honom eller henne som närstående föras in i registret.

Beträffande handläggare och andra personer som avses i 7 § tredje stycket får endast

namn, titel och tjänsteställe antecknas.

9 § Regeringen får till skydd för de registrerades personliga integritet föreskriva ytterligare begränsningar av vad som får antecknas i ADB-register över totalförsvarspliktiga.

Terminalåtkomst 10 § Totalförsvarets pliktverk har terminalåtkomst till ADB-register över totalförsvarspliktiga.

Regeringen får föreskriva att även annan får ha sådan åtkomst samt i vilken omfattning.

Registrering av uppgifter 11 § Regeringen får föreskriva att även annan än Totalförsvarets pliktverk får föra in och och

rätta personuppgifter i ADB-register över totalförsvarspliktiga samt i vilken omfattning.

Sökbegrepp

12 § Personuppgifter som avses i 8 § första stycket 2—3 och 5—9 får inte användas som sökbegrepp annat än om det behövs för tillsyn, uppföljning eller utvärdering av Totalförsvarets pliktverks verksamhet eller för framtagande av material för forskning eller statistik. Detsamma gäller uppgifter om resultat från kunskapsprov och anlagstester som utförts vid sådan utredning som avses i 2 § andra stycket.

För åtkomst av personuppgifter om närstående till en totalförsvarspliktig, om den som

handlagt ärende, fattat beslut eller gjort journalanteckning får endast den totalförsvarspliktiges personnummer användas som sökbegrepp. Detsamma gäller för åtkomst av personuppgifter som antecknats med stöd av 8 § första stycket 13.

Utan hinder av vad som sägs i första och andra styckena får nödvändigt sökbegrepp an-

vändas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.

Regeringen får föreskriva ytterligare begränsningar av sökbegrepp.

Gallring 13 § En personuppgift i ett ADB-register över totalförsvarspliktiga skall gallras så snart upp-

giften inte längre behövs för de ändamål som anges i 1 § första stycket. Personuppgifter beträffande dem som avses i 7 § första stycket 1—3 skall gallras senast vid utgången av det kalen-

derår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Uppgifter om närstående, beslutsfattare, handläggare, den som gjort journalanteckning samt om personer som nämns bland vad som antecknats med stöd av 8 § första stycket 13 skall härvid anses som uppgifter om den totalförsvarspliktige. Regeringen får föreskriva kortare tid för gallring än vad som följer av detta stycke.

Regeringen får föreskriva undantag från skyldigheten att gallra personuppgifter i fråga

om bevarande av material för forskningens behov. Sådana uppgifter skall dock avföras från registret vid den tidpunkt de annars skulle ha gallrats enligt första stycket.

Sekretess 14 § För utlämnande av personuppgifter om totalförsvarspliktiga gäller de begränsningar som

följer av sekretesslagen (1980:100).

Inskränkning i tillsynsmyndighetens befogenheter 15 § Tillsynsmyndigheten får inte förbjuda Totalförsvarets pliktverk att behandla person-

uppgifter om totalförsvarspliktiga.

Korrigering av uppgifter 16 §Persondatalagens bestämmelser om den persondataansvariges skyldighet att på begäran

av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, om sådana åtgärder skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som utfärdats med stöd av denna lag.

Skadestånd 17 §Persondatalagens bestämmelser om skadestånd skall gälla även då personuppgifter be-

handlats i strid med denna lag eller föreskrifter som meddelats med stöd av denna lag.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 1999. Vid sådan behandling av personuppgifter för vilken lagen gäller och som redan pågår vid ikraftträdandet skall persondatalagens bestämmelser tillämpas utan hinder av vad som sägs i 2 p i övergångsbestämmelserna till den lagen. Bestämmelsen i 5 § andra stycket i denna lag skall emellertid inte börja tillämpas förrän den 1 oktober 2001.

2. De personer, som vid lagens ikraftträdande har varit föremål för sådan utredning som avses i 2 § andra stycket men som inte tagits i anspråk för totalförsvarets räkning genom avtal, beslut om krigsplacering eller på annat sätt, får utan hinder av vad som sägs i 7 § antecknas i ett ADB-register över totalförsvarspliktiga.

2. Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs att 7 kap. 12 § sekretesslagen (1980:100) skall ha följande lydelse.

7 kap. Sekretess med hänsyn främst till skyddet för enskilds personliga förhållanden

12 §

Nuvarande lydelse

Sekretess gäller i ärende om inskrivning av

totalförsvarspliktiga och i ärende om antag-

ning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Motsvarande sekretess gäller i ärende som angår antagning till utbildning vid Försvarsmakten, skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och

avbrott i sådan tjänstgöring. Sekretessen gäller dock inte beslut i ärende som avses i detta stycke.

Föreslagen lydelse

Sekretess gäller i ärende om utredning om

totalförsvarspliktigas personliga förhållanden, i ärende om antagning av kvinnor till

befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar samt i

ärende om inskrivning och krigsplacering av totalförsvarspliktiga för uppgift om enskilds

personliga förhållanden, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Motsvarande sekretess gäller i ärende som angår antagning till utbildning vid Försvarsmakten, skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen gäller dock inte beslut i ärende som avses i detta stycke.

Sekretess gäller inom personalvård med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos konsulent eller annan befattningshavare som särskilt har till uppgift att

bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.

Sekretess gäller inom verksamhet som avser utbildning för totalförsvarsändamål med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos befattningshavare som har till uppgift att ut-

bilda den totalförsvarspliktige, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.

3. Förslag till förordning om ändring i förordningen (1995:238) om totalförsvarsplikt

Härigenom föreskrivs att det i 3 kap. 15 § skall införas en ny paragraf med följande lydelse.

3 kap. Uppgiftsskyldighet

Utbildningsenheter inom totalförsvaret

15 §

De organisatoriska enheter där grundutbildning genomförs för värnplikt eller civilplikt med längre grundutbildning än 60 dagar skall, senast då den totalförsvarspliktige rycker ut, lämna journalhandlingar som upprättats under utbildningen till Totalförsvarets pliktverk.

Denna förordning träder i kraft den 1 januari 1998.

4. Förslag till förordning om ändring i förordningen (1995:648) med instruktion för totalförsvarets pliktverk

Härigenom föreskrivs att 3 § förordningen (1995:648) med instruktion för Totalförsvarets pliktverk skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §

Totalförsvarets pliktverk skall i samband med att en totalförsvarspliktig rycker in för värnplikt eller civilplikt med längre grundutbildning än 60 dagar lämna de journalhandlingar som upprättats vid mönstringen till hälsooch sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun,

ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras. Totalförsvarets pliktverk skall i samband med att en totalförsvarspliktig rycker in för värnplikt eller civilplikt med längre grundutbildning än 60 dagar lämna de journalhandlingar som upprättats vid mönstring eller särskild

antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning till hälso- och sjukvårdspersonalen vid

den organisatoriska enhet hos en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras.

Totalförsvarets pliktverk skall vid

samma tidpunkt och till samma enheter som anges i första stycket lämna uppgifter om den totalförsvarspliktiges psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsotillstånd till befattningshavare som har till uppgift att utbilda honom eller henne. Uppgifterna skall anges kortfattat.

I INLEDNING

1 Uppdraget

Genom beslut den 15 februari 1996 bemyndigade regeringen chefen för Försvarsdepartementet att utreda och lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas av Totalförsvarets pliktverk. I direktiven (dir. 1996:14) anförs bl.a. följande.

Totalförsvarets personalförsörjning tryggas genom en totalförsvarsplikt som gäller för varje

svensk medborgare från början av det kalenderår när han eller hon fyller sexton år till slutet av det kalenderår när han eller hon fyller sjuttio år. Totalförsvarsplikten gäller också under motsvarande tid för var och en som utan att vara svensk medborgare är bosatt i Sverige. För att hantera och bearbeta all information om de som är totalförsvarspliktiga har Totalförsvarets pliktverk ett omfattande datorstöd. På grund av att totalförsvarsplikten omfattar i stort sett hela befolkningen och av att alla svenska män i åldern arton till och med tjugofyra års ålder är skyldiga att mönstra är Totalförsvarets pliktverks register ett av landets största befolkningsregister. Behovet av författningsreglering av detta register uppmärksammades redan i samband med arbetet med den nya pliktlagstiftningen. Tiden är nu mogen för en sådan åtgärd. De uppgifter som registreras om de totalförsvarspliktiga kan vara av mycket känslig karaktär, vilket ställer särskilda krav på integritetsskydd. Ju mer information som behövs och kan bearbetas och lagras desto större blir risken för intrång i den enskildes integritet. Det bör därför uppdras åt en särskild utredare att utarbeta förslag till de författningsregler som behövs.

Utgångspunkten för utredarens arbete skall vara att den enskilde skall tillförsäkras ett

fullgott integritetsskydd samt att register som innehåller ett stort antal registrerade personer och har ett integritetskänsligt innehåll skall vara författningsreglerade. Intresset av ett starkt integritetsskydd får inte hämma användningen av ny teknik och möjligheterna för Totalförsvarets pliktverk att så effektivt och ändamålsenligt som möjligt bedriva sin verksamhet. Personregistreringen får dock inte medföra en otillbörlig kränkning av den enskildes personliga integritet. Konsekvenserna för andra intressen som insynsbehov, rättssäkerhet, forskning och totalförsvarets behov måste också beaktas.

Utredaren bör främst lämna förslag till reglering av följande frågor som direkt hänger

samman med den personliga integriteten: — registerändamål — registerinnehåll — registeransvar och förfoganderätt — terminalåtkomst — uppgiftslämnande på ADB-medium — bevarande och gallring — begränsningar av bearbetningsmöjligheter — krav på krypteringssystem eller andra skyddsmekanismer för viss användning.

Utredaren skall i de förslag som lämnas också beakta att skydd för uppgifter som omfattas

av sekretess enligt 2 kap. 2 § sekretesslagen (1980:100) kan förekomma i aktuellt personregister. Utredaren skall i sitt arbete utgå ifrån den erfarenhet som Totalförsvarets pliktverk och dess föregångare Värnpliktsverket har byggt upp.

Utredningens direktiv finns i sin helhet intagna som bilaga 1.

2 Utredningsarbetet

Vi påbörjade vårt arbete i maj 1996 och inledde med att kartlägga den gällande regleringen för personregisterverksamhet enligt nationella författningar och internationella konventioner. Samtidigt undersökte vi Totalförsvarets pliktverks arbetssätt och behov av personuppgifter om de totalförsvarspliktiga. I augusti företog vi ett studiebesök vid Totalförsvarets pliktverks huvudkontor i Karlstad, bl.a. för att skaffa oss en bild av hur mönstringsförrättningar är uppbyggda och av hur personuppgifterna hanteras i praktiken. Vi tog i ett tidigt skede kontakt med Datainspektionen, Riksarkivet (Krigsarkivet) och Socialstyrelsen, vilka myndigheter vi kontinuerligt fört dialog med och lämnat tillfälle att komma med synpunkter.

Vårt förslag har under arbetets gång kommit att inriktas på att följa det förslag till en ny

persondatalag som utarbetats av Datalagskommittén (SOU 1997:39). Vi har haft regelbundna kontakter med kommittén, dels på sekretariatsnivå och dels genom sammanträffanden med kommitténs ordförande och sekreterare i anslutning till ett par av våra sammanträden. Vi har genom sekretariatets försorg vidare hållit oss underrättade om Registerutredningens (dir. 1995:38) arbete och överväganden.

II NUVARANDE ORDNING OCH PÅGÅENDE UTVECKLING

3 Inledning — Personregister och den enskildes integritet

Det allmänna har i olika sammanhang behov av att samla in, registrera, behandla och bevara uppgifter om enskildas förhållanden. Uppgifterna används i verksamheter som t.ex. folkbokföring, skattläggning, bidragsberäkning, sjukvård och placering av totalförsvarspliktiga. Polis, åklagare, domstolar och kriminalvårdsväsende är av effektivitets- och rättssäkerhetsskäl beroende av att vissa uppgifter om misstänkta och dömda personer kontinuerligt finns tillgängliga. Även privata subjekt, t.ex. företag och föreningar, behöver ha tillgång till uppgifter om anställda, kunder, medlemmar m.fl. Uppgifter om enskilda utgör också en viktigt del av den statistik och forskning som behövs för kartläggning av vilka behov som finns och kommer att finnas i samhället och som utgör underlag för planeringen av det allmännas verksamhet. Den enskilde å sin sida har ett intresse av att hans privata sfär — hans personliga integritet — är skyddad från insyn och inblandning från det offentliga och från andra.

Den grundläggande bestämmelsen om skydd för den enskildes personliga integritet åter-

finns i 1 kap. 2 § tredje stycket regeringsformen (RF), vari bl.a. sägs att det allmänna skall värna om den enskildes privatliv och familjeliv. Bestämmelsen har inte karaktären av en rättsligt bindande föreskrift utan utgör ett målsättningsstadgande för den offentliga verksamheten. I samband med att bestämmelsen infördes uttalade föredragande statsrådet att grundsatsen om den enskildes rätt till en fredad sektor var av så väsentlig betydelse i en demokratisk stat att den borde komma till uttryck i regeringsformen (prop. 1975/76:209 s. 131). Av förarbetena framgår vidare att integritetsskyddet vid dataregistrering var i blickpunkten vid bestämmelsens tillkomst (SOU 1975:75 s. 168 f.).

Någon rättslig definition av vad som avses med personlig integritet finns inte. Begreppet

har diskuterats bl.a. i de utredningar som behandlat datalagstiftningen. Sammanfattningsvis kan sägas att det är svårt att ge begreppet en exakt definition men att utgångspunkten är just

den enskildes rätt till en fredad sektor av privatlivet. En sådan rätt kan dock inte vara absolut. Den enskilde måste, med hänsyn till samhällets krav på honom själv och till principer om yttrandefrihet och tryckfrihet, acceptera vissa intrång i integriteten. Frågan gäller vilka intrång som skall tillåtas och vilka som skall anses som otillbörliga. Något allmängiltigt svar på denna fråga ges inte av lagstiftaren. (En översikt av tidigare utredningars och andras uttalanden om otillbörlighet i detta avseende ges i Datalagsutredningens slutbetänkande SOU 1993:10 s. 150— 158.) Det finns inte heller någon rättsligt bindande föreskrift som ger ett allmänt integritetsskydd. I stället regleras detta skydd genom flera olika bestämmelser i grundlag, vanliga lagar, förordningar och föreskrifter. Skyddets omfattning varierar beroende på situationen. Av stor betydelse vid bedömningen av om en åtgärd som innebär integritetsintrång skall tillåtas, är naturligtvis ändamålet med åtgärden. En avvägning mellan den enskildes och andras intressen måste alltid göras.

Datalagen (1973:289) innehåller regler om integritetsskydd vid personregistrering som

utförs med hjälp av automatisk databehandling (ADB). Lagen anger under vilka förutsättningar sådana register skall få föras, vad den registeransvarige har för skyldigheter när det gäller att skydda uppgifterna m.m. (se nedan under avsnitt 4.1). Datalagen (3 § andra stycket) anger omständigheter som är av särskild betydelse vid bedömningen av om otillbörligt intrång i den registrerades personliga integritet kan uppkomma. Förutom ändamålet med registreringen skall arten och mängden av uppgifter, hos vem uppgifterna registreras och hur de används, liksom den enskildes inställning till registreringen beaktas. Utfallet av bedömningen ligger till grund för Datainspektionens beslut i tillståndsfrågor (3 § första stycket datalagen). Datalagen kommer inom en snar framtid att ersättas av en ny persondatalag enligt vilken tillstånd till ADB-behandling av personuppgifter inte längre kommer att krävas. Den nya lagen grundas på ett EG-direktiv som i allt väsentligt överensstämmer med de principer som redan gäller enligt svensk rätt. Lagförslaget jämte de överväganden som ligger till grund för detta presenteras i kap. 6 nedan.

Efter förslag av Data- och offentlighetskommittén (DOK, Ds Ju 1987:8) infördes år 1989

i 2 kap. 3 § andra stycket regeringsformen följande bestämmelse:

Varje medborgare skall i den utsträckning som närmare angives i lag skyddas mot att hans personliga integritet kränkes genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

Enligt 2 kap. 22 § första stycket 2 regeringsformen är utlänning här i riket likställd med svensk medborgare i detta avseende.

Bestämmelsen tillkom efter det att datalagen trätt i kraft och innebar att det skydd som

redan fanns genom bl.a. denna lag gavs grundlagsförankring. Enligt uttalande i propositionen (prop. 1987/88:57 s. 11) slår den nya regeln fast, att det skall finnas en datalagstiftning till skydd för den personliga integriteten men att den närmare omfattningen av skyddet får regleras i vanlig lag. Här föreligger en skillnad i utformningen gentemot flertalet övriga fri- och rättighetsregler i 2 kap. regeringsformen som anger att varje medborgare är skyddad mot åtgärder från det allmännas sida som t.ex. kroppsvisitation, husrannsakan och hemlig avlyssning, men att skyddet under vissa förutsättningar får begränsas genom lag, dvs. åtgärderna får i vissa fall vidtas om lagstöd finnes. Skillnaden består i att regeln om skydd mot dataregistrering inte kan tillämpas direkt av myndigheterna, den kräver ytterligare lagstiftning. Bestämmelser som ger integritetsskyddet innehåll återfinns i första hand i datalagen, sekretesslagen (1980:100) och i särskilda registerlagar. Regler om insyn och kontroll när det gäller allmänna handlingar — varmed avses även ADB-upptagningar — finns i tryckfrihetsförordningen (TF) och bestäm-

Kort sammanfattat kan det sägas att varje beslut om att inrätta ett ADB-baserat personre-

gister, liksom utformningen av särskilda registerlagar, måste föregås av bedömningar som innefattar avvägningar mellan kraven på ändamålsenlighet och effektivitet och den enskildes rätt till integritetsskydd. Allt inom de ramar som lagstiftaren satt upp genom central lagstiftning och med beaktande av de konventioner på området som Sverige tillträtt.

4 Gällande reglering

4.1 Datalagen

4.1.1 Lagens tillämpningsområde och vissa definitioner

Datalagen (1973:289, omtryckt 1992:446) har till syfte att hindra att hantering av personregister som förs med hjälp av automatisk databehandling medför otillbörligt intrång i den enskildes personliga integritet. Lagen skyddar endast fysiska personer och gäller enbart för ADBbaserade register. Juridiska personer och register som förs med annan teknik än ADB faller utanför lagens tillämpningsområde. En utgångspunkt i lagen är att personregister skall få föras men endast under vissa förutsättningar och med iakttagande av vissa regler.

I 1 § definieras personuppgift som upplysning som avser enskild person medan personre-

gister anges vara register, förteckning eller andra anteckningar som förs med hjälp av ADB och

som innehåller personuppgift som kan hänföras till den som avses med uppgiften.

En personuppgift kan ge upplysning om namn, personnummer, nationalitet, utbildning,

familj, bostadsförhållanden,

banktillgodohavanden, fastighets- eller bilinnehav m.m. En personuppgift kan härledas

till en viss person antingen direkt genom uppgiften i sig eller med hjälp av en identitetsuppgift som också framgår av registret. Även register som innehåller identitetsuppgifter av sådan art att endast den invigde kan tolka dem omfattas av datalagen enligt lagmotiven (prop. 1973:33 s. 118). Registerbegreppet kan enligt definitionen synas inbegripa all ADB-hantering av identifierbara personuppgifter, t.ex. även datoriserad ordbehandling av löpande text som innehåller personnamn. Av förarbetena till datalagen framgår emellertid att syftet med ADB-hanteringen är av betydelse i sammanhanget. Departementschefen anförde i denna del följande (a prop. s. 118).

För att ett register skall anses föreligga måste det emellertid direkt eller indirekt vara fråga

om behandling från informationssynpunkt av faktiska uppgifter. Ett ADB-register kan således inte anses upprättat bara genom att löpande text lagras i ett datamedium, exempelvis för att sättning skall kunna ske med hjälp av ADB-teknik. Uppenbarligen faller på grund härav åtskillig databehandling av olika slags litteratur, främst skönlitteratur, utanför datalagens tillståndssystem. Först i den mån databehandlingen tar sikte på faktiska uppgifter i den litterära framställningen — såsom för upprättande av innehållsregister eller liknande — föreligger ett register i datalagens mening. Vidare bör ett register anses föreligga, om de lagrade uppgifterna skall användas för att framställa exempelvis en telefonkatalog, ett adressregister eller en taxeringskalender. Den närmare gränsdragningen när det gäller att bestämma registerbegreppets innebörd får göras i praxis.

Datalagsutredningen, som hade till uppgift att se över datalagen från såväl saklig som

lagteknisk synpunkt (dir. 1989:26), framhöll att begreppet register är föråldrat och att varje försök att avgränsa ett rättsligt begrepp som personregister med hänsyn till förekomsten av tekniska rekvisit är dömt att misslyckas redan med hänsyn till den utvecklingstakt som

informationsteknologin uppvisar. Utredningen föreslog att datalagens tillämpningsområde istället skulle bestämmas med hänsyn till de tekniska möjligheterna att genom ADB-teknik göra personuppgifter tillgängliga (SOU 1993:10 s. 100111). Med övergivande av registerbegreppet föreslog Datalagsutredningen följande definitioner i förslag till ny datalag.

1 § Syftet med denna lag är att skydda den enskilde mot att hans personliga integritet kränks genom att personuppgifter behandlas. 3 § Med behandling avses varje åtgärd som vidtas med personuppgifter genom automatisk databehandling.

Med behandling förstås även insamling av personuppgifter, om ytterligare åtgärder skall vidtas med uppgifterna genom automatisk databehandling.

6 § Denna lag gäller inte vid behandling av personuppgifter om ändamålet med behandlingen är att behandlingen eller uppgifterna skall

1. utgöra ett direkt tekniskt hjälpmedel för framställning av tryckta skrifter eller yttranden som avses i yttrandefrihetsgrundlagen,

2. utgöra en förteckning över dem som har lämnat meddelande enligt 1 kap. 1 § tryckfrihetsförordningen eller 1 kap. 2 § yttrandefrihetsgrundlagen,

3. utgöra arkiv för material som har varit publicerat i periodisk skrift eller som har förekommit i program i ljudradio eller television,

4. ingå i sådana uppgiftssamlingar som lagrade uppslagsverk, ordböcker eller liknande referensmaterial, eller

5. ingå i löpande text.

Utredningens förslag innebar att syftet med behandlingen av personuppgifterna blev di-

rekt avgörande för om lagen är tillämplig eller inte. Regering och riksdag har dock, i avvaktan på slutlig utformning av EG:s direktiv om personuppgifter (se nedan avsnitt 5.5), inte tagit ställning till Datalagsutredningens förslag i nu presenterade delar (jfr prop. 1993/94:217 s. 11).

Registrerad är enligt 1 § datalagen enskild person beträffande vilken förekommer person-

uppgifter i personregister och registeransvarig den för vars verksamhet personregister föres, om han förfogar över registret. Enligt förarbetena till datalagen (prop. 1973:33 s. 76, 119) skall man anses förfoga över ett register om man har befogenhet och möjlighet att överföra registret till läsbar form. Även den som har rätt att gå in i ett register, själv eller genom annan, och påverka innehållet anses enligt praxis förfoga över detsamma. Enligt lagmotiven skall definitionen tillämpas på sådant sätt att alltid någon kan konstateras vara registeransvarig. Man får från fall till fall avgöra vem eller vilka som skall vara ansvariga för ett register.

4.1.2 Licens och tillstånd till inrättande och förande avpersonregister

Huvudregeln är att personregister endast får inrättas och föras av den som har anmält sig hos Datainspektionen och erhållit licens (2 § första stycket datalagen). Med inrättande förstås även insamling av uppgifter som skall ingå i registret (samma bestämmelse fjärde stycket). Datainspektionen granskar inte anmälan i sak utan ger endast den registeransvarige ett bevis om att anmälan gjorts och ett särskilt licensnummer samt för in beviset (licensen) i myndighetens eget licensregister. Registret används sedan i Datainspektionens tillsyns- och informationsverksamhet samt som underlag för uppbörd av de särskilda licensavgifter som den registeransvarige är skyldig att erlägga, se närmare 2—6 §§ dataförordningen (1982:480, omtryckt 1989:254).

För att inrätta och föra personregister som skall innehålla särskilt integritetskänsliga upp-

gifter om enskilda personer krävs förutom licens även särskilt tillstånd av Datainspektionen (2 § andra stycket 1 och 2 med hänvisning till 4 och 6 §§). Som särskilt känsliga anses t.ex.

uppgifter om att någon misstänks för eller har dömts för brott eller har avtjänat straff eller undergått annan påföljd för brott, uppgifter om någons sjukdom, hälsotillstånd eller sexualliv, uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten och uppgifter om någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt.

Tillstånd av Datainspektionen krävs också för personregister som skall innehålla uppgif-

ter om personer som saknar sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande eller personuppgifter som inhämtas från något annat personregister (s.k. samkörning) om inte registreringen av uppgifterna eller utlämnandet av dessa sker med stöd av författning, Datainspektionens beslut eller den registrerades medgivande (2 § andra stycket 3 och 4). För de två sist nämnda kategorierna gäller alltså tillståndsplikt oavsett om uppgifterna kan anses vara känsliga ur integritetssynpunkt eller inte.

Undantagna från licens- och tillståndsplikt är personregister som en enskild person inrät-

tar eller för uteslutande för personligt bruk (2 § tredje stycket). Vidare krävs enligt 2 a § första stycket inte tillstånd — dock licens — från Datainspektionen för personregister vars inrättande beslutas av riksdagen eller regeringen (s.k. statsmaktsregister) eller för personregister som ofta förekommer inom en viss verksamhet för ett visst ändamål och som inrättas och förs enligt föreskrifter som meddelats av regeringen eller Datainspektionen. Den sist nämnda bestämmelsen infördes den 1 januari 1995 och som exempel på register som kan komma i fråga anges i lagmotiven (prop. 1993/94:217 s. 16) sjukhusens patientregister, forskningsregister, direktreklamregister samt register inom försäkringsbranschen och bankväsendet. Tillstånd krävs enligt nämnda lagrum inte heller för personregister som tagits emot av en arkivmyndighet för förvaring. Vidare behöver inte vissa sammanslutningar, myndigheter inom hälso- och sjukvården eller inom socialtjänsten, läkare och tandläkare samt arbetsgivare tillstånd för personregister av den anledningen att de innehåller vissa, för respektive verksamhet naturliga, integritetskänsliga uppgifter (2 a § andra stycket). I angivet lagrum preciseras vilka uppgifter det är frågan om och för vilket ändamål personregistren får föras för att tillstånd ej skall krävas.

Vid sin tillståndsprövning skall Datainspektionen ta ställning till om det finns anledning

att anta att otillbörligt intrång i registrerads personliga integritet skall uppkomma. Bedömningen skall göras med hänsyn till vilka villkor (föreskrifter) som skall gälla för personregistret och tillstånd skall meddelas om det saknas anledning att anta att otillbörligt integritetsintrång skall uppkomma (3 § första stycket). Vid prövningen skall inspektionen särskilt beakta arten och mängden av de personuppgifter som skall ingå i registret, hur och från vem uppgifterna skall inhämtas samt den inställning till registret som föreligger eller kan antas föreligga hos dem som kan komma att registreras. Vidare skall särskilt beaktas att inte andra uppgifter eller andra personer registreras än vad som står i överensstämmelse med ändamålet med registret (3 § andra stycket). Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande och förande av personregister som omfattar andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning (3 a §). Sär-

skilda skäl krävs också för tillstånd till registrering av uppgifter om någons ras, politiska upp-

fattning, religiösa tro eller övertygelse i övrigt (4 § tredje stycket) samt, för annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter, för tillstånd till registrering av uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen (4 § andra stycket). För att andra än myndigheter, som enligt lag eller annan författning har att föra förteckning över sådana uppgifter, skall kunna erhålla tillstånd att inrätta och föra personregister som innehåller uppgifter om att någon misstänks

eller har dömts för brott, avtjänat straff eller varit föremål för vissa andra närmare angivna tvångsingripanden krävs synnerliga skäl.

I lagmotiven ges exempel på vad som kan utgöra särskilda respektive synnerliga skäl i de

aktuella avseendena. I sakens natur ligger enligt motiven att allmänna organ har uppgifter som gör det nödvändigt eller i varje fall befogat att föra relativt omfattande personregister. Även behoven av register för statistik- och forskningsändamål framhålles.

Som nämnts ovan faller statsmaktsregistren utanför Datainspektionens tillståndsprövning.

Av motiven till datalagen framgår emellertid att frågan huruvida ett personregister kan medföra otillbörligt integritetsintrång skall bedömas efter likartade grunder, oavsett om registret inrättas efter tillstånd av Datainspektionen eller efter beslut av statsmakterna (prop. 1973:33 s. 120). I propositionen sägs att Datainspektionen därför, när den skall yttra sig över ett tilltänkt statsmaktsregister, skall anlägga samma synpunkter som vid en tillståndsprövning så långt det är möjligt. Den särskilda skyldighet som tidigare fanns för statsmakterna att inhämta yttrande från Datainspektionen inför inrättande av personregister som beslutats av riksdagen eller regeringen togs emellertid bort genom ändring av 2 a § per den 1 januari 1995 (lag 1994:1485). Ändringen som bl.a. motiverades med att den medförde arbetsbesparing för Datainspektionen torde dock inte innebära någon begränsning av integritetsskyddsprövningen i dessa fall (se prop. 1993/94:217).

Vid tillståndsgivning skall Datainspektionen meddela föreskrift om ändamålet med regist-

ret. Föreligger särskilda skäl får tillståndet begränsas till viss tid (5 §). Lämnas tillstånd skall Datainspektionen vidare, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift för registret om

1. inhämtande av uppgifter för personregistret,

2. vilka personuppgifter som får ingå i personregistret,

3. utförandet av den automatiska databehandlingen,

4. den tekniska utrustningen,

5. de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling,

6. underrättelse till berörda personer,

7. de personuppgifter som får göras tillgängliga,

8. utlämnande och annan användning av personuppgift,

9. bevarande och gallring av personuppgift, 10. kontroll och säkerhet samt 11. rättelse och andra åtgärder i fråga om oriktiga och missvisande uppgifter. (Ang. p. 8 och dess förhållande till offentlighetsprincipen, se nedan under avsnitt 4.4)

Vid bedömandet av om en föreskrift behövs skall Datainspektionen särskilt beakta huru-

vida registret innehåller personuppgift som utgör omdöme eller annan värderande upplysning om den registrerade (6 §).

Datainspektionens skyldighet att förebygga otillbörliga integritetsintrång genom föreskrifter

gäller även statsmaktsregister om inte regeringen eller riksdagen redan meddelat föreskrifter i samma hänseende (6 a §). Som framgår av lagtexten i 3 § (se ovan) skall redan vid bedömningen av om huruvida tillstånd kan lämnas med hänsyn till risken för integritetsintrång de föreskrifter beaktas som skall gälla för registret. Ett register som utan föreskrifter skulle kunna medföra ett otillbörligt integritetsintrång kan alltså tillåtas om det förenas med erforderliga föreskrifter.

4.1.3 Den registeransvariges skyldigheter och Datainspektionens tillsyn

Den eller de som är ansvariga för registret har enligt bestämmelser i 714 §§datalagen att se

till att registret inrättas och föres så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. Bestämmelserna medför bl.a. ett ansvar för att registret förs för ett bestämt ändamål, att uppgifterna i registret överensstämmer med ändamålet och att de är riktiga. Vidare finns regler om hur registret skall hanteras och skyddas mot obehörig insyn, spridning och förstörelse, om skyldighet för den registeransvarige att på begäran upplysa den registrerade om vilka uppgifter registret innehåller beträffande denne, om när uppgifter skall utgå ur registret och om tystnadsplikt för den registeransvarige och för annan som tagit befattning med registret eller uppgifter som insamlats för detta. För det allmännas verksamhet regleras dock tystnadsplikten i sekretesslagen (1980:100) varom mera nedan. Den registeransvariges skyldigheter gäller med något undantag såväl för register som förs med tillstånd från Datainspektionen som för icke tillståndspliktiga register.

Datainspektionens övergripande ansvar upphör inte i och med att tillstånd med erforder-

liga föreskrifter givits. Datainspektionen har därefter, i enlighet med bestämmelserna i 15-18 §§ att utöva kontinuerlig tillsyn över att automatisk databehandling inte medför otillbörligt intrång i någons personliga integritet. Tillsynsplikten omfattar även statsmaktsregister. För detta ändamål har Datainspektionen rätt att erhålla tillträde till lokaler där ADB utförs eller datautrustning m.m. förvaras samt vidare att få del av relevanta handlingar. Inspektionen får även föranstalta om körning av datamaskin. Den registeransvarige eller den som för hans räkning handhar personregister skall lämna Datainspektionen de uppgifter som begärs för tillsynen. Om tillträde till lokal eller tillgång till handling inte lämnas kan Datainspektionen utfärda vitesföreläggande (24 §). Om Datainspektionen finner att otillbörligt intrång i personlig integritet förekommit eller kan uppkomma, kan inspektionen meddela eller ändra föreskrifter eller — om tillräckligt skydd inte kan åstadkommas på annat sätt — förbjuda fortsatt förande av registret eller återkalla meddelat tillstånd. Beträffande statsmaktsregister får Datainspektionen meddela eller ändra föreskrifter endast om åtgärden inte står i strid med beslut av regeringen eller riksdagen. Statsmaktsregister får inte förbjudas av Datainspektionen.

4.1.4 Övriga bestämmelser

Datalagen innehåller vidare bestämmelser om straff och skadestånd vid överträdelser av gällande bestämmelser för personregister och för handhavandet av uppgifterna i dessa (20—23 §§).

Datainspektionens beslut överklagas hos allmän förvaltningsdomstol. Om det är en statlig

myndighet som är registeransvarig skall talan dock föras direkt hos regeringen. Justitiekanslern (JK) får överklaga ett beslut för att tillvarata allmänna intressen (25 §).

I 26—28 §§ finns särskilda bestämmelser rörande det statliga person- och adressregistret

(SPAR).

Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan m.m. ges i data-

förordningen.

4.2 Särskilda registerförfattningar

Personregister om vars inrättande riksdagen eller regeringen beslutar, de s.k. statsmaktsregistren, är enligt 2 a § datalagen undantagna från kravet på tillstånd från Datainspektionen. Datainspektionen kan dock meddela beslut om villkor även för dessa register, i den mån inte regeringen eller riksdagen har meddelat villkor i samma hänseende (6 a och 18 §§datalagen). Vidare gäller datalagens bestämmelser om den registeransvariges skyldigheter, om Datainspektionens tillsyn samt om straff och skadestånd även för statsmaktsregistren.

Det finns numera ett stort antal personregister som regleras genom särskilda

registerförfattningar. Författningarnas innehåll varierar beroende på vid vilken tidpunkt de kommit till och den uppfattning om vad som borde regleras som då var rådande. En del

registerförfattningar fanns redan när datalagen infördes. Dessa äldre författningars primära mål var inte att värna om den enskildes integritet. De innehåller främst regler om vad som skall registreras och hur information får spridas. Nyare registerförfattningar kompletterar dock, eller ersätter delvis, datalagens integritetsskydd och innehåller bestämmelser om registerändamål, registeransvar, sökbegrepp (dvs. eventuella begränsningar i sökmöjligheterna), utlämnande av uppgifter och gallring m.m. Som exempel på sådana senare författningar kan nämnas lagen (1994:1517) om socialförsäkringsregister, förslaget till lag om vissa personregister inom kriminalvården (Ds 1996:19) och förslaget till lag om personregister för forskning och utvecklingsarbete inom rättspsykiatrin (SOU 1996:72).

Registerförfattningarna ersätter sålunda inte datalagen fullt ut. Datalagen skall fortfa-

rande tillämpas beträffande dessa personregister i de delar bestämmelser inte finns i den särskilda registerförfattningen.

4.3 Offentlighet och sekretess

4.3.1 Inledning

Den enskildes intresse av integritetsskydd skall i förevarande sammanhang inte bara ställas mot myndigheters och andras behov av personregister för olika typer av verksamheter. Även den i vårt land rådande offentlighetsprincipen, som ger allmänheten rätt till insyn i statlig och kommunal verksamhet, måste beaktas. Offentlighetsprincipen innebär bl.a. att medborgarna har rätt att ta del av allmänna handlingar (handlingsoffentligheten) och att de har rätt att närvara vid domstolsförhandlingar och vid sammanträden i beslutande statliga och kommunala församlingar (förhandlingsoffentligheten). Som ett utslag av offentlighetsprincipen kan också regeringsformens föreskrifter om yttrande- och informationsfrihet betraktas. (Vad gäller tryckfrihet och motsvarande frihet att yttra sig i radio och television m.m. finns särskilda bestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Dessa bestämmelser behandlas inte i denna framställning.) Avvägningen mellan den enskildes integritet och offentlighetsprincipen berördes i propositionen om offentlighet, integritet och ADB där föredragande statsrådet uttalade följande (prop. 1990/91:60 s. 14):

Offentlighetsprincipen ställs naturligtvis ofta mot önskemålet att skydda den enskildes

integritet. Det är i regel lätt att motivera undantag från offentlighetsprincipen vilka för enskilda situationer kan te sig välgrundade. Man måste emellertid alltid hålla det övergripande värdet av offentlighetsprincipen i minnet när man gör den avvägning som är nödvändig mellan offentlighet och integritetsskydd och akta sig för att genom de många små stegens utveckling göra alltför stora undantag från principen.

Man måste också komma ihåg att själva offentlighetsprincipen utgör ett viktigt inslag i

skyddet för den enskilda individen mot rättsövergrepp och annat som skulle kunna ske genom brist på insyn i det allmännas verksamhet.

Det är också viktigt att framhålla att lika litet som offentlighetsprincipen kan vara undan-

tagslös kan något fullständigt skydd för den enskildes privata sfär upprätthållas.

Grundläggande bestämmelser om offentlighetsprincipen finns i tryckfrihetsförordningen

(TF). Där uttrycks medborgarnas rätt att ta del av allmänna handlingar (2 kap. 1 §) och där anges allmänt av vilka skäl begränsningar får göras i denna rätt, dvs. i vilken utsträckning handlingar får hållas hemliga. Av möjliga skäl till begränsningar kan redan här nämnas hänsyn till skyddet för enskilds personliga eller ekonomiska förhållanden. Närmare bestämmelser om begränsningar i rätten att ta del av allmänna handlingar, liksom i rätten att röja vissa uppgifter m.m., återfinns i sekretesslagen (1980:100). Framställningen närmast nedan behandlar översiktligt gällande regler om offentlighet och sekretess med koncentration på de delar som är relevanta för utredningsuppdraget. I avsnitt 6.9 redovisas de ändringar av bl.a. tryckfrihetsför-

ordningen och sekretesslagen som av Datalagskommittén ansetts påkallade i samband med införandet av EG-direktivet om personuppgifter i svensk rätt.

Vissa för uppdraget aktuella sekretessfrågor genomgås ytterligare i avsnittet om utred-

ningens överväganden.

4.3.2 Begreppet allmän handling

Med handling förstås enligt 2 kap. 3 § första stycket tryckfrihetsförordningen framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handlingsbegreppet omfattar alltså inte bara papper med text eller bild på utan också t.ex. bandupptagningar och upptagningar för ADB. En handling är enligt samma lagrum allmän om den förvaras hos en myndighet och enligt särskilda regler härom anses inkommen eller upprättad där. När det gäller handlingar i traditionell mening, varmed här förstås papper med skrift eller bild på, är det som regel inga problem att avgöra om den förvaras hos myndigheten eller inte. Beträffande ADB-upptagningar blir bedömningen svårare. För denna typ av handlingar finns det en särskild regel i 2 kap. 3 § andra stycket tryckfrihetsförordningen som innebär att en ADB-upptagning anses förvarad hos både den myndighet där själva upptagningen finns och den myndighet som har terminalåtkomst till upptagningen om det är tekniskt möjligt att ”komma åt” den. I lagtexten anges detta förhållande som att upptagningen:

... anses förvarad hos myndighet om upptagningen är tillgänglig för myndigheten med

tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.

Med begreppet ”tekniskt hjälpmedel som myndigheten själv utnyttjar” avses — vad gäller

ADB-upptagningar — datorkraft. Begreppet innefattar även de tekniska hjälpmedel som finns hos en servicebyrå som myndigheten anlitar eller hos sido-, över- eller underordnad myndighet, liksom den utrustning som på annat sätt står till myndighetens förfogande. (Däremot kan, efter en lagändring 1991, inte längre den enskilde genom att själv ställa datorkapacitet till förfogande påverka området för insyn med stöd av offentlighetsprincipen, se prop. 1990/91:60 s. 27 ff.) Lagrummet innehåller vidare en viktig begränsning. Hindrar föreskrifter i en lag eller förordning eller särskilt beslut som grundar sig på lag, att en myndighet för egen räkning gör en överföring till läsbar form av en upptagning som ingår i ett personregister som förs med ADB, anses inte upptagningen vara förvarad hos myndigheten. En begränsning av rätten att göra sådan överföring i t.ex. en registerlag eller enligt ett beslut av Datainspektionen medför alltså att upptagningen inte utgör allmän handling även om de tekniska möjligheterna att ta fram den i läsbar form finns.

Enligt 2 kap. 10 § tryckfrihetsförordningen är en handling — dvs. även en ADB-upptag-

ning — som förvaras hos en myndighet som bara har till uppgift att lagra eller tekniskt bearbeta handlingen för annans räkning inte allmän hos den myndigheten (jfr även 2 kap. 6 § 3 st TF).

En handling anses enligt huvudregeln ha kommit in till en myndighet när handlingen

anlänt till myndigheten eller tagits emot av behörig person. Upprättad är en handling i princip när den fått sin slutliga utformning hos myndigheten antingen genom att den då expedieras eller, beträffande handlingar som inte skall expedieras, när det ärende den hör till är slutbehandlat hos myndigheten. Det finns flera särskilda regler om när olika typer av handlingar skall anses inkomna eller upprättade som innebär avsteg från de nu nämnda principerna (se 2 kap. 6—8 §§ TF).

4.3.3 Allmänt om sekretessbestämmelserna och deras uppbyggnad

Utgångspunkten är att allmänna handlingar är offentliga och skall lämnas ut till den som begär det. Det finns dock områden där behovet av skydd mot insyn anses väga tyngre än offentlighetsprincipen. I 2 kap. 2 § första stycket tryckfrihetsförordningen räknas de fall upp i vilka allmänna handlingar får hållas hemliga, nämligen om det är påkallat med hänsyn till:

1. rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation,

2. rikets centrala finanspolitik, penningpolitik eller valutapolitik,

3. myndighets verksamhet för inspektion, kontroll eller annan tillsyn,

4. intresset att förebygga eller beivra brott,

5. det allmännas ekonomiska intresse,

6. skyddet för enskilds personliga eller ekonomiska förhållanden,

7. intresset att bevara djur- eller växtart.

Uppräkningen är uttömmande. Begränsningar av rätten att ta del av allmänna handlingar skall anges noga i särskild lag, dvs. sekretesslagen, eller annan lag dit sekretesslagen hänvisar. Syftet är att man i varje särskilt fall skall kunna se i sekretesslagen om en allmän handling är hemlig. Regeringen kan, efter bemyndigande i lag, ge kompletterande föreskrifter vad gäller en sekretessbestämmelses tillämplighet. Vidare kan regering och riksdag i samma ordning tilläggas befogenheter att medge dispens från sekretess.

Enligt sekretesslagen förstås med sekretess förbud att röja uppgifter, vare sig det sker munt-

ligen eller genom att allmän handling lämnas ut eller på annat sätt. Förbudet att röja uppgifter gäller alltså varje form av röjande och innefattar därmed såväl handlingssekretess som tystnadsplikt (1 kap. 1 §). Sekretesslagen gäller för all verksamhet som bedrivs av det allmänna, i första hand hos myndigheter men även hos vissa andra organ som skall jämställas med myndigheter vid tillämpningen av sekretesslagen samt hos bolag, föreningar och stiftelser, där kommuner eller landsting utövar ett rättsligt bestämmande inflytande (se närmare 1 kap.8 och 9 §§sekretesslagen). Lagen innehåller inte bara bestämmelser om sekretess i förhållande till enskilda utan också bestämmelser om sekretess mellan myndigheter och mellan olika självständiga verksamhetsgrenar inom en och samma myndighet. Lagens uppbyggnad följer uppräkningen i tryckfrihetsförordningen av de fall då allmänna handlingar får sekretessbeläggas (2—10 kap. sekretesslagen). Bestämmelserna är utformade på det sättet att det anges att sekretess gäller i viss verksamhet eller hos viss myndighet för en viss typ av uppgifter etc. Att sekretess gäller för en viss uppgift innebär som sagts ovan att uppgiften inte får röjas.

Bestämmelser som skyddar den enskildes integritet återfinns i första hand i sekretesslagens

7—9 kap. som rör sekretess med hänsyn till skyddet för enskilds personliga och ekonomiska förhållanden. Sekretess gäller enligt dessa regler t.ex. inom sjukvården och socialtjänsten, hos allmän försäkringskassa, arbetarskyddsmyndigheter, skolor, polismyndigheter m.m. för uppgifter om bl.a. hälsotillstånd och personliga förhållanden i övrigt. Förutom rekvisit som rör föremålet för sekretessen innehåller bestämmelserna också rekvisit som anger sekretessens ”styrka”. De sist nämnda rekvisiten är dels sådana som anger vissa konkreta undantag (t.ex. undantas ofta formella beslut i ärenden) dels skaderekvisit, dvs. villkor som kräver viss sannolikhet för att skada skall uppstå om en uppgift lämnas ut, för att sekretess skall gälla.

Skaderekvisiten är av två slag. Det raka skaderekvisitet innebär att sekretessfrågan i första hand inte behöver knytas till en skadebedömning i det enskilda fallet. Avgörande är i stället om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för den enskilde. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös, skall den alltså normalt anses falla utanför sekretessen. I förarbetena nämns uppgifter om adress eller civilstånd som exempel på uppgifter av detta slag. Skulle uppgiften vara sådan att den lätt kan komma att missbrukas, t.ex. om den rör någon mera ”känslig” personuppgift om den enskilde, skall den i stället anses omfattas av sekretessen. Ett exempel på en bestämmelse med rakt skaderekvisit ges i 7 kap. 8 § sekretesslagen:

Sekretess gäller hos myndighet, som har till särskild uppgift att verka för arbetarskydd, i ärende enligt lagstiftningen om arbetsskadeförsäkring, arbetsmiljön eller reglering av arbetstid eller annars i ärende om arbetarskydd, för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde lider men om personuppgiften röjs.

Det omvända skaderekvisitet utgår från att sekretess är huvudregel. Sekretess gäller om det

inte står klart att uppgiften kan röjas utan skada. Detta innebär att tillämparen har ett ganska begränsat utrymme för sin bedömning. I praktiken innebär detta att en myndighet många gånger inte kan lämna ut en uppgift som omfattas av en sådan sekretessregel utan att ha kännedom om mottagarens identitet och om dennes avsikter med uppgiften. 7 kap. 4 § första stycket sekretesslagen innehåller en sekretessregel med omvänt skaderekvisit:

Sekretess gäller inom socialtjänsten för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men.

Sekretesslagen innehåller flera bestämmelser med generella undantag från sekretessens tillämplighet. Sekretess gäller t.ex. som regel inte i förhållande till den enskilde själv (14 kap. 4 §). Sekretess hindrar enligt huvudregeln ”aldrig” att part i mål eller ärende tar del av dom eller beslut i målet eller ärendet eller fråntas sin i rättegångsbalken stadgade rätt att få del av alla omständigheter som läggs till grund för avgörandet av ett mål eller ärende (14 kap. 5 § andra stycket. Jfr dock 7 kap. 17 § som i sin tur anger undantag från undantaget!). Handlingssekretessen är ofta tidsbegränsad vilket anges i anslutning till de särskilda bestämmelserna om sekretess för olika sorters uppgifter. Vad gäller uppgifter om enskildas personliga förhållanden gäller sekretessen för uppgift i allmän handling normalt i 50 eller 70 år.

4.3.4 Sekretess rörande totalförsvarspliktiga

I 7 kap. 12 § sekretesslagen stadgas att sekretess gäller i ärende om inskrivning av totalförsvarspliktiga och i ärenden om antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs.

Bestämmelsen är i första hand tillämplig för Totalförsvarets pliktverk (Pliktverket) som

ansvarar för och handlägger mönstring och andra utredningar beträffande de totalförsvarspliktiga och fattar beslut om inskrivning m.m.

Som framgår skall ett rakt skaderekvisit tillämpas. Som exempel på vad som kan sekre-

tessbeläggas kan nämnas uppgifter som kommer fram vid de hälsoundersökningar som sker vid mönstringen och uppgifter om t.ex. viss utbildning m.m. som lämnas till Pliktverket från andra myndigheter (angående överföring av sekretess mellan myndigheter, se nedan avsnitt

4.3.9). Uppgifter från de medicinska undersökningar av hälsotillstånd och fysiska kvalifikationer i övrigt som äger rum vid mönstringen (eller motsvarande utredning) har ett starkare skydd än vad som framgår av 12 §, eftersom även bestämmelserna i 7 kap. 1 § sekretesslagen skall tillämpas. Dessa stadgar sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet som t.ex. rättsmedicinsk och rättspsykiatrisk undersökning för uppgifter om enskilds hälsotillstånd eller personliga förhållanden i övrigt om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. ”Annan medicinsk verksamhet” omfattar t.ex. hälsoundersökning vid mönstring och för dessa uppgifter gäller sålunda ett omvänt skaderekvisit.

Vidare har regeringen, med stöd av 7 kap. 15 § första stycket 1 p. sekretesslagen för-

ordnat, att sekretess generellt skall gälla för Pliktverkets register över totalförsvarets personal (se 1 b § sekretessförordningen (1980:657)). Denna möjlighet har regeringen tillagts beträffande verksamheter som avser registrering av betydande del av befolkningen. Skyddet är emellertid svagare än enligt de tidigare under detta avsnitt nämnda sekretessbestämmelserna eftersom sekretess endast gäller för uppgifter om enskildas personliga förhållanden om det av sär-

skild anledning kan antas att den enskilde eller någon honom närstående lider men om uppgif-

ten röjs.

4.3.5 Sekretess för personuppgift i personregister

Sekretess gäller enligt 7 kap. 16 § första stycket sekretesslagen för personuppgift i personregister som avses i datalagen om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid mot datalagen. Bestämmelserna är tillämpliga vid sådana myndigheter som är registeransvariga eller som annars har tillgång till personuppgifter i personregister. Förbudet gäller oavsett på vilket sätt uppgifterna lämnas ut, genom ADBmedium eller genom utskrifter på vanligt papper. Med de skaderekvisit som används i paragrafen innefattar sekretessen inte någon tystnadsplikt i egentlig mening. Risk för skada som anges aktualiseras nämligen bara vid massuttag i någon form av uppgifter från registret. Det är viktigt att hålla i minnet att andra bestämmelser om sekretess kan vara tillämpliga beträffande uppgifterna i registret.

Sekretess gäller vidare enligt 9 kap. 7 § sekretesslagen i myndighets verksamhet för enbart

teknisk bearbetning eller teknisk lagring för annans räkning av personregister, för uppgift om enskilds personliga eller ekonomiska förhållanden.

4.3.6 Försvarssekretess

Sekretess gäller enligt 2 kap. 2 § sekretesslagen för uppgift som angår verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Som framgår av ordalydelsen omfattar det sekretessbelagda området alla verksamheter som är av betydelse för landets samlade försvar. Sekretessen är inte begränsad till att avse uppgifter hos en viss myndighet utan gäller inom det allmännas hela verksamhet.

4.3.7 Sekretess vid framställning av statistik

Enligt 9 kap 4 § sekretesslagen gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser enskildas personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Denna sekretess är absolut, dvs. den är inte beroende av någon skadeprövning. Enligt paragrafen har regeringen möjlighet att

föreskriva samma sekretess för sådana uppgifter i annan med statistikframställning jämförbar undersökning som utförs av myndighet. Så har skett genom 3 § sekretessförordningen bl.a. i fråga om vissa medicinska och beteendevetenskapliga eller samhällsvetenskapliga studier hos utbildningsanstalter och forskningsinrättningar. Dessutom har uppgifter om enskildas personliga förhållanden som framkommer i vissa statliga utredningars verksamhet, t.ex. utredningar om praxis i asylärenden och bidragsfusk, sekretessbelagts med stöd av dessa bestämmelser. Enligt 9 kap. 4 § sekretesslagen gäller fem undantag från regeln att sekretessen skall vara absolut. Uppgift får i dessa fall lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon som står honom nära lider skada eller men. Ett av undantagen gäller uppgifter som behövs för forskningsändamål. Ett annat undantag gäller uppgifter som inte genom namn, annan identitetsbeteckning eller därmed jämförligt förhållande är direkt hänförliga till den enskilde. Med uttrycket ”jämförbart förhållande” åsyftas bilnummer, telefonnummer, anställningsnummer o.d. men inte uppgifter som genom s.k. bakvägsinformation kan hänföras till viss person.

4.3.8 Sekretess mellan myndigheter

I princip gäller sekretessreglerna även mellan myndigheter och mellan olika självständiga verksamhetsgrenar inom samma myndighet. Myndigheterna kan alltså sägas vara jämställda med enskilda personer när det gäller att få ta del av uppgifter och allmänna handlingar från andra myndigheter. En rad undantag finns dock från denna huvudregel.

Enligt 1 kap. 5 § sekretesslagen utgör sekretess inte hinder mot att en uppgift lämnas ut,

om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet. Som exempel på fall där denna bestämmelse kan vara tillämplig har i lagmotiven nämnts att en myndighet behöver ge en annan myndighet del av hemlig information till grund för ett remissyttrande. Av motiven framgår dock också att bestämmelsen skall tillämpas restriktivt och att den inte får åberopas för att hjälpa en annan myndighet — t.ex. den mottagande — att fullgöra sin verksamhet. Om en myndighet enligt lag eller förordning har skyldighet att lämna vissa uppgifter till annan myndighet gäller inte sekretessen (14 kap. 1 § sekretesslagen). Som exempel kan nämnas 3 kap. förordningen (1995:238) om totalförsvarsplikt som ålägger skattemyndigheten, Kriminalvårdsstyrelsen, Socialstyrelsen, Statens skolverk, Vägverket m. fl. myndigheter att lämna uppgifter till Pliktverket om totalförsvarspliktigas förhållanden. Bestämmelser om sekretess hindrar (enligt samma lagrum i sekretesslagen) inte att uppgifter lämnas till regeringen eller riksdagen. Enligt 14 kap 2 § hindrar inte heller sekretess uppgiftslämnande från en myndighet till en annan i vissa särskilt uppräknade fall, som då uppgiften behövs vid förundersökning i brottmål, rättegång, omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer eller tillsyn eller revision hos denna myndighet m.m. I 14 kap 3 § första stycket sekretesslagen återfinns den s.k. generalklausulen som stadgar att sekretessbelagd uppgift får lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. I andra stycket undantas flera sekretessbestämmelser till skydd för den enskildes personliga och ekonomiska förhållanden från generalklausulens tillämpningsområde, bl.a. den ovan nämnda sekretessregeln inom hälso- och sjukvården. Vidare anges att generalklausulen inte heller får tillämpas om utlämnandet strider mot lag eller förordning eller, såvitt angår uppgift i personregister enligt datalagen, föreskrifter som meddelats med stöd av den lagen.

Sekretess till skydd för en enskild kan enligt 14 kap. 4 § första stycket helt eller delvis

efterges av den enskilde själv. En myndighet kan alltså efter samtycke från den enskilde lämna ut uppgifter om denne till en annan myndighet. Även tysta sk. presumerade samtycken som framgår av den enskildes beteende får godtas. Som nämnts ovan finns undantag från

4.3.9 Överföring av sekretess

Sekretessen följer inte en hemlig uppgift som lämnas ut om inte det finns en särskild regel om detta. Sekretess som till följd av en sådan regel förs över till en annan myndighet brukar kallas för sekundär sekretess hos den mottagande myndigheten. Den sekundära sekretessen innebär att en handling som är hemlig hos en utlämnande myndighet också är hemlig hos den myndighet som tar emot handlingen. Den sekundära sekretessen gäller också i fråga om handling till vilken har förts över uppgifter från den överlämnade handlingen.

I sekretesslagens 11—13 kap. ges bestämmelser om överföring av sekretess. 11 kap. inne-

håller särskilda bestämmelser om sekretessbelagda uppgifter som överlämnats till regeringen, riksdagen, riksdagens ombudsmän och justitiekanslern medan 12 kap. behandlar sekretessbelagda uppgifter som erhållits av domstol i domstolens rättskipande eller rättsvårdande verksamhet. I 13 kap. räknas särskilda fall i övrigt upp då sekretessen överförs mellan myndigheter. Sekundär sekretess gäller enligt dessa bestämmelser bl.a. om en myndighet i sin forskningsverksamhet från en annan myndighet erhåller uppgift som är sekretessbelagd där (3 §) och hos arkivmyndighet för sekretessbelagda uppgifter som lämnats till arkivmyndigheten för arkivering (4 §).

Om sekretess till skydd för samma intresse ändå är tillämplig hos den mottagande myn-

digheten har denna företräde. Sekretess förs då inte över från den myndighet som lämnar uppgifterna, vilket innebär att skyddet kan förstärkas eller försvagas vid ett överlämnande.

Om en sekretessbelagd uppgift lämnats ut till enskild har denne inte tystnadsplikt om det

inte följer av särskilda föreskrifter (se t.ex. lagen [1975:689] om tystnadsplikt för vissa tolkar och översättare) eller utlämnandet förenats med förbehåll som inskränker rätten att föra uppgiften vidare (se 14 kap.9 och 10 §§sekretesslagen).

4.3.10 Meddelarfrihet

För lämnande av uppgifter för offentliggörande i tryckt skrift eller för framställning i film eller radio gäller särskilda regler enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Här är, något förenklat uttryckt, utgångspunkten att uppgiftslämnande — utom såvitt avser utlämnande av en hemlig handling — är tillåtet även om uppgiften är sekretessbelagd. 16 kap. 1 § sekretesslagen anger i vilka fall tystnadsplikten har företräde framför sådan meddelarfrihet.

4.4 Kort om förhållandet mellan datalagstiftningen, tryckfrihetsförordningen och

sekretesslagen

Informationsflödet mellan myndigheter, den enskildes rätt till skyddad integritet och rätt till insyn i det offentligas verksamhet regleras genom ett flertal författningar och föreskrifter av olika slag. Regelverket är inte okomplicerat och stundtals kan konflikter mellan olika regler uppkomma. Nedan ges en mycket kort beskrivning av förhållandet mellan de i rubriken angivna författningarna jämte de föreskrifter Datainspektionen kan utfärda. Vad som nedan sägs framgår i huvudsak redan av texten ovan i detta kapitel.

Datalagen har till syfte att hindra att hantering av personregister som förs med hjälp av

ADB medför otillbörligt intrång i den enskildes integritet. Lagen anger i vilka situationer och under vilka villkor den enskilde får finna sig i att vara registrerad. Strängare villkor gäller generellt då det är fråga om registrering av för den enskilde ”känsliga” personuppgifter. Datalagen kompletteras och ersätts i vissa delar av särskilda registerlagar för statsmaktsregistren,

dvs. de register som beslutats av regeringen eller riksdagen. Datalagstiftningen — varmed här avses såväl datalagen som de särskilda registerlagarna — behandlar dock inte sekretess i det allmännas verksamhet. En myndighet som för ett personregister har främst att söka ledning i sekretesslagen när det gäller frågor om utlämnande av uppgifter ur registret. Som tidigare redovisats innebär ett förbud för en myndighet att överföra viss upptagning (t.ex. ADB-upptagning) till läsbar eller annan form som kan uppfattas, att upptagningen (handlingen) inte anses förvarad hos myndigheten (2 kap. 3 § andra stycket TF). Detta är inte en sekretessregel. Bestämmelsen innebär helt enkelt att upptagningen inte utgör en allmän handling.

Enligt datalagen skall Datainspektionen, i den mån det behövs för att förebygga risk för

otillbörligt intrång i personlig integritet, meddela föreskrift för personregister om bl.a. utlämnande och annan användning av personuppgift (6 § datalagen, se ovan 4.1.2). Enligt lagmotiven (prop. 1973:33 s. 129 f.) är det i många fall uppenbarligen påkallat att meddela föreskrift om utlämnande och annan användning av personuppgifter. Datainspektionen kan härvid begränsa de ändamål för vilka uppgifter får användas i den registeransvariges verksamhet och föreskriva skyldighet för denne att ställa villkor i fråga om användningen av uppgifter som lämnas ut till någon annan. I 6 § tredje stycket anges uttryckligen att Datainspektionens föreskrifter inte får inskränka en myndighets skyldigheter enligt tryckfrihetsförordningen. Datainspektionen kan därmed inte meddela ett förbud mot utlämnandet av allmänna handlingar (om inte förbudet är begränsat till utlämnande på datormedium eller via terminalanslutning eller liknande). Om de aktuella uppgifterna är belagda med sekretess skall förutom föreskrift från Datainspektionen naturligtvis de särskilda bestämmelserna om sekretess tillämpas. Härvid kan bl.a. 7 kap. 16 § sekretesslagen bli aktuell, som föreskriver sekretess för personuppgifter i personregister om det kan antas att utlämnande skulle medföra att uppgiften används för ADB i strid mot datalagen, t.ex. av någon utan erforderligt tillstånd.

I den ovan behandlade sk. generalklausulen (14 kap 3 § sekretesslagen), anges som ett

undantag för dess tillämpning att utlämnandet skulle strida mot lag eller förordning eller, såvitt avser personregister, föreskrift som meddelats med stöd av datalagen. Har det t.ex. i lag föreskrivits att en viss myndighet för sin verksamhet på angivna villkor kan få ta del även av hemliga uppgifter hos en annan myndighet kan det inte komma i fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället. Datainspektionen kan inte meddela föreskrifter som står i strid med särskilda lagar och förordningar om utlämnande av uppgifter myndigheter emellan. Däremot bör hinder inte möta mot en föreskrift som bara innebär att utrymmet för registerföraren att tillämpa generalklausulen krymps eller utesluts helt (jfr prop. 1979/80:2, del A, s. 328).

Datalagsutredningen har pekat på problem som kan uppstå då personuppgifter behandlas

på områden där tryckfrihetsförordningen och yttrandefrihetsgrundlagen (YGL) är tillämpliga. Enligt utredningen kan konflikter uppstå vid tillämpningen av de båda grundlagarna och datalagstiftningen, dels genom att den senare kan verka försvårande för framställningen av olika yttranden och dels till följd av grundlagarnas regler om anonymitetsskydd. För närmare studier av dessa frågor hänvisas till Datalagsutredningens slutbetänkande (SOU 1993:10 s. 113— 147).

4.5 Bevarande och gallring

Grundläggande regler om offentliga arkiv finns i arkivlagen (1990:782) och i arkivförordningen (1991:446). Bestämmelserna omfattar arkiv hos såväl statliga som kommunala myndigheter och författningarna innehåller regler om vad som ingår i en myndighets arkiv, vård av arkiv och gallring av arkiv. Arkivlagens utgångspunkt är att allmänna handlingar skall bevaras. I

arkivlagens 3 § uttalas att myndigheternas arkiv är en del av det nationella kulturarvet och att arkiven skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. Av 10 § framgår emellertid att allmänna handlingar får gallras, dvs. förstöras (som förstöring räknas även överförande till andra ”databärare” om överföringen medför informationsförlust, se Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter [RA-FS 1991:1] 2 kap. 1 §). Dock skall, enligt samma lagrum, det arkivmaterial som återstår kunna tillgodose de ändamål som anges i 3 §. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning gäller dock dessa bestämmelser (med undantag för 12 § datalagen, se strax nedan). I de särskilda författningar som reglerar olika integritetskänsliga register (dvs. statsmaktsregister) föreskrivs i regel att materialet skall förstöras efter en viss tid, om det inte finns direkta föreskrifter om bevarande. För dessa fall är sålunda principen den omvända, dvs. att gallring skall ske. I motiven till arkivlagen (prop. 1989/90:72 s. 50 ff.) sägs att principen är rimlig med hänsyn till de integritetsaspekter som kan föreligga på de särskilda registerlagarnas områden. Vidare anförs att undantag från gallringsskyldigheten i dessa fall, som kan förestavas av hänsyn till insynsaspekten, myndigheternas informationsbehov och rättssäkerhetsaspekter, som regel bör tas in direkt i den särskilda registerlagen. Däremot bör konkreta avgöranden av vilka handlingar som skall bevaras med hänsyn till forskningens behov, i princip överlåtas till fackkunniga inom arkivmyndigheterna. Av den anledningen anges i propositionen att, beträffande statliga myndigheters arkiv, det i den särskilda registerlagen också borde slås fast att, utöver de undantag från gallringsplikten som anges direkt i den lagen, ytterligare undantag får föreskrivas av regeringen eller av den myndighet som regeringen bestämmer. Dessa bemyndiganden får enligt propositionen förutsättas bli använda enbart för att bevara material med hänsyn till forskningens behov och då främst ett representativt urval av material.

Prövningen av gallringsfrågor beträffande uppgifter i personregister som regleras genom

särskilda registerlagar följer därmed teoretiskt följande modell:

— Utgångspunkten enligt arkivlagen är att handlingar som behövs för de i lagen uppräknade syftena skall bevaras.

— Om det i den särskilda registerlagen angetts att materialet skall förstöras efter viss tid gäller dock denna bestämmelse före arkivlagen.

— Beträffande material som behövs för forskningsändamål kan i den särskilda registerlagen ges bemyndigande för regeringen eller myndighet som regeringen bestämmer att meddela undantag från gallringsplikten. Om sådana bestämmelser meddelats gäller dessa. I annat fall gäller den särskilda registerlagens bestämmelser om gallringsplikt även detta material.

Ett exempel på gallringsbestämmelse i en registerlag utgörs av 10 § i förslaget till lag om vissa personregister inom kriminalvården (Ds 1996:19):

En uppgift i ett kriminalvårdsregister skall gallras så snart uppgiften inte längre behövs

och senast fem år efter det att den senast registrerade kriminalvårdspåföljden eller åtgärden till

fullo verkställts eller annars har upphört. Regeringen får i förordning bestämma kortare tid för gallring.

Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från

första stycket i fråga om bevarande av ett urval av material för forskningens behov. Sådant material skall överlämnas till arkivmyndighet.

Den myndighet som av regeringen utses att utfärda särskilda bestämmelser om gallring i

dessa fall är som regel Riksarkivet.

För de register som inte är statsmaktsregister gäller delvis en annan ordning. Här måste

man skilja på register som enbart kräver licens (licensregister) och sådana som kräver såväl licens som tillstånd från Datainspektionen (tillståndsregister). Enligt 12 § datalagen skall personuppgift utgå ur registret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning. Enligt uttrycklig bestämmelse i arkivlagen (10 §) gäller arkivlagens bestämmelser om gallring före 12 § datalagen. Detta innebär att licensregister hos myndigheter därmed skall gallras enligt arkivlagens normsystem, dvs. huvudregeln är att uppgifterna skall bevaras i de delar det krävs för de i arkivlagen angivna syftena. För tillståndsregisternas del skall Datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i den personliga integriteten, meddela föreskrift om bevarande och gallring av personuppgifter (6 § första stycket 9 datalagen). Datainspektionens föreskrifter, som enligt 12 § dataförordningen skall lämnas efter samråd med Riksarkivet, blir då gällande, dvs. bestämmelsen i 6 § datalagen gäller före arkivlagens regler (se närmare prop. 1989/90:72 s. 48 ff.).

5. Internationella överenskommelser

5.1 Inledning

Den enskildes behov av skydd för den personliga integriteten behandlas i flera internationella överenskommelser och rekommendationer. Som följer av framställningen nedan liknar bestämmelserna i de olika internationella dokumenten om behandling av personuppgifter varandra i hög grad. Det rör sig om regler som tar sikte på att registrering och annan behandling av uppgifter om enskildas personliga förhållanden skall vara begränsad till situationer då sådana åtgärder framstår som befogade ur samhällets eller den enskildes perspektiv. Vissa känsliga uppgifter erhåller regelmässigt särskilt skydd. Vidare intar bestämmelser om att uppgifterna skall vara korrekta och om den enskildes rätt till insyn en central roll.

Europarådets dataskyddskonvention och OECD:s rekommendation och riktlinjer för da-

taskydd har länge utgjort en grund för den svenska data- och registerlagstiftningen. EG-direktivet om personuppgifter har ännu inte implementerats i svensk rätt. Regeringen beslutade i juni 1995 att tillsätta en särskild kommitté med uppgift att analysera på vilket sätt ett kommande EG-direktiv om skydd för personuppgifter skall införlivas i svensk lagstiftning samt lägga fram förslag till ny lag på området. Kommittén, som antog namnet Datalagskommittén, har lämnat förslag till persondatalag (se bilaga 2) i mars 1997 (SOU 1997:39; — Integritet — Offentlighet — Informationsteknik) samt förslag till de ändringar i tryckfrihetsförordningen, regeringsformen, sekretesslagen och arkivlagen som av kommittén bedömdes motiverade för att regleringen skall vara anpassad till EG-direktivet och den nya tekniken på dataområdet. Datalagskommitténs förslag redovisas nedan i kapitel 6. (Hänvisningar till Datalagskommitténs betänkande sker fortsättningsvis genom angivande av kommitténs namn jämte hänvisning till det

5.2 Europarådets dataskyddskonvention

År 1980 antog Europarådets ministerkommitté en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen. Konventionen trädde i kraft år 1985 och har tillträtts av Sverige. Syftet med konventionen är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Konventionen gäller för automatiserade personregister och för automatisk databehandling av personuppgifter i allmän och enskild verksamhet. En central del av konventionen innehåller bestämmelser om krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling. Kraven innebär bl.a. att uppgifterna skall hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling om inte nationell lagstiftning ger ett ändamålsenligt skydd. Detta gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga åtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. Det föreskrivs också vissa ytterligare skyddsåtgärder för registrerade personer, bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade. Vissa undantag från kraven på uppgifternas beskaffenhet får dock göras om de har stöd i nationell lagstiftning och om undantagen är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet e.d. eller för att skydda den registrerade personen eller andra personers fri- och rättigheter. Rätten till insyn och rättelse får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller forskningsändamål.

5.3 OECD:s rekommendation och riktlinjer för dataskydd

Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat vissa riktlinjer för integritetsskyddet och persondataflödet över gränserna. Medlemsländerna, däribland Sverige, har åtagit sig att följa den rekommendation som antogs tillsammans med riktlinjerna av OECD:s råd år 1980. Medlemsländerna skall enligt rekommendationen i sin lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som anges i riktlinjerna. De grundläggande riktlinjerna liknar bestämmelserna i Europarådets dataskyddskonvention (liksom bestämmelserna i EG-direktivet om personuppgifter, se nedan). Riktlinjerna anger bl.a. att uppgifterna skall inhämtas på ett lagligt och korrekt sätt med — när det är skäligt — den registrerades kännedom eller samtycke, att de skall vara relevanta och ändamålsenliga samt riktiga och fullständiga, att ändamålet med insamlingen av uppgifter skall vara preciserat när uppgifterna samlas in, att uppgifterna inte får användas för andra ändamål än de vid insamlingen preciserade samt att de skall skyddas från otillåten användning och förstörelse m.m. Riktlinjerna innehåller vidare bestämmelser om den registrerades rätt att få reda på vilka uppgifter den registeransvarige har registrerade om honom eller henne och om den registeransvariges skyldigheter att rätta felaktiga uppgifter m.m.

5.4 Europarådets rekommendationer

Inom Europarådet har det tagits fram ett antal rekommendationer om dataskydd för personuppgifter inom olika områden. Som exempel kan nämnas rekommendationerna om skydd för personuppgifter vid forskning och framställning av statistik (Recommendation No. R [83] 10) och om skydd för personuppgifter för anställningsändamål (Recommendation No. R [89] 2)

samt rekommendationen om utlämnande av personuppgifter som innehas av det allmänna (”public bodies”) till tredje man (Recommendation No. R [91] 10).

5.5 EG-direktivet om personuppgifter

Den 24 oktober 1995 antogs inom EU Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. (Fortsättningsvis EG-direktivet eller direktivet). Direktivet utgör, enligt vad som uttrycks i dess ingress, en precisering och en förstärkning av Europarådets dataskyddskonvention. Direktivet benämns ibland ”dataskyddsdirektivet”.

Enligt ingressen till direktivet skall det fria flödet av personuppgifter inom gemenskapen

underlättas till gagn för den inre marknaden med fri rörlighet för varor, personer, tjänster och kapital. Detta skall ske genom att det i samtliga medlemsstater skapas en likvärdig, hög skyddsnivå när det gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv. När de enskilda medlemsländernas lagstiftning på området harmoniserats skall staterna inte längre kunna hindra det fria flödet av personuppgifter inom gemenskapen med hänvisning till skyddet för enskilda personers fri- och rättigheter. Direktivet om behandling av personuppgifter är alltså inte av det slaget att det uppställer en miniminivå för den enskildes skydd. Det är inte tillåtet att föreskriva eller behålla vare sig ett sämre eller bättre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av direktivet. Medlemsstaterna ges dock ett visst spelrum vid införandet av direktivet i nationell rätt. Bl.a. är det därvid — enligt Datalagskommittén — möjligt att ta hänsyn till principen om allmänhetens rätt att ta del av allmänna handlingar (Datalags-

kommittén, kap. 9).

Direktivet gäller för behandling av personuppgifter som helt eller delvis företas på auto-

matisk väg oavsett om uppgifterna ingår i ett register eller ej. Direktivet omfattar också ickeautomatisk behandling av personuppgifter men då endast om uppgifterna ingår i eller är avsedda att ingå i ett register. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas beträffande uppgifterna, oavsett om det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, sammanställning, förstöring eller utlämnande. Med register avses varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Direktivet gäller inte behandling av personuppgifter som utgör ett led i en verksamhet som

inte omfattas av gemenskapsrätten. Som exempel anges verksamhet som avses i avdelning V och VI i Fördraget om Europeiska unionen (bestämmelser om en gemensam utrikes- och säkerhetspolitik respektive bestämmelser om samarbete i rättsliga och inrikes frågor — unionsfördragets andra och tredje ”pelare”). Vidare anges uttryckligen att direktivet inte gäller behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Medlemsstaterna får under vissa närmare angivna omständigheter, t.ex. om undantag är

nödvändiga med hänsyn till försvaret, allmän säkerhet eller förebyggande av brott, begränsa omfattningen av vissa av bestämmelserna i direktivet. Detta gäller bl.a. bestämmelserna om vissa grundläggande krav på uppgiftsbehandlingen.

Medlemsstaterna skall vidare besluta om undantag och avvikelser från bestämmelser i

direktivet för behandling av personuppgifter som sker uteslutande för journalistiska ändamål och konstnärligt eller litterärt skapande.

I direktivet föreskrivs ett anmälningsförfarande till en tillsynsmyndighet när det gäller helt

eller delvis automatiserad behandling av personuppgifter. När det gäller icke-automatiska be-

handlingar av personuppgifter är det tillåtet för medlemsstaterna att föreskriva ett förenklat anmälningsförfarande. Den svenska regeringen har beslutat att utse Datainspektionen till svensk tillsynsmyndighet.

Medlemsstaterna är skyldiga att anpassa sina respektive nationella lagar och förordningar

till direktivet senast per den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som då redan pågår skall denna bringas i överensstämmelse med direktivet — och den nya nationella lagstiftningen — senast tre år därefter, dvs. senast den 24 oktober 2001. Vissa längre frister gäller för det faktiska genomförandet av delar av direktivet.

Bestämmelser i EG-direktiv måste införas i svensk rättsordning för att bli gällande rätt här.

Hur EG-direktivet om personuppgifter föreslås implementerat i svensk rätt beskrivs i nästa kapitel, där en mer utförlig bild ges av den ordning som kommer att gälla framöver.

6. Datalagskommitténs förslag till persondatalag m.m.

6.1 Inledning

Datalagskommittén lämnade sitt betänkande i mars 1997 (SOU 1997:39). Betänkandet, som är omfattande, innehåller förslag till den nya lag — persondatalagen — genom vilken EGdirektivet om personuppgifter skall implementeras i svensk rätt. Lagen, som noga följer EGdirektivet, ersätter på sikt datalagen. Datalagskommittén föreslår också ändringar i tryckfrihetsförordningen, yttrandefrihetsgrundlagen, regeringsformen, sekretesslagen och arkivlagen. I denna framställning lämnas inte någon fullständig redovisning av Datalagskommitténs överväganden. Här ges en översikt över den nya ordningen med koncentration på de delar som bedömts vara centrala för utredningsuppdraget. Våra egna förslag utgår ifrån att förslaget till persondatalag kommer att bli gällande rätt i Sverige inom en snar framtid. De närmare analyser av persondatalagens bestämmelser som därmed är nödvändiga redovisas under våra överväganden i kap. 9 och framåt.

Förslaget till persondatalag bifogas till detta betänkande som bilaga 2. Hänvisningar till

aktuella avsnitt i Datalagskommitténs betänkande ges kursiverat i framställningen nedan (ex;

Datalagskommittèn, avsnitt/kap. x.x.x)

6.2 En generell och teknikoberoende lag

EG-direktivet gäller inte behandling av personuppgifter som utgör led i en verksamhet som som inte omfattas av gemenskapsrätten. Direktivet är därmed t.ex. inte tillämpligt på behandlingar som utförs för försvarsändamål. Persondatalagen är enligt förslaget däremot generellt utformad och gäller till sin lydelse i princip för all behandling av personuppgifter, med undantag för rent privat hantering (Datalagskommittén, kap 7). Persondatalagen innehåller emellertid en föreskrift (2 §) om att bestämmelser i lag eller förordning som avviker från lagen skall gälla. Avvikelser skall kunna förekomma, inte minst inom verksamheter som inte omfattas av EG-direktivet. Kommittén uttalar att den enskilde bör kunna förvänta sig att de lagar och förordningar som är i kraft överensstämmer med EG-direktivet och framhåller att en översyn av nationell lagstiftning måste göras, t.ex. vad gäller de särskilda registerförfattningarna (Datalagskommittén, avsnitt 8.2.2).

Den föreslagna persondatalagen omfattar all automatisk behandling av personuppgifter

samt även annan behandling om personuppgifterna ingår i eller är avsedda att ingå i ett register (5 §). Med behandling avses varje åtgärd som vidtas med uppgiften (3 §). Lagens till-

ämpningsområde blir därmed vida större än datalagens som i princip ”bara” gäller vid registrering av personuppgifter med ADB. Vad som avses med ”automatisk” definieras varken i EGdirektivet eller i persondatalagen.

6.3 Förutsättningar för att behandling av personuppgifter skall vara tillåten

Datalagen bygger på ett system med licenser och tillstånd. Register med integritetskänsliga personuppgifter kräver regelmässigt Datainspektionens tillstånd medan det i andra fall är tillräckligt för den ansvarige att lösa licens. För statsmaktsregistrens del ges tillstånd genom beslut av regering eller riksdag om ett registers inrättande. Den föreslagna persondatalagens system är ett annat. Licens eller formellt tillstånd krävs inte för behandling (inkl. registrering) av personuppgifter. Persondatalagen anger under vilka förutsättningar behandling av personuppgifter är tillåten och vad den som behandlar uppgifterna skall iaktta. Den som avser att behandla personuppgifter har — enligt huvudregeln — att ange ett ändamål för sin behandling, anmäla sin verksamhet till Datainspektionen samt därefter hålla sig inom de ramar som persondatalagen och anknytande författningar och andra föreskrifter anvisar.

Huvuddragen i persondatalagens bestämmelser om när och på vilket sätt personuppgifter

får behandlas är följande (Datalagskommittén, kap. 12, se särskilt 12.4—12.5):

Behandling av personuppgifter får endast ske när den enskilde lämnat sitt samtycke eller

när behandlingen är nödvändig för vissa uppräknade ändamål, t.ex. för att en arbetsuppgift av allmänt intresse skall kunna utföras (10 §). Behandling av vissa uppgifter, i persondatalagen benämnda känsliga personuppgifter, är förbjuden (13 §). Det rör sig t.ex. om uppgifter som avslöjar religiös eller filosofisk övertygelse eller som rör hälsa eller sexualliv. Från förbudet mot behandling av sådana uppgifter finns en rad undantag. Behandling är t.ex. tillåten om den enskilde samtycker, eller om behandlingen är nödvändig för hälso- och sjukvård eller för forsknings- och statistikändamål (14—20 §§). Vidare finns bestämmelser om att uppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål endast får behandlas av myndigheter, om inte regeringen eller myndighet som regeringen bestämmer föreskriver annat (21 §), samt om att personnummer bara får behandlas om det är klart motiverat av vissa skäl (22 §).

När uppgifter behandlas får detta i princip endast ske för de ändamål för vilka uppgif-

terna samlades in, och endast den behandling som är nödvändig är tillåten (9 §). Den ansvarige är skyldig att tillse att inte fler uppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen och att uppgifterna inte heller bevaras längre än nödvändigt med hänsyn till dessa ändamål. En behandling för historiska, statistiska och vetenskapliga ändamål skall inte anses oförenlig med de ändamål för vilka uppgifterna samlades in. För sådana ändamål får uppgifter också bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka de ursprungligen insamlades.

Behandlingar som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihets-

grundlagen eller som annars sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande omfattas inte av bestämmelserna om när och på vilket sätt uppgifter får behandlas (7 §) och bestämmelserna i persondatalagen skall över huvud taget inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldigheter enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (8 §).

6.4 Ansvaret för behandlingen och den ansvariges skyldigheter

Enligt förslaget till persondatalag är den som ensam eller tillsammans med andra bestämmer

ändamålen med och medlen för behandlingen av personuppgifter persondataansvarig (3 §) (Datalagskommittén, avsnitt 12.2.6).

Som huvudregel bör — enligt Datalagskommittén — bara fysiska personer, juridiska per-

soner, utländska filialer eller myndigheter i Sverige kunna betraktas som persondataansvariga, inte andra ”organ” (som saknar rättskapacitet). Av definitionen följer att flera kan vara persondataansvariga för samma behandlingsåtgärd.

Persondataansvaret innebär bl.a. att den ansvarige skall tillse (9 §):

— att personuppgifter behandlas bara när det är lagligt, — att personuppgifter alltid behandlas på ett korrekt sätt, — att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, — att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilka uppgifterna samlades in, — att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, — att inte flera personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, — att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, — att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen och — att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Det åligger vidare den persondataansvarige:

— att lämna information till den registrerade rörande behandlingen (23—27 §§), — att på begäran av den registrerade, rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med persondatalagen (28 §), — att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §) och — att anmäla automatisk behandling av personuppgifter till Datainspektionen (36 §). (Det finns dock undantag från denna skyldighet, se nedan under avsnitt 6.6)

Den persondataansvarige är skyldig att ersätta den registrerade för den skada som en lagstridig behandling av personuppgifter fört med sig (Datalagskommittén, avsnitt 12.13). Den persondatansvarige kan dock undgå skadeståndsskyldighet om han eller hon kan visa att felet inte berodde på honom eller henne (43 §).

Den persondataansvarige skall utfärda instruktioner för de personer som arbetar under

hans eller hennes ledning liksom för persondatabiträden (den som behandlar personuppgifter för den persondatansvariges räkning, 3 §) och dem som arbetar under biträdenas ledning (30 §) (Datalagskommittén, avsnitt 12.10.2).

6.5 Arkivering och gallring

Den i förra avsnittet berörda regeln om att uppgifter inte får behandlas för ändamål som är oförenliga med dem för vilka de samlades in skulle kunna tolkas som att uppgifterna i princip måste förstöras när ändamålet är uppfyllt eller behovet i förhållande till ändamålet annars upphör. Behandling för historiska, statistiska och vetenskapliga ändamål skall emellertid inte anses oförenlig med de ändamål för vilka uppgifterna insamlades (se ovan, avsnitt 6.3) och enligt Datalagskommittén (Datalagskommittén, avsnitt 9.4 och 12.4.6.2) kan ändamål som myndighetsarkiv skall tillgodose hänföras just under ”historiska, statistiska och vetenskapliga ändamål”. Det är därmed inte nödvändigt att myndigheter, redan när personuppgifterna samlas in, uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Datalagskommittén har föreslagit en uttrycklig bestämmelse i persondatalagen som anger att lagen inte hindrar att en myndighet bevarar sina allmänna handlingar eller att en arkivmyndighet tar hand om arkivmaterial (8 § 2 st).

6.6 Anmälan och tillsyn

Den föreslagna persondatalagen kräver inte — till skillnad från datalagen — att tillstånd inhämtas för viss hantering av personuppgifter. Persondatalagen bygger i stället på ett system med skyldighet för den persondataansvarige att anmäla behandling av personuppgifter till en tillsynsmyndighet (Datainspektionen) som också utövar tillsyn över verksamheter där behandling av personuppgifter förekommer (Datalagskommittén, avsnitt 3.13.2—3, 3.17, 12.12 och

12.14).

Behandling av personuppgifter som är helt eller delvis automatisk skall enligt huvudregeln

skriftligen anmälas till Datainspektionen (36 § 1 st.). Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten (36 § 2 st.). Vidare behöver anmälan till Datainspektionen inte göras om den persondataansvarige utser ett persondataombud och offentliggör vem det är (37 §). Ett persondataombud har till uppgift att övervaka och se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne. Om den persondataansvarige inte vidtar rättelse efter påpekande skall persondataombudet anmäla förhållandet till Datainspektionen (38 §). Bland persondataombudets uppgifter ingår även att hjälpa enskilda att få rättelse av felaktiga och ofullständiga uppgifter (40 §). Ett persondataombud kan enligt Datalagskommittén vara anställd hos den persondataansvarige men får inte ha en ”alltför underordnad ställning” med hänsyn till att persondataombudet måste kunna agera självständigt (Datalagskommittén, av-

snitt 12.12.2.4).

Datainspektionens verksamhet kommer efter persondatalagens ikraftträdande i huvudsak

att bestå i renodlad tillsyn. Datainspektionen kommer enligt förslaget till persondatalag dock även — om regeringen bestämmer det — att ha möjligheter att utfärda närmare föreskrifter bl.a. om (51 §):

— i vilka fall behandling av personuppgifter är tillåten, — vilka krav som ställs på den persondataansvarige vid behandling av personuppgifter, — vilken information som skall lämnas till den registrerade och hur lämnandet av information skall gå till samt

Vid sin tillsyn har Datainspektionen i princip samma befogenheter som myndigheten har enligt datalagen i dag, dvs. rätt att få del av handlingar, tillträde till lokaler m.m. (45 §). Om Datainspektionen upptäcker oegentligheter skall inspektionen i första hand söka åstadkomma rättelse genom påpekanden. Om det är brådskande eller om rättelse inte går att få på annat sätt får Datainspektionen vid vite förbjuda den persondataansvarige att behandla uppgifterna på annat sätt än genom att lagra dem (47 §). Om uppgifter behandlats på ett olagligt sätt får Datainspektionen ansöka hos länsrätt om att uppgifterna skall utplånas (49 §).

6.7 Kompletterande reglering

Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.1.2) är avsikten att persondatalagen skall innehålla alla grundläggande regler, principer och undantagsmöjligheter och att regeringen och Datainspektionen inom den ramen — och med beaktande av vad EG-direktivet tillåter och kräver — närmare skall precisera regleringen, till viss del genom verkställighetsföreskrifter. En genomläsning av den föreslagna lagtexten utvisar att regeringen eller den myndighet regeringen bestämmer har ett betydande utrymme att precisera regleringen.

En uppställning över aktuella bestämmelser ser ut så här:

Regeringen eller myndighet som regeringen bestämmer får:

— föreskriva undantag från förbudet att behandla känsliga personuppgifter (20 §), — föreskriva undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål (21 §), — föreskriva undantag från huvudregeln att det är förbjudet att föra över personuppgifter till tredje land (tredje land= en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet) (35 §), — föreskriva undantag från skyldigheten att anmäla behandling av personuppgifter till Datainspektionen (36 §) och — meddela närmare föreskrifter om i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den persondataansvarige m.m. (51 §).

Regeringen får:

— föreskriva att vissa behandlingar som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen för förhandskontroll (41 §).

Datainspektionen får:

— besluta om vilka skyddsåtgärder den persondataansvarige skall vidta för att skydda de personuppgifter som behandlas (32 §).

(Datalagskommitténs närmare överväganden i författningstekniska frågor redovisas i av-

snitt 12.1 i deras betänkande.)

6.8 Ikraftträdande och övergångsbestämmelser

Enligt EG-direktivet skall den svenska lagstiftning som inför direktivet träda i kraft senast den 24 oktober 1998. Datalagskommittén föreslår dock — med hänsyn till att de grundlagsändringar de också föreslår bör träda i kraft samtidigt som den nya persondatalagen — att ikraftträdandedatum sätts till den 1 januari 1999. Datalagskommittén anser att denna lösning är möjlig, trots Sveriges åtagande gentemot EU. Behandling av personuppgifter som påbörjats före den 1 januari 1999 skall dock inte omfattas av bestämmelserna i den nya lagen förrän den 1 oktober 2001, i enlighet med vad som är tillåtet enligt EG-direktivet. Därmed finns det tid, menar Datalagskommittén, att anpassa de särskilda registerförfattningarna till EG-direktivet. Med hänsyn till att manuell behandling av personuppgifter inte tidigare reglerats i Sverige — i vart fall inte av persondataskyddslagstiftningen — finns det enligt Datalagskommittén starka skäl för att den respit till i oktober 2007 som EG-direktivet medger för sådan behandling bör utnyttjas, vilket också föreslås i p. 3 i övergångsbestämmelserna.

När den nya lagen träder i kraft bör enligt Datalagskommittén de tillstånd och föreskrifter

som Datainspektionen kan ha meddelat beträffande behandlingar som tidigare omfattades av datalagen (dvs. ADB-registrering) anses förlora sin verkan per ikraftträdandedagen.

De övergångsbestämmelser Datalagskommittén föreslagit i övrigt, som bl.a. rör person-

uppgifter som arkiverats och samtycken som lämnats före persondatalagens ikraftträdande samt tillämpligheten av skadeståndsbestämmelsen, framgår av bilaga 2 till detta betänkande. (Se även Datalagskommittén, avsnitt 12.15.)

6.9 Datalagskommitténs övriga förslag till författningsändringar

6.9.1 Regler i datalagen som föreslås flyttade till andra lagar

Datalagskommittén har föreslagit (Datalagskommittén, kap 13):

— att datalagens bestämmelse (14 §) om att myndigheter som använder upptagning för ADB för handläggning av mål eller ärende skall överföra upptagningen till läsbar form och tillföra den till handlingarna i målet eller ärendet, överförs till 15 kap. sekretesslagen, — att datalagens bestämmelse om straff för dataintrång (21 §) överförs till brottsbalken samt — att datalagens bestämmelser om det statliga person- och adressregistret (SPAR, 26—28 §§) bryts ur den generella persondataskyddslagstiftningen och placeras i en särskild registerförfattning.

6.9.2 Tryckfrihetsförordningen och yttrandefrihetsgrundlagen

Datalagskommittén föreslår en ny begreppsapparat i tryckfrihetsförordningen (Datalags-

kommittén, kap 16). Offentlighetsinsynen skall inte längre vara knuten till myndighetens handlingar utan till dess uppgifter. Förändringen innebär enligt Datalagskommittén inte något nytt

i grunden utan en anpassning till en ny teknik där det inte längre är självklart att uppgifter finns att hämta i handlingar i ordets traditionella betydelse. Med uppgift menas varje sakupplysning som kan uppfattas av en människa, antingen direkt eller med hjälp av tekniska hjälpmedel. En uppgift är enligt förslaget allmän om den förvaras hos en myndighet och förekommer i en handling (pappershandling eller elektronisk handling) eller i en databas. En handling skall ha ett bestämt innehåll varmed avses ett en gång för alla bestämt innehåll. Det som är typiskt för en databas är att den inte har ett på förhand bestämt innehåll. Exempel på databaser är journaler, register, dagboksblad och andra förteckningar där det förs in uppgifter efter hand. En databas kan precis som en handling vara manuell eller ha elektronisk form. Liksom en handling kan den bestå av en enda uppgift. För att uppgifterna i en handling eller databas

skall vara allmänna krävs, liksom vad gäller för sådana handlingar som tryckfrihetsförordningen omfattar enligt gällande rätt, att de kan göras uppfattbara med hjälp av den utrustning som myndigheten själv förfogar över. Liksom enligt gällande rätt innebär eventuella sökbegränsningar för myndigheten i lag eller annan författning att också allmänhetens rätt att ta del av uppgifterna omfattas av en sådan begränsning. För frågor om när en uppgift skall anses förvarad hos en myndighet, när den skall anses inkommen, hur den skall lämnas ut m.m. enligt de nya teknikanpassade bestämmelserna hänvisas till Datalagskommitténs betänkande (för en sammanfattning se Datalagskommitténs författningskommentar).

För att anpassa även yttrandefrihetsgrundlagen till den nya ordningen föreslås en ändring

i 5 kap. 3 § första stycket 2 i den lagen, som behandlar oriktigt utlämnande av uppgifter (handlingar, enligt nuvarande lydelse) via radioprogram, film eller ljudupptagning.

6.9.3 Regeringsformen

Enligt 8 kap. 7 § regeringsformen kan regeringen efter bemyndigande i lag genom förordning meddela föreskrifter om bl.a. skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling. Datalagskommittén föreslår att regeringen i stället ges rätt att meddela föreskrifter om skydd för personlig integritet vid behandling av personuppgifter. Syftet är att regeringen (och Datainspektionen om regeringen så bestämmer) skall kunna meddela föreskrifter på hela det område som omfattas av den föreslagna persondatalagen (Datalags-

kommittén, författningskommentaren och avsnitt 12.1.2).

6.9.4 Sekretesslagen

I konsekvens med att persondatalagen reglerar behandling av personuppgifter föreslår Datalagskommittén att sekretessbestämmelsen i 7 kap. 16 § sekretesslagen ändras till att avse sekretess för personuppgifter om det kan antas att ett utlämnande skulle medföra att uppgiften behand-

las i strid med persondatalagen (jfr avsnitt 4.3.5 ovan). Vidare föreslås att andra stycket i

paragrafen upphävs eftersom det redan av persondatalagen framgår vilka förutsättningar som gäller för överföring av personuppgifter till tredje land (se aktuellt lagrum samt 3335 §§persondatalagen).

Beträffande den ändring av 9 kap. 6 § sekretesslagen som föreslås hänvisas till Datalags-

kommitténs betänkande (Datalagskommittén, författningskommentaren och avsnitt 12.14.1.3). I övrigt är de föreslagna ändringarna i sekretesslagen i huvudsak föranledda av den nya begreppsapparat och terminologi som föreslås för tryckfrihetsförordningen.

6.9.5 Arkivlagen

De föreslagna ändringarna i arkivlagen syftar i huvudsak till att begreppen och terminologin (allmänna uppgifter i handlingar och databaser) skall överensstämma med vad som föreskrivs tryckfrihetsförordningen enligt föreslagna ändringar i denna.

7. Totalförsvaret och dess personal

7.1 Totalförsvarspliktens innebörd och omfattning

Begreppet totalförsvar, som finns definierat i 1 § första stycket lagen (1992:1403) om totalförsvar och höjd beredskap, avser den verksamhet som behövs för att förbereda Sverige för krig (jfr även beredskapsförordningen [1993:242]). Totalförsvaret består av det militära försvaret — vars huvuduppgift är att möta väpnade angrepp mot Sverige — och det civila försvaret, som bl.a. skall värna civilbefolkningen under krig, trygga nödvändig försörjning och även i övrigt

upprätthålla viktiga samhällsfunktioner. För det militära försvaret ansvarar i huvudsak Försvarsmakten, medan ansvaret för det civila försvaret åvilar statliga myndigheter, kommuner, landsting, företag, organisationer och enskilda.

Sedan den 1 juli 1995 gäller lagen (1994:1809) om totalförsvarsplikt (prop. 1994/95:6).

Genom denna lag har de grundläggande bestämmelserna om tjänstgöringsskyldighet inom landets totalförsvar samlats i en författning. Totalförsvarsplikten innebär en skyldighet för varje svensk medborgare — och i viss utsträckning för utländska medborgare som är bosatta i Sverige — att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskrafter och hälsotillstånd tillåter. Skyldigheten gäller från och med det kalenderår då personen fyller 16 år till utgången av det år när han eller hon fyller 70 år. Tjänstgöringen kan fullgöras som värnplikt, civilplikt eller allmän tjänsteplikt. Värnplikt och civilplikt omfattar grundutbildning, repetitionsutbildning, beredskapstjänstgöring och krigstjänstgöring. (I vissa fall kan en totalförsvarspliktig skrivas in för civilplikt och krigsplaceras utan grundutbildning om det är uppenbart att utbildningsbehov saknas). Den allmänna tjänsteplikten innebär endast en skyldighet för den som är totalförsvarspliktig att tjänstgöra under höjd beredskap. Höjd beredskap är, enligt lagen om totalförsvar och höjd beredskap, antingen skärpt beredskap eller högsta beredskap. Under högsta beredskap är totalförsvar all samhällsverksamhet som då skall bedrivas.

Värnplikten fullgörs hos Försvarsmakten. Skyldigheten att fullgöra sådan plikt omfattar

endast svenska män och gäller från början av det kalenderår de fyller 19 år till slutet av det kalenderår de fyller 47 år. De som är ianspråktagna med värnplikt utgör den helt dominerande delen av de totalförsvarspliktiga som genomgår grundutbildning och repetitionsutbildning.

Alla mellan 16 och 70 år, som inte är ianspråktagna med värnplikt, är skyldiga att efter

anmodan fullgöra civilplikt. Det är emellertid endast svenska män som är skyldiga att fullgöra civilplikt med längre grundutbildning än 60 dagar. Civilplikten kan, enligt bilaga till förordningen (1995:238) om totalförsvarsplikt, för närvarande fullgöras i följande verksamheter:

A. Verksamheter i det civila försvaret

1. Polisverksamhet

2. Befolkningsskydd

3. Hemskydd

4. Räddningstjänst inklusive räddningstjänst vid flygplatserna

5. Hälso- och sjukvård

6. Tandvård

7. Kommunal tillsyn inom miljö- och hälsoområdet

8. Underhåll och reparationer av järnvägar och vägar

9. Veterinärverksamhet 10. Flyktingmottagning 11. Drift och underhåll inom elproduktion och nätverksamhet 12. Kommunal teknisk verksamhet 13. Kommunal informationsverksamhet 14. Barn- och familjeomsorg 15. Handikapp- och äldreomsorg 16. Själavård och sociala insatser 17. Begravningsverksamhet

B. Verksamheter i Försvarsmakten

1. Hälso- och sjukvård

2. Tandvård

3. Veterinärverksamhet

4. Posthantering

5. Gränsövervakning

6. Väghållning

7. Flygtrafikledning

Det är att märka att civilplikten kan fullgöras såväl inom det civila som inom det militära försvaret. Civilplikten får dock inte omfatta annan verksamhet som är förenad med egentliga stridsuppgifter än ordnings- eller bevakningsuppgifter.

När det råder höjd beredskap får regeringen ge föreskrifter om allmän tjänsteplikt, om det

behövs för att verksamhet som är av särskild vikt för totalförsvaret skall kunna upprätthållas. Allmän tjänsteplikt gäller alla mellan 16 och 70 år (som inte redan är krigsplacerade med stöd av lagen om totalförsvarsplikt) och innefattar en skyldighet att tjänstgöra i en ordinarie anställning eller fullfölja ett uppdrag, eller att efter anvisning av en myndighet utföra vissa uppgifter. Regeringen eller den myndighet som regeringen bestämmer (Arbetsmarknadsstyrelsen eller, efter bestämmande av Arbetsmarknadsstyrelsen, en länsarbetsnämnd) skall besluta hos vilka arbetsgivare som allmän tjänsteplikt skall fullgöras och vilka arbetstagare och uppdragstagare som skall omfattas av allmän tjänsteplikt. Statliga myndigheter där allmän tjänsteplikt skall fullgöras beslutar dock själva om vilka arbetstagare och uppdragstagare som skall omfattas av tjänsteplikten. De närmare föreskrifterna om tjänsteplikten kan tas in i anställningsavtalet med den enskilde. Ett beslut om att en totalförsvarspliktig skall fullgöra allmän tjänsteplikt får inte omfatta den som redan är krigsplacerad med stöd av lagen om totalförsvarsplikt.

Kvinnor är inte skyldiga att göra värnplikt eller att fullgöra civilplikt som kräver längre

grundutbildning än 60 dagar. Kvinnor har dock möjlighet att fullgöra värnplikt eller civilplikt med längre grundutbildning om de så önskar och bedöms lämpliga. Till grundutbildning för värnplikt eller civilplikt med längre grundutbildning än 60 dagar får kvinnor antas som är svenska medborgare och som vid den antagningsprövning som skall göras har fyllt 18 år. Om en kvinna efter ansökan och prövning skrivs in för värnplikt eller civilplikt med längre grundutbildning omfattas hon av samma bestämmelser som en man som med stöd av lagen om totalförsvarsplikt skrivits in för motsvarande utbildning. Hon blir således enligt lag skyldig att fullgöra dels grundutbildning, dels repetitionsutbildning, beredskapstjänstgöring och krigstjänstgöring. Dessa särskilda bestämmelser om kvinnor i totalförsvaret ges i lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning och förordningen (1995:240) med samma namn.

I samband med att lagen om totalförsvarsplikt och lagen om möjlighet för kvinnor att

fullgöra värnplikt eller civilplikt med längre grundutbildning infördes, upphävdes bl.a. värnpliktslagen (1941:967), allmänna tjänstepliktslagen (1959:83) och lagen (1980:1021) om militär grundutbildning för kvinnor. Dessutom upphävdes lagen (1981:292) om tjänsteplikt för hälsooch sjukvårdspersonal samt veterinärpersonal m.m. Skyldigheten enligt den senast nämnda lagen för vissa personalkategorier att delta i utbildning och övning för tjänstgöring under höjd beredskap regleras därmed inte längre i en särskild lag. De av hälso- och sjukvårdspersonalen som är anställda i verksamheter som skall upprätthållas under höjd beredskap (t.ex. landstingens sjukvård) deltar i utbildnings- och övningsverksamhet i enlighet med vad som anges i deras anställningsavtal. Utbildning och övning för dessa personer sker genom arbetsgivarens försorg. I de fall något anställningsförhållande inte föreligger mellan det bemanningsansvariga

organet och den hälso- och sjukvårdspersonal som detta organ önskar ta i anspråk för övning och utbildning, kan inskrivning med civilplikt i stället tillämpas. Inskrivning med civilplikt kan bli aktuell bl.a. beträffande dem ur hälso- och sjukvårdspersonalen som är anställda inom den privata sektorn eller som slutat arbeta men alltjämt omfattas av totalförsvarsplikten.

Även lagen (1966:413) om vapenfri tjänst upphävdes då lagen om totalförsvarsplikt inför-

des. Vapenfri tjänstgöring äger nu istället rum inom ramen för civilplikten. Enligt 3 kap. 16 § lagen om totalförsvarsplikt skall en totalförsvarspliktig efter ansökan få rätt att vara vapenfri om han eller hon kan antas ha ”en så allvarlig personlig övertygelse rörande bruk av vapen mot annan att övertygelsen är oförenlig med en tjänstgöring som är förenad med bruk av vapen”. Närmare bestämmelser om prövningen i dessa fall ges i 3 kap. 17—22 §§ lagen om totalförsvarsplikt.

7.2 Utredningar om de totalförsvarspliktigas förhållanden

7.2.1 Inledning

För att de totalförsvarspliktigas möjligheter att fullgöra värnplikt eller civilplikt skall kunna bedömas och för att de skall kunna placeras på ”rätt ställe” inom totalförsvaret krävs att beslutsfattarna har ett underlag som innefattar uppgifter om de enskildas förhållanden i olika avseenden. Uppgifter som är relevanta är bl.a. sådana som rör hälsotillstånd och civil utbildning. Uppgifterna inhämtas i princip på två sätt. Dels genom den enskilde själv, dels genom att myndigheter och andra — t.ex. skolor och vårdinrättningar — lämnar uppgifter till den som har att fatta beslut om den enskilde. Den enskilde är enligt generella bestämmelser i lagen om totalförsvarsplikt skyldig att medverka i utredning om sina personliga förhållanden och att lämna uppgifter om sig själv (1 kap. 3 § 1 och 2 kap. 1 §) Ansvaret för att samla in personuppgifter och att på grundval av dessa ta beslut om de totalförsvarspliktiga åvilar i första hand Totalförsvarets pliktverk (nedan Pliktverket).

7.2.2 Mönstring, annan mindre omfattande utredning och antagningsprövning

En man som är svensk medborgare är skyldig att mönstra om det inte är uppenbart att han saknar förutsättningar att fullgöra såväl värnplikt som civilplikt. Skyldigheten inträder det kalenderår mannen fyller 18 år eller, för den som förvärvar svenskt medborgarskap senare, från och med den dag han blir svensk medborgare. Om det inte finns särskilda skäl, är ingen skyldig att genomgå mönstring efter det kalenderår när han fyller 24 år. Den som är skyldig att mönstra skall inställa sig personligen vid något av Pliktverkets kontor för medicinska och psykologiska undersökningar samt annan utredning om personliga förhållanden (2 kap. lagen om totalförsvarsplikt). Pliktverket har med stöd av 9 kap. 1 § förordningen (1995:238) om totalförsvarsplikt utfärdat närmare föreskrifter om vad som skall ske vid mönstringen enligt följande (2 kap. 4—8 §§ Totalförsvarets pliktverks föreskrifter om totalförsvarsplikt):

Vid mönstringen skall den totalförsvarspliktige uppmanas att lämna uppgifter om

1. boende- och familjeförhållanden,

2. utbildning, studieinriktning och arbetslivserfarenhet,

3. idrotts- och fritidsintressen,

4. kunskap i telegrafering, maskinskrivning, fotografering, teckning, simning samt intresse för sjukvård och matlagning,

5. vana att använda fordon och arbetsmaskiner,

6. fjäll- och sjövana samt vana att vistas i skog och mark,

7. språkkunskaper,

9. deltagande i frivillig försvarsutbildning och militärt praktikantläger och 10. föreningsuppdrag.

Den medicinska undersökningen skall syfta till att utreda den totalförsvarspliktiges fysiska förutsättningar att fullgöra värnplikt eller civilplikt och får omfatta

1. kontroll av hörsel, syn och färgseende,

2. bedömning av bullerskaderisk,

3. bestämning av förekomst av socker, äggvita eller blod i urinen,

4. kontroll av blodtryck och hjärtverksamhet under vila,

5. vägning, mätning av längd och muskelkraft och

6. annan undersökning som är nödvändig för att bedöma tjänstbarheten.

Den psykologiska undersökningen skall syfta till att utreda den totalförsvarspliktiges begåvning, personlighet, anlag, intressen och önskemål samt hans psykiska funktionsförmåga, tjänstbarhet och ledarförmåga. Den psykologiska undersökningen får omfatta

1. psykologiska test,

2. inhämtande av uppgifter om den totalförsvarspliktiges personliga förhållanden och

3. intervju med den totalförsvarspliktige

Dessutom får den totalförsvarspliktige fotograferas som underlag för legitimations- och resehandlingar.

Enligt 2 kap. 9 § i nyss nämnda föreskrifter kan Försvarsmakten eller Överstyrelsen för

civil beredskap (ÖCB) anmäla behov av ytterligare utredning (förnyad mönstring) av den totalförsvarspliktige om någon av myndigheterna finner att placering i viss befattning förutsätter detta.

Ansvaret för att mönstring genomförs åvilar Pliktverket. Mönstring (eller — för kvinnor

— antagningsprövning, se nedan) är en förutsättning för att någon skall tas ut till värnplikt eller civilplikt med längre grundutbildning än 60 dagar.

På grundval av en mindre omfattande utredning än mönstring kan en totalförsvarspliktig

tas i anspråk för civilplikt med grundutbildning under högst 60 dagar. En sådan utredning kan vara begränsad till att den totalförsvarspliktige efter anmaning lämnar uppgifter om sig själv eller genom att uppgifter om honom eller henne inhämtas från olika register e.d. Huvudansvaret ligger även beträffande denna utredningsverksamhet på Pliktverket. Utredningen kan dock efter överenskommelser mellan Pliktverket och kommuner, landsting eller kyrkliga kommuner utföras hos någon av de sist nämnda (se prop. 1994/95:6 s. 130). Enligt 2 kap. 1 § lagen om totalförsvarsplikt jämförd med 4 kap. 5 § andra stycket förordningen om totalförsvarsplikt är den totalförsvarspliktige också skyldig att lämna uppgifter om sina personliga förhållanden till länsstyrelserna, Rikspolisstyrelsen, Försvarsmakten, Post- och telestyrelsen, Banverket, Vägverket, Luftfartsverket, Statens Jordbruksverk, Statens invandrarverk, Närings- och teknikutvecklingsverket samt Affärsverket svenska kraftnät. På grundval av dessa och andra uppgifter kan därmed en mindre omfattande utredning än mönstring utföras även hos de nu uppräknade myndigheterna. Om en annan myndighet än Pliktverket genomfört utredningen skall kopior av handlingar som inkommit till den myndigheten tillställas Pliktverket (tillsammans med begäran om att den totalförsvarspliktige skrivs in) enligt 3 kap. 3 § Totalförsvarets pliktverks föreskrifter om totalförsvarsplikt. Av 2 kap. 12 § nämnda föreskrifter framgår att en mindre omfattande utredning kan genomföras skriftligen, per telefon eller vid en personlig inställelse samt att utredningen inte skall vara mer omfattande än vad som behövs för att den

totalförsvarspliktiges förutsättningar att fullgöra civilplikt i en viss befattning skall kunna bedömas.

En kvinna som ansökt om att få fullgöra värnplikt eller civilplikt med längre grundutbild-

ning skall genomgå en antagningsprövning vid Pliktverket som motsvarar den för svenska män obligatoriska mönstringen (3 § lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning samt 1 § förordningen härom).

7.2.3 Inhämtande av uppgifter om den enskildes personliga förhållanden från myndigheter m.fl.

Uppgifterna från mönstringen eller antagningsprövningen behöver kompletteras med uppgifter inhämtade i andra sammanhang för att en så fullständig och korrekt bild som möjligt av den totalförsvarspliktige skall kunna erhållas. Det finns vidare ett behov för ansvariga myndigheter att kontinuerligt hålla sig informerade om förändringar av redan inskrivna totalförsvarspliktigas förhållanden. Lagen om totalförsvarsplikt och förordningen härom innehåller därför bestämmelser om skyldighet för myndigheter och andra att förse Pliktverket med relevant information i dessa avseenden.

2 kap. 4 § lagen om totalförsvarsplikt tar sikte på den information som behövs vid

mönstringen, vid annan mindre omfattande utredning eller vid antagningsprövningen och stadgar att kommuner, landsting och enskilda vårdinrättningar skall lämna de uppgifter till Pliktverket om en totalförsvarspliktigs hälsotillstånd och personliga förhållanden i övrigt som behövs för att bedöma hans eller hennes förutsättningar för att fullgöra värnplikt eller civilplikt.

3 kap. förordningen om totalförsvarsplikt innehåller en uppräkning av myndigheter och

andra som är skyldiga att lämna uppgifter till Pliktverket:

Skattemyndigheten skall före den 1 juli varje år lämna uppgift om varje svensk man som

är folkbokförd i länet och som under året fyller 17 år (1 §). Uppgifterna utgör underlag för kallelser till mönstring.

När en skattemyndighet har registrerat en uppgift som är av betydelse för inskrivning eller

redovisning av dem som är skyldiga att mönstra eller som skrivits in för värnplikt eller civilplikt eller i utbildningsreserven (se nästa avsnitt), skall Pliktverket underrättas om uppgiften (3 §).

Den eller de nämnder i ett landsting eller i en kommun som ansvarar för verksamhet enligt

lagen (1993:387) om stöd och service till vissa funktionshindrade samt chefsöverläkare vid en vårdinrättning där vård meddelas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård, skall före den 1 juni varje år lämna uppgifter

om varje svensk man som under året fyller 17 år och som den 15 maj erhöll viss insats enligt lagen om stöd och service till vissa funktionshindrade, eller var intagen på vårdinrättning med stöd av de nämnda lagarna om psykiatrisk vård (5 §).

Samma skyldighet åligger den som förestår vården vid hem som avses i 12 § lagen (1990:52)

om vård av unga beträffande där intagna män (6 §).

Uppgifterna som lämnas enligt dessa bestämmelser kan medföra att vissa inte kallas till

mönstring, nämligen om det av uppgifterna framgår att vederbörande saknar förmåga att fullgöra värnplikt eller civilplikt.

Kriminalvårdsstyrelsen skall lämna uppgifter, enligt kungörelsen (1970:517) om

rättsväsendets informationssystem, om intagning eller avgång från kriminalvårdsanstalt (7 §).

Socialstyrelsen och Statens jordbruksverk skall på begäran lämna uppgifter om totalförsvars-

pliktigas examina och legitimationer (8 §).

Statens skolverk, Högskoleverket och rektorn för en utbildningsanstalt eller skola som

drivs av staten, en kommun eller ett landsting skall på begäran lämna uppgift om totalförsvars-

Vägverket skall på begäran lämna uppgifter ur körkortsregistret (10 §). Post- och telestyrelsen skall på begäran lämna uppgifter om utfärdade certifikat inom

radioområdet (11 §).

Sjöfartsverket skall på begäran lämna uppgifter ur sjömansregistret om adresser till

totalförsvarspliktiga samt om deras olika behörighet och tjänstgöring på fartyg (12 §).

Luftfartsverket skall på begäran lämna uppgifter om utfärdade certifikat inom luftfartens

område (13 §).

Kommuner, landsting och vårdgivare som bedriver enskild verksamhet skall på begäran

lämna de uppgifter om anställd hälso- och sjukvårdspersonal som behövs för Pliktverkets planeringsarbete (14 §).

Även vissa andra författningar innehåller bestämmelser om uppgiftslämnande till Plikt-

verket:

Allmänna domstolar har skyldighet att sända lagakraftvunna domar rörande brott mot

totalförsvarsplikten m.m. till Pliktverket (7 kap. 5 § förordningen om totalförsvarsplikt)

Rikspolisstyrelsen skall enligt 17 § polisregisterkungörelsen (1969:38) under vissa förut-

sättningar lämna utdrag av sina register på framställning av Pliktverket (även på framställning av Försvarsmakten) i fråga om totalförsvarspliktiga som skrivs in för värnplikt. I utdragen får inte tas med uppgifter om andra brott än de som särskilt uppräknas (våldsbrott, tillgreppsbrott, narkotikabrott, brott mot vapenlagen m.m.). Angående de närmare förutsättningarna se 17—19 §§ polisregisterkungörelsen. Om det är fråga om att den enskilde skall delta i verksamhet som är säkerhetsklassad skall registerkontroll mot polisregister göras. Det blir då aktuellt att kontrollera även andra polisregister än Rikspolisstyrelsens, t.ex. det som förs av

Säkerhetspolisen (SÄPO). Denna typ av kontroll regleras i säkerhetsskyddslagen (1996:627).

7.3 Åtgärder efter utredning — Inskrivning, grundutbildning och krigsplacering

Om den totalförsvarspliktige efter mönstring eller motsvarande utredning bedömts ha förutsättningar att tjänstgöra inom totalförsvaret skall han eller hon skrivas in av Pliktverket, som handhar registreringen av all pliktpersonal. Om resultatet av mönstringen visar att den totalförsvarspliktige saknar förutsättningar att fullgöra värnplikt och civilplikt skall Pliktverket besluta att han inte är skyldig att fullgöra sådan tjänstgöring.

Män som mönstrat och bedömts ha erforderliga förutsättningar skall skrivas in för värn-

plikt eller civilplikt eller i en utbildningsreserv.

Den som endast genomgått en mindre omfattande utredning än mönstring får skrivas in

för civilplikt som förutsätter grundutbildning under högst 60 dagar.

Kvinnor som genomgått antagningsprövning för värnplikt eller civilplikt med längre grund-

utbildning kan efter samtycke skrivas in för värnplikt eller civilplikt. De kan också efter samtycke skrivas in i utbildningsreserven. Samtycket skall i samtliga fall vara skriftligt.

Vid inskrivningen skall det, för den som skrivs in med värnplikt eller civilplikt, bl.a. be-

stämmas vilken befattning eller befattningsgrupp han eller hon skall placeras i, tid och plats för grundutbildningen och utbildningens längd.

Efter avslutad grundutbildning skall den som förvärvat tillräckliga kunskaper och färdig-

heter för en krigsuppgift krigsplaceras i en befattning eller i en viss verksamhet som han eller

hon är lämplig för. Den som inte krigsplaceras får i stället skrivas in för civilplikt utan grundutbildning eller med en grundutbildning som inte överstiger 60 dagar. Beslut om krigsplacering enligt lagen om totalförsvarsplikt fattas av Pliktverket efter framställning från statliga myndigheter, kommuner, landsting, kyrkliga kommuner, bolag, föreningar, samfälligheter eller andra enskilda. En totalförsvarspliktigs krigsplacering kan komma att ändras flera gånger under den tid han eller hon omfattas av totalförsvarsplikten.

Bestämmelser om inskrivning och krigsplacering av pliktpersonal återfinns i 3 kap. lagen

om totalförsvarsplikt och i 4 kap. förordningen om totalförsvarsplikt.

7.4 Personal inom totalförsvaret som inte är ianspråktagen med värnplikt eller civilplikt

Totalförsvarspliktens omfattning framgår av avsnitt 7.1 ovan. De som är inskrivna med värnplikt eller civilplikt eller är placerade i utbildningsreserv brukar benämnas ”pliktpersonal”. Pliktpersonalen utgör huvuddelen av den grupp som Pliktverket hanterar uppgifter om och det är endast beträffande dessa personer verket fattar beslut om inskrivning och krigsplacering m.m. Avsnitt 7.2 och 7.3 behandlar i första hand pliktpersonalen.

Övrig personal inom totalförsvaret kan vara krigsplacerad eller på annat sätt ianspråkta-

gen för totalförsvaret på grund av anställningsavtal, avtal med frivilliga försvarsorganisationer eller andra avtal som grundar sig på frivillighet. Regler härom återfinns bl.a. i förordningen (1994:524) om frivillig försvarsverksamhet, förordningen (FFS 1987:8) om frivillig tjänstgöring vid Försvarsmakten, förordningen (FFS 1987:12) om krigsfrivilliga vid Försvarsmakten, hemvärnskungörelsen (1970:304), beredskapsförordningen och i lagen (1994:1720) om civilt försvar. Yrkesofficerarna tillhör dem som tjänstgör inom totalförsvaret med skyldighet att göra detta enligt (anställnings-) avtal. Som exempel på personer med mycket begränsade och speciella uppgifter inom totalförsvaret kan nämnas ledamöter i lokala värderingsnämnder som, efter beslut av länsstyrelse, har till uppgift att besluta om ersättning till ägare av egendom som tas i anspråk för statens eller annans räkning t.ex. vid krigsfara enligt förfogandelagen (1978:262). Även de nu nämnda personerna omfattas formellt av totalförsvarsplikten om de är mellan 16 och 70 år. Deras skyldighet att delta i utbildning och tjänstgöra i övrigt grundar sig emellertid på det avtal de ingått med sin arbetsgivare eller annan och inte på totalförsvarsplikt. Det kan bli aktuellt att ta vissa av dem i anspråk med stöd av den allmänna tjänsteplikten vid höjd beredskap men i normalfallet fortsätter de även då att tjänstgöra med avtalet som grund.

Det finns vidare personer som har ålagts vissa begränsade uppgifter vid höjd beredskap,

utan att skyldigheten att fullgöra dessa är knuten till totalförsvarsplikten. Det gäller t.ex. dem som skall ställa egendom till förfogande enligt förfogandelagen. Enligt förordningen (1992:391) om uttagning av egendom för totalförsvarets behov skall förfogandet i vissa fall förberedas i fred genom uttagning av egendom som kommer att behövas vid bl.a. krig eller krigsfara.

8. Närmare om Totalförsvarets pliktverk och dess verksamhet

8.1 Inledning

Lagen om totalförsvarsplikt och den nya förvaltningsmyndigheten Totalförsvarets pliktverk (Pliktverket) har inneburit en koncentration av inskrivningsförfarandet. Pliktverket har övertagit uppgifter vad gäller pliktpersonal som tidigare skötts av bl.a. Värnpliktsverket, Vapenfristyrelsen, Räddningsverket och länsstyrelserna. Pliktverket har en i huvudsak verkställande roll gentemot de myndigheter och andra organ som ansvarar för bemanningen av totalförsva-

ret. De centrala uppgifterna består i att pröva, välja ut, placera och på olika sätt redovisa pliktpersonal. Försvarsmakten fastställer de befattningstyper för vilka grundutbildning med värnplikt skall ske, vilka krav som skall gälla för de olika befattningarna och utbildningstidens längd. På motsvarande sätt fastställer Överstyrelsen för civil beredskap, efter hörande av berörda myndigheter, befattningstyper m.m. avseende de totalförsvarspliktiga som skall tjänstgöra med civilplikt. Försvarsmakten och andra funktionsansvariga myndigheter avgör själva, inom ramen för statsmakternas beslut, hur många som skall grundutbildas per år för olika befattningar. De bemanningsansvariga organen; Försvarsmakten, kommuner, landsting, m.fl. fastställer behovet av (krigsplacerad) personal för sin respektive krigsorganisation och ”beställer” personal, eller som det uttrycks i 3 kap. 2 § Totalförsvarets pliktverks föreskrifter om totalförsvarsplikt; underrättar Pliktverket om hur många och till vilka befattningar totalförsvarspliktiga skall skrivas in för värnplikt eller civilplikt.

8.2 Pliktverkets organisation

Pliktverket är en central förvaltningsmyndighet under Försvarsdepartementet och består av den centrala ledningen, med säte i Karlstad, samt fem regionkontor. Den centrala ledningen utgörs av verkschefen och hans ställföreträdare, en produktionsledning som planerar, samordnar och leder verkets produktion och samverkar med andra myndigheter på central nivå samt av staber för ekonomi och personal. Regionkontoren i Norrland (Östersund och Boden), Karlstad, Stockholm, Göteborg och Kristianstad svarar för arbetet med mönstring och inskrivning, stöd till de bemanningsansvariga under tjänstgöringen och personalredovisning. De geografiska områdena för inskrivning och personalredovisning är inte identiska. Inskrivningsområdena är anpassade till var de mönstrande bor och redovisningsområdena till hur Sverige skall skyddas eller försvaras i händelse av olyckor, kris eller krig. Regionkontoret i Norrland har platskontor för stöd under grundutbildning samt för personalredovisning både i Östersund och Boden. Pliktverket har cirka 400 personer anställda (ca 350 heltidstjänster).

8.3 Pliktverkets uppgifter

Enligt 2 § förordningen (1995:648) med instruktion för Totalförsvarets pliktverk skall verket mönstra, skriva in och krigsplacera totalförsvarspliktiga. Denna verksamhet har redovisats ovan i avsnitten 7.2 och 7.3. Pliktverket skall också, enligt 1 § nämnda instruktion, svara för att myndigheter och andra som har bemanningsansvar (=skyldighet att se till att krigsorganisationen är uppfylld med personal som kan lösa tilldelade uppgifter under höjd beredskap) inom totalförsvaret får stöd och service i frågor avseende bemanning med totalförsvarspliktiga som skrivs in för värnplikt eller civilplikt och i fråga om totalförsvarspliktigas tjänstgöring. Det framgår inte närmare av instruktionen på vilket sätt Pliktverket skall lämna de bemanningsansvariga stöd och service. I denna del är Pliktverkets uppgifter till stor del avhängiga vad som överenskommes med de bemanningsansvariga. Generellt kan sägas att samarbetet mellan Pliktverket och övriga myndigheter och andra organ inom totalförsvaret är omfattande.

Fram till och med att den totalförsvarspliktige krigsplacerats utför Pliktverket uppgifter som att:

— tillsammans med de berörda myndigheterna ta fram planeringsunderlag för inskrivningsverksamheten,

— kalla de totalförsvarspliktiga till mönstring eller annan utredning av de totalförsvarspliktigas förmåga att fullgöra värnplikt eller civilplikt,

— genomföra mönstringen alternativt annan utredning (mindre omfattande utredning kan genomföras av annan, se ovan avsnitt 7.2.2.),

— i förekommande fall fatta beslut om rätt för den enskilde att vara vapenfri,

— genom beslut om inskrivning placera de totalförsvarspliktiga i lämplig befattningsgrupp m.m.,

— utfärda inkallelse till grundutbildning,

— hantera uppskovsärenden, frågor om tillgodoräknande av tjänstgöringstid, m.fl. frågor som rör den enskilde t.o.m. genomförd grundutbildning,

— ta fram statistik och utföra analyser avseende grundutbildningen, bl.a. såvitt gäller avgångar (avbruten utbildning eller avhopp mellan inskrivningen och grundutbildningen) samt

— fatta beslut om den totalförsvarspliktiges krigsplacering efter genomförd grundutbildning.

Efter grundutbildningen svarar Pliktverket för stöd och service genom att utföra uppgifter som att:

— ta fram planeringsunderlag och statistik samt utföra analyser i olika former till stöd för de bemanningsansvarigas förbättringsåtgärder m.m.,

— utfärda inkallelser till repetitionsutbildning,

— redovisa pliktpersonal (genom att lämna uppgifter till de bemanningsansvariga om vilken personal som finns disponibel),

— omfördela pliktpersonal vid behov.

Pliktverket skall enligt myndighetens instruktion även lämna stöd och service till de bemanningsansvariga i fråga om redovisning av annan personal inom totalförsvaret än dem som skrivs in med värnplikt eller civilplikt (1 §). Sådan personal är t.ex. de som är fast anställda inom Försvarsmakten och medlemmar i frivilligorganisationer.

Pliktverket svarar vidare för information till andra myndigheter och till allmänheten om

frågor som rör plikttjänstgöring m.m. samt för viss utbildning.

Vid höjd beredskap tillkommer uppgifter för Pliktverket som t.ex. — i krig — registrering

och rapportering av krigsfångar.

8.4 Registerverksamheten

8.4.1 Inledning

Pliktverkets arbete med att mönstra, skriva in, krigsplacera och vid olika tillfällen redovisa totalförsvarets personal förutsätter att verket ständigt har ordnad och aktuell information om

dessa personer. Pliktverket har därför behov av att föra relativt omfattande personregister. Registerverksamheten vid Pliktverket befinner sig i ett övergångsskede mellan två olika ADBsystem. Det äldre systemet, som övertogs från Värnpliktsverket, omfattar fyra personregister:

Inskrivningsarkivregistret med uppgifter från mönstring m.m., Avgångsarkivregistret med sam-

manställningar av personuppgifter vilka upprättats i samband med att en person avregistrerats,

Statistikregistret med personuppgifter för statistiska ändamål, samt Arkivregistret med upp-

ställning över den enskildes tjänstgöringstillfällen och eventuella förordnanden. Den nya ordningen innebär, enligt Pliktverkets planering, att uppgifterna om de totalförsvarspliktiga samlas i ett enda register. Den beskrivning som ges nedan avser det nya systemet; PLIS — Pliktverkets informationssystem, som i vissa delar redan tagits i bruk på prov, parallellt med det äldre. Det nya systemet innebär också att ”pappershanteringen” på sikt kan minska genom att fler handlingar läggs in direkt i datorn samt genom att informationsutbytet med andra myndigheter m.fl. kan ske via terminal.

Samtliga Pliktverkets register förs med tillstånd av Datainspektionen. Eftersom totalförsvarsplikten omfattar en mycket stor del av befolkningen kommer PLIS

att vara ett av landets största personregister. Mängden uppgifter om varje person blir också betydande eftersom registret förutom att tjäna som källa för enkel information om namn, ålder och adress etc. skall utgöra underlag för olika lämplighetsbedömningar och därför innehåller material från undersökningar och prov liksom uppgifter från hälso- och sjukvårdsmyndigheter m.fl. Registret är därmed också känsligt ur integritetssynpunkt.

I PLIS registreras beträffande pliktpersonalen vad som framkommer vid de utredningar

om de enskildas personliga förhållanden som beskrivits ovan i avsnitt 7.2, uppgifter från deras utbildning inom försvaret samt beslut som rör deras tjänstgöring, t.ex. om inskrivning för viss befattning, krigsplacering etc. Typen och mängden av uppgifter som registreras om varje person varierar naturligen något, beroende på vilken kategori av pliktpersonal han eller hon tillhör. Av avsnitt 7.2 och 7.3 ovan framgår vilka utredningar som kan göras, vilken information som i dessa sammanhang kan hämtas in och vilka beslut som kan tas beträffande den totalförsvarspliktige enligt gällande författningar. Nedan i detta kapitel ges en beskrivning av verksamheten i praktiken med utgångspunkt i den kontinuerliga registrering av personuppgifter som sker om den totalförsvarspliktiges personliga förhållanden och av omständigheter som rör hans eller hennes tjänstgöring inom totalförsvaret. Först dock en redovisning av vilka närmare föreskrifter som gäller för Pliktverkets register.

8.4.2 Datainspektionens tillstånd och föreskrifter för PLIS

Datainspektionen meddelade den 26 juni 1996 tillstånd för Pliktverket att inrätta och föra personregistret PLIS. Datainspektionen fastställde ändamålet med registret enligt följande:

Registret skall utgöra ett hjälpmedel i administrationen av personalförsörjningen för total-

försvarets behov

Beslutet förenades med följande föreskrifter:

Registret får endast innehålla uppgifter av den art som angivits i (Pliktverkets) ansökan

(personnummer, namn, adressuppgifter, mönstringsdata, medicinska testdata, psykologiska testdata, kunskapsdata, skola/förband, utbildningstider, vitsord, bevakningsuppgifter, ärendetyp och beslut samt — enligt tjänsteanteckning som bifogats beslutet — uppgifter från Riksförsäkringsverket, vårdinrättningar, kriminalvårdsmyndighet, Rikspolisstyrelsen, Vägverket, Skolverket, Statistiska centralbyrån och Socialstyrelsen samt från utbildningsförbanden och skolorna.)

Enligt kompletterande beslut av Datainspektionen, den 8 januari 1997 får även fotografi

för utfärdande av legitimations- och resehandling registreras. Fotografiet skall dock gallras

”vid tidpunkt då värnpliktig ryckt in till grundutbildning”. (Pliktverket har hos Datainspektionen ansökt om att gallringstidpunkten för fotografier ändras till; ”då grundutbildningen slutförts”.)

Åtkomsten av uppgifterna skall begränsas till de personer som enligt arbetsordning har att

behandla uppgifterna.

För åtkomst av uppgifter i hälsodeklaration och därtill kopplat läkarintyg får endast per-

sonnummer användas som sökbegrepp förutom för framställning av statistik.

Inhämtande och utlämnande av uppgifter får ske med hjälp av automatisk databehand-

ling till respektive från de myndigheter som angivits i bilaga till beslutet (Riksskatteverket,

Riksförsäkringsverket, vårdinrättningar, kriminalvårdsmyndighet, Rikspolisstyrelsen, Vägverket, Skolverket, Statistiska centralbyrån, Socialstyrelsen och Räddningsverket. I bilagan anges förutom myndigheter även utbildningsförband/skolor samt PK-banken)

Den registeransvarige skall på lämpligt sätt informera den registrerade om förekomsten av

registret, dess ändamål och huvudsakliga innehåll samt rätten till utdrag enligt 10 § datalagen.

Härutöver har Datainspektionen lämnat föreskrifter om vad som skall iakttas beträffande

ADB-säkerheten när det gäller åtkomstskydd, behörighetskontroll, loggning, datakommunikation, utplåning samt reparation och service.

8.4.3 Beträffande vilka personer kan uppgifter registreras i PLIS?

PLIS kan enligt nuvarande föreskrifter från Datainspektionen i princip innehålla uppgifter om samtliga personalkategorier inom totalförsvaret. Den stora gruppen registrerade utgörs av dem som mönstrar, genomgår antagningsprövning (kvinnor) eller annan utredning för inskrivning, dvs. de som prövas för tjänstgöring med värnplikt eller civilplikt. Totalt mönstrade cirka 50 000 personer år 1995. Härav skrevs cirka 33 000 in för värnplikt och närmare 2 000 för civilplikt med lång grundutbildning medan cirka 14 000 placerades i utbildningsreserven. Av de senare var cirka 12 000 endast lämpliga för civilplikt med kortare grundutbildning. Omkring 1 000 av dem som mönstrar varje år har sådan hälsa att de inte är tjänstgöringsskyldiga, vare sig med värnplikt eller civilplikt. I enlighet med Pliktverkets uppgift att också redovisa annan personal inom totalförsvaret än pliktpersonal innehåller registret också uppgifter om anställda inom Försvarsmakten, anställda i olika civila verksamheter som på grund av sina anställningsavtal är skyldiga att delta i övningar och utbildning för försvarsändamål och/eller är ianspråktagna av sina arbetsgivare för deras respektive krigsorganisation samt medlemmar i frivilligorganisationer m.fl. Totalt kan PLIS komma att innehålla uppgifter om närmare 2 miljoner människor som på grund av bestämmelser i författningar eller till följd av ingångna avtal har uppgifter att sköta under höjd beredskap.

8.4.4 Typer av personuppgifter i registret och flödet av uppgifter

Uppgifter om svenska män som mönstrar är dominerande i PLIS. Beskrivningen närmast nedan avser detta typfall. Den är summarisk och bygger på direkt information från Pliktverket om förfarandet. (Jfr avsnitt 7.2 0ch 7.3.) — Pliktverket får varje år uppgift från Riksskatteverket om namn, personnummer, adress och medborgarskap på de män som är bosatta i Sverige och som under året fyller 17 år. Uppgifterna registreras av Pliktverket och utgör underlag för kallelser till mönstring. Riksskatteverket aviserar därefter adressändringar, förändrat medborgarskap, dödsfall m.m. varje vecka till Pliktverket, som med ledning härav uppdaterar registret. Aviseringar sker också från Kriminalvårdsstyrelsen (intagning i eller avgång från kriminalvårdsanstalt om fråga är om längre fängelsestraff), Vägverket (körkortsuppgifter) samt från vissa vårdinrättningar (bl.a. uppgifter om intagna).

— Inför mönstringen tillställs den enskilde ett frågeformulär angående sin medicinska hälsa (Medicinsk hälsodeklaration). Formuläret ges in vid mönstringen där den enskilde också genomgår en medicinsk prövning för bedömning av hans förutsättningar att fullgöra värnplikt eller civilplikt, jämte en psykologisk prövning för fastställande av bl.a. hans psykiska tjänstbarhet. Härutöver utförs ett s.k. inskrivningsprov för bedömning av den mönstrandes begåvning och anlag. Han får också lämna uppgifter om färdigheter, intressen, utbildning m.m. Den prövning som utförs omfattar datoriserade frågeformulär och samtal med såväl läkare som psykolog. Resultaten översätts till kapacitetssiffror avseende förmåga och lämplighet i olika avseenden. Såväl själva provresultaten som kapacitetstalen registreras, liksom relevanta uppgifter om färdigheter, utbildning m.m. (t.ex. uppgifter om körkortsinnehav, telegraficertifikat, förarintyg för segel- eller motorbåt, fartygsmekanikerbrev, avlagd skepparexamen, genomförd militär ungdomsutbildning m.m.). En nyhet i PLIS i förhållande till äldre system är att journalhandlingar med läkar- och psykologutlåtanden kan läggas in direkt i dataregistret, liksom att ifyllda blanketter kan skannas (optiskt läsas in) in i detsamma.

— Mönstringen avslutas med att den enskilde har ett personligt samtal med en inskrivningsförrättare. Inskrivningsförrättaren har tillgång till de dittills insamlade uppgifterna om den enskilde och redogör mot bakgrund av provresultat m.m. för lämpliga befattningar för denne. Efter en diskussion, där den enskilde får framföra sina synpunkter och önskemål, fattar inskrivningsförrättaren ett beslut om inskrivning — placering i befattningsgrupp och typ av befattning, bestämmande av utbildningsenhet och ungefärlig tid för inryckning m.m. — vilket registreras.

— När den enskilde sedan rycker in till grundutbildningen får den utbildningsansvarige, utöver basdata som adress, personnummer osv., tillgång till de uppgifter om honom som rör kompetens, hälsa och tjänstbarhet m.m. Uppgifterna lämnas i dag i form av ett grundutbild-

ningskort jämte utskrivna journalhandlingar men kan i framtiden göras tillgängliga för den

utbildningsansvarige genom direkt terminalåtkomst till relevanta delar av PLIS.

— Under grundutbildningen kompletteras registeruppgifterna med uppgifter om under utbildningen förvärvad kompetens, innefattande uppgifter om ev. befordran, fullgjorda tjänstgöringsdagar m.m., samt slutligen med lämnade vitsord. Dessa uppgifter sammanfattas i dag på en skriftlig utryckningsrapport som tillställs Pliktverket. Rapporten kan i framtiden ersättas med att den utbildningsansvarige själv — via egen terminal — för in uppgifterna i PLIS.

— Efter grundutbildningen krigsplaceras den totalförsvarspliktige genom beslut av Pliktverket. Krigsplaceringen registreras.

— Uppgifter från repetitionsutbildningstillfällen registreras i enlighet med vad som sker efter genomförd grundutbildning.

När det gäller pliktpersonal med kortare utbildning är de registrerade uppgifterna i prin-

cip av samma natur som de nyss beskrivna men av naturliga skäl är de oftast inte lika omfattande. Den enskilde har t.ex. då inte alltid genomgått mönstring. Informationen i registret om

de fast anställda inskränker sig till rena basdata som namn, personnummer och adress samt

uppgifter om befattning, utbildning m.m. vilka konkret anknyter till anställningen och krigsplaceringen. Beträffande dem som förekommer i registret enbart av den anledningen att de

tillhör en frivilligorganisation finns endast uppgifter om namn, personnummer etc. samt om

den organisation vederbörande är medlem i.

8.4.5 Åtkomst och skydd

Personuppgifterna hanteras till övervägande del inom Pliktverket och då som underlag när verket skall ta beslut om inskrivning och placering av totalförsvarspliktiga eller redovisa personal inom totalförsvaret. Grundprincipen för hanteringen av uppgifterna inom Pliktverket är att endast de befattningshavare som i sitt arbete har behov av personuppgifterna har tillgång till PLIS och då endast till de för arbetsuppgifterna relevanta delarna av registret. PLIS är uppbyggt så att användarna — som ”loggar in” i systemet med en personlig kod — tilldelas en ”användarroll”, knuten till den personliga koden, vilken öppnar de delar av systemet som de anses behöva för att lösa sin uppgift. Som exempel kan nämnas att den som planerar resor för mönstring endast får tillgång till information om personnummer, namn, adress och andra basuppgifter om den enskilde som han behöver för att kalla denne till förrättningen medan en inskrivningsförrättare — som skall ta beslutet om inskrivning — i princip har obegränsad tillgång till den mönstrandes personuppgifter. Den personliga koden kan också spåras i systemet så att det kan utläsas vem som gjort sökningar, genomfört ändringar m.m.

Utanför Pliktverket är det i första hand de utbildnings- och bemanningsansvariga myndig-

heterna inom det militära och civila försvaret som kan ha ett befogat intresse av uppgifterna i PLIS mot bakgrund av ändamålet med registret. Härutöver kan andra myndigheter ha behov av vissa uppgifter. T.ex. lämnas uppgifter om in- och utryckningstider till Riksförsäkringsverket.

8.4.6 Information till den enskilde

Den enskilde får efter genomförd mönstring del av inskrivningsbeslutet i form av en skriftlig handling där förutom själva beslutet vissa provresultat finns redovisade. Utformningen av inskrivningsbeslutet är under övervägande inom Pliktverket. Om den enskilde begär information om vad registren innehåller om honom eller henne handläggs denna begäran enligt särskilda rutiner.

8.4.7 Bevarande och gallring

Riksarkivet har, efter förslag från Krigsarkivet, tidigare utfärdat föreskrifter om bevarande och gallring för uppgifter i Värnpliktsverkets olika register. Föreskrifterna gäller enligt särskilda beslut för Pliktverket beträffande de register som ”övertagits” från Värnpliktsverket. Olika föreskrifter gäller för de olika registren och för olika typer av uppgifter i dessa. Huvudprincipen beträffande Inskrivningsarkivregistret (med bl.a. uppgifter från mönstringen) är att uppgifterna skall föras över till mikrofilm efter viss tid (vanligen 5 år) och därefter gallras ur databasen. Två exemplar av mikrofilmen skall sändas till Krigsarkivet medan ett exemplar behålles av Pliktverket så länge verket behöver uppgifterna för sin verksamhet.

För PLIS saknas särskilda föreskrifter från arkivmyndighet eller annan vad gäller arkive-

ring och gallring av personuppgifter, vilket innebär att arkivlagens generella bestämmelser är tillämpliga.

8.4.8 Socialstyrelsens register över hälso- och sjukvårdspersonal i krig — INTEGER

Socialstyrelsen är enligt beredskapsförordningen (1993:242) funktionsansvarig myndighet för hälso- och sjukvården (framgår av bilagan till förordningen). I denna funktion har Socialstyrelsen, i enlighet med ett regeringsuppdrag som gavs år 1988, upprättat ett register över hälso- och sjukvårdspersonal (INTEGER). Registret är ett personalförsörjningsregister för krig och innehåller uppgifter om läkare, tandläkare, sjuksköterskor, operations-, röntgen- och laboratorieassistenter, undersköterskor, sjukvårdsbiträden, barnsköterskor, medicintekniker, drifttekniker, arbetsterapeuter, kuratorer, psykologer och sjukgymnaster. Uppgifter om de registrerades

personnummer, namn, anställningsform och kompetens lämnas till Socialstyrelsen från sjukvårdshuvudmännen. Socialstyrelsen ansvarar för att registret kompletteras med folkbokföringsuppgifter, uppgifter om utbildning och legitimation samt om disponibilitet (dvs. uppgifter om huruvida den registrerade är ianspråktagen för försvarsändamål eller inte).

Enligt regeringens beslut av den 1 februari 1996 skall Socialstyrelsen alltjämt svara för att

det finns ett erforderligt register över hälso- och sjukvårdspersonalen i krig. Regeringen uppdrog emellertid åt Socialstyrelsen att, under förutsättning att godtagbara ekonomiska villkor kan uppnås, träffa överenskommelse med Pliktverket om driften av registret.

Enligt den överenskommelse som sedermera träffats skall INTEGER överföras till PLIS

och utgöra en integrerad del av detta system. Det skall finnas möjligheter att skilja ut INTE-GER-personalen genom en kod som åsätts hälso- och sjukvårdspersonal. Uppdatering och ändring av uppgifter i INTEGER-delen av registret skall skötas centralt av Pliktverket.

III ÖVERVÄGANDEN OCH FÖRSLAG

9. Inledande ställningstaganden och allmänna utgångspunkter

9.1 Förslaget till persondatalag och Pliktverkets registerverksamhet

Bedömning: Regleringen av Pliktverkets verksamhet, såvitt avser hanteringen av personuppgifter,

bör anpassas till bestämmelserna i den föreslagna persondatalagen och utformas så att den kan fungera i samspel med dessa. Detta innebär bl.a. att våra förslag utgår från persondatalagens tillämpningsområde, begrepp och terminologi.

9.1.1 Förhållandet mellan EG-direktivet, förslaget till persondatalag och de särskilda registerförfattningarna

Införlivandet av EG-direktivet om personuppgifter i svensk lagstiftning innebär relativt genomgripande förändringar av de centrala bestämmelserna på området. De största förändringarna består i att det integritetsskyddade området utvidgas och att tillståndskravet för personregisterverksamhet upphör. Det senare medför bl.a. att Datainspektionens roll förändras. Den registeransvariges (med persondatalagens terminologi; den persondataansvariges) skyldigheter påverkas också i viss utsträckning av den nya ordningen. Det är svårare att se om nivån på integritetsskyddet ändras.

En närmare beskrivning av Datalagskommitténs förslag till persondatalag ges ovan i kap.

6.

Enligt punkt 12 i ingressen till EG-direktivet måste de principer för skyddet av den enskil-

des fri- och rättigheter som direktivet innehåller gälla för all behandling av personuppgifter, som utförs av en person vars verksamhet regleras av gemenskapsrätten. Medlemsstaternas försvar — militärt som civilt — regleras inte av denna rätt, liksom inte heller annan verksamhet som avses i avdelningarna V och VI i Fördraget om den Europeiska unionen. Annan sådan verksamhet är t.ex. den som rör statens säkerhet och statens verksamhet på straffrättens område. (Punkt 13 i ingressen. De undantag som nämns där rör särbehandling av utländska medborgare, ömsesidiga erkännanden av examens- och utbildningsbevis m.m. samt harmoniseringsåtgärder till stöd för den gemensamma marknadens upprättande och funktion.)

Pliktverkets hantering av personuppgifter syftar till att tillgodose det svenska totalförsvarets

behov av pliktpersonal och att möjliggöra redovisning av denna och övrig personal inom total-

försvaret. Det faller som ovan nämnts utanför EG:s kompetens att reglera sådan verksamhet. I artikel 3.2 anges dessutom särskilt att direktivet inte under några omständigheter gäller för behandling av personuppgifter som rör försvar. Teoretiskt kan därför bortses från direktivet vid utformningen av bestämmelser för behandling av personuppgifter om totalförsvarspliktiga.

EG-direktivet skall enligt föreliggande förslag införas genom nationella författningar den

1 januari 1999 (jfr. dock artikel 32.1 första stycket i direktivet). Datalagen kommer att upphöra att gälla, i vart fall efter den övergångsperiod om tre år inom vilken redan pågående verksamhet, som innefattar behandling av personuppgifter, enligt direktivet har att ställa om till de nya bestämmelserna (artikel 32.2 första stycket). Enligt föreliggande förslag till persondatalag är lagen generell i den betydelsen att den till sin lydelse omfattar även sådan verksamhet som faller utanför gemenskapsrätten, t.ex behandling av personuppgifter inom totalförsvaret. Det går alltså inte att bortse från persondatalagen vid en författningsreglering av behandling av personuppgifter, även om den verksamhet som skall regleras inte omfattas av EG-direktivet. Så länge inte något annat uttryckligen föreskrivs gäller persondatalagen för behandling av personuppgifter inom alla verksamheter (utom sådana som är av privat natur).

En generell författningsföreskrift om att persondatalagens bestämmelser inte är tillämp-

liga på Pliktverkets registerverksamhet är tillåten och fullt möjlig. Enligt vår uppfattning finns det emellertid ingen anledning att välja en sådan lösning. Det finns flera tungt vägande skäl för att även författningar som reglerar hantering av personuppgifter inom sådan verksamhet som inte omfattas av EG-direktivet anpassas till de nya bestämmelserna. En annan sak är att det finns utrymme för att i dessa författningar göra avvikelser från persondatalagen och från EGdirektivet. De skäl som talar för en anpassning till den nya persondatalagen och som enligt vår mening särskilt bör framhållas redovisas nedan i avsnitt 9.1.2—9.1.5. Först dock något om det fortsatta behovet av särskild reglering för olika verksamheter där personuppgifter hanteras.

Den gällande datalagen förutsätter i princip att kompletterande bestämmelser för respek-

tive registerverksamhet ges genom föreskrifter av Datainspektionen, såvitt avser de tillståndspliktiga registren. Datalagens bestämmelser är till stora delar riktade till Datainspektionen och anger i vilka situationer tillstånd skall ges, hur bedömningen skall gå till och vilka föreskrifter som kan och skall meddelas. Med persondatalagens införande upphävs kravet på tillstånd och bestämmelserna i persondatalagen anger i stället direkt när och hur personuppgifter får behandlas, vilka förbud som gäller etc. Persondatalagen är därmed omedelbart tillämpbar för den som avser att behandla personuppgifter i sin verksamhet. Något tillstånd av myndighet eller i särskild författning krävs ej.

Som skäl för tidigare införda särskilda registerlagar har inte sällan åberopats uttalanden

från riksdagen om nödvändigheten av sådan lagstiftning (se Konstitutionsutskottets betänkande 1990/91:KU11 som behandlar prop. 1990/91:60 om offentlighet, integritet och ADB. Utskottets betänkande godtogs av riksdagen, se rskr. 1990/91:160). Dessa uttalanden förlorar dock i och med persondatalagens införande mycket i aktualitet, eftersom de i huvudsak gjordes mot bakgrund av att vissa stora statsmaktsregister då i princip var oreglerade. Persondatalagen är tillämplig även på sådana register och avhjälper till stor del den uppmärksammade bristen med sin — i förhållande till datalagen — direkta reglering av behandlingen av personuppgifter. Persondatalagen är emellertid mindre utförlig än de särskilda registerförfattningarna.

Det kan mot bakgrund av vad som nu konstaterats med visst fog ifrågasättas om det

kommer att finnas behov av särskilda registerlagar efter persondatalagens ikraftträdande. Klart torde stå att behovet blir mindre efter denna tidpunkt. Persondatalagen är emellertid en generell produkt avsedd att passa all slags verksamhet där behandling av personuppgifter utförs och det finns därför anledning att undersöka om inte preciseringar och särregleringar är nödvändiga på många områden. Detta gäller särskilt verksamhet som inte omfattas av EG-direkti-

vet och när fråga är om behandling av känsliga personuppgifter. Också Datalagsutredningen förutsatte att särskilda bestämmelser skulle komma att erfordras vid sidan av dem som direkt införs från EG-direktivet. (Se SOU 1993:10 s. 171 f.) Datalagsutredningen erinrade dock om att kravet på särskild författningsreglering enbart tar sikte på några aspekter av informationsbehandlingen och att det alltså inte blir tal om några fullständiga registerförfattningar.

Vår uppfattning är att viss särskild reglering vid sidan av persondatalagen är nödvändig.

Persondatalagen förutsätter också närmast att sådan reglering sker, i vart fall i vissa situationer. Det finns dock anledning att överväga vilken omfattning särregleringen skall ha och i vilken form den skall ges.

9.1.2 Persondatalagens normer bör tjäna som utgångspunkt

Det är en självklarhet att de avvikelser från allmänt gällande bestämmelser om integritetsskydd och från centrala regler om den enskildes rättigheter och den ansvariges skyldigheter, som är påkallade inom viss verksamhet, endast aktualiseras som undantag. Det är naturligt och lämpligt att bestämmelserna i persondatalagen tjänar som utgångspunkt när särskilda författningar som rör hantering av personuppgifter utformas. Avvikelser från persondatalagens bestämmelser bör göras endast om det finns goda skäl härför. Det skall här åter erinras om vad som sägs i punkt 11 i ingressen till EG-direktivet om att detta utgör en förstärkning och precisering av Europarådets dataskyddskonvention. EG-direktivet bygger på en ordning inom vars ramar gällande svensk datalagstiftning är utformad. Direktivet — och förslaget till persondatalag — har inte tillkommit därför att de rådande värderingarna på området ändrats utan främst för att ytterligare harmonisera EU:s medlemsstaters bestämmelser. Även om den föreslagna persondatalagen innehåller många nyheter på området för hantering av personuppgifter så överensstämmer den med grundläggande principer om integritetsskydd i svensk rätt.

9.1.3 Ett samspel mellan central lagstiftning och särskilda författningar som reglerar hanteringen av personuppgifter bör eftersträvas

Statsmaktsregistren kräver inte Datainspektionens tillstånd. Dessa register kan i stället — såvitt avser frågor om registerändamål, registerinnehåll, fastställande av registeransvar m.m. — regleras genom särskilda författningar. Bestämmelserna i de särskilda författningarna, som i stora delar motsvarar Datainspektionens föreskrifter för de tillståndspliktiga registren, ersätter dock inte datalagen. Datalagens bestämmelser om den registrerades rättigheter, den registeransvariges skyldigheter, förutsättningarna för skadeståndsskyldighet och straffansvar samt om Datainspektionens tillsyn gäller i allt väsentligt även för statsmaktsregistren. Alternativet hade varit att de nu nämnda, mycket centrala och för behandlingen av personuppgifter i stort sett gemensamma bestämmelserna upprepades i varje särskild registerlag.

De särskilda registerförfattningar som finns i dag och som reglerar verksamhet som om-

fattas av EG-direktivet måste inom en nära framtid ses över och bringas i överensstämmelse med direktivet. Den koppling som nu finns mellan dessa författningar och datalagen får då ersättas med en koppling till den nya persondatalagen, om fördelarna med systemet att ha vissa grundläggande bestämmelser samlade i en central författning skall kvarstå. Fördelarna är enligt vår uppfattning uppenbara och en författning som reglerar verksamhet som inte omfattas av EG-direktivet bör inte bryta ett sådant mönster.

9.1.4 Typen av hantering som regleras och terminologin bör vara desamma i en särskild författning som i persondatalagen

En av de stora skillnaderna mellan förslaget till persondatalag och datalagen är tillämpningsområdet. Medan datalagen endast gäller ADB-baserade register föreslås persondatalagen om-

fatta all behandling av personuppgifter som företas på automatisk väg liksom manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register (I EG-direktivet anges detta i artikel 3.1).

Som ovan redovisats (avsnitt 4.1.1) framhöll redan Datalagsutredningen att register-

begreppet var föråldrat och föreslog därför att den nya datalagens tillämpningsområde i stället skulle bestämmas med hänsyn till de tekniska möjligheter som finns att göra personuppgifter tillgängliga med ADB-teknik. Konkret innebar Datalagsutredningens förslag att all automatisk databehandling av personuppgifter, utom vissa särskilt undantagna åtgärder, skulle omfattas av lagens bestämmelser.

Det kan, som Datalagsutredningen anförde, inte anses ändamålsenligt att låta svaret på

frågan huruvida en personuppgift ingår i ett register eller ej vara avgörande för på vilket sätt uppgiften skall få behandlas med ADB-teknik. Automatisk behandling av personuppgifter kan medföra otaliga möjligheter att lagra, ändra, sprida och utföra andra operationer med uppgifterna. Avgörande för tillåtligheten av automatisk behandling bör vara ändamålet med åtgärderna ställt emot den enskildes intresse av integritetsskydd. En något svårare fråga är möjligen om även manuell behandling av personuppgifter som ingår i eller skall ingå i ett register (automatiserat eller manuellt) skall regleras. Skäl som att den som vill använda personuppgifter på ett otillbörligt sätt annars skulle kunna göra detta för hand för att undgå skyddsreglerna eller att användningen av ny teknik i samhällsutvecklingen inte hämmas om samma regler gäller för såväl automatisk som manuell behandling av personuppgifter, saknar inte bärkraft men är kanske inte helt övertygande. Utan automatikens hjälp är möjligheterna till effektiv lagring, bearbetning och spridning av uppgifterna kraftigt begränsade liksom även möjligheterna att ur ett stort underlag ta fram olika sammanställningar av personuppgifter. Detta innebär att manuell behandling framstår som långt mindre ”farlig” från den enskildes synpunkt. Dock är det naturligtvis i grunden riktigt att personuppgifterna i sig är lika skyddsvärda oavsett om de behandlas manuellt eller automatiskt. Resonemanget är giltigt vare sig behandlingen sker inom en verksamhet som omfattas av EG-direktivet eller ej. Därmed — och då det inte synes finnas något beaktansvärt motstående intresse — bör också de bestämmelser som reglerar Pliktverkets verksamhet följa persondatalagens tillämpningsområde i detta avseende. Härtill kommer att ett enhetligt tillämpningsområde tjänar ett visst självändamål eftersom den samlade regleringen då är lättare att överskåda och tillämpa än vid motsatt förhållande.

Förslaget till persondatalag innehåller — i enlighet med vad EG-direktivet föreskriver —

vissa för den svenska ordningen nya begrepp som t.ex. mottagare och registerförare. Dessutom definieras en del begrepp, som t.ex. personuppgifter och register, på ett annat sätt än i datalagen. Vidare byts registeransvarig ut mot persondataansvarig och det är inte bara fråga om en ändring av terminologin utan också om en delvis ny innebörd av begreppet. (Definitioner återfinns i direktivets artikel 2.)

De särskilda registerlagar som reglerar verksamhet som omfattas av direktivet kommer i

framtiden att vara hänvisade till persondatalagens begreppsvärld. Om författningar som reglerar behandlingen av personuppgifter om totalförsvarspliktiga skall ha den koppling till persondatalagen som ovan förordats, krävs att grundläggande begrepp och terminologi är identiska, i annat fall blir samspelet onödigt komplicerat. Det skall anmärkas att anledning att behålla och använda datalagens begrepp och definitioner — annat än av skäl som att de är invanda — egentligen saknas eftersom den lagen skall upphöra att gälla.

9.1.5 Datainspektionens tillsyn bör omfatta Pliktverkets hantering av personuppgifter

Enligt förslaget till persondatalag skall behandling av personuppgifter som är helt eller delvis automatisk anmälas till en särskild myndighet. Denna myndighet — i lagtexten kallad

tillsynsmyndigheten — skall också utöva tillsyn över tillämpningen av bestämmelser i lag eller annan författning om behandling av personuppgifter. Regeringen har beslutat att Datainspektionen skall vara tillsynsmyndighet. Skäl att undanta Pliktverkets verksamhet från Datainspektionens tillsyn saknas. Regleringen av Pliktverkets behandling av personuppgifter bör därför anpassas till tillsynssystemet i persondatalagen.

9.1.6 Förslagen om reglering av Pliktverkets registerverksamhet bör anpassas till förslaget till persondatalag

På de skäl som ovan anförts anser vi att regleringen av Pliktverkets hantering av personuppgifter bör följa persondatalagens bestämmelser utom i de fall avvikelser är befogade på grund av verksamhetens särskilda karaktär. Persondatalagen föreligger för närvarande endast i förslagsform vilket egentligen talar emot vårt inledande ställningstagande. Vi har emellertid under utredningen, så som förutsätts i våra direktiv, följt Datalagskommitténs arbete och vi har lämnats tillfälle att diskutera lösningar med kommitténs ordförande och sekretariat. Detta gör att vi har kunnat anpassa våra förslag till den nya ordningen. Vi är medvetna om att den slutliga texten i den nya lagen kan komma att skilja sig ifrån Datalagskommitténs förslag, men vi gör den bedömningen att eventuella justeringar inte blir större än att vårt förslag kan anpassas till dessa utan alltför stora arbetsinsatser.

9.2 Författningsreglering av behandlingen av personuppgifter om totalförsvarspliktiga

Bedömning: Bestämmelser om behandling av personuppgifter om totalförsvarspliktiga bör i

huvudsak ges i lag och vara utformade så att de utgår från persondatalagen och anger de undantag och preciseringar i förhållande till denna som är motiverade.

Det bör finnas särskilda bestämmelser i lagen som reglerar ADB-register över

totalförsvarspliktiga som förs av Pliktverket.

9.2.1 Författningsinnehåll

Förslaget till persondatalag innehåller grundläggande bestämmelser för behandling av personuppgifter och gäller i princip oavsett inom vilken typ av verksamhet behandlingen äger rum. Särskilda författningar som reglerar behandling av personuppgifter inom en viss verksamhet, bör endast innehålla sådana preciseringar, utfyllnader och undantag som är påkallade med hänsyn till de behov som följer av verksamhetens speciella karaktär. I annat fall skapas onödig dubbelreglering och risk för tillämpningssvårigheter.

Persondatalagen är, enligt föreliggande förslag, generell till sin utformning och avvikelser

från dess bestämmelser är tillåtna endast om de har stöd i annan författning. Verksamhet som rör (total)försvaret omfattas emellertid inte av det EG-direktiv som ligger till grund för persondatalagen och utrymmet för särreglering är därför stort när det gäller behandling av personuppgifter om totalförsvarspliktiga. Detta förhållande rubbar emellertid inte slutsatsen att undantag från persondatalagens bestämmelser skall göras endast i den omfattning som verksamheten motiverar. EG-direktivet om personuppgifter — och därmed persondatalagen — bygger på europeisk rättstradition på integritetsskyddsområdet och avsteg från hävdvunna principer bör inte göras om det inte finns starka skäl.

Överväganden om innehållet i författningar som rör behandling av personuppgifter om

totalförsvarspliktiga bör i första hand omfatta frågan om avvikelser eller preciseringar är motiverade i förhållande till persondatalagens bestämmelser om: — när behandling av personuppgifter är tillåten, — grundläggande krav på behandling av personuppgifter,

— förbud mot behandling av känsliga personuppgifter, — villkor för behandling av uppgifter om lagöverträdelser och om personnummer, — information till den registrerade, — säkerheten vid behandlingen, — den persondataansvariges skyldigheter, — tillsynsmyndighetens uppgifter och befogenheter samt — skadestånd.

Persondatalagens bestämmelser skall sålunda gälla även vid behandling av personuppgifter om totalförsvarspliktiga om inte annat följer av de särskilda författningar som reglerar just denna behandling.

Den föreslagna persondatalagen innehåller inga särskilda regler för register som förs med

hjälp av ADB. Även om en personuppgift kan anses lika skyddsvärd om den behandlas helt manuellt som om den behandlas med datorteknik, är det svårt att bortse från de särskilda risker i integritetshänseende som automatiserade register för med sig. Möjligheterna att effektivt söka bland uppgifterna och på kort tid sammanställa stora mängder av information är oändligt mycket större om uppgifterna förekommer i ett ADB-baserat register än om de är förvarade i pärmar eller på annat icke elektroniskt sätt. Användningen av datorteknik underlättar också spridningen av uppgifter. Andra krav måste därför ställas på säkerheten vid automatisk lagring och överföring av uppgifter än vid helt manuell hantering. Det är därför, och särskilt med hänsyn till att ett ADB-register över totalförsvarspliktiga enligt vår bedömning måste innehålla en mängd uppgifter av känslig karaktär för att vara ändamålsenligt, befogat att undersöka behovet av reglering av frågor som:

— registerinnehåll,

— terminalåtkomst (eller, med ett annat uttryck; direkt åtkomst), — begränsningar av sökbegrepp, — uppgiftslämnande på ADB-medium och — sambearbetning (samkörning) med andra register.

I en författning om behandling av personuppgifter om totalförsvarspliktiga bör också de ändamål för behandlingen anges som enligt persondatalagen skall uttryckas då uppgifterna samlas in. Dessutom bör i lagen pekas ut vem som är ansvarig (persondataansvarig) för behandlingen.

Efter persondatalagens ikraftträdande krävs inte tillstånd för registrering eller annan be-

handling av personuppgifter. Detta innebär bl.a. att någon bestämmelse om att ett register över totalförsvarspliktiga får föras endast om regeringen beslutat att inrätta ett sådant inte är aktuell.

9.2.2 Författningsteknisk lösning

Normgivningskompetensen regleras i 8 kap. regeringsformen (RF). En skiljelinje går härvid mellan privaträttslig och offentligrättslig normgivning. Med privaträttslig normgivning menas föreskrifter om enskildas personliga ställning och inbördes ekonomiska och personliga förhållanden. Offentligrättslig normgivning avser dels föreskrifter om myndigheternas interna angelägenheter, dels föreskrifter om förhållandet mellan myndigheter och enskilda. På det privaträttsliga området skall föreskrifter meddelas genom lag, dvs. riksdagen har exklusiv normgivningsrätt (8 kap. 2 § RF). Vad gäller den offentligrättsliga normgivningskompetensen är bilden mer splittrad. Offentligrättsliga föreskrifter skall ha lagform om de innebär åligganden för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 3 § RF). Enligt 8 kap. 13 § första stycket 2 regeringsformen får regeringen genom förordning

besluta föreskrifter som ej skall meddelas genom lag. Härav följer att regeringen kan meddela offentligrättsliga föreskrifter om myndigheternas interna angelägenheter, som t.ex. bestämmelser om handläggning av ärenden. Regeringen kan också med stöd av denna sk. ”restkompetens” genom förordning meddela offentligrättsliga föreskrifter i övrigt så länge de inte är ”betungande” för den enskilde på sätt som anges i 8 kap. 3 § regeringsformen (se ovan).

Registerförfattningar syftar ofta till att skydda den enskildes integritet och föreskrifter

med sådant skyddssyfte kan knappast anses som betungande för honom eller henne. I 2 kap. 3 § regeringsformen anges emellertid att medborgarna ”i den utsträckning som närmare angives i lag” skall skyddas mot att deras personliga integritet kränks genom att personuppgifter registreras med hjälp av ADB. Ordalydelsen ger utrymme för tolkningen att det är riksdagens sak att genom lagstiftning utfärda de erforderliga bestämmelserna. Av förarbetena framgår dock att syftet inte varit att hindra regeringen att meddela bestämmelser om dataskydd, utan endast att ange att riksdagen måste vara aktiv genom att stifta och vidmakthålla en dataskyddslagstiftning som utgör en verklig och allvarligt menad skyddslagstiftning (prop. 1987/88: 57 s. 11). Bestämmelser på det statliga området som syftar till att tillgodose integritetsskyddsintressen omfattas alltså av regeringens restkompetens. Av 8 kap. 13 § andra stycket regeringsformen framgår dock att detta inte innebär att regeringen har rätt att meddela föreskrifter som avser riksdagen eller dess myndigheter. Sådan rätt kan i stället ges till regeringen genom bemyndigande i lag. Möjligheten för riksdagen att delegera normgivningskompetensen i denna del infördes år 1994 genom en ny punkt 8 i 8 kap. 7 § första stycket regeringsformen, som anger att regeringen efter bemyndigande i lag kan meddela föreskrifter genom förordning såvitt avser skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling. Tillägget i 7 § tillkom närmast för att möjliggöra vidare delegation från regeringen till Datainspektionen av rätten att meddela föreskrifter även på det kommunala och landstingskommunala området samt för viss privat verksamhet (se prop. 1993/94:116). Datalagskommittén har föreslagit att lagrummet ändras till att avse skydd för personlig integritet vid

behandling av personuppgifter.

Sammantaget har regeringen stora möjligheter, ofta redan utan bemyndigande från riks-

dagen, att i förordning meddela föreskrifter som rör behandling av personuppgifter. Utöver vad som ovan sagts om regeringens rätt att meddela föreskrifter om myndigheternas handläggning av ärenden och andra interna angelägenheter och föreskrifter om integritetsskydd har regeringen — vilket följer av 8 kap. 13 § första stycket 1 regeringsformen — rätt att meddela föreskrifter om verkställighet av lag. Möjligheten att meddela verkställighetsföreskrifter anses, även om rättsläget är långt ifrån klart, innebära en relativt långt gående rätt att ”fylla ut” lagar, och då även sådana lagar som innehåller regler på områden där riksdagen har exklusiv normgivningskompetens. Utfyllnaden får dock inte innebära att regleringen tillförs något väsentligen nytt genom den av regeringen beslutade föreskriften (se prop. 1973:90 s. 211).

Datalagskommittén har dragit slutsatsen att gällande rätt vad avser normgivningskomp-

etensen inte hindrar att det överlåts till regeringen och Datainspektionen att precisera reglerna i persondatalagen. Kommittén förordar också en sådan lösning framför ”en ordning som innebär att varje liten justering i regelverket kräver en sedvanlig lagstiftningsprocess via regering och riksdag...” som, enligt kommittén, framstår som onödigt omständlig och ohanterlig. (Datalagskommitten, avsnitt 12.1.2)

En uppställning över Datalagskommitténs förslag till vilka föreskrifter som skall kunna

meddelas av regeringen och/eller Datainspektionen, med hänvisning till lagrum i förslaget till

Mot bakgrund av vad som nu anförts kan det konstateras att det skulle vara möjligt att ge

en mycket stor del av de regler som bör gälla vid behandlingen av personuppgifter om totalförsvarspliktiga i förordningsform. Frågan är om detta också är lämpligt. När ovan berörd möjlighet till delegering av normgivningskompetensen infördes genom 8 kap. 7 § första stycket 8 regeringsformen uttalade föredragande statsrådet följande (prop. 1993/94:116 s. 16):

Regeringen vill poängtera att möjligheten till en delegerad normgivningskompetens på

integritetsskyddsområdet inte kommer att förändra den nuvarande inriktningen i syfte att ta fram särskilda registerförfattningar för integritetskänsliga personuppgifter. I proposition 1990/ 91:60 om offentlighet, integritet och ADB uttalas att en målsättning bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag (prop. s. 58). När propositionen behandlades av konstitutionsutskottet i betänkandet 1990/91:KU11 anförde utskottet att det allmänt sett är av stor betydelse att en författningsreglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Utskottet delade den uppfattning som framfördes i propositionen att register hos kommunerna, landstingskommunerna, Riksförsäkringsverket och Socialstyrelsen bör regleras i särskilda registerlagar. Likaså ansåg utskottet att det krävs ingående överväganden i fråga om vilka register inom dessa områden som bör lagregleras (bet. s. 11).

Registret över totalförsvarspliktiga kommer att bli ett av landets mest omfattande personregister och det kommer att innehålla många uppgifter av känslig karaktär. Persondatalagens tillkomst utgör inte tillräckligt skäl att frångå den uppfattning som riksdagen givit uttryck för; att stora personregister med känsliga uppgifter skall lagregleras. Av våra direktiv följer också att vi skall lämna förslag till lagreglering av frågor som registerinnehåll, terminalåtkomst, förfoganderätt m.m.

I en lag om behandling av personuppgifter om totalförsvarspliktiga bör de yttre gränserna

för verksamheten dras upp i de fall dessa inte överensstämmer med vad som gäller redan enligt persondatalagen. Det bör emellertid överlåtas åt regeringen — eller i vissa fall åt Datainspektionen — att meddela de närmare föreskrifter som är påkallade till skydd för de registrerades personliga integritet. Bestämmelser av detaljkaraktär, som kan förutses bli omprövade med mer eller mindre täta mellanrum i takt med att samhället förändras och tekniken utvecklas, bör ges i annan form än lag, eftersom ändringar av lagtext är en relativt omständlig process.

I en lag som reglerar behandling av personuppgifter om totalförsvarspliktiga bör — i

konsekvens med vad som utvecklats i avsnitt 9.2.1 — intas en bestämmelse som anger att persondatalagens bestämmelser skall vara tillämpliga om inget annat följer av lagen eller av föreskrifter som meddelats med stöd härav.

10. Lagens tillämpningsområde

10.1 Reglerna skall avse automatisk behandling av personuppgifter och annan behandling av personuppgifter som ingår i eller skall ingå i ett register

Förslag: Lagen om behandling av personuppgifter om totalförsvarspliktiga skall — liksom

persondatalagen — gälla för sådan behandling som är helt eller delvis automatisk och för

annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register.

persondatalag; varje åtgärd som vidtas beträffande sådana uppgifter (3 §). I EG-direktivet (artikel 2 b) exemplifieras behandlingsåtgärder med insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Persondatalagen gäller för sådan behandling av personuppgifter som är helt eller delvis

automatisk. Begreppet automatisk definieras inte i EG-direktivet eller i persondatalagen. En-

ligt Datalagskommittén står det klart att behandling av personuppgifter som finns i datorformat (binär form) — inklusive överföringen till ett sådant format — som regel bör anses som automatisk behandling i direktivets mening, medan det är osäkert om och i vilken utsträckning direktivets regler om automatisk behandling skall tillämpas på t.ex. bilder och ljud som lagrats på något analogt format, exempelvis på ett negativ eller på ett vanligt ljud- eller videoband (Datalagskommittén, avsnitt 12.2.12). Persondatalagen gäller också för annan behandling än

automatisk, om uppgifterna ingår i eller är avsedda att ingå i ett register. Med register avses

varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 § förslaget till persondatalag).

Överväganden: En förändring som följer med införandet av EG-direktivet om person-

uppgifter i svensk rätt, jämfört med gällande ordning enligt datalagen, är att även annan behandling av personuppgifter än registrering med hjälp av ADB, blir reglerad och kringgärdad av bestämmelser om integritetsskydd. Ändringen — som i vissa delar efterlystes redan av Datalagsutredningen (se ovan, avsnitt 4.1.1) — är oavsett EG-direktivet om personuppgifter påkallad, bl.a. med hänsyn till den tekniska utvecklingen som medfört att uppgifter kan behandlas med automatik i mycket stor utsträckning och på sätt som innebär risker för integritetsintrång, utan att uppgifterna för den skull behöver ingå i ett register. En annan sak är att registrering av personuppgifter medelst ADB alltjämt framstår som den åtgärd som medför de största riskerna för otillbörliga integritetsintrång, och att strängare föreskrifter därför i vissa fall bör gälla för sådan registrering än för övrig behandling.

Det utvidgade integritetsskyddet bör gälla även vid behandling av personuppgifter om

totalförsvarspliktiga. En föreskrift som tydligt anger att lagen gäller för sådan behandling som är helt eller delvis automatisk samt för annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register, bör därför tas in i lagen om behandling av personuppgifter om totalförsvarspliktiga. Avgränsningen av tillämpningsområdet i det här avseendet är så central att en upprepning är att föredra framför en hänvisning till persondatalagen.

10.2 Reglerna skall avse Pliktverkets behandling av personuppgifter om totalförsvarspliktiga och om andra personer med uppgifter inom totalförsvaret vid höjd beredskap

Förslag: Lagen skall tillämpas vid behandling av personuppgifter om totalförsvarspliktiga.

Med totalförsvarspliktiga jämställes personer som har en uppgift inom totalförsvaret vid höjd

beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt.

Lagen skall vidare tillämpas i Pliktverkets verksamhet. För ett par fall, bl.a. vad gäller

behandling av ”känsliga personuppgifter”, bör det dock övervägas om lagen skall innehålla bestämmelser för verksamhet som bedrivs av annan än Pliktverket.

Bakgrund: Pliktverket har enligt sin instruktion bl.a. till uppgift att mönstra, skriva in och

krigsplacera totalförsvarspliktiga samt att svara för att de bemanningsansvariga får stöd och service i fråga om de totalförsvarspliktigas tjänstgöring. Pliktverket skall dessutom kunna redovisa annan personal inom totalförsvaret.

kommer i relativt stor utsträckning Pliktverket tillhanda från andra organ, företrädesvis andra myndigheter. Efter Pliktverkets behandling skall vissa uppgifter lämnas vidare, t.ex. till de enheter inom försvaret som skall utbilda den enskilde. Det är således flera myndigheter och andra organ utanför Pliktverket som i sina respektive verksamheter behöver behandla uppgifter om totalförsvarspliktiga, även om Pliktverkets roll är helt central i sammanhanget.

Överväganden: Enligt våra direktiv skall vi lägga fram förslag om den författningsreglering

av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas

av Pliktverket. Denna verksamhet består i huvudsak i att mönstra (motsv.), skriva in och krigs-

placera den personal som omfattas av värnplikt eller civilplikt. Totalförsvarspliktiga är emellertid alla svenska medborgare och utlänningar som är bosatta i Sverige, från och med det kalenderår de fyller 16 år till utgången av det år de fyller 70 år (ang. totalförsvarspliktens innebörd se avsnitt 7.1). I fredstid, och även i vissa fall vid höjd beredskap, grundas skyldigheten att tjänstgöra för en stor del av totalförsvarets personal på andra omständigheter än värnplikt och civilplikt. Detta gäller Försvarsmaktens fast anställda personal, arbetstagare som är ianspråktagna av sina arbetsgivare för uppgifter vid höjd beredskap, medlemmar i frivilligorganisationer och vissa personer med begränsade uppgifter, t.ex. enligt förfogandelagstiftningen. De sist nämnda är inte ”personal” i egentlig mening men de har uppgifter att lösa vid höjd beredskap — ibland tidigare — och de måste finnas förtecknade i någon typ av register för att det skall vara möjligt att ta deras tjänster i anspråk vid behov. Härtill kommer hälsooch sjukvårdspersonalen som Pliktverket, enligt överenskommelse med Socialstyrelsen, skall hålla ett personalförsörjningsregister över. Pliktverkets arbetsuppgifter enligt verkets instruktion förutsätter en möjlighet att behandla personuppgifter om all personal inom totalförsvaret, dvs. såväl pliktpersonal som personal vars skyldighet att tjänstgöra grundar sig på annat än totalförsvarsplikt.

För ett effektivt system för redovisning av totalförsvarets personal är det närmast nöd-

vändigt att kunna ta fram uppgifter om de olika personalkategorierna i ett sammanhang. Mot bakgrund härav utformar vi vårt förslag så att lagens tillämpningsområde omfattar behand-

ling av personuppgifter om totalförsvarets hela personal. Dock med den begränsningen att det

skall vara fråga om personer som har en uppgift att lösa vid höjd beredskap. Till dessa personer räknas också hälso- och sjukvårdspersonalen även om de inte redan i fredstid är krigsplacerade eller motsvarande på särskild plats inom totalförsvaret. Eftersom den behandling av personuppgifter beträffande totalförsvarets personal som Pliktverket behöver kunna utföra till helt övervägande del avser pliktpersonal, föreslår vi den författningstekniska lösningen att

personer som har en uppgift inom totalförsvaret vid höjd beredskap jämställes med totalförsvarspliktiga vid tillämpning av lagen om behandling av personuppgifter om totalförsvarspliktiga.

Anpassningen till persondatalagen medför att vårt förslag omfattar även annan behand-

ling av personuppgifterna än registreringen av dem. Övergången från att reglera register till att reglera behandling medför att gränserna för uppdraget måste övervägas ytterligare något eftersom det — till skillnad för vad som gäller för själva registreringen av totalförsvarspliktiga — är många olika organ som behandlar uppgifterna. Dessutom är behandling ett i viss mån flytande begrepp såtillvida att flera aktörer kan vara inblandade samtidigt. Enligt definitionen av be-

handling i EG-direktivet är t.ex. såväl inhämtande som utlämnande av en personuppgift en

behandlingsåtgärd. När Pliktverket mottar en uppgift från en annan myndighet är båda kontrahenterna — åtminstone för en kort period — inblandade i samma behandling. Vi har emellertid inte funnit skäl att reglera den behandling som myndigheter och andra utanför totalförsvaret utför innan och när de lämnar ut personuppgifter om totalförsvarspliktiga till Plikt-

verket (med undantag för att vissa kan ges möjlighet att lämna uppgifter till Pliktverket genom att själva lägga in dem direkt i Pliktverkets ADB-register över totalförsvarspliktiga, se nedan avsnitt 12.3). De personuppgifter som andra myndigheter m.fl. förfogar över är som regel inte insamlade för Pliktverkets räkning och utformningen av det skydd för uppgifterna som bör finnas hos den utlämnande myndigheten ankommer därför inte på oss.

En särställning intar de myndigheter och andra som utför mindre omfattande utredningar

än mönstring i syfte att fastställa den totalförsvarspliktiges förmåga att fullgöra civilplikt med grundutbildning under högst 60 dagar (se avsnitt 7.2.2). Erhållna uppgifter (i form av kopior av handlingar) skall efter sådan utredning tillställas Pliktverket tillsammans med en begäran om att den totalförsvarspliktige skrivs in (3 kap. 3 § Totalförsvarets pliktverks föreskrifter om totalförsvarsplikt). Vad som sker i praktiken är att den utredande myndigheten tar fram ett underlag och föreslår ett inskrivningsbeslut med visst innehåll. Personuppgifterna som den utredande myndigheten härvid behandlar är inte så omfattande och inte heller av den känsliga natur som de som framkommer vid en mönstringsförrättning. Behandlingen hos de utredande myndigheterna är än så länge i huvudsak manuell. I den utsträckning automatisk behandling förekommer, kommer den i framtiden att omfattas av persondatalagens bestämmelser och därmed av Datainspektionens tillsyn. Persondatalagens bestämmelser — så som de är utformade enligt föreliggande förslag — och de föreskrifter som kan emotses från Datainspektionen, bör därvid enligt vår mening ge uppgifterna ett tillräckligt skydd vid den utredande myndigheten. Att det behövs en särskild lag för Pliktverkets behandling av personuppgifter om totalförsvarspliktiga vid sidan av persondatalagen, beror främst på att Pliktverkets register är mycket omfattande med integritetskänsliga uppgifter och därför kräver tydliga föreskrifter i lagform och en hög skyddsnivå. Det saknas skäl till motsvarande särskild reglering för verksamheten hos de myndigheter som utför mindre utredningar och endast behandlar ett begränsat antal personuppgifter.

Bemannings- och utbildningsansvariga enheter inom totalförsvaret behandlar också person-

uppgifter om totalförsvarspliktiga. För uppgifter som dessa emottar från Pliktverket gäller — enligt den föreslagna persondatalagens bestämmelser — att de inte får behandlas på sätt som är oförenligt med de ändamål som angavs när Pliktverket samlade in uppgifterna. (Som framgår av kap. 11 nedan föreslår vi att dessa ändamål anges i lagtexten.) Denna begränsning, jämte vad som följer av persondatalagsförslaget i övrigt, bedömer vi som en tillfredsställande reglering för berörda enheters behandling av mottagna personuppgifter. Här skall också tilläggas att föreskrifter om hur uppgifter får lämnas från Pliktverket, vilka som får ha direkt åtkomst till registret via terminal m.m., är sådant som påverkar mottagarnas behandlingsmöjligheter. Överväganden beträffande sådana föreskrifter redovisas nedan i kap. 12.

Sammanfattningsvis är det inte — som utgångspunkt betraktat — motiverat att låta en lag

om behandling av personuppgifter om totalförsvarspliktiga omfatta annan verksamhet än den som bedrivs av Pliktverket. Våra direktiv anger också att det är behoven i denna verksamhet som skall tillgodoses med våra förslag. Som anmärktes ovan är det främst anpassningen till persondatalagens behandlingsbegrepp som fått oss att överväga ett vidare tillämpningsområde än vad våra direktiv egentligen anvisar.

Slutsatsen att lagen skall tillämpas bara på Pliktverkets behandling av personuppgifter

skall ses som en huvudprincip. För ett par situationer finns det anledning att överväga om lagen också skall innehålla bestämmelser som delvis rör verksamhet som utövas av annan. Det gäller främst frågor om undantag från persondatalagens bestämmelser om att behandlingen inte får vara oförenlig med de ändamål för vilka uppgifterna insamlades och om förbud mot behandling av vissa känsliga personuppgifter. Övervägandena i dessa delar återfinns nedan i avsnitt 11.2.2 och 11.3.

10.3 Tillämpningsområdet skall anknytas till ändamålen med behandlingen

Förslag: Lagen skall tillämpas vid behandling av personuppgifter för vissa i lagen angivna ändamål.

Pliktverket skall anses ha samlat in personuppgifterna för dessa ändamål om inte annat

uttryckligen angivits av Pliktverket vid insamlingen.

Överväganden: Enligt förslaget till persondatalag skall ändamålen med behandlingen av

personuppgifter vara uttryckligt angivna när uppgifterna samlas in. Uppgifterna får därefter — enligt huvudregeln — inte behandlas för något ändamål som är oförenligt med dessa (9 § första stycket c och d). De sålunda angivna ändamålen utgör därmed en gräns för hur uppgifterna får behandlas. En bestämmelse som anger ändamålen är därför central och viktig vid särskild författningsreglering av behandling av personuppgifter inom en viss verksamhet. En sådan särskild författning bör inte vara utformad så att den hindrar den ansvarige att behandla personuppgifter för andra ändamål. Författningen kan därför inte uttömmande ange när och hur ett visst subjekt får behandla personuppgifter. Det skulle strida mot grunderna för persondatalagen, enligt vilken tillstånd till behandling av personuppgifter inte krävs. Den särskilda författningen skulle behöva ändras varje gång vederbörande behövde behandla personuppgifter för andra ändamål än de ursprungligen angivna, även om behandlingen var tillåten enligt persondatalagens bestämmelser och även om en särskild reglering av den nya behandlingen annars inte var påkallad.

En särskild lag om behandling av personuppgifter om totalförsvarspliktiga bör endast

reglera vad som skall gälla vid den behandling av uppgifterna som sker för vissa i lagen angivna ändamål. Tillämpningsområdet för lagen bör därför knytas till dessa så att det framgår att lagen bara gäller vid behandling för dem. Vidare bör det framgå att Pliktverkets insamling av personuppgifter skall anses ha skett för de i lagen angivna ändamålen om inget annat uttryckligen uppgivits vid denna insamling. Detta för att tydligt visa att behandling för andra ändamål än dem som anges i lagen är tillåten, men endast om Pliktverket vid insamlingen av uppgifterna angett att de skall användas för dessa andra ändamål.

Vilka ändamål lagen om behandling av personuppgifter om totalförsvarspliktiga bör avse

och hur dessa skall uttryckas behandlas i avsnitt 11.2.

10.4 Behandling som faller utanför tillämpningsområdet

Sammanfattningsvis föreslår vi att lagen om behandling av personuppgifter om totalförsvarspliktiga skall tillämpas i Pliktverkets verksamhet för vissa i lagen angivna ändamål, under förutsättning att behandlingen är helt eller delvis automatisk eller att personuppgifterna ingår i eller är avsedda att ingå i ett register. Skälen har redovisats ovan i avsnitt 10.1— 10.3. Det är viktigt att lagens tillämpningsområde är klart och tydligt angivet. Övergången från ett invant system med regler om ADB-register och tillståndsgivning till ett med övergripande regler om behandling av personuppgifter är inte okomplicerat. Det kan därför vara på sin plats med ett ytterligare förtydligande av vad vi avser reglera med den nya lagen. Vad som sägs i detta avsnitt följer i huvudsak redan av de tidigare avsnitten i detta kapitel. Här redovisar vi ”andra sidan av myntet” genom att ange vad som inte avses falla under lagens tillämpningsområde samt berör kort vad som då gäller i stället.

(Här finns anledning att erinra om att persondatalagens bestämmelser — så som förslaget

till den lagen är utformat — skall gälla vid behandling av personuppgifter om inte annat följer

— Lagen om behandling av personuppgifter om totalförsvarspliktiga gäller inte manuell behandling av personuppgifter som inte ingår och inte heller är avsedda att ingå i ett register. Lagens tillämpningsområde följer i det här avseendet persondatalagens bestämmelser om vilka behandlingsåtgärder som omfattas. För Pliktverkets del torde det vara mycket få behandlingar av personuppgifter som kommer att falla utanför de bägge lagarnas tillämpningsområden på grund av den här begränsningen. I princip är alla uppgifter som inhämtas från den enskilde själv och från andra myndigheter m.fl. ämnade för registret över totalförsvarspliktiga. I den mån uppgifterna, på grund av föreskrifter om vilka uppgifter som får tas in i registret (se nedan avsnitt 12.2), inte kan antecknas där, ankommer det på Pliktverket att ta ställning till om uppgiften skall behandlas helt manuellt utanför registerverksamheten, så att vare sig persondatalagen eller lagen om behandling av personuppgifter om totalförsvarspliktiga blir tillämplig, eller om uppgiften t.ex. genom att tas in i ett manuellt register, skall underkastas viss del av regleringen i dessa lagar.

— Som utvecklats i avsnitt 10.2 föreslås att lagen om behandling av personuppgifter om totalförsvarspliktiga i princip endast skall gälla sådana behandlingar som utförs i Pliktverkets verksamhet. Myndigheter m.fl. som lämnar personuppgifter till eller tar emot personuppgifter från Pliktverket är underkastade persondatalagens bestämmelser, men inte vad som föreskrivs i den särskilda lagen om behandling av personuppgifter om totalförsvarspliktiga (se dock avsnitt 12.3 vad gäller möjligheter för dem som lämnar uppgifter till Pliktverket att göra detta genom att lägga in uppgifterna direkt i Pliktverkets register). Mottagande myndigheters möjligheter att behandla uppgifterna begränsas dock indirekt genom vad denna lag föreskriver, dels om ändamålen med behandlingen (eftersom behandling inte får ske för ändamål som är oförenliga med dem för vilka uppgifterna en gång insamlades) dels om sättet för utlämnande (skall mottagaren ha direkt åtkomst via egen terminal? etc.).

— Lagen gäller endast behandling av personuppgifter om totalförsvarspliktiga — och med dessa enligt lagen jämställda personer — i denna deras egenskap. Pliktverkets eventuella behandling av uppgifter om andra personer eller beträffande personer som i och för sig är totalförsvarspliktiga men där behandlingen inte grundas på detta förhållande, faller utanför lagens tillämpningsområde. Som exempel kan nämnas sådan registrering av krigsfångar som Pliktverket skall sköta under krigsförhållanden och eventuell behandling av uppgifter om den egna personalen, t.ex. för löneutbetalningar. Fråga har uppkommit om behovet i vissa fall att registrera uppgifter om anhöriga till totalförsvarspliktiga. Våra överväganden i denna del återfinns i avsnitt 12.2.2. Här skall bara framhållas att även en uppgift om att den totalförsvarspliktige har en relation till en annan person är att anse som en personuppgift om den totalförsvarspliktige. Att uppgiften dessutom utgör en personuppgift om en annan person — den anhörige — innebär inte att behandlingen faller utanför tillämpningsområdet för lagen.

— Lagen gäller vidare endast då personuppgifter om totalförsvarspliktiga behandlas för vissa ändamål som också skall anges i lagen. Pliktverket kan samla in och behandla uppgifter för andra ändamål så länge åtgärderna är förenliga med persondatalagens bestämmelser och så länge Pliktverket också anger dessa ändamål vid insamlingen. För sådan behandling gäller inte lagen om behandling av personuppgifter om totalförsvarspliktiga.

Persondatalagen innehåller, enligt förslaget, vissa bestämmelser som begränsar den lagens tillämpningsområde, utöver vad som angetts ovan i avsnitt 10.1; Den gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §) och den gäller bara för sådana persondataansvariga som är etablerade i Sverige eller — om den persondataansvarige är etablerad i tredje land — om denne använder sig av utrustning som finns i Sverige för behandling av personuppgifter (4 §). Lagen om behandling av personuppgifter om totalförsvarspliktiga gäller enligt vårt förslag endast vid behandling för vissa ändamål i Pliktverkets verksamhet. Härav följer att inte heller den av oss föreslagna lagen gäller i verksamhet av privat natur eller för någon med persondataansvar utanför riket.

— Bestämmelserna i persondatalagen gäller, med vissa undantag som avser säkerheten vid behandlingen av personuppgifter, inte för spridning av personuppgifter och andra förfaranden som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen och inte heller för annan behandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §). Persondatalagens bestämmelser skall inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (offentlighetsprincipen) (8 §). Sådana behandlingsåtgärder som avses i 7 och 8 §§ i persondatalagen faller utanför tillämpningsområdet för vårt lagförslag så som vi dragit upp gränserna för detta. I den mån det blir aktuellt för Pliktverket att behandla personuppgifter om totalförsvarspliktiga för ändamål som skyddas av principer om tryckfrihet, yttrandefrihet och offentlighet gäller tryckfrihetsförordningens, yttrandefrihetsgrundlagens och sekretesslagens bestämmelser och inte — med de undantag som anges i 7 § i förslaget till persondatalag — persondatalagen eller lagen om behandling av personuppgifter om totalförsvarspliktiga.

11. Behandling av personuppgifter om totalförsvarspliktiga — Avvikelser och preciseringar i förhållande till bestämmelserna i den föreslagna persondatalagen

11.1 Inledning

Som utvecklats ovan anser vi att en lag om behandling av personuppgifter om totalförsvarspliktiga i princip endast bör innehålla sådana preciseringar och undantag i förhållande till persondatalagens bestämmelser som motiveras av verksamheten. Vidare anser vi att det finns anledning att ge särskilda bestämmelser för behandlingen av personuppgifter i ADBregister över totalförsvarspliktiga, eftersom registrering med hjälp av ADB-teknik framstår som en särskilt riskfylld hantering av personuppgifter från integritetsskyddsynpunkt — i vart fall då fråga är om en så stor mängd uppgifter av känslig karaktär som kommer att finnas i Pliktverkets register.

I detta kapitel redovisar vi de preciseringar av persondatalagsförslagets allmänt hållna

bestämmelser och de avvikelser från förslaget som vi anser motiverade. I kapitel 12 redovisas våra överväganden vad gäller Pliktverkets register över totalförsvarspliktiga.

11.2 Ändamålen med behandlingen

Förslag: Ändamålen med Pliktverkets behandling av personuppgifter om totalförsvarspliktiga

formuleras med utgångspunkt i Pliktverkets arbetsuppgifter och åligganden gentemot uppdrags-

Lagen är tillämplig när ändamålen med behandlingen är:

— att ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, — att redovisa personal med uppgifter inom totalförsvaret, — att säkerställa att den registrerade fortlöpande erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret, — att tillse att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten, — att tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig samt — att planera, följa upp och utvärdera den verksamhet som nu nämnts.

11.2.1 Pliktverkets behov av att behandla personuppgifter

Bakgrund: I 10 § i förslaget till persondatalag anges när behandling av personuppgifter är

tillåten. Enligt bestämmelsen får personuppgifter behandlas bara om den registrerade lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig

a) för att fullgöra ett avtal med den registrerade,

b) för att på den registrerades begäran vidta åtgärder innan ett avtal träffas,

c) för att den persondataansvarige skall kunna fullgöra en rättslig skyldighet,

d) för att skydda vitala intressen för den registrerade,

e) för att utföra en arbetsuppgift av allmänt intresse,

f) för att den persondataansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning eller

g) för ändamål som rör ett berättigat intresse hos den persondataansvarige — eller hos sådana tredje män till vilka personuppgifterna lämnas ut — när detta intresse väger tyngre än den registrerades intresse.

Om inte samtycke från den enskilde inhämtats måste något av de övergripande ändamål

som anges i punkterna a—g vara för handen för att det över huvud taget skall vara tillåtet att behandla personuppgifter med automatik, eller manuellt om personuppgifterna ingår i eller är avsedda att ingå i ett register.

Den persondataansvarige skall själv ange konkreta ändamål för sin behandling av

personuppgifterna. I 9 § första stycket c beskrivs detta så att den persondataansvarige skall se till att personuppgifter ”...samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,..”. Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.4.3) innebär kravet på att ändamålen skall vara särskilda att en alltför allmänt hållen ändamålsangivelse inte godtas. Att ändamålen skall vara berättigade torde, enligt Datalagskommittén, inte innebära något annat än att ändamålen skall hålla sig inom de ramar persondatalagen och anknytande lagstiftning anvisar. Det finns inget krav på att ändamålen skall nedtecknas av den persondataansvarige.

Ändamålen med behandlingen så som de angivits av den persondataansvarige sätter grän-

ser för hur uppgifterna får behandlas sedan de samlats in. I 9 § persondatalagen anges de grundläggande kraven på behandlingen av personuppgifter. Enligt detta lagrum skall den persondataansvarige bl.a. se till

d) att personuppgifter inte behandlas för något ändamål som är oförenligt med de för vilka uppgifterna samlades in,

e) att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

f) att inte flera personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen

h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen och

i) att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Överväganden: Lagen om behandling av personuppgifter om totalförsvarspliktiga skall

tillämpas i viss av Pliktverket bedriven verksamhet. De ändamål som denna verksamhet skall tjäna bör anges i lagen. Ändamålen bestämmer i visst avseende lagens tillämpningsområde (se ovan avsnitt 10.3) och gör att de ovan redovisade bestämmelserna i persondatalagens 9 § går att tillämpa. Våra förslag förutsätter att ändamålen är givna och det kan därför inte överlåtas åt Pliktverket eller annan att uttrycka dessa.

För att uppfylla persondatalagens krav på att ändamålen skall vara särskilda måste de

vara preciserade. Samtidigt bör de inte vara så ”skräddarsydda” till rutinerna att de hindrar varje förändring av verksamheten. En lösning, som innebär att ändamålen formuleras med utgångspunkt i de uppgifter som det åligger Pliktverket att utföra, är enligt vår bedömning lämplig. Metoden innebär att ändamålen anges på ett heltäckande sätt och att detaljeringsnivån blir rimlig. Det är viktigt att de ändamål som uttrycks i lagtexten är tillräckliga och omfattar såväl de uppgifter som Pliktverket skall — dvs. är skyldiga att — utföra, som sådana uppgifter som Pliktverket efter begäran från organ inom totalförsvaret skall kunna — dvs. på mer eller mindre frivillig grund — åta sig inom ramen för sin allmänna servicefunktion. Som framgår av kap. 7 och 8 ovan har Pliktverket mer än en funktion att fylla, och behov av att kunna behandla information om de totalförsvarspliktigas och annan med dessa — enligt vårt lagförslag — jämställd personals förhållanden uppkommer i flera fall.

En genomgång av Pliktverkets verksamhet visar att personuppgifter behöver behandlas

för de ändamål som anges nedan i punkterna 1—6.

1. Behandling av personuppgifter för att ta fram underlag till beslut om inskrivning, krigs-

placering eller annat ianspråktagande av personal till totalförsvaret.

Under denna punkt faller till att börja med Pliktverkets huvuduppgift att mönstra, skriva

in och krigsplacera totalförsvarspliktiga. Här ryms också Pliktverkets hantering av personuppgifter i samband med annan mindre omfattande utredning än mönstring enligt lagen om totalförsvarsplikt, och vid särskild antagningsprövning enligt lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.

Pliktverkets personregister utgör i dag en källa till information även för de myndigheter

och andra organ inom totalförsvaret som själva kan besluta om krigsplacering eller andra former av ianspråktagande av personal till sin organisation, för verksamhet under höjd beredskap. Här avses t.ex. frivilligorganisationer och myndigheter som är beredskapsmyndigheter. Även om det inte framgår direkt av Pliktverkets instruktion att verket skall förse andra myndigheter m.fl. med uppgifter till stöd för deras beslut om krigsplacering eller annat ianspråktagande av personal för totalförsvarsändamål, anser vi att de personuppgifter Pliktverket innehar skall kunna användas för detta ändamål om det begärs.

Här är det viktigt att framhålla att sekretesslagens bestämmelser ger ett skydd mot att

information som är känslig lämnas ut av Pliktverket.

Syftet med INTEGER-registret över hälso- och sjukvårdspersonal (se ovan, avsnitt 8.4.8)

täcks också av ändamålsbeskrivningen i denna punkt.

2. Behandling av personuppgifter för redovisning av personal med uppgifter inom totalförsva-

ret.

Pliktverket har enligt sin instruktion till uppgift att redovisa i princip all personal inom totalförsvaret. (Vad gäller annan personal än pliktpersonal förutsätter möjligheten att redovisa denna att det organ som förfogar över den enskilde anmält detta till Pliktverket.)

3. Behandling av personuppgifter för att säkerställa att den registrerade fortlöpande erhåller

ändamålsenlig utbildning och lämplig placering inom totalförsvaret.

I sin verksamhet skall Pliktverket inte bara utreda och en gång för alla placera den enskilde inom totalförsvaret. Det är viktigt att uppgifter om hans eller hennes kunskaper och lämplighet i övrigt hålls aktuella i relevanta delar. För detta ändamål krävs en kontinuerlig behandling av personuppgifterna.

4. Behandling av personuppgifter för att tillse att den totalförsvarspliktige fullgör sina skyldig-

heter såvitt avser totalförsvarsplikten.

Personuppgifter behöver behandlas av Pliktverket för att kalla den enskilde till t.ex. mönstring och grundutbildning samt för att pröva frågor om hämtning, föreläggande av vite m.m., allt i avsikt att tillse att den totalförsvarspliktige fullgör vad som ankommer på honom eller henne enligt gällande bestämmelser.

5. Behandling av personuppgifter för att tillgodose den enskildes rättigheter och trygghet i

hans eller hennes egenskap av totalförsvarspliktig.

Totalförsvarsplikten är inte enbart förenad med skyldigheter för den enskilde. Han eller hon har också rättigheter. Behandling av personuppgifter krävs även för att tillgodose dessa. Ofta är rättigheterna en spegelbild av skyldigheterna. Skyldigheten att tjänstgöra kan upphävas av en rättighet att befrias från plikttjänstgöring under vissa förutsättningar. Rätt till vapenfri tjänstgöring eller till uppskov kan föreligga i vissa fall, liksom rätt till ekonomiskt bistånd.

Sådan hälsoundersökning som utförs t.ex. vid mönstringen syftar till att utröna den

totalförsvarspliktiges tjänstbarhet ur medicinsk synpunkt. Undersökningen sker inte enbart i försvarets intresse; ändamålet är i lika hög grad att tillse att den enskilde inte utsätts för påfrestningar under tjänstgöringen som han eller hon inte har förutsättningar att klara. Detsamma gäller den psykologiska undersökningen. Vid inryckningen tillställs sjukvårdspersonalen vid förbandet eller motsvarande utbildningsenhet uppgifter från undersökningarna. Detta sker bl.a. för att skapa garantier för att den enskilde blir behandlad på ett sätt som hans eller hennes hälsa och förmåga kräver samt för att ett medicinskt underlag finns i händelse av olycka eller om det annars skulle bli aktuellt med sjukvårdsinsatser.

6. Behandling av personuppgifter för att planera, följa upp och utvärdera sådan verksamhet

som nämnts ovan.

Pliktverket behöver också använda personuppgifter t.ex. för att planera mönstringsförrättningar, undersöka om urvalsmetoderna fungerar m.fl. åtgärder som syftar till praktiska arrangemang för verksamheten och för analyser av om förändringar är påkallade. Dessa ändamål följer inte med självklarhet av vad som räknats upp i p. 1—5 och bör därför anges särskilt.

De ovan angivna ändamålen avser att omfatta alla arbetsuppgifter som åligger Pliktverket

eller som Pliktverket enligt sin instruktion bör kunna utföra på begäran och som förutsätter sådan behandling av personuppgifter som omfattas av den föreslagna persondatalagens be-

stämmelser. Mängden personuppgifter som Pliktverket måste hantera medför att annan behandling än automatisk i princip är utesluten. Vi bedömer att samtliga nu angivna ändamål är berättigade, i betydelsen att de inte står i strid med vad persondatalagen anger om när behandling av personuppgifter är tillåten (10 § förslaget till persondatalag, se ovan under Bakgrund). Behandlingen är nödvändig för att den verksamhet det åligger Pliktverket att bedriva skall kunna utföras. Denna verksamhet, som i huvudsak består i att mönstra (motsvarande), skriva in och krigsplacera totalförsvarspliktiga, lämna stöd till de bemanningsansvariga samt redovisa personal inom totalförsvaret, måste anses vara av allmänt intresse. Samtycke från den enskilde till att uppgifterna behandlas med automatik och/eller registreras krävs därför ej.

11.2.2 Behandling för andra ändamål än dem som uppgifterna ursprungligen insamlades för

Bakgrund: Av 9 § första stycket d i förslaget till persondatalag följer att personuppgifter inte

får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Pliktverket får i sin verksamhet personuppgifter från flera myndigheter och andra organ

som samlat in uppgifterna för helt andra ändamål än dem som Pliktverket skall använda uppgifterna för (se avsnitt 7.2.3).

Överväganden: Datalagskommittén framhåller att även ett utlämnande till annan av person-

uppgifter måste vara förenligt med de ursprungligen angivna ändamålen. Det bör därför, enligt kommittén, inte vara möjligt att kringgå kravet på en fortsatt ändamålsenlig behandling genom att en persondataansvarig lämnar ut uppgifterna till en annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprungliga (Datalagskommittén, avsnitt 12.4.3). Den som lämnar ut uppgifterna skulle i denna situation — i vart fall med vetskap om mottagarens avsikter — göra sig skyldig till en otillåten behandling i och med utlämnandet. Konflikt kan här uppstå mellan persondatalagens bestämmelser om en alltigenom ändamålsenlig behandling och bestämmelser i andra författningar som föreskriver skyldighet för vissa myndigheter att lämna uppgifter till andra. (Motsvarande konflikt uppkommer inte vad gäller myndigheternas skyldighet att lämna ut uppgifter till allmänheten eftersom persondatalagen inte innebär någon inskränkning av offentlighetsprincipen. Se 8 § första stycket förslaget till persondatalag och avsnitt 6.3 ovan.) Bestämmelser om skyldighet för en myndighet att lämna uppgifter till en annan myndighet har ofta tillkommit för att sekretess som gäller för uppgiften skall brytas (se 14 kap. 1 § sekretesslagen och avsnitt 4.3.8, ovan). Bestämmelserna har däremot knappast föregåtts av några överväganden om huruvida mottagarens behandling är förenlig med de ändamål för vilka uppgiften ursprungligen samlats in. Datalagskommittén har uppmärksammat problemet och anfört, att bestämmelserna om skyldighet att lämna ut uppgifter måste ses över, något som kommittén inte har ansett att dess uppdrag omfattat (Datalags-

kommittén, avsnitt 8.2.2).

För Pliktverkets del skulle ovan redovisade problem kunna lösas genom en föreskrift om

att personuppgifter får lämnas till Pliktverket för de i lagen om behandling av personuppgifter om totalförsvarspliktiga angivna ändamålen, även om uppgiften ursprungligen insamlats för andra ändamål. Eftersom bestämmelser i andra lagar och förordningar har företräde framför bestämmelserna i persondatalagen (se 2 § förslaget till persondatalag) innebär emellertid redan en föreskrift i författning om att en uppgift skall lämnas ut, att utlämnande också kan och skall ske, även om åtgärden skulle strida mot de ändamål för vilka uppgiften ursprungligen samlats in. Detta förhållande, jämte en sådan bestämmelse som vi föreslagit ovan om att de uppgifter som Pliktverket samlar in skall anses insamlade för de i lagen angivna ändamålen så länge inte annat uttryckligen angivits vid Pliktverkets insamling, medför att persondatalagens

bestämmelser om ändamålsenlig behandling inte hindrar vare sig utlämnande av uppgifter till Pliktverket, i de fall skyldigheten att lämna uppgiften följer av författning, eller Pliktverkets egen behandling av dessa uppgifter.

En särskild föreskrift om att utlämnande och behandling är tillåten i dessa situationer är

därmed inte nödvändig. Det skall framhållas att den översyn av bestämmelserna om skyldighet att lämna ut uppgifter som Datalagskommittén förordar, och som också får anses påkallad allmänt sett, inte behöver omfatta de regler som föreskriver skyldighet att lämna personuppgifter till Pliktverket så länge skyldigheten motiveras av totalförsvarets behov eftersom bestämmelser som rör försvar inte behöver bringas i överensstämmelse med EG-direktivet.

Slutligen skall påpekas att det i dag inte går att säga var gränserna går för när en behand-

ling blir ”oförenlig” med ändamålen. Enligt Datalagskommittén (Datalagskommittén, avsnitt

12.4.3) får detta bestämmas genom praxis och de mer preciserade regler som regeringen och

Datainspektionen kan utfärda.

11.2.3 Särskilt om behandling för forskning och statistik

Överväganden: Som nämnts ovan anses — generellt — inte behandling för historiska, statis-

tiska och vetenskapliga ändamål oförenlig med de ändamål för vilka uppgifterna samlats in (avsnitt 6.3). Detta följer uttryckligen av 9 § andra stycket i förslaget till persondatalag. Personuppgifter från t.ex. mönstringsförrättningar utgör ett viktigt underlag för statistik och forskning och vi ser inga skäl att göra undantag från persondatalagens bestämmelser, eller på annat sätt begränsa eller förbjuda behandling av uppgifterna för sådana ändamål. De personuppgifter Pliktverket samlat in kan alltså användas för forskning och statistik trots att detta inte angivits vid insamlingen av uppgifterna. Någon särskild bestämmelse om detta i lagen om behandling av personuppgifter om totalförsvarspliktiga erfordras inte. Den lag vi föreslår reglerar inte behandling för forsknings- och statistikändamål. Vi föreslår emellertid vissa särbestämmelser när det gäller möjligheter till sökning av personuppgifter i Pliktverkets ADB-register över totalförsvarspliktiga och beträffande bevarande av uppgifter i registret för dessa ändamål. (Se avsnitt 12.5 och kap. 13.)

11.3 Vilka personuppgifter skall få behandlas?

Förslag: Pliktverket skall få behandla känsliga personuppgifter om det är nödvändigt för

något av de i lagen angivna ändamålen. Även de myndigheter och andra som kan utföra mindre omfattande utredningar om de totalförsvarspliktigas förhållanden enligt lagen om totalförsvarsplikt, skall få behandla känsliga personuppgifter om uppgifterna behövs i sådan utredningsverksamhet.

Bedömning: I övrigt är inga avvikelser från persondatalagens bestämmelser om vilka person-

uppgifter som får behandlas påkallade allmänt sett.

(De begränsningar vi föreslår av vilka uppgifter som skall få behandlas genom att registre-

ras i Pliktverkets ADB-register över totalförsvarspliktiga redovisas i avsnitt 12.2, nedan.)

Bakgrund: Enligt förslaget till persondatalag skall den persondataansvarige tillse att inte

flera personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket f.). Lagen innehåller också förbud mot behandling av vissa känsliga personuppgifter (13 §) och mot att andra än myndigheter behandlar personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål (21 §). Enligt 22 § får uppgifter om personnummer bara behandlas när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller av något annat beaktansvärt skäl.

persondatalagens definition är känsliga, som uppgifter om lagöverträdelser och personnummer.

Överväganden: Vad gäller de personuppgifter om totalförsvarspliktiga som Pliktverket

skall kunna behandla, är det, bortsett från de begränsningar som bör göras vad gäller ADB-

registrering av uppgifterna, enligt vår bedömning tillräckligt med den föreslagna persondata-

lagens allmänt hållna bestämmelse om att inte fler uppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen. (I avsnitt 12.2 nedan anges vilka personuppgifter som bör få införas i Pliktverkets ADB-register över totalförsvarspliktiga.)

Inte heller persondatalagens bestämmelser om behandlingen av uppgifter om lag-

överträdelser m.m. och av personnummer, föranleder några förslag till undantag eller förtydliganden från vår sida. Uppgifter om lagöverträdelser kan tas in av Pliktverket från olika polisregister för att förhindra att en kriminellt belastad person hamnar i en från säkerhetssynpunkt olämplig befattning. Vidare får Pliktverket uppgifter från Kriminalvårdsstyrelsen om intagningar och avgångar från kriminalvårdsanstalter, främst som underlag för beslut om kallelser till mönstring och repetitionsövningar, och från domstolar om domar i mål om brott mot totalförsvarsplikten (se ovan, avsnitt 7.2.3.) Som myndighet har Pliktverket också rätt att behandla sådana uppgifter (så länge behandlingen är nödvändig med hänsyn till ändamålen). De villkor persondatalagen ställer för att personnummer skall få behandlas är uppfyllda i Pliktverkets verksamhet. Vikten av en säker identifiering är ett skäl till varför Pliktverket måste kunna behandla uppgifter om personnummer.

Persondatalagens bestämmelser om förbud mot behandling av känsliga personuppgifter

föranleder emellertid närmare överväganden. I 13 § första stycket persondatalagen anges att det är förbjudet att behandla personuppgifter som avslöjar

a) ras eller etniskt ursprung,

b) politiska åsikter,

c) religiös eller filosofisk övertygelse,

d) medlemskap i fackförening.

Enligt andra stycket i 13 § är det också förbjudet att behandla personuppgifter som rör hälsa eller sexualliv.

De nu uppräknade kategorierna av uppgifter betecknas med persondatalagens termino-

logi som känsliga (3 § persondatalagen). Det är en självklarhet att ett förbud mot behandling av dessa uppgifter inte kan vara absolut. Inte minst med hänsyn till den enskildes egna intressen måste även känsliga personuppgifter kunna behandlas i vissa fall, t.ex. inom sjukvården. 15—19 §§ i persondatalagen innehåller också en rad undantag från förbudet. Känsliga personuppgifter får enligt dessa lagrum behandlas — efter den enskildes samtycke eller eget offentliggörande av uppgifterna, — när behandlingen är nödvändig i vissa fall, t.ex. för att rättsliga anspråk skall kunna göras gällande, — av ideella organisationer inom deras verksamhet såvitt avser medlemmar och vissa andra personer, — inom hälso- och sjukvården samt — för forskning och statistik.

Dessutom får regeringen eller myndighet som regeringen bestämmer föreskriva ytterligare

undantag från förbudet mot behandling av känsliga personuppgifter, om det behövs med hänsyn till ett allmänt intresse.

Resultaten från de medicinska och psykologiska undersökningar som föregår ett beslut om inskrivning av den totalförsvarspliktige utgör det viktigaste underlaget vid bedömningen av hans eller hennes tjänstbarhet. Även uppgifter om religiös eller filosofisk övertygelse tillhör sådant som Pliktverket i vissa fall behöver för att få underlag för beslut om hur den enskilde skall användas inom totalförsvaret. En allvarlig personlig övertygelse rörande bruk av vapen kan t.ex. grunda en rätt till vapenfri tjänstgöring och en anslutning till den religiösa sekten Jehovas vittnen kan innebära att den totalförsvarspliktige tills vidare inte skall kallas till mönstring (se 3 kap. 16 § och 10 kap. 8 § 2 lagen om totalförsvarsplikt samt 7 kap. 3 § förordningen om totalförsvarsplikt). Dessutom kan det förekomma att andra känsliga uppgifter åberopas av den enskilde själv som skäl för befrielse från tjänstgöring eller för särskild typ av tjänstgöring.

De undantag från förbudet mot behandling av känsliga personuppgifter som anges i

persondatalagen omfattar inte Pliktverkets verksamhet i nu aktuellt avseende. Inte heller kan bestämmelser i andra författningar om att myndigheter och de totalförsvarspliktiga själva skall

lämna känsliga uppgifter till Pliktverket, anses innebära att Pliktverket också har rätt att vidta åtgärder med uppgifterna i strid med persondatalagens förbud. Här är det viktigt att hålla i

minnet att vad persondatalagen förbjuder inte är all sorts behandling av känsliga personuppgifter utan — vilket följer av lagens tillämpningsområde — behandling som helt eller delvis är automatisk samt även annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register. Pliktverket har således rätt att behandla känsliga uppgifter manuellt, förutom genom att registrera dem, utan särskilda föreskrifter om undantag från persondatalagens förbud.

Pliktverket behöver emellertid kunna registrera känsliga personuppgifter med hjälp av

ADB och i viss utsträckning även i övrigt kunna behandla dem med automatik. Vi föreslår därför att en bestämmelse tas in i lagen om behandling av personuppgifter om totalförsvarspliktiga som generellt medger Pliktverket att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till de ändamål som anges i lagen. Eftersom det inte går att förutse vilka uppgifter den enskilde själv kan komma att åberopa bör undantaget inte begränsas till vissa känsliga uppgifter.

Förbudet mot behandling av känsliga personuppgifter medför problem också för de myn-

digheter och andra organ som kan utföra annan mindre omfattande utredning än mönstring. (Se 2 kap. 1 § lagen om totalförsvarsplikt och 4 kap. 5 § andra stycket förordningen om totalförsvarsplikt samt avsnitt 7.2.2, ovan.) Även om en sådan utredning inte skall vara mer omfattande än vad som behövs för att den totalförsvarspliktiges förutsättningar att fullgöra civilplikt i en viss befattning skall kunna bedömas, utgör uppgifter om hälsotillstånd en del av det underlag som behövs. Det torde vara i det närmaste omöjligt att hantera uppgifterna utan att föra in dem i någon typ av — i vart fall manuellt — register och även om uppgifterna i dag vidarebefordras till Pliktverket per brev, är det rimligt att anta att försändelserna i en nära framtid kommer att ske i elektronisk form.

Det finns alltså ett behov av bestämmelser som ger de aktuella myndigheterna rätt att

behandla känsliga personuppgifter. Det kan med visst fog invändas att den lag vi föreslår endast bör vara tillämplig på Pliktverkets verksamhet och att de avvikelser från persondatalagen som är motiverade för andras verksamhet bör undersökas särskilt och tas in i andra författningar. De mindre omfattande utredningarna tjänar emellertid samma syften som Pliktverkets egen utredningsverksamhet och är mycket nära förknippade med denna på sådant sätt att överenskommelser myndigheterna emellan om samordning ofta är nödvändig. Praktiskt går det inte sällan till så att en myndighet först ber Pliktverket om ett underlag som omfattar vissa uppgifter, varefter myndigheten själv kompletterar uppgifterna genom frågor till den totalförsvarspliktige. Underlaget tillställs därefter Pliktverket tillsammans med en begäran om

att den totalförsvarspliktige skall skrivas in. Pliktverkets och den andra myndighetens åtgärder kan därmed sägas vara förenade i samma utredningsärende. De undantag från persondatalagens bestämmelser som ärendet motiverar kan enligt vår uppfattning därför med fördel ges i samma författning, på samma sätt som reglerna för utredningar om den totalförsvarspliktiges förhållanden, för såväl Pliktverket som andra myndigheters vidkommande, ges i lagen om totalförsvarsplikt (och i förordningen därom). Vi föreslår att bestämmelser som ger de aktuella myndigheterna m.fl. rätt att behandla känsliga personuppgifter tas in i lagen om behandling av personuppgifter om totalförsvarspliktiga. I lagtexten bör markeras att detta är ett undantag från lagens tillämpningsområde i övrigt, och — vilket är en mycket viktig begränsning — att undantaget från persondatalagens förbud mot behandling av känsliga personuppgifter för de berörda myndigheterna endast gäller i deras verksamhet för att utreda totalförsvarspliktigas förhållanden som sker med stöd av bestämmelserna i lagen om totalförsvarsplikt.

Känsliga personuppgifter skall också kunna kommuniceras mellan Pliktverket och de en-

heter inom totalförsvaret som är ansvariga för pliktpersonalens utbildning. Pliktverket skall tillställa den utbildningsansvarige uppgifter om den enskildes hälsa i samband med att denne rycker in till grundutbildning. Efter avslutad grundutbildning skall Pliktverket få tillbaka uppgifterna, med eventuella tillägg som införts i den enskildes journal. Enligt 18 § andra stycket persondatalagen får den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt alltid behandla känsliga personuppgifter. En förbandsläkare (motsvarande) är underkastad förbud att röja uppgifter om enskilds hälsotillstånd och andra personliga förhållanden i enlighet med sekretesslagens föreskrifter (7 kap. 1 och 3 §§), och får därmed enligt den föreslagna persondatalagenbehandla de aktuella uppgifterna. Så länge det är hälso- och sjukvårdspersonal som behandlar känsliga personuppgifter hos den utbildningsansvarige behövs sålunda inte några särskilda bestämmelser som ger tillåtelse till behandlingen. Hos den utbildningsansvarige torde härutöver endast de som tar befattning med det grundutbildningskort som översänds i samband med inryckningen ha ett behov av att behandla känsliga personuppgifter (se ovan avsnitt 8.4.4). I grundutbildningskortet förekommer sifferkoder som anger hälsa och psykisk funktionsförmåga. Det torde redan nu finnas ett behov för den utbildningsansvarige att behandla grundutbildningskortet genom att ordna in det i någon form av register och det kan förutses bli vanligt att uppgifterna skickas elektroniskt från Pliktverket till den utbildningsansvarige. Skulle det anses nödvändigt med särskilda bestämmelser som anger att utbildningsansvariga enheter inom försvaret får behandla känsliga personuppgifter, bör dessa ges i annan författning än i lagen om behandling av personuppgifter om totalförsvarspliktiga. Det är här frågan om behandlingsåtgärder som behöver kunna utföras av Pliktverkets ”kunder”, sedan dessa tagit emot uppgifterna från Pliktverket. De bestämmelser som kan vara nödvändiga bör övervägas särskilt. Vårt uppdrag omfattar inte en sådan översyn, men vi vill framhålla att en översyn kan bli nödvändig i och med att användandet av datakommunikation ökar. En lösning som kan visa sig lämplig är att regeringen, med stöd av 20 § persondatalagen, ger en generell föreskrift om att behandling av känsliga personuppgifter är tillåten i verksamhet som avser utbildning av personal inom totalförsvaret.

11.4 Skydd för uppgifterna

Bedömning: Persondatalagsförslagets allmänna bestämmelser om skyddsåtgärder och om att

Datainspektionen kan meddela närmare skyddsföreskrifter skall gälla även vid behandling av personuppgifter om totalförsvarspliktiga. Ytterligare föreskrifter i lag eller förordning om skydd för uppgifterna är inte påkallade.

Bakgrund: Enligt 31 § i förslaget till persondatalag skall den persondataansvarige vidta

lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

a) de tekniska möjligheter som finns,

b) vad det skulle kosta att genomföra åtgärderna,

c) de särskilda risker som finns med behandlingen av personuppgifterna och

d) hur pass känsliga de behandlade personuppgifterna är.

Tillsynsmyndigheten får enligt 32 § besluta om vilka skyddsåtgärder som den persondataansvarige skall vidta. Tillsynsmyndighetens beslut kan förenas med vite (47 § persondatalagen).

Överväganden: Pliktverket behandlar en stor mängd personuppgifter, i betydande delar av

känslig karaktär. Kraven på skydd för uppgifterna måste därför ställas högt. Personliga kort med tillhörande koder för varje befattningshavare, som ger åtkomst endast till de uppgifter som han eller hon får behandla och logg-in system där användaren kan spåras, jämte skydd mot intrång utifrån genom kryptering vid överföring av uppgifter mellan regionkontoren, är exempel på sådana åtgärder som framstår som absolut nödvändiga. Den kunskap som krävs för att avgöra vad som är en rimlig skyddsnivå med hänsyn till befintlig teknik och kostnader finns hos Datainspektionen. Den lösning som anvisas i förslaget till persondatalag är därför enligt vår uppfattning den lämpligaste också när det gäller Pliktverkets verksamhet. Härtill kommer att den snabba tekniska utvecklingen medför att det framstår som olämpligt att i lag eller förordning binda Pliktverket vid en viss metod.

Vi föreslår sålunda inga avvikelser från persondatalagen i denna del. Vi har vid detta

ställningstagande förutsatt att Datainspektionen utnyttjar sina möjligheter och ger säkerhetsföreskrifter för Pliktverkets behandling av personuppgifter om totalförsvarspliktiga.

11.5 Information till den registrerade och rättelse av felaktigt behandlade uppgifter

Bedömning: Den föreslagna persondatalagens bestämmelser om den persondataansvariges

informationsplikt är tillräckliga. Några ytterligare föreskrifter för Pliktverkets behandling av personuppgifter om totalförsvarspliktiga behövs inte i detta avseende.

Förslag: Persondatalagens bestämmelser om den persondataansvariges skyldighet att på

begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man till vilken uppgifterna har lämnats ut om sådana åtgärder, skall gälla även då personuppgifter behandlats i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som utfärdats med stöd av den lagen.

Bakgrund: Bestämmelser om vilken information den registrerade har rätt till då person-

uppgifter beträffande honom eller henne behandlas ges i 23—27 §§ i förslaget till persondatalag. När uppgifter om en person samlas in från denne själv skall den persondataansvarige alltid självmant lämna information om behandlingen. Om personuppgifter samlas in från någon annan skall information lämnas när uppgifterna antecknas eller — om uppgifterna är avsedda att lämnas ut till tredje man — när de lämnas ut för första gången. Om uppgifterna har samlats in från annan än den registrerade behöver dock inte information lämnas om det finns bestämmelser om registrerandet eller om utlämnandet av uppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas om det visar sig omöjligt eller skulle innebära en oproportionerligt stor ansträngning för den persondataansvarige. I de sist nämnda fallen skall information i stället lämnas senast i samband med att uppgifterna används för att vidta åtgärder beträffande den registrerade.Den information som skall lämnas till den registrerade är enligt 25 § persondatalagen

a) uppgift om den persondataansvariges identitet,

c) all övrig information som behövs för att den registrerade skall kunna ta tillvara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information.

Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Den persondataansvarige är vidare skyldig att efter skriftlig ansökan lämna information,

gratis en gång per kalenderår, om huruvida personuppgifter som rör sökanden behandlas eller inte. Behandlas uppgifter om honom eller henne skall information också lämnas om

a) vilka uppgifter som behandlas

b) varifrån dessa uppgifter hämtats

c) ändamålen med behandlingen och

d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

Regeringen eller myndighet som regeringen bestämmer (Datainspektionen) får enligt 51 § persondatalagen meddela närmare föreskrifter om vilken information som skall lämnas till den registrerade och hur detta skall gå till.

Bestämmelser om sekretess gäller före persondatalagens föreskrifter om informations-

skyldighet och kan hindra att uppgifter lämnas ut till den registrerade (27 § persondatalagen).

Enligt 28 § persondatalagen är den persondataansvarige skyldig att på begäran av den

registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen eller föreskrifter som utfärdats med stöd av den. (Blockering = varje åtgärd som kan vidtas för att personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen — se 3 § persondatalagen) Den persondataansvarige skall vidare, under vissa förutsättningar, också underrätta dem till vilka uppgifterna har lämnats ut om åtgärden.

Överväganden: För Pliktverkets del innebär reglerna om information till den registrerade

bl.a. att sådan självmant skall lämnas vid mönstringen och vid motsvarande utredningar, där den totalförsvarspliktige själv lämnar uppgifterna till Pliktverket. Det torde inte vara förenat med några större svårigheter eller orimliga ansträngningar att t.ex. ordna det så att den mönstrande inför mönstringsförrättningen får den i förslaget till persondatalag föreskrivna informationen. Det torde inte vara tillräckligt att information lämnas först i samband med beslutet om inskrivning, dvs. efter det att uppgifterna samlats in och redan behandlats till viss del. Det kan vara lämpligt att Datainspektionen ger närmare föreskrifter om hur Pliktverket skall uppfylla sin informationsskyldighet.

Information om behandling av personuppgifter som Pliktverket hämtat från annan myn-

dighet eller annat organ behöver inte ges till den registrerade om det framgår av lag eller förordning att dessa uppgifter skall lämnas ut till Pliktverket. Detta undantag från informationsskyldigheten följer av 24 § andra stycket i förslaget till persondatalag, som i sin tur grundar sig på artikel 11 p. 2 i EG-direktivet, där det också anges att medlemsstaterna skall föreskriva lämpliga skyddsåtgärder, bl.a. när denna undantagsregel är tillämplig. Datalagskommittén har uttalat (Datalagskommittén, avsnitt 12.7.2.4) att när det finns bestämmelser om registrering eller utlämnande i en författning, torde det också finnas mekanismer eller föreskrifter som förhindrar missbruk och som får anses vara tillräckliga för att uppfylla direktivets krav på lämpliga skyddsåtgärder. Enligt vår bedömning innebär de föreskrifter som finns om utlämnande av uppgifter till Pliktverket, tillsammans med vad som följer av vårt förslag om de ändamål för vilka dessa uppgifter får behandlas, ett tillräckligt skydd mot missbruk.

Sammantaget anser vi att det saknas skäl att göra undantag, vare sig genom utvidgning

eller genom inskränkning, från den informationsskyldighet gentemot den registrerade som föreskrivs i persondatalagen.

Reglerna i persondatalagen om rätt för den registrerade att få personuppgifter rättade,

blockerade eller utplånade gäller enligt 28 § endast uppgifter som inte behandlats i enlighet

med persondatalagen eller föreskrifter som meddelats med stöd av den lagen. Uppgifter som behandlats i strid mot föreskrifter i särskilda registerförfattningar omfattas sålunda inte om inte behandlingen också strider mot persondatalagen eller mot föreskrifter som meddelats med stöd av denna. Enligt vår uppfattning saknas skäl till att göra någon skillnad härvidlag. Den registrerade bör ha samma möjlighet att få personuppgifter rättade eller korrigerade på annat sätt om behandlingen strider mot bestämmelserna i en särskild registerförfattning som i andra fall. För att detta skall uppnås krävs, att det i lagen om behandling av personuppgifter om totalförsvarspliktiga tas in en bestämmelse om att persondatalagens regler i denna del gäller även då uppgifterna har behandlats i strid med förstnämnda lag eller föreskrifter som utfärdats med stöd av den lagen.

Det skall anmärkas att den persondataansvarige torde ha rätt att välja lämplig korrigerings-

metod (Datalagskommittén, avsnitt 12.8.2.3). Enligt Datalagskommitténs tolkning av EGdirektivet bör den persondataansvarige också kunna välja andra åtgärder för att ”läka” brott mot vissa föreskrifter (Datalagskommittén, avsnitt 12.8.2.1). Har personuppgifter behandlats utan att en nödvändig anmälan till tillsynsmyndigheten gjorts (se nedan, avsnitt 11.7.1), bör den persondataansvarige kunna undvika ”rättelse, utplånande eller blockering” av uppgifterna genom att skyndsamt lämna in en anmälan. På motsvarande sätt bör man, enligt Datalagskommittén, kunna resonera när personuppgifter har behandlats i strid med de bestämmelser som finns om en lämplig säkerhetsnivå vid behandlingen eller om den information om behandlingen som skall lämnas till den registrerade.

Det bör i sammanhanget uppmärksammas att den persondataansvarige har ett eget ansvar

enligt persondatalagen (9 § första stycket h), att tillse att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen.

11.6 Ansvaret för behandlingen

Förslag: Pliktverket skall vara persondataansvarigt för de behandlingar av personuppgifter om

totalförsvarspliktiga som verket utför. Pliktverket skall inte ansvara för behandling som annan utför innan Pliktverket mottagit uppgifterna eller sedan uppgifterna lämnats ut.

Bakgrund: Persondataansvarig är enligt den definition som ges i förslaget till persondata-

lag den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter (3 §). Av definitionen följer att fler än en person kan vara ansvarig för en behandlingsåtgärd. Persondataansvaret innebär:

1. Skyldighet för den persondataansvarige att se till (9 § första stycket):

a) att personuppgifter bara behandlas när det är lagligt, särskilt att samtycke inhämtas när så krävs,

b) att personuppgifter alltid behandlas på ett korrekt sätt,

c) att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

d) att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

e) att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

f) att inte flera personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

g) att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i) att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

2. Den persondataansvarige skall lämna information till den registrerade om behandlingen (23—27 §§). (Se ovan, avsnitt 11.5.)

3. Den persondataansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med persondatalagen (28 §). (Se ovan, avsnitt 11.5.)

4. Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §). (Se ovan, avsnitt 11.4.)

5. Den persondataansvarige skall enligt huvudregeln anmäla all automatisk behandling av personuppgifter till Datainspektionen (36 §). (Se nedan, avsnitt 11.7.1.)

6. Den persondataansvarige skall ersätta den registrerade för den skada en lagstridig behandling av personuppgifter fört med sig (43 §). (Se nedan, avsnitt 15.1.)

Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.2.6) bör huvudregeln vara att endast fysiska personer, juridiska personer, utländska filialer eller myndigheter i Sverige skall kunna betraktas som persondataansvariga, inte några andra organ som saknar rättskapacitet.

Den persondataansvarige kan anlita någon som utför behandlingen av personuppgifter

för hans eller hennes räkning. Denne är då att betrakta som persondatabiträde (3 § persondatalagen). I dessa situationer skall det, enligt 30 § andra stycket persondatalagen, upprättas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I avtalet skall det särskilt föreskrivas att persondatabiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den persondataansvarige och att persondatabiträdet är skyldigt att vidta de skyddsåtgärder som följer av persondatalagen (se ovan, avsnitt 11.4). En persondataansvarig som anlitar ett persondatabiträde skall förvissa sig om att biträdet kan genomföra de säkerhetsåtgärder som måste vidtas och också se till att denne verkligen vidtar åtgärderna (31 § persondatalagen).

Överväganden: Ändamålen med Pliktverkets behandling av personuppgifter bestäms en-

ligt vårt förslag i en särskild lag om behandling av personuppgifter om totalförsvarspliktiga. I de fall behandling av personuppgifter inom viss verksamhet regleras i en särskild författning, bör också den persondataansvarige pekas ut där. Definitionen i förslaget till persondatalag av vem som är ansvarig — den som bestämmer ändamålen och medlen — kan annars leda tanken fel. EG-direktivet tillåter att den persondataansvarige anges i en nationell författning när ändamål och medel för behandling av personuppgifter också bestäms på det sättet (artikel 2 d).

Vid behandling av personuppgifter i Pliktverkets verksamhet är det självklart Pliktverket

som skall bära persondataansvaret. Någon annan som kan fullgöra de skyldigheter som följer med detta ansvar finns inte. Ansvaret kan emellertid endast omfatta Pliktverkets egen behand-

ling av personuppgifter. De myndigheter och andra som lämnar uppgifter till Pliktverket ansvarar för behandlingen till dess att uppgiften är överlämnad. På samma sätt är de organ inom totalförsvaret som erhåller uppgifter från Pliktverket ansvariga för sin behandling från det att de tagit emot uppgiften. I lagen bör därför anges att Pliktverket är persondataansvarigt för den behandling av personuppgifter om totalförsvarspliktiga som verket utför. Pliktverket skall alltså inte anses ansvarigt för sådan behandling av personuppgifterna som utförs av någon annan. Vare sig de som lämnar uppgifter till Pliktverket eller de som får uppgifter därifrån intar ställning som uppdragstagare (persondatabiträden) till Pliktverket. Det är inte Pliktverket som fastställer ändamål och medel för dessa myndigheters och andra organs behandling av uppgifterna.

Vi får i avsnitt 12.3 anledning att ta upp frågan om vissa organ skall ges möjlighet att

lämna personuppgifter till Pliktverket genom att lägga in dem direkt i Pliktverkets register över totalförsvarspliktiga. Den som förfar på detta sätt har självfallet ett ansvar för att uppgiften är korrekt. När uppgiften är införd i registret ”behandlar” Pliktverket uppgiften genom att lagra den och har då också — i enlighet med den bestämmelse vi nyss föreslagit — ett persondataansvar vid den behandlingen. Detta förefaller rimligt eftersom Pliktverket har de praktiska möjligheterna att korrigera uppgiften, bevaka att den inte bevaras längre än nödvändigt, lämna information till den registrerade på begäran m.m. Pliktverkets ansvar i denna situation fråntar emellertid inte uppgiftslämnaren dennes ansvar. Denne har alltjämt en skyldighet att t.ex. skydda uppgifterna vid behandlingen vid sin egen terminal, vidta åtgärder för att rätta dem om det framkommer att de är felaktiga m.m. Detta behöver emellertid inte uttryckas särskilt i lagtexten. Bestämmelsen om att Pliktverket bär persondataansvaret för sina behandlingsåtgärder, syftar till att klarlägga att ingen annan ansvarar för vad Pliktverket gör med uppgifterna och att en registrerad alltid skall kunna vända sig till Pliktverket för att få information och för att få felaktigheter rättade m.m., såvitt avser uppgifter som Pliktverket behandlar. Bestämmelsen utesluter emellertid inte att annan bär ett ansvar för sin behandling av samma uppgift.

11.7 Anmälan och tillsyn

Förslag: Pliktverkets behandling av personuppgifter om totalförsvarspliktiga skall vara under-

kastad Datainspektionens tillsyn. Datainspektionen får dock inte förbjuda Pliktverket att behandla personuppgifter om totalförsvarspliktiga.

11.7.1 Anmälan till Datainspektionen

Bakgrund: Införandet av EG-direktivet i svensk rätt innebär bl.a. att nuvarande system med

obligatoriska licenser och tillstånd för ADB-baserade personregister ersätts med en ordning där behandling av personuppgifter inte kräver annat än en anmälan till Datainspektionen. Den persondataansvarige måste givetvis följa de föreskrifter om behandling av personuppgifter som ges i lagar och förordningar samt av Datainspektionen, men något formellt tillstånd för verksamheten behövs inte.

EG-direktivet föreskriver skyldighet för den persondataansvarige att före genomförandet

av en behandling, eller en serie behandlingar, som helt eller delvis företas på automatisk väg och som har samma eller flera närbesläktade ändamål underrätta tillsynsmyndigheten, dvs. — för svenskt vidkommande — Datainspektionen (artikel 18). Direktivet ger dock medlemsstaterna vissa möjligheter att föreskriva undantag från anmälningsplikten. Datalagskommittén, som i sitt betänkande argumenterar för att skyldigheten att anmäla behandlingar till Datainspektionen skall begränsas till ett minimum (Datalagskommittén, avsnitt 12.12), ger i sitt förslag till persondatalag stort utrymme för sådana undantag. Persondatalagens bestämmelser

om anmälningsskyldighet återfinns i 36—42 §§. Här föreskrivs som huvudregel att behandling av personuppgifter som är helt eller delvis automatisk skall anmälas skriftligen till tillsynsmyndigheten (fortsättningsvis Datainspektionen). Icke automatisk behandling av personuppgifter skall inte anmälas. Den persondataansvarige kan undgå anmälningsskyldighet även för automatiska behandlingar om han utser ett persondataombud och offentliggör vem det är. Persondataombudet skall se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne. Har persondataombudet anledning att misstänka att den persondataansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall persondataombudet anmäla förhållandet till Datainspektionen. Persondataombudet skall även i övrigt samråda med Datainspektionen vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas samt hjälpa registrerade personer att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Regeringen eller Datainspektionen (efter regeringens bemyndigande) får föreskriva ytterli-

gare undantag från anmälningsskyldigheten, bl.a. för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Datalagskommittén anger som exempel på vad som bör kunna undantas från anmälningsskyldighet genom föreskrifter som meddelas med stöd av denna bestämmelse sådana behandlingar som i dag endast omfattas av Datainspektionens generella föreskrifter eller föreskrifter om ett förenklat ansökningsförfarande (Datalagskommittén, avsnitt 12.12.2.3).

I de fall anmälan till Datainspektionen skall ske, ankommer det enligt 51 § f persondata-

lagen på regeringen eller myndighet som regeringen bestämmer (Datainspektionen) att meddela närmare föreskrifter om anmälan och om förfarandet när anmälda uppgifter ändras.

Enligt EG-direktivet (artikel 19) skall en anmälan till en tillsynsmyndighet åtminstone

innehålla

a) den persondataansvariges (registeransvariges) och dennes eventuella företrädares namn och adress,

b) ändamålen med behandlingen,

c) en beskrivning av den eller de kategorier av registrerade som berörs och de uppgifter eller kategorier av uppgifter som hänför sig till dem,

d) mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut,

e) föreslagna överföringar av uppgifter till tredje land,

f) en allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av de åtgärder som vidtagits för att trygga säkerheten i behandlingen.

Överväganden: Att behandlingen av personuppgifter om totalförsvarspliktiga, enligt vårt

förslag, regleras i en särskild lag kan användas som ett argument för att Pliktverket skall befrias från skyldigheten att anmäla automatiska behandlingar till Datainspektionen. I denna lag regleras behandlingen av personuppgifterna relativt noggrant och eftersom verksamheten inte omfattas av EG-direktivet finns det möjlighet att föreskriva undantag från anmälningsskyldigheten oavsett hur bestämmelserna i persondatalagen tolkas. En anmälan av Pliktverkets behandlingsåtgärder till Datainspektionen kan tjäna det syftet att vissa uppgifter om verksamheten, som inte framgår av lagen om behandling av personuppgifter om totalförsvarspliktiga, görs tillgängliga för såväl Datainspektionen som för allmänheten. Det gäller (enligt vad som följer av EG-direktivet om vad en anmälan skall innehålla) adressen till den persondataansvarige, uppgifter om kategorier av mottagare av personuppgifterna och en allmän beskrivning av de säkerhetsåtgärder som vidtagits. (Härutöver kan regeringen eller Datainspektionen utfärda generella föreskrifter om att en anmälan skall innehålla ytterligare uppgifter). Allmänhetens

intresse av information tillgodoses emellertid även om Pliktverkets behandling undantas från anmälningsskyldighet. Enligt 42 § i förslaget till persondatalag skall nämligen den persondataansvarige, till var och en som begär det, skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar av personuppgifter som inte anmälts till Datainspektionen. Upplysningarna skall omfatta det som en anmälan annars skulle ha omfattat. Fördelarna med att Pliktverket lämnar in en anmälan till Datainspektionen synes därmed små. Ett sådant konstaterande utgör dock inte tillräckligt skäl för att persondatalagens huvudregel om anmälningsskyldighet skall frångås. Förutom den fördelen att Datainspektionen utan anmaning därom får uppgifter om Pliktverkets behandling av personuppgifter, torde en anmälningsskyldighet innebära ett incitament för Pliktverket att utse ett persondataombud. Om Pliktverket väljer att utse ett persondataombud bortfaller anmälningsskyldigheten, men persondataombudet skall föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle omfattats av anmälningsskyldighet om ombudet inte funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan skulle ha innehållit (39 § persondatalagen). Persondataombudet får — i enlighet med vad som beskrivits ovan — ställning som länk mellan Datainspektionen och Pliktverket och även mellan Pliktverket och de registrerade, vilket framstår som ett lämpligt sätt att samla kompetens i frågor som rör Pliktverkets behandling av personuppgifter om totalförsvarspliktiga. Enligt EG-direktivet skall ett persondataombud ”på ett oberoende sätt” kunna kontrollera den persondataansvarige. Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.12.2.4) kan persondataombudet vara anställd hos den persondataansvarige men får inte inneha en ”alltför underordnad ställning” med hänsyn till de krav på självständighet som måste ställas.

Det ankommer på Pliktverket att avgöra om persondataombud skall utses eller inte. En

sådan ordning framstår emellertid som fördelaktig såväl för Pliktverket som för de registrerade.

11.7.2 Datainspektionens tillsyn och befogenheter

Bakgrund: Artikel 28 i EG-direktivet föreskriver att det skall finnas en eller flera nationella

tillsynsmyndigheter som har till uppgift att inom varje medlemsstats territorium övervaka de bestämmelser som medlemsstaterna antar till följd av direktivet. Regeringen har genom beslut den 18 januari 1996 (Dnr. Ju 96/176) utsett Datainspektionen till tillsynsmyndighet. Datalagskommittén har föreslagit att reglerna om Datainspektionens uppgifter förs in i myndighetens instruktion och att det i persondatalagen bara tas in bestämmelser om inspektionens befogenheter i samband med tillsynsverksamheten (Datalagskommittén, avsnitt 12.14.1.3).

I förslaget till persondatalag föreskrivs rätt för Datainspektionen att för sin tillsyn på

begäran få tillgång till de uppgifter som behandlas, upplysningar och dokumentation rörande behandlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter (45 §). Om Datainspektionen inte efter sådan begäran kan få tillräckligt underlag för att konstatera att behandlingen är laglig, får myndigheten vid vite förbjuda den persondataansvarige att behandla personuppgifter på annat sätt än genom att lagra dem (46 §). Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, får myndigheten vid vite förbjuda den persondataansvarige att fortsätta behandla personuppgifterna på ett annat sätt än att lagra dem (47 §). Datainspektionen får också hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som behandlats på ett olagligt sätt skall utplånas. Beslut om utplånande får inte meddelas om det är oskäligt (49 §). Datainspektionens beslut i tillsyns-

verksamheten får överklagas hos allmän förvaltningsdomstol. För att ett överklagande skall tas upp av kammarrätt krävs prövningstillstånd (50 §).

Datainspektionens möjligheter att meddela föreskrifter i olika avseenden, t.ex. säkerhets-

föreskrifter har redovisats ovan. För en sammanställning se avsnitt 6.7.

Överväganden: Vi har ovan utgått från att Datainspektionen skall utöva tillsyn över Plikt-

verkets behandling av personuppgifter om totalförsvarspliktiga (se bl.a. avsnitt 9.1.5). Så är fallet i dag och något bärande skäl att i framtiden undanta denna verksamhet från Datainspektionens kontroll kan vi inte finna.

Enligt gällande datalag har Datainspektionen vid sin tillsyn rätt att erhålla tillträde till

lokaler där ADB ”utföres”, att få tillgång till handlingar som rör ADB och föranstalta om ”körning av datamaskin”. Vidare skall den registeransvarige lämna de uppgifter rörande ADB som Datainspektionen begär för sin tillsyn (16 och 17 §§datalagen). Inspektionens rättigheter enligt datalagen är alltså i stort sett desamma som föreskrivs i förslaget till persondatalag. Vad gäller Datainspektionens befogenheter föreligger viss skillnad mellan gällande ordning och vad som föreslagits av Datalagskommittén. Om förandet av personregister lett till otillbörligt intrång i personlig integritet eller det finns anledning att anta att sådant intrång kan uppkomma, får Datainspektionen i dag, enligt 18 § första stycket datalagen, meddela olika typer av föreskrifter för registret (se 6 § datalagen ang. vilka föreskrifter som kan meddelas). Om inte integritetsskydd kan åstadkommas på annat sätt får Datainspektionen förbjuda fortsatt förande av personregistret eller återkalla meddelat tillstånd (18 § andra stycket datalagen). Datainspektionens föreskrifter och förbud får förenas med vite (18 § tredje stycket datalagen). När ett register förs i strid mot ett meddelat förbud skall det förklaras förverkat om inte en sådan åtgärd framstår som uppenbart obillig (22 § datalagen). Skillnaderna mellan ”förbud mot fortsatt förande av registret” och ett ”förbud mot behandling av personuppgifterna på annat sätt än att lagra dem” förefaller marginell, liksom skillnaden mellan ett beslut om ”förverkande av registret” och ett som innebär att personuppgifterna skall ”utplånas”. Datalagen och persondatalagen skiljer sig emellertid åt vad gäller Datainspektionens möjligheter att ingripa mot de sk. statsmaktsregistren. Enligt datalagen får Datainspektionen meddela föreskrifter för statsmaktsregistren endast i den mån det inte står i strid med beslut av regeringen eller riksdagen. Datainspektionen får aldrig förbjuda fortsatt förande av ett statsmaktsregister. Om Datainspektionen anser att en av riksdagen eller regeringen beslutad föreskrift bör ändras eller att statsmaktsregistret inte längre bör föras, har inspektionen att göra en framställning om detta (se prop. 1973:33 s. 144). I förslaget till persondatalag görs ingen skillnad på behandlingar av personuppgifter som beslutats av statsmakterna och andra. Datainspektionens befogenheter är desamma oavsett vem som beslutat att verksamheten skall förekomma. De inskränkningar som för närvarande finns i Datainspektionens befogenheter vad gäller statsmaktsregistren bottnar i att det inte ansetts lämpligt att inspektionen kan överpröva statsmakternas beslut (se prop. 1973:33 s. 93 ff.).

Vi anser inte att en generell bestämmelse om att Datainspektionen inte får meddela före-

skrifter som står i strid med vad statsmakterna beslutat är nödvändig. Om Datainspektionen finner missförhållanden som endast kan rättas till genom ändringar i statsmakternas beslut, bör inspektionen — som i dag — vara hänvisad till att göra framställningar till regeringen om detta.

Pliktverkets registrering och övriga behandling av personuppgifter om totalförsvarspliktiga

är nödvändig för att totalförsvarets personalförsörjning skall klaras. Det är inte rimligt att Datainspektionen skall ha möjlighet att förbjuda behandling av personuppgifter i en statlig verksamhet av sådan vikt, även om inspektionen skulle finna att uppgifterna behandlades på ett olagligt sätt. Det förefaller inte troligt att ett behov skulle uppkomma för Datainspektionen

att förbjuda Pliktverket att behandla personuppgifter. En sådan åtgärd förutsätter i praktiken dels att Pliktverket behandlat uppgifterna på ett olagligt sätt, dels att verket inte rättat sig efter påpekanden från Datainspektionen. Med tanke på den betydelse Pliktverkets behandling av personuppgifter har för Sveriges totalförsvar anser vi dock att lagstiftningen inte ens bör ge Datainspektionen möjlighet att stoppa verksamheten. Vi föreslår därför en undantagsbestämmelse av det innehållet i lagen om behandling av personuppgifter om totalförsvarspliktiga. Ett sådant undantag avviker i från vad EG-direktivet föreskriver, vilket också är möjligt för en verksamhet som rör totalförsvaret — dvs. för en verksamhet som inte omfattas av direktivet.

Datainspektionens möjligheter att hos länsrätten ansöka om utplåning av uppgifter som

behandlats på ett olagligt sätt bör gälla även för uppgifter om totalförsvarspliktiga. Skulle det vara fråga om utplåning av uppgifter av sådan omfattning eller karaktär att totalförsvaret är hotat som verksamhet, torde ett beslut om utplåning anses som oskäligt och därför inte komma att meddelas (se 49 § andra stycket persondatalagen).

Slutligen bör det uppmärksammas att Datainspektionens befogenheter enligt persondata-

lagen gäller vid all olaglig behandling av personuppgifter och inte bara vid behandling i strid med persondatalagens bestämmelser. Sålunda omfattas — till skillnad mot vad som gäller för den enskildes möjligheter att få felaktigt behandlade uppgifter korrigerade — även behandling som i och för sig överensstämmer med vad persondatalagen föreskriver men står i strid med bestämmelser i en särskild registerförfattning (jfr avsnitt 11.5 ovan).

11.8 Övriga bestämmelser i persondatalagen

Överväganden som rör bevarande och gallring av personuppgifter, sekretess, sanktioner (straff och skadestånd) samt övergångsbestämmelser, redovisas nedan i kap. 13—16.

Förslaget till persondatalag innehåller utöver vad som ovan redovisats i detta kapitel och

utöver vad som vi enligt förra stycket återkommer till, spridda bestämmelser om behandling av personuppgifter som vi inte funnit anledning att gå in på närmare, antingen därför att de inte berör Pliktverkets verksamhet eller därför att det saknas anledning att överväga undantag för Pliktverkets del. För fullständigheten redovisas här vilka bestämmelser i persondatalagen detta gäller:

11 § Förbud mot direkt marknadsföring Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring sedan den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

12 § Rätt att återkalla samtycke till behandling I de fall där behandling av personuppgifter bara är tillåten efter samtycke har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Därefter får ytterligare personuppgifter om den registrerade inte behandlas. En registrerad har inte utöver vad som nu sagts och vad som följer av 11 § rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt persondatalagen.

29 § Rätt att slippa automatiserade beslut Ett beslut som har rättsliga följder för en fysisk person eller annars märkbart påverkar denne får grundas enbart på automatisk behandling av personuppgifter, vilka är avsedda att bedöma egenskaper hos den berörda personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat på manuell väg.

I kommissionens förklaring till artikel 15.1 i EG-direktivet, som ligger till grund för denna

bestämmelse i persondatalagen, framhålls att det skall vara fråga om ett beslut som grundar sig enbart på automatisk databehandling. Det som är förbjudet, enligt Datalagskommittén (Datalagskommittén, avsnitt 3.8), är att slaviskt följa det resultat som har producerats av ett system för automatisk databehandling. Den automatiska databehandlingen kan vara ett stöd vid beslutsfattandet, men behandlingen får inte utgöra slutresultatet utan det måste finnas utrymme för en mänsklig bedömning.

Pliktverkets beslut om inskrivning av totalförsvarspliktiga grundas till stor del på vad som

framkommit vid de i och för sig databaserade undersökningarna av den enskilde, men inslaget av mänsklig bedömning från t.ex. läkare, psykologer och inskrivningsförrättare är betydande. Pliktverkets arbetssätt strider inte mot förbudet mot automatiserade beslut, såvitt framkommit under utredningen.

33—35 §§ Överföring av uppgifter utanför EG Huvudregeln är att det är förbjudet att föra över personuppgifter som behandlas till tredje land, dvs. en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. En rad undantag finns angivna i persondatalagen och såväl regeringen som — om regeringen så bestämmer — Datainspektionen får föreskriva ytterligare undantag.

Något utflöde av personuppgifter från Pliktverket till tredje land förekommer enligt upp-

gift inte i dag. Skulle det utökade internationella samarbetet på det militära eller civila området motivera undantag från persondatalagens bestämmelser finns det utrymme i persondatalagen för regeringen och Datainspektionen att föreskriva sådana undantag (se 35 § persondatalagen).

41 § Obligatorisk anmälan för särskilt integritetskänsliga behandlingar Regeringen får föreskriva att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas för förhandskontroll till tillsynsmyndigheten tre veckor innan behandlingen påbörjas. Sådan anmälan skall ske även om persondataombud utsetts.

Bestämmelsen om anmälan för förhandskontroll innebär att behandlingen inte får sättas i

gång förrän Datainspektionen lämnats tillfälle att kontrollera den. Om Datainspektionen vid sin förhandskontroll kommer fram till att personuppgifter kan komma att behandlas på ett olagligt sätt, kan inspektionen ingripa, ytterst genom att vid vite förbjuda den persondataansvarige att påbörja behandlingen. Enligt Datalagskommittén (Datalagskommittén, avsnitt

12.12.2.5) kan en förhandskontroll sägas ske i samband med att särskilda registerförfattningar

beslutas av riksdagen eller regeringen — eftersom Datainspektionen regelmässigt hörs i samband med att sådana författningar beslutas (Jfr 7 kap. 2 § RF samt prop. 1993/94:217). Vi utgår ifrån att även de förslag som detta utredningsarbete utmynnar i, kommer att tillställas Datainspektionen för synpunkter. Bestämmelser om förhandskontroller förefaller därför inte aktuella vid Pliktverkets behandling av personuppgifter om totalförsvarspliktiga som omfattas av vårt lagförslag.

12. Pliktverkets ADB-register över totalförsvarspliktiga

12.1 Inledning

Den stora mängd personuppgifter som Pliktverket skall behandla i sin verksamhet medför att

ADB måste användas. När registrering av personuppgifter sker med hjälp av ADB uppkommer särskilda risker för intrång i de registrerades personliga integritet. Den som har tillgång till ett ADB-register har i princip obegränsade möjligheter att söka bland uppgifterna och göra sammanställningar av olika slag. Särskilda föreskrifter, som begränsar möjligheterna att anteckna personuppgifter i ADB-register och som skyddar de uppgifter som finns där, är därför motiverade.

12.2 Registerinnehåll

Förslag: I lagen om behandling av personuppgifter om totalförsvarspliktiga anges uttömmande

beträffande vilka personer anteckningar får göras i Pliktverkets ADB-register över totalförsvarspliktiga och vilka typer av personuppgifter som får antecknas.

Personuppgifter skall få antecknas i ADB-register över totalförsvarspliktiga endast beträf-

fande den som är aktuell för mönstring (motsv.), har tagits i anspråk för totalförsvarets räkning genom avtal, beslut om krigsplacering eller på annat sätt, skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret. Dessutom skall vissa uppgifter få antecknas om den som uppgetts som närstående av en redan registrerad, nämns bland uppgifter som åberopats av en registrerad eller fattat beslut, handlagt ärende eller gjort journalanteckning rörande den registrerade.

I 13 punkter anges i lagen vidare de olika typer av personuppgifter som får förekomma i

ADB-register över totalförsvarspliktiga, allt under förutsättning att Pliktverket behöver uppgifterna för de ändamål som fastställts ovan (avsnitt 11.2). Regeringen skall ha möjlighet att föreskriva ytterligare begränsningar av vad som får registreras.

12.2.1 Allmänt om vad som bör få antecknas i ett ADB-register över totalförsvarspliktiga

Bakgrund: Vid uttagning av personal till totalförsvaret är det nödvändigt att den ansvarige —

i första hand Pliktverket — har tillgång till ett omfattande underlag av personuppgifter beträffande de totalförsvarspliktiga. Förutom basuppgifter som namn och adress m.m. måste uppgifter finnas om de enskilda personernas hälsa och förmåga i olika avseenden. Säkerheten kräver t.ex. att kriminellt belastade personer inte ges känsliga befattningar. Pliktverket måste vidare känna till den enskildes egna intressen och önskemål liksom faktiska hinder för hans eller hennes tjänstgöring. (Beträffande den personal som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt — se avsnitt 10.2 ovan — torde det emellertid oftast vara tillräckligt med vissa basuppgifter om namn, personnummer, adress, befattning, kompetens etc.)

Det är lätt att inse att Pliktverkets intresse av att samla in och ordna uppgifter i ADB-

register kan komma i konflikt med den enskildes krav på skydd för den personliga integriteten.

Överväganden: Pliktverkets verksamhet är nödvändig för att de bemanningsansvariga en-

heterna skall erhålla personal som har kapacitet att fullgöra sina uppgifter i krig och andra krissituationer. Verksamheten syftar till att garantera rikets skydd och till att säkra att viktiga samhällsfunktioner upprätthålls även under exceptionella förhållanden. Det kollektiva intresset av att denna verksamhet fungerar är mycket starkt. En utgångspunkt är därför att Pliktverket måste tillåtas behandla de personuppgifter som krävs för att verksamheten skall kunna upprätthållas på en kvalitativt hög nivå. Pliktverket måste också kunna behandla uppgifterna på ett effektivt och funktionellt sätt, vilket innebär — som tidigare nämnts — att uppgifterna måste kunna hanteras automatiskt, i ADB-register. Även för redovisning av totalförsvarspersonal som inte är uttagna med plikt krävs det ADB för att hålla uppgifterna ordnade och aktuella samt för att de snabbt skall kunna tas fram vid behov.

tet skall åsidosättas. Tvärtom är det viktigt att register av det slag som Pliktverket för — register med känsliga uppgifter om en stor del av befolkningen — regleras noggrant vad gäller innehållet. En generell fullmakt till den persondataansvarige att bestämma registerinnehållet kan på sikt resultera i att registret kommer att innehålla uppgifter som inte är nödvändiga men som bedöms vara ”bra att ha”. Så får det inte vara. Visserligen tillåter förslaget till persondatalag inte behandling av fler uppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket f). Denna bestämmelse är emellertid enligt vår mening inte tillräcklig för att det på ett från integritetsskyddssynpunkt säkert sätt skall kunna fastställas, var gränserna går för vad som får registreras av Pliktverket. Vi föreslår därför att det i lagen om behandling av personuppgifter om totalförsvarspliktiga preciseras och i princip uttömmande anges vilka uppgifter — eller kategorier av uppgifter — som får förekomma i Pliktverkets ADB-register över totalförsvarspliktiga. (Detta register planeras bli synonymt med PLIS, dvs. utgöra ett enda register. Det förefaller emellertid olämpligt att i lag nämna registret i bestämd form. I framtiden kan en lösning med flera register komma att väljas.) Det skall återigen framhållas att vi i vårt lagförslag med totalförsvarspliktiga jämställer personer som har en uppgift inom totalförsvaret vid höjd beredskap, utan att deras skyldighet att fullgöra uppgiften grundar sig på totalförsvarsplikt.

Kraven på skydd för uppgifter i ett ADB-register över totalförsvarspliktiga måste självfal-

let vara mycket högt ställda. Att Pliktverkets verksamhet kräver omfattande registrering av personuppgifter medför att skyddet för den enskildes personliga integritet måste tillgodoses genom såväl tekniska åtgärder som legala begränsningar av åtkomsten till uppgifterna. Även försvarssekretessen motiverar ett starkt skydd, t.ex. för uppgifter om vissa registrerades befattningar och krigsplaceringar.

12.2.2 Beträffande vilka personer skall det få förekomma uppgifter i registret?

Bakgrund: Totalförsvarsplikten omfattar alla personer mellan 16 och 70 år som är bosatta i

Sverige (se avsnitt 7.1). En stor del av dessa är emellertid inte på förhand tagna i anspråk för uppgifter inom totalförsvaret. Det finns vidare personal inom totalförsvaret som på grund av avtal eller bestämmelser i författning som inte avser totalförsvarsplikt är skyldiga att tjänstgöra eller utföra vissa uppgifter vid höjd beredskap. Den sist nämnda personalkategorien kan ha passerat den övre åldersgränsen för totalförsvarsplikten (t.ex. medlemmar av frivilligorganisationer som kvarstår efter 70 års ålder och som har vissa uppgifter i organisationens krigsorganisation.)

Överväganden: Pliktverket behöver för sin verksamhet inte hålla ett allmänt befolknings-

register med uppgifter om alla som kan komma att tas ut till tjänstgöring i händelse av krig. Uppgifter om vilka som tillhör det åldersintervall som kan komma i fråga kan hämtas från Riksskatteverket vid behov. ADB-register över totalförsvarspliktiga bör begränsas till att innehålla uppgifter om sådana personer som på ett eller annat sätt är tagna i anspråk för totalförsvarets räkning eller som ännu inte skrivits in men är aktuella för mönstring, särskild antagningsprövning eller annan mindre omfattande utredning. Det är enligt vår bedömning tillräckligt att uppgifter finns om dessa personer för att Pliktverket skall kunna utföra sina huvudsakliga arbetsuppgifter, nämligen att mönstra, skriva in och krigsplacera totalförsvarspliktiga samt att redovisa totalförsvarets personal. Uppgifter om de nu berörda kan i sin tur utgöras av vissa begränsade uppgifter om andra personer.

Mot bakgrund av det nu anförda bör uppgifter om en person få antecknas i ett ADB-

register över totalförsvarspliktiga i följande fall:

1. Om han eller hon är aktuell för mönstring eller mindre omfattande utredning enligt lagen om totalförsvarsplikt eller särskild antagningsprövning enligt lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning. Pliktverket behöver kunna registrera uppgifter om pliktpersonalen redan när ett personärende påbörjas, vilket normalt sker genom avisering från Riksskatteverket. Ett ärende kan också inledas genom att den enskilde själv tar kontakt med Pliktverket och lämnar upplysningar, t.ex. om att han eller hon är förhindrad att inställa sig till mönstring eller annan utredning under en viss period eller om särskilda önskemål beträffande sin tjänstgöring. En sådan kontakt kan medföra krav på åtgärder senare från Pliktverkets sida och därmed innebära att personuppgifter behöver sparas. Med ”aktuell” för mönstring etc. avses här alla personer som inom en inte allt för avlägsen framtid skall eller kan bli föremål för sådan utredning som nämns i punkt 1 och som på något sätt aktualiserats för en åtgärd eller ett ställningstagande från Pliktverkets sida. Naturligtvis krävs det också att det finns ett behov av registrering i varje enskilt fall. Enbart en förfrågan från en enskild, t.ex. angående innehållet i en viss utbildning eller om förutsättningarna för vapenfri tjänst, skall inte föranleda att han eller hon antecknas i registret.

2. Om han eller hon genom avtal, beslut om krigsplacering eller på annat sätt tagits i anspråk för totalförsvaret. Härmed avses anställda inom Försvarsmakten, anställda inom civil verksamhet som krigsplacerats (eller motsvarande) av sin arbetsgivare med stöd av anställningsavtalet, medlemmar i frivilligorganisationer m.fl., som har tagits i anspråk genom att ställas till visst organs förfogande för försvarsändamål. Flertalet av dessa personer har någon gång varit aktuella för utredning som avses i punkt 1 och har därmed kunnat antecknas i registret redan med stöd av den punkten. För att kunna anteckna uppgifter också om personer som tagits i anspråk för totalförsvaret utan att ha genomgått en sådan utredning, krävs emellertid detta tillägg. Det kan t.ex. gälla kvinnor som är ianspråktagna av sin arbetsgivare eller av en frivilligorganisation, men som inte är inskrivna med civilplikt och inte varit aktuella för utredningsåtgärder. Även vissa andra personer, som t.ex. utlänningar — eller före detta utländska medborgare — som erhållit en placering i totalförsvaret utan att ha genomgått sådan utredning som avses i punkt 1, ”fångas upp” av förevarande punkt.

3. Om han eller hon skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret Personer som avses i första ledet i denna punkt är sådana som har ålagts — eller frivilligt åtagit sig — begränsade uppgifter vid höjd beredskap, som t.ex. att ställa viss egendom till totalförsvarets förfogande enligt förfogandelagen och med stöd av den lagen meddelade förordningar. Andra ledet avser i första hand de personer som i dag förekommer i Socialstyrelsens register över hälso- och sjukvårdspersonal (INTEGER, se ovan avsnitt 8.4.8). Pliktverket skall överta driften av detta register som, såvitt nu kan bedömas, kommer att föras som en del av PLIS och sålunda vara integrerat med Pliktverkets ADB-register över totalförsvarspliktiga i övrigt. I ”INTEGER-delen” av Pliktverkets register kan det vara nödvändigt att uppgifter om personer antecknas enbart på grund av deras yrkeskompetens, dvs. utan att formellt beslut fattats om att ta dem i anspråk för viss huvudmans räkning. Uppgifterna om denna personalkategori kan sägas utgöra en inventarieförteckning som skall kunna användas för att i en krigssituation sätta in hälso- och sjukvårdspersonal, där den bäst behövs. Registrering av en person enbart på grund av hans eller hennes kompetens bör endast förekomma då det framstår som synnerligen viktigt för totalförsvarets funktion att ha uppgifterna tillgängliga. Den be-

stämmelse som vi föreslår nedan (avsnitt 12.2.4) om att regeringen skall kunna begränsa innehållet i ett ADB-register över totalförsvarspliktiga bör bl.a. utnyttjas för att ge föreskrifter om i vilka fall registrering som här avses får förekomma.

4. Om han eller hon av en redan registrerad uppgetts vara närstående till denne och höjd beredskap råder. I ofredstider behöver uppgifter om närstående till dem som tjänstgör inom totalförsvaret finnas tillgängliga. Detta för att besked skall kunna lämnas till rätt person om någon skadats eller stupat och för att personliga tillhörigheter m.m. skall kunna sändas till rätt mottagare. Ett visst behov av uppgifter om närstående finns redan vid grundutbildningen. Behovet är dock inte så framträdande i fredstid att det är motiverat att uppgifter om vem eller vilka som står den totalförsvarspliktige närmast antecknas i Pliktverkets ADB-register. Det är tillräckligt att sådana uppgifter då finns hos den utbildningsansvariga enheten. Uppgifter om närstånde i ADB-register över totalförsvarspliktiga bör skyddas på det sättet att de inte är åtkomliga annat än med den totalförsvarspliktiges personnummer som sökbegrepp.

5. Om han eller hon nämns bland uppgifter som åberopas av den registrerade. Det är inte ovanligt att en totalförsvarspliktig inför mönstringen eller när det är dags att rycka in till grundutbildning begär anstånd och härvid åberopar t.ex. familjeskäl eller hänvisar till situationen på sin arbetsplats. I dessa sammanhang kan det bland de uppgifter som lämnas av den totalförsvarspliktige förekomma namn och andra uppgifter om andra personer, t.ex beträffande familjemedlemmar eller i form av ett intyg från arbetsgivaren. Det kan också vara fråga om intyg från läkare eller från en utbildningsanstalt. Även dessa uppgifter bör kunna sparas i Pliktverkets ADB-register över totalförsvarspliktiga för att en rationell och säker handläggning skall kunna åstadkommas. Som utvecklas nedan i avsnitt 12.5 bör det inte vara tillåtet att använda uppgifterna som sökbegrepp. De är intressanta i Pliktverkets verksamhet en-

bart som uppgifter hänförliga till en viss registrerad totalförsvarspliktig.

6. Om han eller hon handlagt ärende, fattat beslut eller gjort journalanteckning beträffande den registrerade. I vissa fall måste uppgifter om namn och titel m.m. på personer som utfärdat intyg, ställt diagnoser, handlagt ärenden eller vidtagit liknande åtgärder rörande den totalförsvarspliktige kunna tas fram. Det ligger inte minst i den totalförsvarspliktiges eget intresse att tillförlitligheten och värdet av dessa åtgärder kan kontrolleras och bedömas. Det är naturligt och följer oftast av de aktuella personernas yrkesroller att handlingar som de utfärdar kan komma att registreras och/eller behandlas med automatik. I ett ADB-register över totalförsvarspliktiga bör uppgifter om vem som handlagt ärenden och fattat beslut rörande den registrerade hos Pliktverket och andra myndigheter som utför utredningar om de totalförsvarspliktigas förhållanden kunna antecknas. Dessutom bör uppgifter om vem som gjort journalanteckningar vid utbildningsenheterna kunna tas in i registret (jfr avsnitt 12.3). Det skall framhållas att det naturligtvis rör sig om mycket begränsade uppgifter som namn, titel och tjänsteställe, jämte tidsangivelser för eventuella beslut (se nästa avsnitt). I likhet med vad som gäller för uppgifter om anhöriga m.fl. bör uppgifter om de nu aktuella personerna i princip endast vara åtkomliga genom att den totalförsvarspliktiges personnummer används som sökbegrepp i ADB-registret.

12.2.3 Vilka personuppgifter skall få antecknas i registret?

vilka personuppgifter som därvid inhämtas av Pliktverket för bedömningen av de totalförsvarspliktigas tjänstbarhet och lämplighet i olika avseenden. Härutöver lämnas det på den registrerades eller andra personers initiativ, in ytterligare personuppgifter. Dessutom behövs vissa uppgifter som rör administration m.m. för handläggningen av ärenden som rör de registrerades tjänstgöring.

Överväganden: Sammanfattningsvis gör vi den bedömningen att i stort sett alla de uppgif-

ter som inhämtas måste antecknas i ADB-register för att Pliktverkets verksamhet skall kunna utföras på ett effektivt sätt. Till skydd för den registrerades integritet är det ändå angeläget att i lag ange ramarna för registreringen av uppgifter så noggrant som möjligt. Verksamheten får dock inte låsas fast på sådant sätt att varje justering eller tillägg måste godkännas av riksdagen. Utvecklingen på det tekniska området kan t.ex. innebära att de egenskaper en viss befattningshavare skall ha i dag inte är desamma i morgon. Nya befattningar med nya kravprofiler kan tillskapas och egenskaper som i dag inte tillmäts någon betydelse kan visa sig vara väsentliga för tjänstbarhetsbedömningen i framtiden. En målsättning bör vara att i lagen ange de typer av uppgifter som skall få registreras. I vissa fall, där fråga är om specifika och från den enskildes synpunkt känsliga uppgifter, kan lagen vara mera exakt, som t.ex. när det gäller uppgifter ur polisens register eller om medborgarskap.

Mot bakgrund av dessa överväganden vad gäller innehåll i stort och detaljeringsnivå, bör

en uppställning över de uppgifter som Pliktverket får anteckna i ett ADB-register över totalförsvarspliktiga för de i avsnitt 11.2.1 angivna ändamålen se ut på följande sätt:

1. Uppgifter om personnummer, namn, adress, telefonnummer och folkbokföringsort. Uppgifterna är sk. basuppgifter som behövs för att den enskilde skall kunna identifieras, informeras, delges kallelser m.m.

2. Uppgifter om hinder för mönstring eller annan utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning. Här avses i princip alla hinder som kan förekomma, temporära eller permanenta; sjukdom, utlandsresa, förtidspension, intagning på kriminalvårdsanstalt eller vårdinrättning m.m. Uppgifterna är nödvändiga för att de bemanningsansvarigas personalförsörjning skall kunna garanteras och för Pliktverkets planering av mönstringsförrättningar och inryckningsresor till grund- och repetitionsutbildningar.

3. Uppgifter om boende- och familjeförhållanden samt om den registrerades försörjning, om uppgiften behövs för att Pliktverket skall kunna fullgöra sina åligganden enligt förordningen (1995:239) om förmåner till totalförsvarspliktiga. Utöver dagersättning har en totalförsvarspliktig under vissa förutsättningar rätt till ekonomisk ersättning i form av familjepenning, bostadsbidrag, näringsbidrag och begravningsbidrag (familjebidrag enligt 7 kap. förordningen om förmåner till totalförsvarspliktiga). Pliktverket har skyldighet att förse beslutsfattande myndigheter med de uppgifter som behövs för bedömningen av rätten till familjebidrag. Pliktverket kan också besluta om och betala ut viss bidragsersättning (ekonomiskt stöd) enligt 8 kap. 3 § nämnda förordning. Det skall anmärkas att det krävs att den enskilde ansöker om bidrag för att frågan skall tas upp. En registrering av uppgifter med stöd av denna punkt förutsätter sålunda att fråga om bidrag initierats av den totalförsvarspliktige själv.

4. Uppgifter om utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har

Uppgifterna skall tjäna som underlag för att avgöra om den totalförsvarspliktige fyller

kraven för en viss befattning eller uppgift, rent kunskapsmässigt och om han eller hon har de anlag och den motivation som krävs. Här avses t.ex. uppgifter om formell utbildning som viss examen eller avlagt körkortsprov, kunskaper i övrigt (simkunskaper, språkkunskaper etc.) vana från viss verksamhet (t.ex. sjövana eller från viss yrkesverksamhet), fritidsintressen som kan vara relevanta (t.ex. orientering, skidåkning, engagemang i frivillig försvarsorganisation) samt även resultat från de kunskapsprov och anlagstest som utförs vid mönstringsförrättningen (motsv.). En fullständig uppräkning av vad som kan rymmas under denna punkt är omöjlig att göra. Avgörande för om uppgiften får registreras är att den har betydelse för bedömningen av vilka uppgifter den totalförsvarspliktige kan utnyttjas för.

För den personal som är ianspråktagen av arbetsgivaren, eller som kan tänkas bli det i en

krigssituation, t.ex. hälso- och sjukvårdspersonal (INTEGER, se ovan 8.4.8 och under punkt 3 i föregående avsnitt), är det nödvändigt att uppgift om anställning finns tillgänglig. Personer inom denna personalkategori är som regel inte skyldiga att tjänstgöra på grund av totalförsvarsplikt utan på grund av vad som sägs i deras anställningsavtal. Som redovisas ovan i avsnitt 10.2 jämställer vi emellertid sådan personal med totalförsvarspliktiga i vårt lagförslag.

5. Uppgifter om fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen i denna del. Uppgifterna om den enskildes hälsa och psykiska och fysiska status tillhör de allra viktigaste vid bedömningen av vilken befattning han eller hon är lämpad för. Tjänstgöringen inom totalförsvaret är ofta förenad med påfrestningar utöver det vanliga av såväl fysisk som psykisk natur. Inte minst för den totalförsvarspliktiges egen skull är det nödvändigt att ett fullständigt och tillförlitligt material finns i dessa delar. Utöver slutsatserna behövs ett underlag som visar vad bedömningarna grundar sig på, för det fall det blir aktuellt med vårdinsatser under tjänstgöringen.

6. Uppgift om den registrerade är svensk medborgare eller inte. Uppgiften behövs för att fastställa i vilken utsträckning den registrerade är skyldig att tjänstgöra på grund av bestämmelserna om totalförsvarsplikt (se ovan, avsnitt 7.1). Det är för Pliktverkets verksamhet tillräckligt med information om den registrerade är svensk medborgare eller inte. Vilket medborgarskap en registrerad utlänning innehar saknar betydelse i sammanhanget och skall därför inte heller föras in i registret.

7. Uppgifter om utgången i mål om ansvar för brott mot totalförsvarsplikten (brott mot 10 kap. 1—5 §§ lagen om totalförsvarsplikt). Uppgifterna behövs som underlag i Pliktverkets verksamhet dels vid beslut om att någon inte skall kallas till mönstring eller plikttjänstgöring därför att det kan antas att han eller hon inte kommer att fullgöra den värnplikt eller civilplikt som inskrivningen avser (se 10 kap. 8 § första punkten lagen om totalförsvarsplikt), dels vid bedömningen av huruvida personen i fråga är lämplig för viss befattning.

8. Uppgifter om att den registrerade dömts för brott som anges i 19 § femte stycket polisregisterkungörelsen (1969:38). Pliktverket får på begäran utdrag ur Rikspolisstyrelsens register beträffande totalförsvarspliktiga som skrivs in eller är inskrivna för värnplikt. Utdragen omfattar endast vissa brott (våldsbrott, tillgreppsbrott, narkotikabrott, brott mot vapenlagen m.m.) och be-

hövs som underlag vid bedömningen av den totalförsvarspliktiges lämplighet. I Pliktverkets ADB-register bör endast få antecknas att den registrerade dömts för något av dessa brott. Anteckningen bör inte få utvisa vilket brott det är frågan om eller vilken påföljd som utdömts. Anteckningen skall tjäna som en varning och/eller förklaring till varför vederbörande inte skrivits in med värnplikt.

9. Uppgifter om att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), för vilken säkerhetsklass prövningen skett samt resultatet av denna. För tillträde till vissa befattningar inom totalförsvaret krävs att den totalförsvarspliktige genomgått säkerhetsprövning. Prövningen syftar till att klarlägga om personen i fråga kan antas vara lojal och pålitlig från säkerhetssynpunkt. Prövningen sker för verksamheter i tre olika klasser, där säkerhetsklass 1 avser den från säkerhetssynpunkt mest känsliga verksamheten (verksamhet där den som deltar i stor omfattning får del av uppgifter som omfattas av sekretess och är av synnerlig betydelse för rikets säkerhet). Prövningen — som förutsätter samtycke från den enskilde — består i kontroll mot polisregister och, för säkerhetsklass 1 och 2, särskild personutredning. Pliktverket behöver information om huruvida prövning har ägt rum, för vilken klass prövningen skett och om den registrerade ”klarade” prövningen eller inte, allt för att upprätthålla en kontinuerlig kontroll och minska riskerna för onödiga omprövningar. Däremot behövs inte de uppgifter som legat till grund för bedömningen.

10. Uppgifter om vad som bestämts vid inskrivning enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning. Vid inskrivningen bestäms vilken befattning eller typ av befattning som den totalförsvarspliktige skall utbildas till, tid och plats för grundutbildning (som regel) samt grundutbildningens längd. Alternativt kan inskrivningsbeslutet innebära att den registrerade placeras i en utbildningsreserv. Uppgifterna är grundläggande för Pliktverkets verksamhet och självklara i ett ADB-register över totalförsvarspliktiga.

11. Uppgifter om krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon skall utföra vid höjd beredskap. Dessa uppgifter är nödvändiga för Pliktverkets redovisning av totalförsvarets personal. uppgifterna är, liksom de i p. 10 angivna, centrala och givna i ett register av förevarande slag.

12. Uppgifter om tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna. Uppgifterna är av betydelse vid den kontinuerliga bedömning av den registrerades tjänstbarhet och lämplighet som är nödvändig inför beslut om krigsplacering, vidareutbildning m.m.

13. Uppgifter om personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret. Utöver de i p. 1—12 angivna uppgifterna, som låter sig fastställas relativt konkret, tar Pliktverket del av personuppgifter av skiftande slag som kan ha betydelse vid handläggningen av ärenden som gäller de registrerades tjänstgöring. Det rör sig i första hand om uppgifter som åberopas av de registrerade själva som grund för olika typer av framställningar, t.ex. om befrielse från tjänstgöring, uppskov eller önskemål om uttagning till viss befattning. Uppgifterna kan teoretiskt bestå i vad som helst. De kan vara upprättade av den enskilde själv eller utgöras av intyg från arbetsgivare, läkare eller annan person, t.ex. en förälder. För att en framställning

av detta slag skall kunna behandlas på ett säkert och effektivt sätt är det i praktiken nödvändigt att uppgifterna registreras. Detta bör också vara tillåtet med tanke på att uppgifterna lämnats till Pliktverket på den registrerades eget initiativ. Vid en granskning kan det visa sig att många av de uppgifter som åberopas av den enskilde i praktiken saknar betydelse för bedömningen av hans eller hennes skyldigheter eller möjligheter att tjänstgöra inom totalförsvaret. I och med att uppgifterna åberopats av den enskilde själv är det dock svårt att påstå att de saknar relevans i förhållande till de ändamål för behandlingen som angetts ovan. I den enskildes rättigheter ligger att han eller hon skall få framföra sina synpunkter och få sina yrkanden prövade. För att dessa rättigheter skall kunna tillgodoses är det nödvändigt att Pliktverket behandlar de åberopade uppgifterna på ett rationellt och säkert sätt. De bör därför också få antecknas i ADB-register över totalförsvarspliktiga.

Särskilt om registrering av vissa känsliga personuppgifter

Vi föreslår en bestämmelse som ger bl.a. Pliktverket rätt att behandla sådana personuppgifter som enligt förslaget till persondatalag betecknas som känsliga (se avsnitt 11.3, ovan). Bestämmelsen utgör ett undantag från det i persondatalagen stadgade förbudet mot behandling av sådana uppgifter. Pliktverket måste kunna hantera uppgifter bl.a. om de registrerades hälsa och — i vissa fall — religiösa övertygelse på ett rationellt sätt. (Det kan dessutom förekomma att en registrerad själv åberopar andra känsliga uppgifter, t.ex. sådana som rör sexuell läggning, för att bli befriad från viss typ av tjänstgöring inom totalförsvaret. Sådana uppgifter bör kunna behandlas på samma sätt.) Den föreslagna bestämmelsen om undantag från förbudet mot behandling av känsliga personuppgifter innebär att den enskildes samtycke inte krävs för att uppgifterna skall få behandlas. Utformningen av punkterna 1—13 ovan medför att känsliga personuppgifter också får behandlas genom att registreras i Pliktverkets ADB-register över totalförsvarspliktiga utan samtycke från den registrerade. Registrering av känsliga uppgifter som inte rör hälsa (uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och sexualliv — se 13 § persondatalagen) förutsätter emellertid i princip att den registrerade själv åberopat dessa (se p. 13 ovan). Vi anser att det förhållandet att den enskilde själv åberopat uppgifterna, jämte det skydd som erbjuds genom att uppgifterna inte får användas som sökbegrepp i registret (se avsnitt 12.5, nedan), medför att registrering — utan samtycke till en sådan åtgärd — bör vara tillåten. Effektivitetsskäl talar för att uppgifterna skall få behandlas i registret tillsammans med övriga uppgifter om den registrerade.

Vi är medvetna om att invändningar kan framföras mot detta synsätt. Det förhållandet att

en enskild själv åberopat t.ex. medlemsskap i en religiös sekt som skäl för befrielse från plikttjänstgöring, innebär inte med nödvändighet att han också accepterat att uppgiften införs i ett ADB-register hos myndigheten. Vi har övervägt en bestämmelse som hindrar registrering av vissa känsliga uppgifter om inte den enskilde lämnar sitt samtycke:

Uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk överty-

gelse, eller sexualliv får antecknas i ett ADB-register över totalförsvarspliktiga endast om den registrerade lämnat sitt samtycke till en sådan åtgärd.

Av skäl som ovan anförts har vi dock avstått från att föreslå en sådan begränsning av

möjligheterna att registrera de aktuella uppgifterna.

Det skall noga framhållas att varje medborgare enligt grundlag (2 kap. 2 § och 3 § första

stycket RF) är skyddad mot tvång att tillkännage sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende samt mot att bli antecknad i register enbart på grund av sin politiska åskådning utan samtycke. Vårt förslag ändrar naturligtvis inte — eller rättare sagt; kan inte ändra — på detta förhållande.

Administrativa uppgifter m.m.

De uppgifter som skall kunna registreras enligt punkterna 1—13 ovan måste i många fall förses med information om vilken tidpunkt eller tidsperiod de är hänförliga till. I annat fall är det omöjligt att värdera uppgifterna. För tydlighetens skull bör detta anges särskilt i lagen. Vidare bör i registret kunna införas beslut som Pliktverket tar i olika avseenden som rör den totalförsvarspliktige samt de rent administrativa och tekniska uppgifter som behövs för en rationell och säker handläggning och behandling av personuppgifterna. Med administrativa uppgifter avses t.ex. uppgifter om vilket lokalkontor som handlagt ett ärende, att handlingar expedierats, att vissa kontrollåtgärder vidtagits eller att ett ärende avslutats utan att formellt beslut fattats m.m. En teknisk uppgift kan t.ex. vara en hänvisning till att andra uppgifter finns att hämta i ett annat register eller i ett arkiv.

Begränsningar av vilka uppgifter som skall få registreras beträffande dem som förekom-

mer i registret av annan orsak än att de själva är totalförsvarspliktiga (eller jämställda med totalförsvarspliktiga vid tillämpning av lagen om behandling av personuppgifter om totalförsvarspliktiga)

Det är självklart bara sådana uppgifter som Pliktverket behöver i sin verksamhet som skall

antecknas i ADB-register. Olika typer av uppgifter behövs för olika personalkategorier inom totalförsvaret (jfr. vad som anförs nedan angående kravet på nödvändighet och relevans i avsnitt 12.2.4). Beträffande dem som skall kunna förekomma i ADB-register över totalförsvarspliktiga i egenskap av närstående till en registrerad eller i egenskap av beslutsfattare, handläggare eller därför att vederbörande fört journalanteckningar om en registrerad, bör begränsningar av vad som får antecknas anges i lag. Vad gäller närstående är det tillräckligt att namn, adress och relation till den registrerade antecknas. Beslutsfattare och övriga i den kategorin bör endast förekomma med namn, titel och tjänsteställe.

Elektroniska akter

Pliktverket planerar ett system för ärendehandläggning med elektroniska akter. En sådan akt skapas genom att inkomna handlingar optiskt läses (skannas) in i ett datasystem. Handläggaren kan också upprätta beslut, tjänsteanteckningar och promemorior direkt i den elektroniska akten via sin terminal. Även utkast till beslut m.m. kan föras direkt i datasystemet. Elektronisk akthantering medför att bruket av pappershandlingar avsevärt kan reduceras vid handläggningen av ärenden. Sökandet bland dokument i en sådan akt och kommunikationen med andra underlättas också med hjälp av elektroniken. Elektronisk akthantering främjar effektiviteten och möjligheterna härtill bör tas tillvara även i Pliktverkets verksamhet.

Så länge fråga är om de uppgifter som anges i punkt 1—13 ovan eller anteckningar om

beslut och administrativa eller tekniska uppgifter kan de elektroniska akterna hanteras inom ramen för ett ADB-register över totalförsvarspliktiga tillsammans med övriga uppgifter. Alla handlingar som kommer in med sådana uppgifter — t.ex. alla handlingar med uppgifter som åberopas av den enskilde — kan skannas in i registret utan begränsningar. Vad som inte kan tas in är tjänsteanteckningar och handlingar med uppgifter som inte omfattas av punkterna 1—12 och som inte heller åberopats av den enskilde. Enligt vår uppfattning bör sådana uppgifter inte få förekomma i ADB-register över totalförsvarspliktiga. Det (eller de) register vårt lagförslag avser förs för vissa ändamål. Ett okritiskt införande av alla handlingar som inkommer till Pliktverket och som har anknytning till en registrerad person skulle innebära risk för att registret kom att innehålla sådana uppgifter som inte har med ändamålen att göra eller som i det vart fall inte är befogat att behandla genom att anteckna i ADB-register. Behandling av uppgifter som inte är relevanta för ändamålen, eller av fler uppgifter än vad som är nödvändigt med

hänsyn till ändamålen, strider mot den föreslagna persondatalagen (se 10 § i förslaget till persondatalag). Risk föreligger också för att känsliga personuppgifter behandlas genom att registreras i ADB-register trots att uppgiften är ointressant med hänsyn till de ändamål vi angivit för verksamheten. Det skall framhållas att vårt lagförslag inte i sig hindrar Pliktverket att föra elektroniska akter vid sidan av ADB-register över totalförsvarspliktiga.

Särskilt om fotografier

Pliktverket har i dag Datainspektionens tillstånd att registrera fotografier för utfärdande av legitimations- och resehandlingar. Fotograferingen sker på Försvarsmaktens begäran och handlingarna skall användas till styrkande av den registrerades identitet vid subventionerade resor liksom vid in- och utpassering vid utbildningsenheten m.m., under grundutbildningen. Försvarsmakten betalar Pliktverket för denna tjänst och det innebär en besparing att låta Pliktverket sköta detta jämfört med om fotograferingen utförs på förbanden efter inryckningen.

Fotograferingen ligger utanför Pliktverkets ordinarie arbetsuppgifter och handhas av Plikt-

verket enbart av praktiska skäl och av kostnadsskäl. Fotografierna behövs inte för de ändamål vi ansett motivera Pliktverkets behandling av personuppgifter. Det förefaller visserligen praktiskt och kostnadseffektivt med en ordning som den rådande men sådana skäl kan inte anses tillräckliga för att ADB-register med ett stort antal personuppgifter, varav många av mycket känsligt slag, kompletteras med ett foto av den registrerade. Vårt förslag om vad som skall få förekomma i ADB-register över totalförsvarspliktiga omfattar därför inte fotografier på de registrerade.

12.2.4 Ytterligare begränsningar av vad som får förekomma i ADB-register över totalförsvarspliktiga

Kravet på nödvändighet och relevans

Persondatalagens bestämmelser om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till de ändamål de insamlats för och att uppgifterna skall vara adekvata och relevanta i förhållande till samma ändamål gäller även vid Pliktverkets behandling av personuppgifter om totalförsvarspliktiga och därmed — enligt vårt lagförslag — jämställd personal. Bestämmelserna om vad som får registreras i Pliktverkets ADB-register över totalförsvarspliktiga skall sålunda inte läsas som att dessa uppgifter får införas i sådana register vare sig det faktiskt behövs eller inte. Det är t.ex. självklart att det behövs fler och andra typer av personuppgifter om den som tas i anspråk med värnplikt än beträffande en person som förekommer i registret endast därför att han eller hon i händelse av krig är tagen i anspråk för en frivilligorganisations räkning. Detta behöver inte understrykas särskilt i lagen.

Regeringen bör ha möjlighet att införa ytterligare begränsningar av vilka uppgifter som får registreras

En uppställning i lag över vilka personuppgifter som skall få förekomma i ett register måste innehålla vissa generaliseringar för att inte systemet skall bli alltför tungrott. Det kan finnas anledning att göra begränsningar av vilka uppgifter som skall få antecknas i registret, utöver vad som framgår av våra förslag. Som angivits i avsnitt 12.2.2 ovan bör det t.ex. närmare övervägas i vilka fall uppgifter om en person skall få registreras i Pliktverkets ADB-register över totalförsvarspliktiga enbart på grund av att han eller hon har viss kompetens. För att undvika missförstånd bör möjligen också vissa uppgifter om den totalförsvarspliktiges intressen uttryckligen undantas från vad som får registreras. T.ex. är det olämpligt att medlemsskap i organisationer som inte har ren försvarsanknytning antecknas. (Det torde visserligen följa av

att intresset skall ha betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret, men det är svårt att undvika att en ”gråzon” uppkommer). Innehållet i föreskrifter av nämnd karaktär kan behöva ändras relativt ofta, t.ex. i takt med att personer med olika typer av specialistkompetens efterfrågas av totalförsvaret. Föreskrifterna bör därför ges i förordning.

Vi föreslår mot bakgrund av vad som nu anförts att regeringen i lagen ges rätt att meddela

ytterligare begränsningar av vilka uppgifter som får registreras.

Att en uppgift får antecknas säger inget om när den skall gallras

I detta kapitel har vi endast tagit ställning till när uppgifter om vissa personer får antecknas i ADB-register över totalförsvarspliktiga och vilka uppgifter som då får antecknas. Det är en annan sak att avgöra när uppgifterna skall gallras ur ett sådant register. En del uppgifter behövs endast under en kortare tid, på grund av att de förlorar sin praktiska betydelse eller därför att de snabbt blir inaktuella och därmed felaktiga, medan andra står sig och behövs i stort sett så länge den registrerade omfattas av totalförsvarsplikten.

Gallringsfrågor behandlas nedan i kapitel 13.

12.3 Vem skall få föra in uppgifter i registret?

Förslag: Regeringen skall få föreskriva att även annan än Pliktverket får föra in och rätta

personuppgifter i ADB-register över totalförsvarspliktiga samt i vilken omfattning.

Bakgrund: Pliktverket har planerat för ett ”papperslöst” system där vissa organ inom

totalförsvaret skall kunna lägga in uppgifter om sin personal direkt i Pliktverkets ADB-register, från egen terminal. Enligt planerna är det i första hand tre olika typer av anteckningar som skall kunna göras på detta sätt:

1. journalanteckningar som under grundutbildningen förs av läkare eller annan sjukvårdspersonal vid en utbildningsenhet,

2. utryckningsrapporter med uppgifter om antalet fullgjorda tjänstgöringsdagar, vitsord m.m. som lämnas till Pliktverket från den ansvariga utbildningsenheten efter det att den totalförsvarspliktige fullgjort sin grundutbildning samt

3. anteckningar om att en person tagits i anspråk för ett organs krigsorganisation.

Tekniken tillåter i princip att alla som skall lämna uppgifter till Pliktverkets register, och som har terminalåtkomst till detta, gör det genom att föra in uppgifterna i registret. Det är sålunda möjligt att anteckningar utöver dem som avses i p. 1-3 ovan kommer att ske på det sättet i framtiden, om det bedöms lämpligt.

Överväganden: I dag lämnas de uppgifter som beskrivits ovan i punkterna 1-3 i hand-

lingar som översänds till Pliktverket och där skrivs in i Pliktverkets ADB-register av en tjänsteman. En ordning som innebär att de som lämnar uppgifter själva för in dem direkt i registret sparar självfallet tid och arbetskraft. Risken för att uppgifterna blir felaktigt antecknade i registret torde minska eftersom ett led i behandlingen - avskrivning från pappershandlingen till ADB-register på Pliktverket - försvinner. Med det beskrivna systemet följer emellertid vissa säkerhetsrisker. Möjligheterna att direkt påverka innehållet i registret sprids utanför Pliktverkets lokaler och kontroll. Tillfällena att föra in felaktiga uppgifter i registret kan därmed öka för personer med sådant uppsåt.

Effektivitetsskäl talar för att ett system där uppgiftslämnare lämnar uppgifterna genom

att själva föra in dem i mottagarens ADB-register skall tillåtas. En förutsättning är emellertid

att säkerhet kan garanteras mot att obehöriga personer påverkar registerinnehållet. Sådan säkerhet kan enligt vår uppfattning skapas genom att endast vissa befattningshavare hos uppgiftslämnaren ges access till registret. Personliga användarkort med koder måste utfärdas och möjligheterna för den behörige att föra in uppgifter måste begränsas till den art av uppgifter som vederbörande skall lämna till Pliktverket. Säkerheten vid terminalen hos uppgiftslämnaren måste vara hög, utrustningen bör t.ex. vara inlåst när terminalen är obemannad. Pliktverket måste ta på sig ett ansvar för att utbilda och informera uppgiftslämnarna i säkerhetsfrågor. De säkerhetsmässiga överväganden som bör föregå ett tillstånd för annan att föra in uppgifter i Pliktverkets register kan inte göras generellt. Varje organ - eller i vart fall typ av organ (t.ex. Försvarsmaktens utbildningsenheter) - bör prövas för sig. Det är därför lämpligt att överlåta till regeringen att i förordning ange vilka organ, utöver Pliktverket, som skall ha rätt att föra in uppgifter i Pliktverkets ADB-register över totalförsvarspliktiga. Av förordningen bör framgå såväl vem som har rätt att föra in uppgifter i registret som vilken art av uppgifter denne har rätt att lämna till Pliktverket på detta sätt. Säkerhetsföreskrifter för behandlingen hos uppgiftslämnarna bör - i likhet med vad som skall gälla för behandlingen hos Pliktverket - ges av Datainspektionen (jfr ovan, avsnitt 11.4).

De som medges att föra in personuppgifter i Pliktverkets ADB-register bör också ges

behörighet att rätta uppgifter som blivit felaktigt antecknade. Däremot bör det vara Pliktverkets sak att se till att inaktuella uppgifter gallras efterhand.

Angående persondataansvaret då annan än Pliktverket för in uppgifter i ADB-register

över totalförsvarspliktiga, se ovan avsnitt 11.6.

12.4 Terminalåtkomst

Förslag: Pliktverket skall ha terminalåtkomst till ADB-register över totalförsvarspliktiga. Re-

geringen skall få föreskriva att även annan får ha sådan åtkomst samt i vilken omfattning.

För att understryka att sekretesslagens bestämmelser måste beaktas innan uppgifter görs

tillgängliga för någon utanför Pliktverket, skall det anges i lagen att sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvarspliktiga.

Bakgrund: Den som har terminalåtkomst till ett ADB-register kan, när han eller hon själv

bestämmer, ta del av registerinnehållet med hjälp av bildskärm. Åtkomsten kan avse hela registret eller en del av detta. Terminalåtkomst ger i sig inte möjlighet att påverka innehållet i registret.

I dag kommuniceras en stor mängd handlingar med personuppgifter om totalförsvarspliktiga

och annan personal inom totalförsvaret mellan Pliktverket och enheter inom totalförsvaret. Det finns hos de inblandade en önskan att ersätta utväxlingen av pappershandlingar med datakommunikation. I föregående avsnitt behandlades frågan om möjlighet för dem som skall lämna uppgifter till Pliktverket att göra detta genom att själva föra in dem direkt i Pliktverkets register. När det gäller de handlingar som skickas från Pliktverket till de bemanningsansvariga organen (bemanningsansvar= skyldighet att tillse att krigsorganisationen är uppfylld med personal som kan lösa tilldelade uppgifter under höjd beredskap) och till utbildningsenheterna skulle kommunikationen kunna ske genom att mottagarna fick hämta uppgifterna i Pliktverkets ADB-register över totalförsvarspliktiga via egen terminal.

Frivilligorganisationerna rekryterar i dag personal med Pliktverkets hjälp. Pliktverket kan

på begäran ta fram listor ur sina register på personer som har sådana färdigheter som efterfrågas T.ex. kan en lokal bilkår söka personer i ett visst åldersintervall med viss körkortsbehörighet i ett län. Enligt uppgift finns det önskemål från frivilligorganisationerna att få terminalåtkomst till Pliktverkets register så att de kan utföra dessa sökningar själva.

bör terminalåtkomsten till Pliktverkets ADB-register över totalförsvarspliktiga hållas begränsad. Direkt åtkomst till registret via terminaler utanför Pliktverket innebär ökade risker för att obehöriga skall komma åt uppgifterna. Av effektivitetsskäl bör dock terminalåtkomst tillåtas i de fall ett verkligt behov därav föreligger, under förutsättning att erforderligt skydd för uppgifterna kan garanteras. Av stor betydelse vid bedömningen är naturligtvis vilka personuppgifter som användaren skall kunna få tillgång till från sin terminal.

Det är självklart att Pliktverket skall ha full terminalåtkomst till egna ADB-register. Att

handläggarna på Pliktverket endast skall kunna ta del av sådana uppgifter som är relevanta för deras respektive verksamhetsområden är självklart och behöver inte uttryckas i lag. Ansvaret i denna del vilar på Pliktverkets ledning och skulle särskilda föreskrifter anses nödvändiga kan de med fördel meddelas av Datainspektionen (se ovan, avsnitt 8.4.5 och 11.4). Vid övervägande av vilken personal inom Pliktverket som skall få ta del av olika personuppgifter har verket att beakta att sekretess också kan gälla mellan olika verksamhetsgrenar inom myndigheten, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra (se 1 kap. 3 § andra stycket sekretesslagen).

Bemanningsansvariga myndigheter och organ bör ha terminalåtkomst till uppgifter om

den egna personalen. Detsamma gäller de myndigheter och andra organ som genomför utbild-

ning av totalförsvarspliktiga, såvitt avser dem som antagits till utbildningen. Effektiviteten

torde främjas avsevärt om t.ex. utbildande förband inom Försvarsmakten kan ta del av de uppgifter de behöver om de inryckande via terminal i stället för att hålla egna ”pappersarkiv” med handlingar, som skall återställas till Pliktverket efter grundutbildningen. De personuppgifter de bemanningsansvariga organen behöver om sin egen personal är relativt få och som regel inte av känslig karaktär för den registrerade. Det torde vara en fördel för de bemanningsansvariga om de kan få relevant information kontinuerligt uppdaterad och omedelbart tillgänglig via terminal. Inom de bemannings- och utbildningsansvariga enheterna bör skyddet för personuppgifter kunna hållas på en hög nivå.

Det kan ifrågasättas om det är nödvändigt att frivilligorganisationerna i sin rekryterings-

verksamhet har direkt åtkomst till Pliktverkets ADB-register över totalförsvarspliktiga. Införandet av ett sådant system skulle utan tvivel innebära en effektivitetsvinst för såväl berörda organisationer som för Pliktverket. Till skillnad mot vad som gäller för utbildningsenheter och bemanningsansvariga organ inom totalförsvaret är det här fråga om ett ”fritt sökande” bland personer som inte har någon naturlig anknytning till den som utför sökningen. Det torde också, generellt sett, vara svårare att upprätthålla och kontrollera säkerheten vid terminalerna hos frivilligorganisationerna. De personuppgifter som, med hänsyn till bestämmelser om sekretess, kan lämnas ut till frivilligorganisationerna för rekryteringsändamål är emellertid inte av känslig natur. Med en mycket stark begränsning av de sökbegrepp som får användas (se nästa avsnitt) och säkerhetsåtgärder i form av krypterad överföring av information, tekniska hinder för åtkomst av fler uppgifter än dem som är relevanta m.m., torde ett visst utrymme kunna ges åt frivilligorganisationerna att med terminalåtkomst använda Pliktverkets register i sin rekryteringsverksamhet.

Om Socialstyrelsens register över hälso- och sjukvårdspersonal (INTEGER) skall integre-

ras med Pliktverkets ADB-register över totalförsvarspliktiga behöver Socialstyrelsen och andra

berörda — bl.a. sjukvårdshuvudmännen och civilbefälhavarna — terminalåtkomst till dessa

uppgifter.

Sammanfattningsvis är det många utanför Pliktverket som är betjänta av terminalåtkomst

till ADB-register över totalförsvarspliktiga. Enligt vår bedömning måste det övervägas från fall till fall vilka uppgifter var och en av de nu uppräknade skall få ta del av via egen bildskärm.

Bestämmelserna om terminalåtkomst måste i praktiken vara relativt detaljerade och det är inte uteslutet att de behöver ändras med relativt täta mellanrum. Terminalåtkomsten regleras därför lämpligen i förordningsform. Vi föreslår att regeringen ges möjlighet att bestämma i vilken omfattning andra än Pliktverket skall ha terminalåtkomst till ADB-register över totalförsvarspliktiga.

Det är viktigt att framhålla att en föreskrift om terminalåtkomst inte bryter reglerna om

sekretess. En första förutsättning för att någon skall ha rätt att ta del av personuppgifter om totalförsvarspliktiga eller andra personer i Pliktverkets register är att uppgifterna inte är sekretessbelagda i förhållande till den som vill ha ut dem. Först därefter kan det övervägas hur uppgifterna lämpligast kan överbringas. För att klargöra detta förhållande bör det föras in en bestämmelse i lagen om behandling av personuppgifter om totalförsvarspliktiga med erinran om att sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvarspliktiga.

Frågor om sekretess för personuppgifter om totalförsvarspliktiga hos Pliktverket och an-

dra inblandade behandlas i kap. 14, nedan.

12.5 Sökbegrepp

Förslag: Det skall vara förbjudet att som sökbegrepp använda vissa personuppgifter som en-

samma eller tillsammans med andra kan bedömas som känsliga från den enskildes synpunkt när det inte behövs för Pliktverkets verksamhet. De förbjudna sökbegreppen räknas upp i lagen om behandling av personuppgifter om totalförsvarspliktiga. Förbudet skall emellertid inte gälla då sökbegreppen behöver användas för åtkomst av uppgifter för forskning eller statistik, för Datainspektionens tillsyn eller för uppföljning och utvärdering av Pliktverkets verksamhet.

Personuppgifter om närstående till en registrerad totalförsvarspliktig och om vem som

handlagt ärende, fattat beslut eller gjort journalanteckning rörande en totalförsvarspliktig, skall endast få eftersökas med hjälp av den totalförsvarspliktiges personnummer. Detsamma skall gälla vid eftersökning av uppgifter som antecknats i registret därför att de åberopats av den totalförsvarspliktige.

Regeringen skall ha möjlighet att föreskriva ytterligare begränsningar av de sökbegrepp

som får användas.

Utan hinder av meddelade förbud skall nödvändiga sökbegrepp alltid få användas under

den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.

Bakgrund: Olika ord och beteckningar används som sökbegrepp för att ta fram enstaka

uppgifter eller sammanställningar av uppgifter ur ADB-register. Vilka sökbegrepp som får användas för att ta fram uppgifter ur personregister hos en myndighet har betydelse för frågan om vad som är att anse som allmänna handlingar i registret och vad som därmed kan bli tillgängligt för utomstående. Föreligger förbud för myndigheten att använda vissa sökbegrepp för egen räkning innebär detta också att sammanställningar som grundas på sådana sökbegrepp inte utgör allmänna handlingar eftersom sådana upptagningar inte anses förvarade hos myndigheten (2 kap 3 § 2 st. TF. Se ovan, avsnitt 4.3.2). Begränsningar av sökbegrepp utgör ett skydd för den registrerades personliga integritet på så sätt att vare sig den registerförande myndigheten eller utomstående tillåts ta del av uppgiftssammanställningar som i och för sig är tekniskt möjliga men inte motiverade för myndighetens egen verksamhet.

Datalagskommitténs förslag till ändringar i tryckfrihetsförordningen innebär ingen för-

ändring i detta avseende.

ta fram sammanställningar av de mest skilda slag. Det är t.ex. möjligt att ta fram listor över personer med viss sjukdom, som dömts för brott eller som har nedsatt psykisk funktionsförmåga. Sådana sammanställningar saknar intresse för Pliktverket. Möjligheterna att använda registret på detta sätt bör begränsas. Utgångspunkten är härvid att endast sammanställningar — eller upptagningar — som är befogade i Pliktverkets verksamhet bör vara tillåtna. Förenklat uttryckt behöver Pliktverket i första hand använda sökbegrepp av två slag (förutom personnummer då uppgifter om en bestämd individ skall tas fram). Det rör sig dels om uppgifter om de registrerades utbildning, kunskaper, färdigheter, vitsord och liknande, för att krigsorganisationens behov av kompetent personal skall kunna tillgodoses på ett effektivt sätt, dels om uppgifter om innehållet i formella beslut om inskrivning och krigsplacering eller annat ianspråktagande av den registrerade, för redovisning av vilken personal olika enheter förfogar över eller utbildar vid olika tillfällen. Pliktverket behöver emellertid inte kunna söka på uppgifter avseende resultat från prov som genomförs vid mönstring eller annan motsvarande utredning eftersom en sökning på innehållet i inskrivningsbeslutet visar vilka individer som bedömts som lämpliga för viss befattning. Om enskilda provresultat skulle vara relevanta kan de tas fram genom att personnumren på dessa individer används som sökbegrepp. Utöver vad som nu nämnts behöver vissa uppgifter om adresser, (för reseplanering m.m.), och om anställning (för hälso- och sjukvårdspersonalen i INTEGER) kunna användas som sökbegrepp i begränsad omfattning. Med hänsyn till att Pliktverkets ADB-register över totalförsvarspliktiga är mycket omfattande går det knappast att i en lagtext exakt ange vilka sökbegrepp som skall få användas. Det viktiga är att de uppgifter som enskilt eller tillsammans med andra kan anses som känsliga från den registrerades synpunkt, förbjuds som sökbegrepp i den utsträckning användningen inte är nödvändig. Mot bakgrund av vad som anförts föreslås följande uppgifter omfattas av ett sådant förbud (Jfr uppställningen över tillåtet registerinnehåll i avsnitt 12.2.3, ovan).

— Uppgifter om hinder för mönstring eller motsvarande utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade.

— Uppgifter om boende- eller familjeförhållanden eller om försörjning.

— Uppgifter om resultat från kunskapsprov eller anlagstester som utförts vid mönstring eller motsvarande utredning.

— Uppgifter om fysisk och psykisk hälsa och förmåga.

— Uppgifter om medborgarskap.

— Uppgifter som rör ansvar för brott.

— Uppgifter om säkerhetsprövning enligt säkerhetsskyddslagen.

I lagtexten kan förbudet mot användande av dessa sökbegrepp utformas som en hänvisning till den bestämmelse som anger vilka uppgifter som får registreras. Undantag från förbuden att använda de uppräknade sökbegreppen bör göras för de fall sökbegreppen behöver användas vid Datainspektionens tillsyn eller vid uppföljning och utvärdering av Pliktverkets verksamhet.

Pliktverkets register är unikt såtillvida att det innehåller uppgifter om en stor del av be-

folkningens hälsotillstånd vid en given tidpunkt och det utgör bl.a. därför ett mycket viktigt underlag för forskningen. Ytterligare undantag från förbuden mot att använda de uppräknade sökbegreppen bör därför göras för forskningens behov och för framställning av statistik. Vad gäller användning för statistikändamål skall det framhållas att absolut sekretess gäller för uppgifter om enskildas personliga och ekonomiska förhållanden hos statistikmyndigheten (9 kap. 4 § sekretesslagen).

Vissa uppgifter saknar rimligen intresse också för forskningen och för Pliktverkets egen

uppföljning och utvärdering. Det gäller uppgifter om närstående till de totalförsvarspliktiga

och om vilka som fattat beslut, handlagt ärende eller gjort journalanteckning rörande de totalförsvarspliktiga. För åtkomst till dessa uppgifter bör sökbegreppen vara begränsade till de

totalförsvarspliktigas personnummer. Något skäl till att kunna söka efter de nu nämnda uppgifterna på annat sätt finns i princip inte. Också uppgifter som antecknats enbart därför att de

åberopats av den registrerade totalförsvarspliktige bör vara skyddade på det sättet att de en-

dast kan eftersökas med hjälp av den registrerades personnummer. Här kan det finnas personuppgifter av mycket känslig natur för den registrerade samt även uppgifter om andra personer än honom eller henne själv. De nu aktuella uppgifterna behöver såvitt vi kan bedöma inte heller kunna användas som sökbegrepp vid Datainspektionens tillsyn.

Generella undantag från samtliga förbud att använda vissa sökbegrepp bör gälla då sök-

begreppen behövs för rättelse av uppgift eller för åtgärdande av programfel. Det går inte att på förhand avgöra vilka sökbegrepp som måste användas vid den här typen av nödvändiga korrigeringsåtgärder.

I likhet med vad vi föreslagit beträffande bestämningen av innehållet i Pliktverkets ADB-

register över totalförsvarspliktiga, bör regeringen ges möjlighet att ytterligare begränsa de sökbegrepp som får användas.

12.6 Sambearbetning

Bedömning: Någon föreskrift om förbud mot sambearbetning av uppgifter i Pliktverkets ADB-

register över totalförsvarspliktiga med uppgifter i andra ADB-register är inte påkallad.

Bakgrund: Sambearbetning (maskinell samkörning) av uppgifter från två ADB-register

innebär i praktiken att ett nytt register upprättas. Av det skälet behövs enligt gällande rätt formellt tillstånd — alternativt författningsstöd — för sambearbetning. Integritetsskyddsaspekter kan motivera att sambearbetning inte bör tillåtas.

Förslaget till persondatalag bygger på ett tillståndslöst system och sambearbetning är så-

lunda tillåten så länge behandlingen är förenlig med de ändamål som angavs då respektive uppgifter samlades in och i övrigt håller sig inom de ramar persondatalagen anger bl.a. om nödvändighet och relevans.

Överväganden: Vårt lagförslag bygger på förslaget till persondatalag och sålunda behövs

ingen bestämmelse som ger Pliktverket tillstånd till att sambearbeta uppgifter i sitt ADB-register över totalförsvarspliktiga med uppgifter från andra ADB-register, för att en sådan åtgärd skall få vidtas. Vi gör vidare den bedömningen att den registrerade erhåller ett tillräckligt integritetsskydd genom persondatalagens bestämmelser om att personuppgifterna skall behandlas ändamålsenligt. I och med att ändamålen med Pliktverkets behandling av uppgifterna finns angivna har den registrerade också viss möjlighet att förutse hur uppgifterna kommer att användas. Någon bestämmelse om förbud mot sambearbetning är därför inte motiverad.

Det skall påpekas att uppräkningen av vilka personuppgifter som får antecknas i ADB-

registret över totalförsvarspliktiga begränsar möjligheterna att samköra registeruppgifter genom att ta in nya uppgifter i det registret.

12.7 Utlämnande av uppgifter på ADB-medium

Bedömning: Förbud mot utlämnande av uppgifter på ADB-medium är inte motiverat.

Bakgrund: Bestämmelser om sekretess hindrar att uppgifter lämnas ut från Pliktverket till

obehöriga. Om inte annat följer av särskilda bestämmelser väljer Pliktverket i vilken form uppgifterna skall tillhandahållas dem, som har rätt att få del av dessa (Jfr avsnitt 12.4 om terminalåtkomst, ovan). Nuvarande bestämmelse i 7 kap. 16 § sekretesslagen stadgar sekretess för personuppgifter i personregister som avses i datalagen om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid mot datalagen. Bestämmelsen innebär i praktiken att ett utlämnande på ADB-medium kräver att mottagaren har tillstånd av Datainspektionen eller författningsstöd för att föra ett personregister med de uppgifter som lämnas ut. Till skillnad från vad datalagen föreskriver kräver persondatalagen, enligt föreliggande förslag, inte tillstånd för behandling — inklusive registrering — av personuppgifter. Den nämnda bestämmelsen i sekretesslagen (som av Datalagskommittén föreslås ändrad till att avse situationer då ett utlämnande kan antas medföra att uppgiften behandlas i strid med persondatalagen) kommer därmed inte längre att hindra utlämnande på ADB-medium.

Datalagskommittén har dessutom föreslagit en ändring i tryckfrihetsförordningen som

innebär att den som begär det har rätt att mot en fastställd avgift i utskrift, kopia eller elektro-

nisk form få ut en handling eller uppgifter ur en databas, allt till den del uppgifterna får lämnas

ut. Enligt gällande rätt är en myndighet inte skyldig att lämna ut upptagning för ADB i annan form än utskrift (2 kap. 13 § TF).

Överväganden: Som framgår av vad som nyss anförts kommer det efter persondatalagens

ikraftträdande inte att krävas någon särskild bestämmelse för att en mottagare som så önskar skall kunna få uppgifter från Pliktverkets ADB-register över totalförsvarspliktiga på ADBmedium. Utgångspunkten är inte längre att tillstånd att föra ett register behövs för mottagaren i dessa situationer utan möjligen i stället att Pliktverket är skyldigt att lämna ut uppgifterna på ADB-medium om så begärs.

Datalagskommittén motiverar sitt förslag till ändring av den berörda bestämmelsen om

formerna för utlämnande i tryckfrihetsförordningen på följande sätt (Datalagskommittén, av-

snitt 18.6.1):

Bestämmelsen om att upptagningar inte behöver tillhandahållas i annan form än utskrift

infördes samtidigt med datalagen. Som tidigare nämnts var syftet med bestämmelsen att undvika otillbörliga intrång i den personliga integriteten. Man befarade nämligen att uppgifterna kunde bli föremål för vidare behandling i strid mot datalagens bestämmelser. Offentlighetsoch sekretesslagstiftningskommitténs förslag som låg till grund för bestämmelsen mötte kritik redan på den tiden. En rad remissinstanser ansåg bl.a. att det med hänsyn till den tekniska utvecklingen borde te sig alltmer naturligt och praktiskt att låta offentlighetsprincipen inrymma också direkt tillgång till datamedier. Det framhölls även från vissa att den föreslagna spärren var bristfällig, eftersom man med hjälp av optisk läsning (skanning) skulle kunna bygga upp sådana dataregister enbart med hjälp av utskrifter av upptagningar som myndigheterna är skyldiga att lämna ut.

Vi anser att tiden nu är mogen att lämna pappershanteringen även när det handlar om att

lämna ut uppgifter enligt offentlighetsprincipen. Myndigheterna bör i princip ha en skyldighet att, inte bara visa utan även, lämna ut allmänna handlingar och andra uppgifter i elektronisk form. Det bör vara upp till den enskilde beställaren att välja i vilken form han vill ha uppgifterna.

antas av riksdagen utan omfattande förändringar. Den slutsatsen bygger vi i huvudsak på att EG-direktivet om personuppgifter är utformat på det sättet att möjligheter till nationella avvikelser är begränsade. Med Datalagskommitténs förslag till ändring av bestämmelserna i tryckfrihetsförordningen i nu aktuell del förhåller det sig annorlunda. Den skyldighet som föreslås för myndigheter att lämna ut uppgifter i elektronisk form följer inte av vårt medlemskap i EU eller av andra internationella åtaganden. Det är därför svårare att förutse hur ett sådant förslag kommer att emottas av lagstiftaren. Vi delar dock den uppfattning som Datalagskommittén redovisar att den som vill ha uppgifter på ADB-medium och som förfogar över rätt utrustning är oförhindrad att genom sk. skanning föra över innehållet i de pappershandlingar han eller hon med laga stöd utfått från en myndighet, till en hårddisk eller en diskett.

Sammantaget anser vi att en bestämmelse som begränsar möjligheterna till utlämnande av

uppgifter på ADB-medium i princip inte fyller någon funktion. Det legala skydd den enskilde erhåller genom att personuppgifter med mer eller mindre känsligt innehåll är sekretessbelagda och genom persondatalagens bestämmelser om när och hur personuppgifter får behandlas får anses utgöra ett tillräckligt skydd. Vi föreslår med hänsyn till vad som nu anförts, och med beaktande av den ändring Datalagskommittén föreslagit av tryckfrihetsförordningens bestämmelse om i vilken form uppgifter skall lämnas ut av myndigheter, inte någon bestämmelse som begränsar möjligheterna att lämna ut uppgifter på ADB-medium.

13. Arkivering och gallring

Förslag: En personuppgift i Pliktverkets ADB-register över totalförsvarspliktiga skall gallras så

snart den inte behövs för de ändamål den insamlats för av Pliktverket och senast vid utgången av det kalenderår den registrerade totalförsvarspliktige fyller 70 år om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap.

Regeringen skall få föreskriva kortare tid för gallring. Undantag från gallringsskyldigheten skall få göras genom föreskrifter av regeringen eller

av den myndighet som regeringen bestämmer beträffande personuppgifter som skall bevaras för forskningens behov. Sådana uppgifter skall avföras från registret när skyldigheten att gallra annars inträtt.

Bedömning: Särskilda föreskrifter för journalhandlingar som enligt patientjournallagen

(1985:562) skall bevaras viss minsta tid behövs ej.

Bakgrund: Enligt 9 § första stycket i) i förslaget till persondatalag skall den persondata-

ansvarige tillse att personuppgifter inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna avidentifieras eller förstöras (Datalagskommittén, avsnitt 12.4.5). Enligt en uttrycklig bestämmelse i 8 § andra stycket i förslaget till persondatalag hindrar dock inte övriga bestämmelser i lagen att en myndighet arkiverar eller bevarar sina allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Datalagskommittén har motiverat denna bestämmelse med att de ändamål som myndighetsarkiven skall tjäna kan hänföras till vad som i EG-direktivet om personuppgifter kallas ”historiska, statistiska och vetenskapliga ändamål”. Sådana ändamål skall inte anses oförenliga med de ändamål för vilka uppgifterna insamlades och behandling som tjänar dem är i princip alltid tillåten. (Se avsnitt 6.5 ovan och Datalagskommittén, avsnitt 9.4). Datalagskommittén anför bl.a. att om en myndighets primära hantering av uppgifterna är tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Arkivlagen och de bestämmelser i övrigt som reglerar myndigheternas bevarande av allmänna handlingar behöver därför i princip inte ändras på grund av att EG-direktivet om personuppgifter

implementeras i svensk rätt. Datalagskommittén föreslår dock att begreppet allmän handling ersätts med allmän uppgift i arkivlagen samt att uppgifter i handlingar och databaser skall ses som en del av myndighetens arkiv så snart uppgifterna är att anse som allmänna enligt 2 kap. tryckfrihetsförordningen (se Datalagskommittén, avsnitt 22.1).

Arkivlagen föreskriver som huvudregel att allmänna handlingar skall bevaras. För person-

uppgifter i register som regleras av särskilda registerförfattningar är principen som regel i stället den omvända, nämligen att uppgifterna skall gallras efter en bestämd tid om det inte finns någon uttrycklig bestämmelse i den särskilda författningen, eller i bestämmelse som är meddelad med stöd av denna, att uppgiften skall bevaras. (Se ovan avsnitt 4.5 och prop. 1989/ 90:72 s 50 ff). Principen med gallring som huvudregel för personuppgifter i ADB-register förestavas av integritetsskäl.

För journalhandlingar finns särskilda bestämmelser i patientjournallagen (1985:562). Med

journalhandlingar avses de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vård (med vård avses även undersökning och behandling) och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Som journalhandling anses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel, dvs. även uppgifter lagrade på datamedium. I patientjournallagen finns bestämmelser om patientjournalers utformning och innehåll, skyldighet för viss hälso- och sjukvårdspersonal att föra journal och om bevarande av journalhandlingar m.m.

Överväganden

Vad innebär gallring?

I dag är det möjligt för en myndighet att bevara uppgifter från ett ADB-register även när tidpunkten för gallring av uppgifterna är passerad. Föreskrifter om att uppgifter skall gallras vid en viss tidpunkt hindrar nämligen inte att de först förs över på ett annat medium och lagras på annat ställe än i registret av myndigheten. Att uppgifterna (handlingarna, enligt nuvarande lydelse av arkivlagen) skall gallras innebär visserligen att de skall förstöras (se t.ex. prop. 1989/ 90:72 s. 39). Förstöring behöver dock inte betyda att uppgiften utplånas fysiskt så att den inte kan återfinnas. Enligt 2 kap. 1 § Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter (RA-FS 1991:1) räknas som förstöring av handlingar/uppgifter även överförande till annan databärare (fysiskt underlag för handlingar/uppgifter) om överföringen medför — informationsförlust — förlust av möjliga informationssammanställningar — förlust av sökmöjligheter eller — förlust av möjligheten att fastställa informationens autencitet.

Personuppgifter i ett ADB-register kan sålunda anses förstörda (gallrade) om de förs över till mikrofilm innan datamediet (t.ex. en diskett) raderas eller utplånas, om möjligheter till informationssammanställningar eller att söka i materialet gått förlorade i och med överföringen.

Vi anser inte att det är vår sak att ta ställning till om en ordning som den nyss beskrivna är

tillfredsställande. Vi kan bara konstatera att definitionen av gallring (förstöring) är ägnad att skapa viss förvirring.

Vi använder inte gallringsbegreppet i någon annan betydelse än den som nu redovisats

vilket är viktigt att påpeka inför den fortsatta framställningen. Det väsentliga är enligt vår mening att särskilda bestämmelser finns som anger hur länge olika personuppgifter får finnas

kvar i Pliktverkets ADB-register över totalförsvarspliktiga. En föreskrift om att en uppgift skall gallras innebär alltid att den skall tas bort från registret.

För uppgifter som inte registrerats krävs inga särskilda bestämmelser

För personuppgifter som Pliktverket behandlar utan att registrera dem i ADB-register över totalförsvarspliktiga, krävs enligt vår bedömning inga särskilda bestämmelser om gallring. Här är arkivlagens huvudregel om att handlingarna skall bevaras och de möjligheter arkivmyndigheten (Riksarkivet) har att lämna föreskrifter tillräckliga.

Huvudregeln skall vara gallring efter bestämd tid för uppgifter i registret

Vi delar den uppfattning som uttrycks i prop. 1989/90:72 s 50 ff, om att integritetsskyddet motiverar en i förhållande till arkivlagen omvänd gallringsprincip för ADB-register med personuppgifter. För personuppgifter i Pliktverkets ADB-register över totalförsvarspliktiga bör utgångspunkten därför vara att uppgifterna skall gallras efter en bestämd tid. Behovet av uppgifterna för de ändamål som Pliktverket samlade in dem för, bör vara vägledande vid bedömningen av hur länge uppgifterna skall bevaras i registret. Det finns som regel inte skäl att hålla uppgifterna ordnade i register, med de sökmöjligheter och möjligheter till att ta fram olika sammanställningar av uppgifter som detta innebär, när detta inte längre behövs för de ändamål för vilka registren skapats. När uppgifterna inte längre behövs för något av dessa ändamål så skall de därför gallras, om inte särskilda skäl talar för att de skall bevaras. De uppgifter Pliktverket samlar in och registrerar är av skilda slag. En del av dem förlorar mycket snabbt i värde medan andra behövs under hela den tid den registrerade är totalförsvarspliktig. En stor del av underlaget från mönstringen (eller motsvarande undersökning) torde t.ex. vara ointressant med hänsyn till de angivna ändamålen efter det att grundutbildningen genomförts. Uppgifter om vilken utbildning den totalförsvarspliktige erhållit och vilka färdigheter han därvid förvärvat är däremot intressanta under en längre tid. Det är svårt att avgöra när en viss uppgift förlorar sin relevans. Vi föreslår att den yttersta gränsen för ett bevarande i ADB-registret över totalförsvarspliktiga anges i lagen, vilket kan uttryckas så att en uppgift skall gallras så snart den inte längre behövs för något av de ändamål som den insamlats för och som framgår av lagen. Uppgifterna skall därvid — som huvudregel — gallras senast vid utgången av det kalenderår den registrerade totalförsvarspliktige fyller 70 år (dvs. senast då totalförsvarsplikten upphör). I vissa fall kan det förekomma att personer har uppgifter att fylla inom totalförsvaret även efter det att totalförsvarsplikten upphört för deras del. T.ex. kan medlemmar i frivilligorganisationer kvarstå som medlemmar efter det att de fyllt 70 år och därvid också behålla sina krigsuppgifter inom organisationen. De som skall ställa egendom till förfogande vid höjd beredskap, de som ingår som ledamöter i värderingsnämnder och vissa andra personer med mer eller mindre särpräglade uppgifter, är skyldiga att utföra sina åligganden oavsett om de är över eller under sjuttio år. Som utvecklats i avsnitt 10.2 jämställs dessa personer med totalförsvarspliktiga i vårt lagförslag. I gallringsbestämmelsen behövs därmed också ett undantag från sjuttioårsgränsen för dem som även därefter har en uppgift vid höjd beredskap.

Uppgifter om närstående och andra personer beträffande vilka uppgifter antecknats i re-

gistret som personuppgifter hänförliga till en viss registrerad totalförsvarspliktig, skall naturligtvis inte kvarstå i registret längre än uppgiften behövs som informationsunderlag om den totalförsvarspliktige. Detta bör framgå av lagtexten.

Det bör ankomma på regeringen ge närmare föreskrifter om när olika personuppgifter

skall gallras.

Undantag från gallringsskyldighet skall göras för forskningens behov

Många av de personuppgifter Pliktverket registrerar har ett mycket stort värde för forskningen. Uppgifterna innehåller allsidig information beträffande en stor del av befolkningen — företrädesvis män — vid en viss ålder. Samma slag av uppgifter insamlas år efter år och förändringar av t.ex. folkhälsan kan härigenom kontinuerligt följas. Det är lätt att inse att undantag från skyldigheten att gallra uppgifter bör göras med hänsyn till forskningen. Ett sådant undantag medför att uppgifterna inte behöver överföras till annan databärare med någon typ av informationsförlust som följd, vilket torde vara en stor fördel för forskningen. Avgörandet av vilka uppgifter som skall bevaras med hänsyn till forskningens behov bör överlåtas till Riksarkivet (jfr prop. 1989/90:72 s. 52).

Det torde vara såväl nödvändigt som tillräckligt att i lagtexten ange att regeringen äger

föreskriva undantag från gallringsplikten för forskningens behov. Gallringsföreskrifter för myndigheter faller under regeringens sk. restkompetens (se avsnitt 9.2.2, ovan). I och med att riksdagen — enligt vårt förslag — går in och ger föreskrifter om gallring, måste kompetensen återföras genom att det i lagen anges att regeringen får föreskriva kortare tid för gallring än vad som följer av lagen. Regeringen kan därefter — utan särskilt bemyndigande — i förordning överlåta åt myndighet (Riksarkivet) att meddela bestämmelser ”i ämnet”, enligt 8 kap. 13 § tredje stycket regeringsformen.

Det skall påpekas att sådana uppgifter som enligt förslaget till persondatalag betecknas

som känsliga, får behandlas för forskningsändamål om behandlingen är nödvändig och samhällsintresset av att projektet genomförs klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som projektet kan innebära (se

19 § i förslaget till persondatalag).

Patientjournallagens bestämmelser

En del av de uppgifter som Pliktverket registrerar omfattas av bestämmelserna i patientjournallagen (1985:562). Det gäller t.ex. journalanteckningar som förs av hälso- och sjukvårdspersonal vid totalförsvarets utbildningsenheter. För journalhandlingar föreskrivs en minsta bevarandetid om tre år efter det att den sista uppgiften fördes in i handlingen (8 §). Regeringen eller myndighet som regeringen bestämmer får föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. I övrigt gäller — såvitt avser de journalhandlingar som utgör allmän handling — arkivlagens bestämmelser och de bestämmelser som utfärdats med stöd av den lagen. Kraven på vissa minimitider för bevarandet av journalhandlingar motiveras av säkerheten och rättssäkerheten i vården (se prop. 1984/85:189).

De ovan föreslagna gallringsföreskrifterna i lagen om behandling av personuppgifter om

totalförsvarspliktiga hindrar inte en tillämpning av patientjournallagens bestämmelser om minsta tid för bevarande av journalhandlingar. Innan en journalhandling gallras ur ett ADB-register över totalförsvarspliktiga kan den tas ut i utskrift och bevaras på annat ställe än i registret. Någon särskild bestämmelse som gör undantag från gallringsplikten för journalhandlingar är därför inte nödvändig.

Förvaring av handlingar undantagna från gallring

Enligt arkivlagen (1990:782) svarar varje myndighet för vården av sitt arkiv (4 §) Normalt innebär ett överlämnande av en myndighets arkivmaterial till en arkivmyndighet en viss förstärkning av skyddet för uppgifterna. Föreskrifter om att sådana uppgifter som är undantagna från gallringsplikt skall överlämnas till arkivmyndighet är därför inte sällsynta i särskilda registerförfattningar. Arkivmyndighetens uppgift är koncentrerad på förvaring och den myndigheten har också normalt andra resurser för en effektiv och säker lagring av uppgifter som inte skall behandlas i det dagliga arbetet. I dag bevaras Pliktverkets läkarhandlingar (journal-

handlingar) — som i praktiken utgör det centrala materialet för forskningens behov — genom att uppgifterna (som finns på papper) kopieras (mikrofilmas) och förs över till det av Pliktverket förda Centrala läkarhandlingsarkivet (CLA). I CLA finns i dag journalhandlingar för dem som är födda åren 1946—1976 medan Krigsarkivet (del av Riksarkivet) förvarar journalhandlingar för dem som är födda före 1946. Att hålla de mest aktuella delarna av arkivet är förenat med ett relativt omfattande arbete med att svara på frågor från allmänheten, försäkringskassor och försäkringsbolag m.fl. Pliktverket har — med Riksarkivets föreskrifter i bakgrunden — byggt upp en organisation och ett kunnande för att klara denna uppgift. Vi ser ingen anledning att ändra på detta förhållande. Det skall påpekas att Riksarkivet har möjlighet att föreskriva att statliga myndigheter skall överlämna sina arkiv — helt eller i vissa delar — till annan myndighet eller till arkivmyndighet (9 § arkivlagen). Det finns alltså möjlighet för Riksarkivet att ta över hela CLA, och andra uppgifter som skall sparas, om en sådan åtgärd skulle anses lämplig.

Även om uppgifterna skall finnas kvar hos Pliktverket saknas det skäl för att låta uppgifter

som bevarats enbart för forskningens behov kvarstå i Pliktverkets ADB-register över totalförsvarspliktiga. Vi föreslår därför en bestämmelse som anger att detta material skall avföras, dvs. tas bort, från registret.

Sammanfattning

En tillämpning av vårt förslag, jämte Riksarkivets föreskrifter om vad som avses med gallring (förstöring) ger följande resultat:

— Uppgifter som skall gallras skall vid tidpunkten för gallringen utplånas ur registret. En föreskrift om gallring hindrar dock inte att uppgiften dessförinnan mikrofilmas, skrivs ut på papper eller sparas på annat sätt av myndigheten (under förutsättningen att överföringen till den andra databäraren medfört förlust av sökmöjligheter eller annan förlust som nämns i Riksarkivets definition av förstöring).

— Uppgifter som Riksarkivet bestämt skall sparas för forskningens behov, behöver inte gallras (dvs. behöver inte ”förstöras”) men skall avföras från ADB-registret över totalförsvarspliktiga. Eftersom gallring inte är föreskriven kan uppgifterna föras över till ett annat ADB-register utan att möjligheterna att söka bland uppgifterna eller göra sammanställningar reduceras.

— Uppgifter som skall gallras men ändå bevaras av hänsyn till bestämmelserna i patientjournallagen, skall före gallringen överföras till annan databärare för lagring på annat ställe än i ADBregistret över totalförsvarspliktiga.

14. Sekretessfrågor

14.1 Inledning

Sekretesslagstiftningen måste genomgående beaktas vid tillämpningen av särskilda registerförfattningar. Terminalåtkomst, utlämnande på ADB-medium m.fl. bestämmelser som ger mottagare möjlighet att ta del av registerinnehåll på ett visst sätt begränsas alltid av gällande föreskrifter om sekretess. För att undvika missförstånd har vi därför föreslagit en uttrycklig bestämmelse med erinran om att sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvarspliktiga (se avsnitt 12.4).

andra inblandade som behöver ta del av dem för att totalförsvarets och den registrerades behov skall kunna tillgodoses. Uppgifterna är till stor del av känslig karaktär och det framstår som angeläget att ett sekretesskydd finns mot obehöriga utomstående.

Kort sammanfattat bör reglerna vara utformade så att sekretessen inte hindrar dem som

behöver uppgifterna från att ta del av dessa medan den skall utgöra ett effektivt legalt skydd mot att uppgifterna hamnar i orätta händer.

I avsnitt 4.3 ovan lämnas en redogörelse för gällande sekretessbestämmelser.

14.2 Pliktverkets möjligheter att ta del av sekretessbelagda personuppgifter från andra myndigheter

Förslag: De organisatoriska enheter där grundutbildning för värnplikt eller civilplikt genom-

förs skall, senast då den totalförsvarspliktige rycker ut, lämna journalhandlingar som upprättats under utbildningen till Pliktverket.

Bakgrund: De uppgifter som lämnas till Pliktverket från andra myndigheter är inte sällan

sekretessbelagda hos dessa. Av den anledningen finns en ”katalog” av sekretessbrytande bestämmelser — föreskrifter om uppgiftsskyldighet (se ovan, avsnitt 4.3.8) — i 3 kap. förordningen om totalförsvarsplikt. Under utredningsarbetet har det uppmärksammats att någon särskild föreskrift som gör det möjligt för Riksförsäkringsverket att lämna uppgifter om förtidspensioner till Pliktverket utan att företa skadeprövning inte finns. Förhållandet är detsamma vad gäller utlämnande till Pliktverket av de journalanteckningar som gjorts på utbildningsenheterna under grundutbildningen.

Överväganden: Pliktverket behöver uppgifter om huruvida någon av dem som skall kallas

till mönstring eller andra utredningar för fastställande av totalförsvarsplikten är förtidspensionerad. Förtidspension innebär som regel hinder för tjänstgöring och det är en fördel för såväl Pliktverket som den enskilde om förhållandet uppmärksammas innan kallelse till t.ex. mönstring utfärdas. Enligt 7 kap. 7 § sekretesslagen gäller sekretess hos Riksförsäkringsverket i ärende enligt lagstiftningen om allmän försäkring för uppgift om någons hälsotillstånd eller andra personliga förhållanden om det kan antas att den som uppgiften rör eller någon honom närstående lider men om uppgiften röjs. Eftersom sekretessbrytande bestämmelser saknas innebär detta stadgande att Riksförsäkringsverket i princip har att göra en skadeprövning varje gång Pliktverket begär att få sådana uppgifter. Detta är inte en tillfredsställande ordning. Vi har övervägt att föreslå att en bestämmelse tas in i förordningen om totalförsvarsplikt med innebörden att Riksförsäkringsverket, på begäran av Pliktverket, skall lämna uppgifter om beslutade folkpensioner i form av förtidspensioner och sjukbidrag (se 7 kap. lagen [1962:381] om allmän försäkring). Pliktverket har dock redan agerat och framställt en begäran till Försvarsdepartementet om en motsvarande ändring i förordningen om totalförsvarsplikt. Vi avstår av den anledningen från att lägga fram ett förslag från utredningens sida.

Under grundutbildningen förekommer det att förbandsläkare och annan hälso- och sjuk-

vårdspersonal vid utbildningsenheterna för journalanteckningar beträffande pliktpersonal. Detta blir aktuellt om åtgärder i form vård och behandling förekommer under utbildningstiden. Pliktverket behöver dessa journalanteckningar som underlag vid bedömningen av hur den totalförsvarspliktige bäst skall kunna användas inom totalförsvaret efter genomförd grundutbildning. Uppgifterna i journalerna är emellertid belagda med sekretess enligt 7 kap. 1 § första stycket sekretesslagen och de får därmed inte lämnas ut från hälso- och sjukvårdsenheten på t.ex. ett förband om det inte står klart att de kan röjas utan att den enskilde eller någon honom närstående lider men. Detta innebär i princip att den ansvarige har att göra en skadeprövning

varje gång en journalhandling skall lämnas till Pliktverket. För att möjliggöra ett smidigare förfarande föreslår vi en sekretessbrytande bestämmelse med innebörden att utbildningsenheterna, senast vid utryckningen, skall lämna de journalhandlingar som upprättats under utbildningstiden till Pliktverket. Bestämmelsen förs lämpligast in i förordningen om totalförsvarsplikt.

I övrigt har vi inte funnit några hinder i form av sekretess för att Pliktverket skall kunna få

de uppgifter verket behöver från andra myndigheter. Härvid har vi bedömt att bestämmelsen i 4 kap. 6 § förordningen om totalförsvarsplikt får anses som sekretessbrytande vad gäller de personuppgifter som skall lämnas till Pliktverket från de myndigheter som kan utföra mindre omfattande utredningar angående de totalförsvarspliktigas personliga förhållanden. I nämnda lagrum anges att den som vill få totalförsvarspliktiga inskrivna skall lämna Totalförsvarets pliktverk det underlag som behövs för inskrivningen.

14.3 Sekretess för uppgifter om totalförsvarspliktiga hos Pliktverket

Förslag: Uppgifter om en enskilds personliga förhållanden i journaler som upprättats vid

utbildningsenheten under utbildningstiden skall vara sekretessbelagda även hos Pliktverket.

Pliktverkets skyldighet att överlämna journalhandlingar till hälso- och sjukvårdspersonalen

vid totalförsvarets utbildningsenheter, när de totalförsvarspliktiga rycker in, skall omfatta även sådana journalhandlingar som upprättats vid särskild antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.

Pliktverket skall dessutom ha skyldighet att lämna uppgifter om den totalförsvarspliktiges

psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsa till befattningshavare vid utbildningsenheten som har till uppgift att utbilda den totalförsvarspliktige. Dessa uppgifter skall anges kortfattat.

Bakgrund: Personuppgifter om totalförsvarspliktiga skyddas av bestämmelserna i 7 kap

12 § sekretesslagen och — såvitt avser uppgifter från medicinska undersökningar — av 1 § i samma kapitel (en utförligare redovisning ges ovan i avsnitt 4.3.4). Härtill kommer sekretesslagens särskilda bestämmelser om sekretess för personuppgifter i personregister (se avsnitt 4.3.5 jfrt med Datalagskommitténs förslag som redovisas i avsnitt 6.9.4) och för uppgifter som angår verksamhet för att försvara landet (se avsnitt 4.3.6).

Bestämmelser som bryter sekretessen hos Pliktverket — bortsett från sekretesslagens gene-

rella bestämmelser om begränsningar i sekretess (14 kap. sekretesslagen) — finns i förordningen (1995:648) med instruktion för Totalförsvarets pliktverk. I nämnda förordning föreskrivs följande:

3 § Totalförsvarets pliktverk skall i samband med att en totalförsvarspliktig rycker in för värnplikt eller civilplikt med längre grundutbildning än 60 dagar lämna de journalhandlingar som upprättats vid mönstringen till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras.

Bestämmelsen infördes den 1 januari 1997 sedan det upptäckts att Pliktverket på grund av gällande sekretessbestämmelser i princip var förhindrade att lämna ut journalhandlingar till de utbildningsansvariga enheterna inom totalförsvaret utan samtycke från den enskilde.

Överväganden: Vi har i förra avsnittet föreslagit en sekretessbrytande bestämmelse som

gör det möjligt för Pliktverket att ta del av de journalhandlingar som upprättats under de

totalförsvarspliktigas grundutbildning. Någon bestämmelse som skyddar sådana uppgifter sedan de inkommit till Pliktverket finns för närvarande inte (Förutom det mycket svaga skydd som ges för uppgifter i Pliktverkets register över totalförsvarets personal, se 1 b § sekretessförordningen och avsnitt 4.3.4, ovan). 7 kap. 1 § första stycket sekretesslagen gäller endast för uppgifter inom hälso- och sjukvården och 7 kap. 12 § första stycket avser uppgifter i ärenden om inskrivning av totalförsvarspliktiga samt antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar. Det är uppenbart att uppgifter om den enskildes hälsa och personliga förhållanden i övrigt som återfinns i de aktuella journalerna bör åtnjuta ett likvärdigt skydd hos Pliktverket som de uppgifter som framkommer vid mönstringen och motsvarande förrättningar. Vi föreslår därför att 7 kap. 12 § första stycket sekretesslagen ändras till att omfatta sekretess även i ärenden om krigsplacering av den totalförsvarspliktige. Av lagrummet följer redan att sekretess för uppgifterna gäller bl.a. i ärende som angår skyldighet att tjänstgöra med totalförsvarsplikt och avbrott i sådan tjänstgöring. Tillsammans med den ändring vi föreslår torde därmed sekretessen omfatta de ändamål för vilka Pliktverket innehar dessa uppgifter. Skaderekvisitet i lagrummet är rakt, dvs. uppgifterna får inte lämnas ut om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Med hänsyn till att de journalanteckningar som förs vid en utbildningsenhet normalt är av relativt enkel beskaffenhet torde ett sådant skydd vara nog.

I övrigt är sekretesskyddet för personuppgifter hos Pliktverket tillräckligt enligt vår be-

dömning. Ovan lämnad redovisning visar att det inte sällan finns flera sekretessregler som gäller för samma uppgift. Möjligen kan det sägas vara en brist att uppgifter från psykologiska

undersökningar som utförs vid mönstring (motsv.) endast är skyddade enligt en bestämmelse

med ett rakt skaderekvisit (7 kap. 12 § första stycket sekretesslagen) hos Pliktverket. Till skillnad från vad som gäller de medicinska undersökningarna är nämligen inte 7 kap. 1 § första stycket sekretesslagen tillämpligt på personuppgifter från dessa undersökningar (se ovan avsnitt 4.3.4). Vår översyn av aktuella sekretessregler har dock inte omfattat omprövningar av tidigare överväganden vad gäller sekretessens styrka i olika fall. Vi vill med den gjorda anmärkningen endast fästa uppmärksamhet på förhållandet.

Bestämmelser som bryter sekretessen för personuppgifter hos Pliktverket är få. Den enda

som specifikt inriktar sig på uppgifter som behandlas av Pliktverket är den ovan redovisade i myndighetens instruktion. Behovet av sekretessbrytande föreskrifter är dock inte heller stort. De flesta uppgifter som är av den karaktären att de inte kan lämnas ut med hänsyn till sekretess, behöver inte heller utges till annan för att verksamheten med att placera och redovisa totalförsvarspliktig personal skall fungera. Vi har uppmärksammat två fall där föreskrifter som bryter sekretessen är påkallade:

1. Utlämnande av journalhandlingar till utbildningsenheterna beträffande de kvinnor som genomgått särskild antagningsprövning. Den ovan redovisade bestämmelsen i Pliktverkets instruktion gäller endast journalhandlingar som upprättats vid mönstring. Behovet av journalhandlingar hos hälso- och sjukvårdspersonalen på utbildningsenheten är lika stort beträffande de kvinnor som antas till grundutbildning efter sådan särskild antagningsprövning som motsvarar mönstring (se 3 § lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning). Ett tillägg bör därför göras till 3 § i förordningen med instruktion för Totalförsvarets pliktverk så att även journalhandlingar upprättade vid antagningsprövning för kvinnor omfattas av bestämmelsen om utlämnande.

2. Utlämnande av uppgifter om psykisk funktionsförmåga och fysisk arbetsförmåga m.m. till

Det är inte bara hälso- och sjukvårdspersonalen vid utbildningsenheten som behöver upp-

gifter om den totalförsvarspliktiges psyke och hälsa under grundutbildningen. Ansvarigt befäl eller motsvarande bör också få tillgång till basuppgifter i detta avseende (jfr vad som finns med på det sk. grundutbildningskortet, avsnitt 8.4.4). Vi föreslår därför en bestämmelse som anger att Pliktverket i samband med att den totalförsvarspliktige rycker in skall lämna kortfattade uppgifter om hans eller hennes psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsa till utbildningsenheten. Personuppgifterna lämnas lämpligen till befattningshavare som har till uppgift att utbilda den totalförsvarspliktige. Bestämmelsen kan införas som ett andra stycke i 3 § förordningen med instruktion för Totalförsvarets pliktverk.

Det förekommer att utbildning av totalförsvarspliktiga som skall tjänstgöra med civilplikt

genomförs hos ett organ som inte är en myndighet. Bestämmelser som bryter sekretess genom att uppgiftsskyldighet föreskrivs i lag eller förordning är endast tillämpliga myndigheter emellan. (Se 14 kap. 1 § sekretesslagen. Se även 1 kap. 8 § enligt vilket lagrum vissa andra organ skall jämställas med myndigheter vid tillämpningen av sekretesslagen). Något generellt behov av att annars sekretessbelagda uppgifter lämnas ut till annan än myndighet under grundutbildningen har inte framkommit. Vi vill dock peka på att utlämnande av sådana uppgifter inte kan ske med stöd av 3 § förordningen med instruktion för Totalförsvarets pliktverk i dessa fall. Efter en skadeprövning i det enskilda fallet torde nödvändiga personuppgifter emellertid kunna lämnas ut även till enskilda utbildningsanordnare, i vart fall med förbehåll om att uppgifterna inte får lämnas vidare (se 14 kap. 9 § första stycket sekretesslagen).

Med hänsyn till att det i nuläget förefaller något oklart vem som skall stå som mottagare

av personuppgifter om de totalförsvarspliktiga i en krigssituation har vi inte övervägt vilka sekretessbrytande bestämmelser som härvid kan vara nödvändiga.

14.4 Sekretess hos dem som tar emot personuppgifter från Pliktverket

Förslag: Sekretess skall gälla för uppgifter om den totalförsvarspliktiges personliga förhållan-

den inom verksamhet som avser utbildning för totalförsvarsändamål, hos befattningshavare som har till uppgift att utbilda honom eller henne. Uppgifterna skall inte få lämnas ut om det inte står klart att de kan röjas utan att den som uppgiften rör eller någon honom eller henne närstående lider men.

Bakgrund: Sekretessen följer inte en uppgift som lämnats ut om det inte finns en särskild

regel om detta (se ovan avsnitt 4.3.9).

Överväganden: Det är viktigt att en sekretessbelagd uppgift som kan lämnas ut från Plikt-

verket till annat organ inom totalförsvaret på grund av en sekretessbrytande bestämmelse inte står oskyddad hos mottagaren.

För uppgifter om den enskildes hälsotillstånd eller andra personliga förhållanden som

lämnas till de utbildningsansvariga enheternas hälso- och sjukvårdspersonal gäller sekretessbestämmelserna i 7 kap. 1 § första stycket sekretesslagen även hos mottagaren. I kommentaren till sekretesslagen (Corell m.fl; Sekretesslagen — Kommentar till 1980 års lag med ändringar, 3 uppl., 1992) uttalas i anslutning till denna bestämmelse följande:

Hälso- och sjukvård behöver inte bedrivas i organisatoriskt självständiga former utan kan

utgöra inslag i annan förvaltning, t.ex. inom skolväsendet, socialtjänsten, kriminalvården eller försvarsmakten. Också företagshälsovården i det allmännas verksamhet faller under paragrafens tillämpningsområde. Avsikten är att i dessa fall den del av verksamheten som är att räkna till hälso- eller sjukvård skall falla under den nu aktuella sekretessregleringen, inte under den reglering som gäller för värdmyndigheten. I den mån uppgifterna kommer att hanteras i denna

Uppgifter om t.ex. den enskildes hälsa som kan komma att lämnas av Pliktverket till andra

delar av utbildningsenheten än hälso- och sjukvårdspersonalen, omfattas sålunda inte av sekretess enligt 7 kap 1 § första stycket sekretesslagen. Det gäller i första hand det ovan nämnda grundutbildningskortet med uppgifter om bl.a. den enskildes psykiska funktionsförmåga. Paragrafen i övrigt är inte heller tillämplig hos den utbildande enheten. Enligt 7 kap. 12 § andra stycket sekretesslagen gäller sekretess: ”...inom personalvård med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.”

Inte heller denna sekretessbestämmelse torde vara tillämplig på de uppgifter i ett

grundutbildningskort som tillställs utbildningsenheten. En utbildningsansvarig chef är knappast sådan ”annan befattningshavare” som nämns där. Uppgifterna i grundutbildningskortet skall — enligt vad vi föreslår — vara kortfattade och lämnas i dag i form av en siffer- och/eller bokstavskod. Innehållet är mycket känsligt såvitt avser graderingen av den enskildes psykiska funktionsförmåga och trots kodning så pass lättolkat för de initierade, vilket torde vara i stort sett alla de som själva tjänstgjort inom totalförsvaret, att uppgifterna bör skyddas med en sekretessbestämmelse även hos mottagaren. Vi föreslår därför att 7 kap. 12 § sekretesslagen förses med ett nytt tredje stycke där det anges att sekretess gäller för uppgifter som hänför sig till psykologiska undersökningar och för uppgifter om den totalförsvarspliktiges personliga förhållanden hos befattningshavare som har till uppgift att utbilda honom eller henne. De aktuella personuppgifternas känslighet motiverar ett omvänt skaderekvisit. Uppgifter från psykologiska undersökningar får härmed ett starkare sekretesskydd hos befattningshavaren vid utbildningsenheten än vad uppgifterna har hos Pliktverket. Så är också fallet i dag när sådana uppgifter lämnas från Pliktverket till en förbandsläkare eftersom 7 kap. 1 § första stycket sekretesslagen gäller hos förbandsläkaren men inte hos Pliktverket. (Jfr vad som sägs om uppgifter från psykologisk undersökning i avsnitt 14.3).

Uppgifter i övrigt som lämnas ut av Pliktverket har, såvitt vi kan bedöma, erforderligt

sekretesskydd hos mottagarna. Uppgifter om krigsplaceringar etc. omfattas av försvarssekretessen om uppgifterna är känsliga (2 kap. 2 § sekretesslagen). Det skall också erinras om den absoluta sekretess som gäller för uppgifter som används vid framställning av statistik (9 kap. 4 § sekretesslagen, se avsnitt 4.3.7 ovan) och om att den sekretess som gäller hos Pliktverket (enligt 13 kap.3 och 4 §§sekretesslagen) följer med uppgifterna om de överlämnas till en myndighet för forskningsverksamhet eller för arkivering. Om enskild efter särskild skadeprövning enligt sekretesslagen får ta del av uppgifter för forskningsändamål kan förbehåll med förbud att lämna uppgiften vidare ställas upp enligt 14 kap. 9 § sekretesslagen. Sådant förbehåll kan också — som tidigare nämnts — användas om det i andra fall skulle vara aktuellt att lämna ut personuppgifter om totalförsvarspliktiga till andra utbildningsanordnare än myndigheter.

15. Skadestånd och straff

15.1 Skadestånd

Förslag: Persondatalagens bestämmelser om skadestånd skall gälla även behandlingar som

utförts i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av den lagen.

En föreskrift som anger detta förhållande tas in i lagen eftersom den föreslagna persondata-

lagens skadeståndsbestämmelser endast gäller vid behandling som skett i strid med den lagen eller föreskrifter som meddelats med stöd därav.

Bakgrund: Enligt förslaget till persondatalag (43 §) skall den persondataansvarige ersätta

den registrerade för den skada som en behandling av personuppgifter i strid med den lagen eller föreskrifter som har meddelats med stöd av lagen fört med sig. Ersättning skall inte bara betalas för person- och sakskada utan också för ren förmögenhetsskada samt för den kränkning av den personliga integriteten som behandlingen har inneburit. Ersättningsskyldigheten kan i den utsträckning det är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar att felet inte berodde på honom eller henne.

Skillnaden mellan de särskilda bestämmelserna i förslaget till persondatalag och allmänna

bestämmelser i skadeståndslagen (1972:207) består främst i att ersättning enligt persondatalagen kan utgå för ren förmögenhetsskada och för kränkning av den personliga integriteten även om brottslig gärning ej begåtts.

Överväganden: Datalagskommitténs överväganden har skett mot bakgrund av EG-direktivet

om personuppgifter (Datalagskommittén, avsnitt 12.13.2). Formuleringen i den föreslagna persondatalagen innebär att behandlingar som strider mot en särskild författning som reglerar behandling av personuppgifter inom viss verksamhet, men som är tillåten enligt persondatalagen, inte grundar skadeståndsskyldighet annat än enligt allmänna skadeståndsbestämmelser i skadeståndslagen. Det saknas enligt vår uppfattning skäl att göra sådan åtskillnad. Skada som uppkommit genom att personuppgifter behandlats i strid med gällande rätt bör bedömas lika ur skadeståndssynpunkt oavsett i vilken författning de föreskrifter som har åsidosatts förekommer. Vi föreslår därför att persondatalagens bestämmelser om skadestånd skall gälla även behandlingar som utförts i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av denna lag.

15.2 Straff

Bedömning: Skäl för avvikelser från de föreslagna bestämmelserna i persondatalagen, eller

från straffrättsliga föreskrifter i övrigt, föreligger inte.

Bakgrund: Datastraffrättsutredningen har föreslagit att datalagens bestämmelser om straff

för dataintrång (21 § datalagen) flyttas till brottsbalken (se SOU 1992:110 s. 182 ff). Datalagskommittén har instämt i förslaget. I övrigt har Datalagskommittén föreslagit viss avkriminalisering i förhållande till vad som gäller enligt datalagen i dag. Kommittén anser att vissa av de straffbestämmelser som finns i dag inte är relevanta för det föreslagna systemet och att vite och skadestånd i flera fall utgör tillräckliga sanktioner (Datalagskommittén, avsnitt 12.13.2.4). Kommittén föreslår en bestämmelse i persondatalagen (44 §) som straffbelägger lämnande av osanna uppgifter till den registrerade eller tillsynsmyndigheten. Straffet föreslås vara böter eller fängelse i högst sex månader eller, om brottet är att betrakta som grovt, fängelse i högst två år.

Överväganden: Det saknas skäl för särskilda straffbestämmelser avseende brott mot före-

skrifterna i lagen om behandling av personuppgifter om totalförsvarspliktiga.

16. Ikraftträdande och övergångsbestämmelser

16.1 Ikraftträdande Förslag: Lagen om behandling av personuppgifter om totalförsvarspliktiga skall träda i kraft den 1 januari 1999.

Ändringarna i sekretesslagen (1980:100), förordningen (1995:238) om totalförsvarsplikt

och förordningen (1995:648) med instruktion för Totalförsvarets pliktverk, skall träda i kraft

den 1 januari 1998.

16.1.1 Lagen om behandling av personuppgifter om totalförsvarspliktiga

Överväganden: Vårt förslag till lag om behandling av personuppgifter om totalförsvarspliktiga

är skrivet mot bakgrund av den av Datalagskommittén föreslagna persondatalagen (SOU 1997:39) och utformad i samspel med den lagens bestämmelser. Lagen kan således inte träda i kraft före persondatalagen, vilken föreslagits gälla från och med den 1 januari 1999. Då det inte finns skäl att avvakta ytterligare föreslår vi att lagen om behandling av personuppgifter om totalförsvarspliktiga träder i kraft samtidigt som persondatalagen. Tiden fram till dess torde vara tillräcklig för övervägande av vilka ytterligare föreskrifter i förordningsform som kan behövas. I och med att lagarna träder i kraft samtidigt skall Pliktverket inte behandla personuppgifter i enlighet med datalagen fram till oktober 2001, vilket annars hade varit fallet enligt övergångsbestämmelserna till persondatalagen. (Se nedan under Övergångsbestämmelser, avsnitt 16.2.2).

Tillstånd och föreskrifter som har meddelats av Datainspektionen bör anses förlora sin

verkan per ikraftträdandedagen (Jfr Datalagskommittén, avsnitt 12.15.2.5). Föreskrifter från Riksarkivet avseende gallring av ADB-registret över totalförsvarspliktiga finns för närvarande inte. I den mån sådana föreskrifter behöver utfärdas före den 1 januari 1999 bör de utformas så att de inte strider mot vårt lagförslag.

16.1.2 Ändringar i andra författningar

Överväganden: Vi har föreslagit ändringar i sekretesslagen, förordningen om totalförsvars-plikt och förordningen med instruktion för Totalförsvarets pliktverk (se kap. 14).

Nämnda ändringar är inte beroende av att persondatalagen trätt i kraft, utan fungerar

även tillsammans med nu gällande föreskrifter.

Bestämmelserna bör införas snarast möjligt, eftersom de reglerar och möjliggör nödvän-

digt utbyte av personuppgifter de inblandade myndigheterna emellan. Vi föreslår den 1 januari 1998 som datum för införandet.

16.2 Övergångsbestämmelser

Förslag: Personer som vid lagens ikraftträdande har mönstrat (motsv.) men inte tagits i an-

språk för totalförsvarets räkning skall, utan hinder av de begränsningar av registerinnehåll som följer av lagen, också få antecknas i Pliktverkets ADB-register över totalförsvarspliktiga.

Persondatalagens bestämmelser skall gälla vid behandling av personuppgifter som omfat-

tas av lagen om behandling av personuppgifter om totalförsvarspliktiga från den 1 januari 1999, även såvitt avser sådan behandling som redan pågår vid den tidpunkten.

Bestämmelsen som ger andra än Pliktverket rätt att behandla känsliga personuppgifter

skall dock gälla först från och med den

1 oktober 2001.

16.2.1 Registrering av uppgifter om personer vars tjänstbarhet utretts före den 1 januari 1999, men som vid den tidpunkten inte tagits i anspråk för totalförsvarets räkning

verkets ADB-register över totalförsvarspliktiga när de är aktuella för mönstring, särskild antagningsprövning eller annan mindre omfattande utredning med motsvarande syfte. Uppgifter beträffande personer som genom avtal, beslut om krigsplacering eller på annat sätt är tagna i anspråk för totalförsvaret får också registreras. I ett övergångsskede faller den som har mönstrat (motsv.) men ännu inte krigsplacerats, mellan nu angivna punkter. Det gäller t.ex. dem som mönstrat men ännu inte fullgjort grundutbildningen och därför ännu inte kunnat krigsplaceras, och dem som efter mönstringen placerats i en utbildningsreserv. För att åtgärda denna brist bör det i övergångsbestämmelserna anges att uppgifter om dessa personer också får antecknas i registret.

Det är självfallet så att uppgifterna endast får antecknas där i den mån de är relevanta för

ändamålen med registret och inte om de enligt andra föreskrifter redan fallit för gallringsplikten.

16.2.2 Förhållandet till den föreslagna persondatalagens övergångsbestämmelser

Överväganden: Nedan anges de föreslagna övergångsbestämmelserna till persondatalagen i 8

punkter. Under varje punkt följer våra överväganden och kommentarer. Om inget annat sägs föreslår vi inga undantag vad gäller behandlingen av personuppgifter om totalförsvarspliktiga. (För en utförlig redovisning av skälen bakom de föreslagna övergångsbestämmelserna till persondatalagen hänvisas till Datalagskommittén, avsnitt 12.15).

1. Denna lag träder i kraft den 1 januari 1999, då datalagen (1973:289) upphör att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som meddelats före den 1 januari 1999.

Talan mot Datainspektionens beslut, t.ex.om förverkande av register, skall föras enligt datalagens bestämmelser om beslutet är meddelat med stöd av den lagen.

2. Beträffande sådan behandling av personuppgifter som pågår vid ikraftträdandet skall till utgången av september månad 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande. Enligt Datalagskommittén bör man kunna använda sig av en vid tolkning av begreppet ”behandling som redan pågår”. Har väl en serie behandlingar påbörjats före ikraftträdandet, bör den behandlingsserien kunna fortsätta oberörd av den nya lagen ända till den 1 oktober 2001, trots att bara viss typ av behandling — t.ex. genom sökningar, ändringar och kompletteringar — påbörjas eller återupptas (Datalagskommittén, avsnitt 12.15.2.2). I och med att lagen om behandling av personuppgifter om totalförsvarspliktiga — enligt vad vi föreslår — träder i kraft samma dag som persondatalagen, skall inte denna övergångsbestämmelse gälla för Pliktverkets behandling av dessa uppgifter. Pliktverket har att följa bestämmelserna i båda de nya lagarna från och med den gemensamma dagen för ikraftträdandet. Det bör därför anges i bestämmelsen om ikraftträdande för lagen om behandling av personuppgifter om totalförsvarspliktiga att även persondatalagen skall tillämpas vid behandlingen, utan hinder av vad som sägs i 2 p i övergångsbestämmelserna till den lagen.

3. Bestämmelserna i 9, 10, 13, och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behandling av personuppgifter som pågår vid ikraftträdandet. De uppräknade paragraferna avser grundläggande krav på behandlingen av personuppgifter, allmänna förutsättningar när behandling är tillåten, förbud mot behandling av känsliga personuppgifter samt förbud för andra än myndigheter att behandla uppgifter om lagöverträdelser.

Innebörden är att Pliktverket kan fortsätta ev. manuell behandling av personuppgifter som redan pågår den 1 januari 1999, utan att behöva beakta dessa bestämmelser i persondatalagen fram till nämnd datum. Manuell behandling av personuppgifter har tidigare inte reglerats av persondataskyddslagstiftningen i Sverige och Datalagskommittén har valt att utnyttja den möjlighet till respit med införandet av EG-direktivet avseende sådan behandling som ges i direktivet. Respiten bör gälla även i Pliktverkets verksamhet.

4. Beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13, och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Dessförinnan skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av punkt 2 eller 3 ovan. Vi har föreslagit att uppgifter som skall undantas från gallring av hänsyn till forskningens behov skall avföras från Pliktverkets ADB-register över totalförsvarspliktiga. Den lagring som sker på annat ställe omfattas av denna övergångsbestämmelse. Någon bestämmelse som förtydligar detta förhållande behövs inte i lagen om behandling av personuppgifter om totalförsvarspliktiga eftersom den lagen inte reglerar behandling av personuppgifter som lagras för historisk forskning.

5. Anmälan enligt 36 § i den nya lagen får göras före ikraftträdandet. Det är den anmälan om behandling av personuppgifter som skall göras till tillsynsmyndigheten som avses. Pliktverket kan — om verket inte väljer att utse ett persondataombud, vilket innebär att anmälningsskyldigheten bortfaller (37 § förslaget till persondatalag) — göra en sådan anmälan före den 1 januari 1999.

6. Ett samtycke som lämnats före ikraftträdandet skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen. Bestämmelsen föranleder ingen särskild kommentar.

7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in före ikraftträdandet men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen. Bestämmelsen föranleder ingen särskild kommentar.

8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträdandet. I annat fall tillämpas de äldre bestämmelserna. Vårt förslag till skadeståndsbestämmelse hänvisar till persondatalagens. Vad som anges i denna punkt i persondatalagens övergångsbestämmelser gäller sålunda även då skadeståndsyrkandena grundas på att behandling skett i strid mot lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av lagen.

16.2.3 Behandling av personuppgifter om totalförsvarspliktiga hos andra än Pliktverket

Överväganden: Vårt lagförslag berör även andra än Pliktverket. Vi ger t.ex. ett utrymme för

andra än Pliktverket att lägga in uppgifter i ADB-registret över totalförsvarspliktiga och föreskriver om terminalåtkomst för andra till registret. Hos dessa andra myndigheter m.fl. skall inte persondatalagen börja tillämpas förrän i oktober 2001 beträffande sådan behandling av

personuppgifter som redan pågår den 1 januari 1999. Olika regelverk för dem som behandlar uppgifter om totalförsvarspliktiga — bl.a. genom att skicka uppgifterna sinsemellan — kan ställa till problem. Automatisk behandling som inte innefattar registrering är t.ex. under en övergångsperiod oreglerad hos den som emottar uppgifter från Pliktverket medan verket är underkastat persondatalagens bestämmelser. Vi kan dock inte finna att några olösliga konflikter uppstår. I och med att även Pliktverket har respit från persondatalagens bestämmelser såvitt avser manuell behandling av personuppgifter och då datalagens regelverk endast griper in om mottagarna registrerar uppgifterna i ADB-register bör samspelet fungera under den period om två och ett halvt år det är fråga om.

Särskilda problem skulle kunna uppstå under övergångsperioden om andra än Pliktverket

för in uppgifter i ADB-registret över totalförsvarspliktiga. Dessa andra organ för i praktiken själva ett ”register i registret” och är därmed underkastade datalagens bestämmelser. En föreskrift i förordning om att annan — t.ex. hälso- och sjukvårdspersonal vid Försvarsmaktens utbildningsenheter — får föra in vissa uppgifter i Pliktverkets ADB-register över totalförsvarspliktiga, innebär dock att åtgärderna inte är tillståndspliktiga eftersom de beslutats av regeringen. De föreskrifter som kan utfärdas av Datainspektionen med stöd av datalagen bör kunna utformas så att konflikter mellan regelverken inte uppstår. (Läkare har redan på grund av särskilt undantag i datalagen rätt att utan särskilt tillstånd föra ett register över någons sjukdom eller hälsotillstånd i övrigt, se 2 a § andra stycket 4 datalagen). En liknande situation som kan uppstå är att Pliktverket enligt den nya ordningen inte är förhindrat att lämna ut uppgifter på ADB-medium, medan mottagaren inte får inneha ett personregister på ADB-medium utan tillstånd enligt datalagens bestämmelser. Som nämnts inledningsvis anser vi dock att problemen bör kunna lösas under den aktuella övergångsperioden. I det här fallet genom att mottagaren ansöker om tillstånd hos Datainspektionen, eller låter sig nöja med att få uppgifterna på annat medium.

Beträffande en särskild bestämmelse i förslaget till lag om behandling av personuppgifter

om totalförsvarspliktiga är det emellertid befogat att göra ytterligare överväganden. Det gäller det föreslagna undantaget från förbudet mot behandling av känsliga personuppgifter för de myndigheter m.fl. som kan utföra mindre omfattande utredningar enligt lagen om totalförsvarsplikt (5 § andra stycket i vårt lagförslag). Bestämmelsen medför att de berörda myndigheterna även kan registrera dessa uppgifter med hjälp av ADB. Om bestämmelsen träder i kraft före den 1 oktober 2001 innebär detta att en onödig konflikt med datalagens regler om tillståndsplikt uppstår. Olika regler kan komma att gälla för olika typer av uppgifter i samma register hos den aktuella myndigheten. Denna bestämmelse bör därför inte träda i kraft förrän persondatalagens bestämmelser i övrigt (med undantag för de som gäller manuell behandling) gäller för dessa organs behandling av personuppgifter. De kan tillsvidare behandla de uppgifter de finner nödvändiga utan att vara underkastade någon persondataskyddslagstiftning så länge de inte för ett eget ADB-register med uppgifterna. Vi föreslår mot bakgrund av det anförda att 5 § andra stycket i lagen om behandling av personuppgifter om totalförsvarspliktiga träder i kraft först per den 1 oktober 2001.

17. Konsekvenser av förslagen

17.1 Prövning av offentliga åtaganden

Enligt generella kommittédirektiv (dir. 1994:23) har samtliga kommittéer och särskilda utre-

dare att förutsättningslöst pröva offentliga åtaganden inom den verksamhet som utreds. I direktivet uttalas att vissa kollektiva nyttigheter måste garanteras genom offentliga åtaganden. Försvaret nämns som en av dessa. Prövningen av ett offentligt åtagande som rör sådana nyttigheter kan enligt direktiven göras översiktligt eller i vissa fall slopas helt.

Pliktverkets verksamhet utgör en bas för totalförsvarets personalförsörjning och kan inte

rimligen garanteras av annan än det offentliga. Med hänsyn till att kontinuerlig riksomfattande samordning är nödvändig, är staten den lämpligaste huvudmannen. Med dessa korta konstateranden avslutar vi, med hänvisning till vad som sägs i det aktuella direktivet om kollektiva nyttigheter, vår prövning i denna del.

17.2 Regionalpolitiska konsekvenser, jämställdhet mellan könen och brottsförebyggande arbete

Generella kommittédirektiv föreskriver redovisning av ställda förslags konsekvenser för regionalpolitiken (dir. 1992:50), jämställdhetspolitiken (dir. 1994:124) och det brottsförebyggande arbetet (1996:49). Vi har inte kunnat finna att vad som nu nämns berörs av våra förslag.

17.3 Kostnader för förslagens genomförande

De förslag vi lämnar avser att reglera en redan pågående verksamhet och anpassa reglerna till den nya centrala lagstiftningen på området. Förslagen medför sålunda i sig inga kostnader för samhället.

De begränsningar vi föreslår av vad som skall få förekomma i registret och hur uppgif-

terna skall få kommuniceras mellan dem som behöver dem, kan innebära merkostnader för de berörda jämfört med de lösningar de planerat för. Vi har t.ex. inte medgivit att fotografier av pliktpersonal skall få finnas i ADB-registret över totalförsvarspliktiga (se ovan, avsnitt 12.2.3). Enligt Pliktverkets beräkningar innebär en ordning där fotografier (och den totalförsvarspliktiges namnteckning) lagras i ett separat register (fristående serversystem) en investeringskostnad om ca 450 000 kr. Driften av systemet är beräknad till ca 50 000 kr/år, inklusive service.

18. INTEGER-delen av Pliktverkets ADB-register över totalförsvarspliktiga -En sammanfattning

Som redogjorts för ovan (avsnitt 8.4.8) skall Socialstyrelsens personalförsörjningsregister över hälso- och sjukvårdspersonal i krig (INTEGER) överföras till PLIS och utgöra en del av detta system. Pliktverket skall enligt överenskommelse med Socialstyrelsen sköta uppdatering och ändring av uppgifterna även i INTEGER-delen av registret.

Vårt förslag till lag om behandling av personuppgifter om totalförsvarspliktiga ger ut-

rymme för en lösning som innebär att INTEGER-personalen registreras tillsammans med de totalförsvarspliktiga i Pliktverkets ADB-register. Vi har vid utformningen av förslaget till lagtext tagit hänsyn till de särskilda krav på registerinnehåll, sökbegrepp m.m. som därmed måste ställas. Närmast nedan följer en sammanfattning av dessa överväganden.

Ändamålen med behandlingen

Lagen om behandling av personuppgifter om totalförsvarspliktiga är tillämplig även vid behandling av personuppgifter om INTEGER-personalen. Detta följer av 1 § första stycket 1, där det anges att lagen tillämpas i den verksamhet Pliktverket bedriver för att ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalför-

svaret. INTEGER förs för att ett underlag — en förteckning — skall finnas när hälso- och sjukvårdspersonal skall fördelas över landet i en krigssituation.

Registerinnehåll

7 § första stycket 3 i vårt förslag är till viss del utformad särskilt för att de av hälso- och sjukvårdspersonalen som inte är formellt krigsplacerade ändå skall kunna registreras i Pliktverkets ADB-register över totalförsvarspliktiga. Det gäller andra ledet i punkten där det sägs att det får antecknas uppgifter om den som på grund av viss kompetens är viktig för totalförsvaret.

De uppgifter som får antecknas om hälso- och sjukvårdspersonalen (och övriga

totalförsvarspliktiga) anges i 8 §. Med stöd av detta lagrum kan uppgifter om personnummer, namn, adress, anställning, utbildning och kunskaper m.m. antecknas, i den mån det bedöms erforderligt.

Registrering av uppgifter och terminalåtkomst

Bestämmelserna i 10 och 11 §§ ger regeringen möjlighet att tillåta Socialstyrelsen m.fl (t.ex. sjukvårdshuvudmännen och civilbefälhavarna) att ha terminalåtkomst till ADB-register över totalförsvarspliktiga och att föra in uppgifter direkt i registret. De bestämmelser som regeringen kan ge i förordning kan vara utformade så att de tillåter åtkomst endast till uppgifter om hälso- och sjukvårdspersonal.

Sökbegrepp

Enligt vårt förslag är det tillåtet att använda sökbegrepp som t.ex. anställning, utbildning, kunskaper och färdigheter. Härmed är det t.ex. tillåtet att söka efter ”läkare” med särskild utbildning som ”kirurg” anställd vid ett visst landsting. Vi har bedömt att vårt förslag till begränsning av sökbegrepp ger tillräckligt utrymme för INTEGER-funktionen i registret.

Persondataansvar

Enligt 6 § i vårt förslag är Pliktverket persondataansvarigt för den behandling som verket utför. Någon annan lösning är enligt vår bedömning inte rimlig. Pliktverket för visserligen INTEGER-delen av registret på uppdrag av Socialstyrelsen och Socialstyrelsen har också ett betydande inflytande vad gäller innehållet i denna del av registret. Pliktverket agerar dock generellt som en servicemyndighet i förhållande till övriga delar av totalförsvaret. Pliktverket hanterar personuppgifterna självständigt och det är verkets arbetsuppgift — enligt instruktion — att redovisa (all) personal inom totalförsvaret. Det är självklart att Pliktverket måste föra en dialog med de myndigheter verket bistår och ingå överenskommelser med dessa. Frågor om vilka uppgifter registret måste innehålla m.m. kan inte avgöras av Pliktverket ensamt. Pliktverket intar dock inte en sådan underordnad roll att ansvaret för verkets behandling av personuppgifter kan läggas på andra myndigheter eller andra organ. Detta gäller även beträffande behandlingen av uppgifter om hälso- och sjukvårdspersonal.

Vad som nu sagts utesluter inte att även andra — t.ex. de som lämnar personuppgifter till

Pliktverkets register — har ett eget ansvar för de åtgärder som de vidtar med uppgifterna. Tvärtom är huvudregeln att var och en av de inblandade ansvarar för sina ”behandlingar” (se avsnitt 11.6, ovan).

Författningskommentar

Förslag till lag om behandling av personuppgifter om totalförsvarspliktiga

1 § Denna lag tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Totalförsvarets pliktverk bedriver för att

1. ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,

2. redovisa personal med uppgifter inom totalförsvaret,

3. säkerställa att den registrerade fortlöpande erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret,

4. tillse att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,

5. tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig och

6. planera, följa upp och utvärdera den verksamhet som anges i 1—5.

I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av annan än Total-

försvarets pliktverk.

Lagen gäller endast om behandlingen är helt eller delvis automatisk eller om personuppgifte-

rna ingår i eller är avsedda att ingå i ett register.

Med totalförsvarspliktiga jämställes vid tillämpningen av denna lag personer som har en

uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt.

Paragrafen anger lagens tillämpningsområde. Lagen skall tillämpas vid behandling av

personuppgifter om totalförsvarspliktiga i den verksamhet Pliktverket bedriver enligt punkterna 1—6. Begreppen behandling och personuppgifter definieras i förslaget till persondatalag (fortsättningsvis persondatalagen) till vilken 2 § hänvisar. Med behandling avses enligt persondatalagen varje åtgärd som vidtas beträffande personuppgifter och med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 § persondatalagen). En personuppgift om en totalförsvarspliktig kan samtidigt utgöra en uppgift om en annan person, t.ex. om en närstående (se 7 § första stycket 4), om vem som tagit ett beslut som rör den totalförsvarspliktige (se 7 § tredje stycket) eller om en person som nämns bland de uppgifter som åberopats av en totalförsvarspliktig (se 7 § första stycket 5).

Om Pliktverket behandlar uppgifter om andra personer — t.ex. om egen personal — eller

om totalförsvarspliktiga, för andra ändamål än dem som anges i denna paragraf — t.ex. lagring av personuppgifter för forskningsändamål — är lagen inte tillämplig. För att möjliggöra

åtkomst till och bevarande av personuppgifter om totalförsvarspliktiga för forskningsändamål

finns emellertid särskilda bestämmelser i lagen (se 12 § första stycket och 13 § andra stycket).

Om det särskilt anges gäller lagen också vid behandling av personuppgifter i annan verk-

samhet än den som bedrivs av Pliktverket. Här avses i första hand bestämmelsen i 5 § andra stycket som ger vissa myndigheter och andra rätt att behandla känsliga personuppgifter. Även bestämmelserna om rätt för annan att föra in uppgifter i Pliktverkets ADB-register över totalförsvarspliktiga (11 §) och om terminalåtkomst till detta register (10 §) kan hänföras hit. Generellt faller annars behandling av personuppgifter som utförs av dem som lämnar uppgifter till Pliktverket eller tar emot uppgifter därifrån utanför lagens tillämpningsområde.

En viktig begränsning ligger i att lagen är tillämplig endast om behandlingen är helt eller

delvis automatisk eller om personuppgifterna ingår i eller är avsedda att ingå i ett register (automatiskt eller manuellt fört).

Enligt sista stycket jämställes alla personer som har uppgifter att fylla vid höjd beredskap

med totalförsvarspliktiga vid tillämpningen av lagen. De som här avses är personer som på grund av avtal eller bestämmelser i författningar som inte avser totalförsvarsplikt har en skyldighet att tjänstgöra eller utföra en uppgift vid höjd beredskap. Som exempel kan nämnas yrkesofficerare, vissa medlemmar i frivilligorganisationer och ägare till egendom vilken uttagits

för totalförsvarets behov med stöd av förfogandelagstiftningen. Även behandling av personuppgifter om dem som inte tagits i anspråk för viss bestämd tjänstgöring eller ålagts viss bestämd uppgift inom totalförsvaret vid höjd beredskap omfattas av lagens tillämpningsområde, under förutsättning att den typ uppgift dessa personer skall fullgöra är bestämd. Lagen är därmed t.ex. tillämplig vid behandling av personuppgifter om hälso- och sjukvårdspersonal oavsett om personerna i fråga är inskrivna med civilplikt, skyldiga att tjänstgöra enligt sina anställningsavtal eller endast kan tas i anspråk med stöd av allmän tjänsteplikt. Dessa personers uppgifter vid höjd beredskap är bestämda med sådan säkerhet att det är motiverat att personuppgifter om dem får behandlas (jfr 7 § första stycket 3).

Vilka personer som får registreras i Pliktverkets ADB-register över totalförsvarspliktiga

anges i 7 §.

De ändamål som räknas upp i punkterna 1—6 motsvarar de centrala delarna av Plikt-

verkets verksamhet. För en närmare beskrivning av vad som avses hänvisas till avsnitt 11.2.1.

För behandling av personuppgifter som faller utanför denna lags tillämpningsområde gäl-

ler persondatalagens bestämmelser under förutsättning att behandlingen är helt eller delvis automatisk eller att personuppgifterna ingår i eller är avsedda att ingå i ett register. Denna lags förhållande till persondatalagen beskrivs i kommentaren till 3 §.

Definitioner 2 § Med behandling, blockering, register, den registrerade, persondataansvarig, personuppgifter,

känsliga personuppgifter, tillsynsmyndigheten och tredje man förstås i denna lag detsamma som i persondatalagen (1998:000).

Med utredning avses i denna lag mönstring och annan utredning om den totalförsvars-

pliktiges förhållanden som kan utföras enligt lagen (1994:1809) om totalförsvarsplikt samt särskild antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.

Med ADB-register över totalförsvarspliktiga avses register med personuppgifter om

totalförsvarspliktiga som förs av Totalförsvarets pliktverk med hjälp av automatisk databehandling för de ändamål som anges i 1 § första stycket.

I denna paragraf definieras vissa begrepp som förekommer i lagen. I första stycket anges begrepp som införs i och med persondatalagen. I lagen om behand-

ling av personuppgifter om totalförsvarspliktiga används, av lätt insedda skäl, samma terminologi som i persondatalagen. I persondatalagen definieras dessa begrepp på följande sätt (definitionerna av behandling och personuppgifter har presenterats i kommentaren till 1 §):

Blockering= varje åtgärd som kan vidtas för att personuppgifterna i alla sammanhang

skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.

Register= varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning

eller sammanställning enligt särskilda kriterier.

Den registrerade= den som en personuppgift avser. Persondataansvarig= den som ensam eller tillsammans med andra bestämmer ändamålen

med och medlen för behandlingen av personuppgifter.

Känsliga personuppgifter= Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter,

religiös eller filosofisk övertygelse,

medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.

Tillsynsmyndigheten= Den myndighet som regeringen utser (Datainspektionen) Tredje man= Någon annan än den registrerade, den persondataansvarige, persondata-

biträdet och sådana personer som under den persondataansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla personuppgifter. Inte heller ett persondataombud anses som tredje man.

Begreppen persondatabiträde och persondataombud används inte i lagen om behandling

av personuppgifter om totalförsvarspliktiga. För definitioner hänvisas till persondatalagens 3 § (se bilaga 2).

I andra stycket ges mönstring, annan utredning enligt lagen om totalförsvarsplikt samt

särskild antagningsprövning för kvinnor samlingsbeteckningen utredning. Skälet härtill är endast att förenkla de fortsatta skrivningarna.

I tredje stycket definieras ADB-register över totalförsvarspliktiga. Detta görs för att skilja

registret från andra personregister som Pliktverket eventuellt kan komma att föra och för att ge registret ett namn i den fortsatta framställningen. Bestämmelserna i 7—13 §§ gäller endast för personuppgifter i detta (eller dessa) register.

Förhållandet till persondatalagen3 § Om inget annat följer av denna lag eller av föreskrifter som meddelats med stöd härav,

tillämpas persondatalagen vid behandling av personuppgifter om totalförsvarspliktiga.

Redan av persondatalagen (2 §) följer att bestämmelser i lagar och förordningar som avvi-

ker från persondatalagen gäller framför denna. I 3 § ovan uttrycks förhållandet mellan

persondatalagen och denna lag på det sättet att persondatalagen gäller om inget annat sägs i denna lag eller i föreskrifter som meddelats med stöd härav. För att ta reda på grundläggande bestämmelser för behandling av personuppgifter måste man alltså gå till persondatalagen, även när det gäller behandling av personuppgifter om totalförsvarspliktiga som omfattas av denna lag. Lagen om behandling av personuppgifter om totalförsvarspliktiga utgörs nämligen av föreskrifter som preciserar och i vissa fall gör undantag från persondatalagens allmänt hållna bestämmelser. Förhållandet till persondatalagen har behandlats genomgående i betänkandet (se särskilt kap. 11) och beskrivs också fortsättningsvis i kommentarerna till de följande paragraferna i denna lag i den mån det bedöms erforderligt. Här skall endast strukturen och de viktigaste punkterna upprepas.

Persondatalagens bestämmelser om när behandling av personuppgifter är tillåten åter-

finns i den lagens 10 §. Där anges att uppgifter får behandlas bara om den registrerade har lämnat sitt samtycke eller när behandlingen i vissa fall är nödvändig, t.ex. för att utföra en arbetsuppgift av allmänt intresse eller för att den persondataansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning. De ändamål som anges i 1 § första stycket i denna lag faller inom vad som är att bedöma som uppgifter av allmänt intresse — nämligen att förse landets totalförsvar med lämplig personal och att redovisa denna. I de delar ändamålen är att tillgodose den registrerades intressen utgör detta arbetsuppgifter i samband med den myndighetsutövning Pliktverket och andra myndigheter inom totalförsvaret utövar gentemot den registrerade. Utgångspunkten är sålunda att den registrerades samtycke inte krävs för behandling av personuppgifter om totalförsvarspliktiga för de ändamål som anges i 1 § i denna lag. Detta följer av en tillämpning av 10 § persondatalagen enligt nu redovisat resonemang. (Angående behandling av känsliga personuppgifter; se kommentaren till 5 §).

I persondatalagens 9 § anges grundläggande krav på behandling av personuppgifter. Av

detta lagrum följer bl.a. att den persondataansvarige skall se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella

samt att personuppgifter inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Allt detta är tillämpligt även vid behandlingen av personuppgifter om totalförsvarspliktiga. Av vad som nu sagts följer t.ex. att även om en uppgift ingår bland dem som får registreras i Pliktverkets ADB-register över totalförsvarspliktiga enligt 8 § i denna lag, så får behandling (inklusive den behandlingsåtgärd som registreringen utgör) inte ske om uppgiften är överflödig med hänsyn till ändamålen.

Av bestämmelsen i förevarande paragraf följer vidare att persondatalagens bestämmelser

om information till den registrerade (23 och 24 §§persondatalagen), förbud mot automatiserade beslut (29 § persondatalagen), säkerheten vid behandlingen (3032 §§persondatalagen), anmälan till tillsynsmyndigheten (36—41 §§) samt om straff för osanna uppgifter (44 §) är tillämpliga även vid behandling av personuppgifter om totalförsvarspliktiga. Detta gäller även vad som i övrigt regleras i persondatalagen så länge inte något annat följer av lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av denna lag. (Som ovan nämnts går också föreskrifter i andra lagar och förordningar före persondatalagens bestämmelser vid en konflikt).

Ändamålen med behandlingen 4 § Personuppgifter som samlats in av Totalförsvarets pliktverk skall anses insamlade för de

ändamål som anges i 1 § första stycket om inte Totalförsvarets pliktverk vid insamlingen uttryckligen angett att denna sker för andra ändamål.

Ändamålen skall enligt persondatalagen (9 § första stycket c) alltid anges när person-

uppgifter som skall behandlas (med automatik eller genom att antecknas i register) samlas in. Ändamålsangivelsen styr sedan behandlingen av uppgifterna på det sättet att annan behandling än den som är relevant och nödvändig i förhållande till dessa ändamål i princip inte får företas. Genom vad som anges i 4 § ovan kan Pliktverket behandla personuppgifter för de ändamål som anges i 1 § första stycket även i de fall uppgifterna lämnats till Pliktverket från andra myndigheter m.fl. som ursprungligen samlat in uppgifterna för andra ändamål. Utan en föreskrift av det här slaget hade detta — i vart fall i viss utsträckning — varit förbjudet eftersom 9 § första stycket d i persondatalagen stadgar att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Av bestämmelsen framgår också att denna lag inte hindrar att Pliktverket behandlar person-

uppgifter för andra ändamål än dem som uttrycks i lagen. Pliktverket måste emellertid i sådant fall ange dessa andra ändamål senast vid insamlingen av personuppgifterna. Vid behandling för andra ändamål än dem som anges i 1 § första stycket är denna lag inte tillämplig.

Det skall påpekas att behandling för historiska, statistiska eller vetenskapliga ändamål

inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in (9 § andra stycket persondatalagen). Detta gör att personuppgifter kan behandlas för forskning och statistik även om dessa ändamål inte angavs vid insamlingen av uppgifterna. (Behandling av personuppgifter för forskning och statistik omfattas dock inte av bestämmelserna i lagen om behandling av personuppgifter om totalförsvarspliktiga.)

Det skall vidare observeras att detta lagrum inte fritar Pliktverket från skyldigheten att

lämna information om behandlingen till den registrerade enligt bestämmelserna i persondatalagen (23—27 §§).

Behandling av känsliga personuppgifter 5 § Känsliga personuppgifter får behandlas om det är nödvändigt för de ändamål som anges i

1 § första stycket.

Första stycket gäller även kommuner, landsting, kyrkliga kommuner och de statliga myn-

digheter som anges i 4 kap. 5 § andra stycket förordningen (1995:238) om totalförsvarsplikt, om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden

Paragrafen innebär ett undantag från persondatalagens förbud mot behandling av käns-

liga personuppgifter (13 § persondatalagen). Undantaget medför att samtycke till behandling från den registrerade inte krävs. För att markera att känsliga personuppgifter inte får behandlas slentrianmässigt anges det att uppgifterna får behandlas om det är nödvändigt med hänsyn till något av de ändamål som anges i 1 § första stycket. Här finns det anledning att påminna om förhållandet mellan lagens mer allmänna regler om behandling och de regler som anger vad som får registreras. Denna bestämmelse innebär inte att känsliga uppgifter får antecknas i ADB-register över totalförsvarspliktiga. För att en sådan behandlingsåtgärd skall vara tillåten krävs det dessutom att uppgiften får föras in i registret enligt vad som följer av 7 och 8 §§.

Andra stycket medger att även de myndigheter som utför mindre omfattande utredningar

om de totalförsvarspliktigas förhållanden omfattas av undantaget från persondatalagens förbud.

Bestämmelserna i denna paragraf utgör självfallet inget undantag från den enskildes

grundlagsbefästa skydd mot tvång att tillkännage sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende eller mot att bli antecknad i register enbart på grund av sin politiska åskådning utan samtycke (2 kap. 2 § och 3 § första stycket RF).

Ansvaret för behandlingen

6 § Totalförsvarets pliktverk är persondataansvarigt för den behandling av personuppgifter om totalförsvarspliktiga som verket utför.

Paragrafen uttrycker närmast en självklarhet. Den behövs emellertid för att visa att Plikt-

verket ansvarar för den egna behandlingen av personuppgifter även om den i princip sker på uppdrag av olika organ inom totalförsvaret. Pliktverket ansvarar inte för den behandling andra utför innan uppgifterna är överlämnade till Pliktverket och inte heller för den behandling mottagare av personuppgifter utför. Om någon annan än Pliktverket tillåts föra in en uppgift i ADB-registret över totalförsvarspliktiga har denne ett ansvar för sin åtgärd att anteckna uppgiften i registret medan Pliktverket har ett ansvar för den behandling som består i att lagra uppgiften i ett automatiskt register. Olika organ kan således ha ansvar för sina respektive åtgärder med samma personuppgift.

Ansvaret följer av denna bestämmelse endast när behandlingen sker för de ändamål som

anges i 1 § första stycket. I övriga fall får ledning sökas i persondatalagens bestämmelser om persondataansvar.

Innebörden av persondataansvaret framgår av persondatalagen. En sammanställning ges i

avsnitt 11.6.

Uppgifter om andra personer än de totalförsvarspliktiga själva kan komma att behandlas

för de ändamål som anges i 1 § första stycket och de kan också antecknas i Pliktverkets ADBregister över totalförsvarspliktiga enligt 7 §. Det rör sig om närstående till den totalförsvarspliktige, vissa beslutsfattare m.fl. samt personer som nämns bland uppgifter som åberopats av den totalförsvarspliktige. Pliktverkets ansvar enligt denna paragraf omfattar också sådana uppgifter eftersom de är att anse som uppgifter om den registrerade totalförsvarspliktige.

Registerinnehåll 7 § I ADB-register över totalförsvarspliktiga får antecknas personuppgifter endast om den som

1. är aktuell för utredning enligt 2 § andra stycket,

2. genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret,

4. av en redan registrerad uppgetts som närstående eller

5. nämns bland de uppgifter som antecknas med stöd av 8 § första stycket 13.

Uppgifter om en person som avses i första stycket 4, får antecknas i registret endast vid

höjd beredskap.

Utan hinder av vad som sägs i första stycket får personuppgifter antecknas i registret om

den som fattat beslut eller handlagt ärende rörande den registrerade hos Totalförsvarets pliktverk eller hos annan som utför utredning som avses i 2 § andra stycket. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring inom totalförsvaret.

I denna paragraf anges beträffande vilka personer uppgifter får förekomma i Pliktverkets

ADB-register över totalförsvarspliktiga.

Första punkten avser dem som står i begrepp att mönstra, genomgå mindre omfattande

utredning enligt lagen om totalförsvarsplikt eller särskild antagningsprövning. Med ”aktuell för” avses även de som själva anhängiggjort ett ärende hos Pliktverket genom en förfrågan eller upplysning, även om Pliktverket ännu inte aviserats om dem från Riksskatteverket eller de på annat sätt aktualiserats för utredning på det allmännas initiativ.

Andra punkten avser dem som på olika sätt är ianspråktagna för totalförsvaret. T.ex.

genom att vara fast anställda i Försvarsmakten, krigsplacerade m.m. De flesta av dessa personer har någon gång varit föremål för den typen av utredning som avses i första punkten, dock inte alla.

Tredje punkten avser dem som utan att vara ianspråktagna tilldelats en särskild uppgift

vid höjd beredskap, t.ex. att ställa viss egendom till förfogande samt dem som på grund av sin kompetens behöver finnas ”listade” i en krissituation. Den senare kategorin utgörs i dag i princip endast av hälso- och sjukvårdsperonal i det sk. INTEGER-registret (se avsnitt 8.4.8).

Fjärde punkten avser dem som en registrerad uppger som närstående — dvs. de som skall

underrättas om något skulle hända den registrerade. Av andra stycket i paragrafen framgår att anteckning om närstående endast får göras vid höjd beredskap.

Femte punkten ger möjlighet att anteckna uppgifter om personer som nämns bland upp-

gifter som åberopats av den registrerade. Ett praktiskt exempel är uppgifter om en arbetsgivare, när ett intyg från denne åberopats vid en begäran om uppskov med plikttjänstgöring.

I tredje stycket anges att uppgifter om beslutsfattare, handläggare och dem som fört journal-

anteckningar, hos Pliktverket eller hos annan som får göra utredningar enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning, får registreras.

Av 8 och 12 §§ framgår att uppgifter om andra än den totalförsvarspliktige själv endast

får antecknas i begränsad omfattning och att det i princip är förbjudet att använda uppgifter om dessa personer som sökbegrepp i registret.

Avslutningsvis skall erinras om vad som sägs i 1 § fjärde stycket om att personer med

uppgifter inom totalförsvaret vid höjd beredskap jämställs med totalförsvarspliktiga enligt denna lag. T.ex. kan den som frivilligt åtagit sig att utföra en sådan uppgift därmed också registreras i ett ADB-register över totalförsvarspliktiga med stöd av 3 p. i 7 §, trots att hans eller hennes skyldighet att medverka inte grundar sig på totalförsvarsplikt. Personen ifråga behöver inte ens omfattas av totalförsvarsplikten. Han eller hon kan med andra ord vara såväl under sexton år som över sjuttio.

8 § I ADB-register över totalförsvarspliktiga får endast följande personuppgifter antecknas:

1. personnummer, namn, adress, telefonnummer och folkbokföringsort,

2. hinder för genomförande av utredning som avses i 2 § andra stycket, för utbildning och för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,

3. boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets pliktverk skall kunna fullgöra sina åligganden enligt förordningen (1995:239) om förmåner till totalförsvarspliktiga,

4. utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,

5. fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,

6. om den registrerade är svensk medborgare eller inte,

7. utgången i mål om ansvar för brott mot totalförsvarsplikten,

8. att den registrerade har dömts till påföljd för brott som anges i 19 § femte stycket polisregisterkungörelsen (1969:38),

9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna, 10. vad som bestämts vid inskrivning enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning, 11. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon skall utföra vid höjd beredskap, 12. tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna samt 13. personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret. Utan hinder av vad som sägs i första stycket får beslut som rör totalförsvarsplikten, tidpunkter och tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter antecknas. Beträffande den som antecknas i registret med stöd av 7 § första stycket 4, får endast namn, adressuppgifter och relation till den som uppgett honom eller henne som närstående föras in i registret. Beträffande handläggare och andra personer som avses i 7 § tredje stycket får endast namn, titel och tjänsteställe antecknas.

Här anges vilka personuppgifter som får antecknas i ADB-register över totalförsvarspliktiga.

Första punkten avser basuppgifter som behövs för identifikation, delgivning av kallelser,

information till den enskilde m.m.

Andra punkten avser alla hinder för genomförande av utredning m.m. som kan före-

komma, temporära eller permanenta; sjukdom, utlandsvistelse, förtidspension, intagning på vårdinrättning m.m. Det skall vara fråga om ett faktiskt hinder som innebär att den registrerade i praktiken inte kan komma i fråga för de åtgärder som nämns. Om det är den enskilde som anser att hinder föreligger, t.ex. på grund av att han eller hon har en livsåskådning som enligt honom eller henne utesluter vapentjänst, kan en sådan uppgift inte antecknas med stöd av denna punkt (jfr dock punkt 13 nedan).Tredje punkten avser de uppgifter som Pliktverket behöver för att fullgöra sina åligganden i enlighet med vad som framgår av denna punkt.

Fjärde punkten avser den registrerades kompetens och intressen såvitt dessa har betydelse

för bedömningen av hans eller hennes användbarhet inom totalförsvaret. Uppgift om anställning motiveras främst av behovet av att kunna föra en ”inventarieförteckning” över landets hälso- och sjukvårdspersonal.

Femte punkten avser de undersökningar som görs vid mönstringen (motsv.). Med ”de

uppgifter som ligger till grund för bedömningen i denna del” avses t.ex. uppgifter om rök- och alkoholvanor, hemförhållanden m.fl. omständigheter som kan påverka den medicinska och psykiska hälsan och förmågan.

Sjätte punkten medger anteckning om medborgarskapet är svenskt eller inte. (Om ut-

ländskt medborgarskap föreligger får anteckning inte göras om vilket land den registrerade är medborgare i.) Uppgiften behövs för att fastställa omfattningen av totalförsvarsplikten.

Sjunde punkten avser anteckningar om brott mot lagen om totalförsvarsplikt. Åttonde punkten avser uppgifter om att den registrerade dömts till påföljd för vissa brott.

Dessa uppgifter kan lämnas ut till Pliktverket från polisregister enligt polisregisterkungörelsen. Anteckning får inte göras om vilka brott eller vilken påföljd det är frågan om. (Anteckning om att den registrerade är intagen på kriminalvårdsanstalt kan göras enligt p. 2 om intagningen utgör hinder t.ex. för inställelse till mönstring).

Nionde punkten avser anteckning om att säkerhetsprövning för viss säkerhetsklass har

gjorts och om resultatet av prövningen. Med resultatet av prövningen avses en kortfattad uppgift om huruvida den registrerade är godkänd ur säkerhetssynpunkt eller inte.

Tionde till tolfte punkterna avser beslut m.m. som rör den registrerades tjänstgöring inom

totalförsvaret.

Trettonde punkten innefattar allt som den registrerade själv åberopar förutsatt att vad han

eller hon anför rör tjänstgöringen inom totalförsvaret. Härunder faller t.ex. uppgifter om religiös åskådning som åberopas som skäl för befrielse från tjänstgöring. Med stöd av denna punkt kan även känsliga personuppgifter registreras utan den enskildes samtycke, liksom uppgifter om andra personer än den totalförsvarspliktige själv (se kommentarerna till 5 och 7 §§). Begränsningen av vad som kan registreras ligger i att den enskilde frivilligt måste ha åberopat uppgifterna.

Av andra stycket framgår att övriga beslut som rör totalförsvarsplikten, tidpunkter och

tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter får antecknas. Beslut som rör totalförsvarsplikten kan t.ex. vara beslut om att förelägga en totalförsvarspliktig att vid vite lämna föreskrivna uppgifter eller om hämtning till en mönstringsförrättning. Administrativa uppgifter kan vara anteckningar om vilket lokalkontor hos Pliktverket som handlagt ett visst ärende eller om att vissa uppgifter begärts in från en registrerad. Som exempel på en teknisk uppgift kan nämnas en anteckning om att ytterligare uppgifter om en person finns att hämta i ett annat register eller i ett arkiv.

Av tredje och fjärde styckena följer att det endast är vissa begränsade uppgifter som får

antecknas om närstående, beslutsfattare, handläggare och om dem som fört journalanteckningar beträffande en registrerad.

Beträffande personer som nämns bland uppgifter som åberopats av den registrerade, dvs.

som antecknats med stöd av p. 13 i denna paragraf, får självfallet inga andra uppgifter antecknas än dem som sålunda åberopats.

9 § Regeringen får till skydd för de registrerades personliga integritet föreskriva ytterligare begränsningar av vad som får antecknas i ADB-register över totalförsvarspliktiga.

Om ytterligare begränsningar bör göras av vad som får förekomma i ADB-register över

totalförsvarspliktiga av hänsyn till den enskildes behov av skydd för den personliga integriteten, kan regeringen med stöd av denna paragraf ge sådana bestämmelser i förordning. Regeringen kan härvid föreskriva begränsningar såväl av personkretsen beträffande vilken anteckningar får göras i registret (7 §) som av vilka personuppgifter som får antecknas (8 §).

Terminalåtkomst 10 § Totalförsvarets pliktverk har terminalåtkomst till ADB-register över totalförsvarspliktiga.

Pliktverket skall naturligtvis ha tillgång till samtliga uppgifter i ADB-registret över

totalförsvarspliktiga. Vilka ur Pliktverkets personal som skall ha tillgång till uppgifterna och i vilken omfattning, är i stor utsträckning en intern fråga för verket. Det ligger i Pliktverkets ansvar för säkerheten att skydda uppgifterna så inte fler personer än nödvändigt får tillgång till dem. Detta gäller särskilt beträffande personuppgifter av känslig karaktär. Vid hanteringen av personuppgifter inom Pliktverket skall det emellertid också beaktas att sekretesslagen kan ställa hinder för ett fritt flöde av uppgifter inom myndigheten eftersom ett förbud att röja uppgifter också i vissa fall gäller i förhållandet mellan olika verksamhetsgrenar inom samma myndighet (1 kap. 3 § andra stycket sekretesslagen).

Andra meningen i paragrafen ger regeringen möjlighet att ge organ utanför Pliktverket

rätt till terminalåtkomst till registret. Med stöd av denna bestämmelse kan regeringen föreskriva vem som skall ha sådan åtkomst och vidare vilka uppgifter åtkomsten skall gälla.

Registrering av uppgifter 11 § Regeringen får föreskriva att även annan än Totalförsvarets pliktverk får föra in och och

rätta personuppgifter i ADB-register över totalförsvarspliktiga samt i vilken omfattning.

Om regeringen med stöd av denna paragraf så föreskriver får myndigheter och andra

organ som skall lämna uppgifter till Pliktverket göra detta genom att föra in uppgifterna direkt i registret från egen terminal. Regeringen kan också bestämma att dessa organ själva skall kunna rätta uppgifter i registret. En förutsättning för att någon skall kunna påverka innehållet i registret är självfallet att han eller hon har terminalåtkomst till detsamma (se 10 §).

Denna bestämmelse bryter inte — eller påverkar på annat sätt — eventuell sekretess som

kan gälla för uppgifterna.

Sökbegrepp 12 § Personuppgifter som avses i 8 § första stycket 2 och 3 och 5—9 får inte användas som

sökbegrepp annat än om det behövs för tillsyn, uppföljning eller utvärdering av Totalförsvarets pliktverks verksamhet eller för framtagande av material för forskning eller statistik. Detsamma gäller uppgifter om resultat från kunskapsprov och anlagstester som utförts vid sådan utredning som avses i 2 § andra stycket.

För åtkomst av personuppgifter om närstående till en totalförsvarspliktig, om den som

handlagt ärende, fattat beslut eller gjort journalanteckning får endast den totalförsvarspliktiges personnummer användas som sökbegrepp. Detsamma gäller för åtkomst av personuppgifter som antecknats med stöd av 8 § första stycket 13.

Utan hinder av vad som sägs i första och andra styckena får nödvändigt sökbegrepp an-

vändas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.

Regeringen får föreskriva ytterligare begränsningar av sökbegrepp. Begränsningar av sökbegrepp innebär dels att den registerförande myndigheten inte får

söka i registret eller göra sammanställningar efter eget godtycke, dels att sammanställningar grundade på de förbjudna sökbegreppen inte anses förvarade hos myndigheten och därmed inte utgör allmänna handlingar även om det är tekniskt möjligt att ta fram dem.

Genom bestämmelserna i första stycket i denna paragraf förbjuds som sökbegrepp uppgif-

ter om hinder för genomförande av utredning och krigsplacering m.m., boende- och familjeförhållanden samt försörjning, fysisk och psykisk hälsa och förmåga, medborgarskap, domar i brottmål och säkerhetsprövning. Uppgifterna får dock användas vid sökningar i registret om det behövs för tillsyn, uppföljning eller utvärdering av Pliktverkets verksamhet, framtagande

av material för forskning eller statistik. Detsamma gäller resultaten från kunskapsprov och anlagstester som utförs vid mönstring eller motsvarande utredning. Uppgifter om kunskaper och anlag kan behövas som sökbegrepp vid uttagning av registrerade till olika befattningar. Själva provresultaten ingår dock inte i vad Pliktverket behöver kunna söka på i registret för att lösa sina uppgifter. De sammanställningar som gjorts och som resulterat i skattningar av den enskildes allmänna ”duglighet” jämte konkreta uppgifter om vissa specialkunskaper är tillräckliga. Skulle det vara nödvändigt att ta fram resultat från vissa enskilda prov kan detta göras via personnummer på de registrerade sedan en första sökning gett ett urval av personer att välja bland.

Det saknas behov att ta fram uppgifter om dem som antecknats som närstående till en

registrerad eller därför att de fattat beslut, handlagt ärende eller gjort journalanteckning, annat än som uppgifter knutna till en viss registrerad totalförsvarspliktig. Detsamma gäller uppgifter som registrerats enbart därför att de åberopats av den totalförsvarspliktige.

Därför föreskrivs det i andra stycket att dessa uppgifter endast får tas fram med den

totalförsvarspliktiges personnummer som sökbegrepp.

I tredje stycket anges undantag från förbudet att använda vissa sökbegrepp. Alla nödvän-

diga sökbegrepp får användas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.

I sista stycket ges regeringen möjlighet att föreskriva ytterligare begränsningar av sök-

begrepp. Begränsningarna kan ges generellt eller för ett visst organ som har terminalåtkomst enligt föreskrifter som meddelats med stöd av 10 §.

Gallring 13 § En personuppgift i ett ADB-register över totalförsvarspliktiga skall gallras så snart upp-

giften inte längre behövs för de ändamål som anges i 1 § första stycket. Personuppgifter beträffande dem som avses i 7 § första stycket 1—3 skall gallras senast vid utgången av det kalenderår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Uppgifter om närstående, beslutsfattare, handläggare, den som gjort journalanteckning samt om personer som nämns bland vad som antecknats med stöd av 8 § första stycket 13 skall härvid anses som uppgifter om den totalförsvarspliktige. Regeringen får föreskriva kortare tid för gallring än vad som följer av detta stycke.

Regeringen får föreskriva undantag från skyldigheten att gallra personuppgifter i fråga

om bevarande av material för forskningens behov. Sådana uppgifter skall dock avföras från registret vid den tidpunkt de annars skulle ha gallrats enligt första stycket.

En skyldighet att gallra innebär att personuppgifterna skall förstöras när tidpunkten för

gallring är inne. Som förstöring avses enligt Riksarkivets föreskrifter även ett överförande av uppgifterna till annan databärare, om överföringen innebär informationsförlust eller att sökmöjligheter går förlorade i och med överföringen. Ett överförande av uppgifter från ett ADBregister till pappershandlingar innebär därmed i praktiken att uppgifterna gallrats. Även om uppgifter enligt bestämmelser i författning skall gallras ur Pliktverkets ADB-register över totalförsvarspliktiga kan de därför sparas på annan databärare t.ex. för tillgodoseende av patientjournallagens bestämmelser om bevarande av journalhandlingar. En redogörelse för gallringsbegreppets innebörd ges i kap. 13.

I denna paragraf ges inledningsvis en bestämmelse som i princip redan gäller enligt

persondatalagen; en personuppgift i registret skall gallras så snart den inte längre behövs för de ändamål för vilka den insamlats. För uppgifter om registrerade totalförsvarspliktiga sätts — som huvudregel — en yttersta gräns vid utgången av det kalenderår vederbörande fyller sjuttio år. Då upphör totalförsvarsplikten och senast vid denna tidpunkt måste det i normalfallet

anses onödigt att ha uppgiften i registret. Undantag föreskrivs för dem som även efter denna tidpunkt har uppgifter att utföra vid höjd beredskap. Som exempel kan nämnas medlemmar i frivilligorganisationer som kvarstår i organisationen och har beredskapsuppgifter även efter det att de fyllt sjuttio år. Ett annat exempel är personer i samma ålder vars egendom är uttagen för totalförsvarets behov, t.ex. vissa hundägare vars hundar ingår i Försvarsmaktens krigsorganisation. De sist nämnda personerna skall enligt vad som följer av 1 § fjärde stycket jämställas med totalförsvarspliktiga vid tillämpningen av denna lag. Ytterligare undantag från sjuttioårsgränsen ges beträffande närstående, beslutsfattare m.fl. personer som förekommer i registret på annan grund än att de är totalförsvarspliktiga (eller därmed jämställda enligt denna lag). Uppgifter om sådana personer är egentligen uppgifter om de totalförsvarspliktiga och skall gallras när de inte längre behövs beträffande dessa. En yttersta gräns för dessa anteckningar är sålunda utgången av det kalenderår den totalförsvarspliktige fyller sjuttio år.

Genom andra stycket ges regeringen möjlighet att föreskriva kortare tid för gallring. Sär-

skilda gallringsbestämmelser för olika typer av personuppgifter skall ges i förordningsform.

I tredje stycket ges regeringen möjlighet att föreskriva undantag från skyldigheten att gallra

personuppgifter i fråga om material för forskningens behov. Regeringen kan — utan att detta föreskrivs särskilt — delegera denna kompetens till en annan myndighet, t.ex. Riksarkivet (se kap. 13 ovan samt 8 kap. 13 § RF). Att uppgifterna inte behöver gallras innebär att de kan föras över till ett annat ADB-register utan att möjligheter att söka bland uppgifterna går förlorad. Personuppgifter som bevaras för forskningsändamål skall inte ligga kvar i ADB-register över totalförsvarspliktiga utan avföras därifrån när tidpunkten för gallring annars är inne enligt första stycket i paragrafen. Det saknas anledning att tynga registret med uppgifter som inte behövs för de ändamål för vilka de en gång antecknats där.

Sekretess 14 § För utlämnande av personuppgifter om totalförsvarspliktiga gäller de begränsningar som

följer av sekretesslagen (1980:100).

Bestämmelsen utgör en erinran om att sekretesslagen är tillämplig vid utlämnande av person-

uppgifter om totalförsvarspliktiga. Vad som än föreskrivs om terminalåtkomst och möjligheter för andra att lägga in uppgifter direkt i Pliktverkets ADB-register i denna lag så skall eventuella sekretessbestämmelser beaktas, dvs. beträffande varje uppgift som skall överlämnas via datanätet (eller på annat sätt) måste det först undersökas om den får lämnas ut med hänsyn till vad sekretesslagen föreskriver.

Inskränkning i tillsynsmyndighetens befogenheter 15 § Tillsynsmyndigheten får inte förbjuda Totalförsvarets pliktverk att behandla person-

uppgifter om totalförsvarspliktiga.

Om tillsynsmyndigheten (Datainspektionen) konstaterar att personuppgifter behandlas

eller kan komma att behandlas på ett olagligt sätt kan myndigheten, om inte rättelse går att få på annat sätt eller om det är riskfyllt att vänta, vid vite förbjuda den persondataansvarige att behandla uppgifterna på annat sätt än genom att lagra dem (47 § persondatalagen).

Genom denna paragraf undantas Pliktverkets behandling av personuppgifter om

totalförsvarspliktiga från Datainspektionens befogenheter i denna del. I övrigt gäller persondatalagens bestämmelser om Datainspektionens tillsyn och befogenheter.

Korrigering av uppgifter 16 §Persondatalagens bestämmelser om den persondataansvariges skyldighet att på begäran

av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man,

till vilken uppgifterna har lämnats ut, om sådana åtgärder skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som utfärdats med stöd av denna lag.

Denna bestämmelse medför att persondatalagens motsvarande regel (28 §) blir tillämplig även då personuppgifter behandlats i strid med denna lag eller före-

skrifter som meddelats med stöd härav. Bestämmelsen i persondatalagen gäller annars endast då uppgifterna inte behandlats i enlighet med den lagen eller föreskrifter som meddelats med stöd av den lagen.

Skadestånd 17 §Persondatalagens bestämmelser om skadestånd skall gälla även då personuppgifter be-

handlats i strid med denna lag eller föreskrifter som meddelats med stöd av denna lag.

Persondatalagens skadeståndsbestämmelse är utformad så att den gäller vid överträdelser

av den lagen eller föreskrifter som meddelats med stöd av den lagen.

Genom förevarade paragraf görs persondatalagens bestämmelser om skadestånd tillämp-

liga även då personuppgifter behandlats i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av denna lag.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 1999. Vid sådan behandling av personuppgifter för

vilken lagen gäller och som redan pågår vid ikraftträdandet skall persondatalagens bestämmelser tillämpas utan hinder av vad som sägs i 2 p i övergångsbestämmelserna till den lagen.

Bestämmelsen i 5 § andra stycket i denna lag skall emellertid inte börja tillämpas förrän

den 1 oktober 2001.

Lagen om behandling av personuppgifter om totalförsvarspliktiga är utformad för att

tillämpas tillsammans med persondatalagen, i princip på samma sätt som befintliga registerförfattningar korresponderar med den nu gällande datalagen (se 3 § i förslaget till lag om behandling av personuppgifter om totalförsvarspliktiga). Ikraftträdandedatum kan därför inte sättas tidigare än för persondatalagen, som enligt föreliggande förslag skall träda i kraft den 1 januari 1999. Om dagen för ikraftträdandet av persondatalagen skulle bli en annan än

vad som föreslagits, skall naturligtvis lagen om behandling av personuppgifter om totalförsvarspliktiga följa efter — i vart fall om ikraftträdandet för persondatalagen senareläggs.

Enligt förslaget till persondatalag (p. 2 i övergångsbestämmelserna till persondatalagen)

skall den lagen inte tillämpas på sådan behandling som redan pågår vid ikraftträdandet (dvs. som pågår den 1 januari 1999) förrän den 1 oktober 2001. Lagen om behandling av personuppgifter om totalförsvarspliktiga skall tillämpas i Pliktverkets verksamhet från den 1 januari 1999 även beträffande sådan behandling som pågår vid den tidpunkten. Därför föreskrivs ett undantag från persondatalagens övergångsbestämmelse i denna del. Såväl lagen om behandling av personuppgifter om totalförsvarspliktiga som persondatalagen blir tillämplig vid Pliktverkets behandling av personuppgifter om totalförsvarspliktiga från och med den 1 januari 1999 (eller annat datum som kan komma att bestämmas för ikraftträdandet av persondatalagen).

Bestämmelsen i 5 § andra stycket som ger vissa myndigheter rätt att behandla känsliga

personuppgifter undantas dock från vad som nu sagts. I den mån behandling av känsliga personuppgifter redan pågår vid ikraftträdandet bör äldre bestämmelser gälla fram till den 1 oktober 2001. Berörda myndigheter kan annars få en komplicerad situation med olika regelverk för de personuppgifter de hanterar.

Bortsett från 2 p. skall övergångsbestämmelserna till persondatalagen tillämpas även vid

behandling av personuppgifter om totalförsvarspliktiga. Detta innebär bl.a. att bestämmelserna i 9, 10, 13 och 21 §§persondatalagen inte skall börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behandling som pågår vid ikraftträdandet (se 3 p. övergångsbestämmelserna till persondatalagen). Vidare skall persondatalagens bestämmelser om skadestånd bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträdandet (se 8 p. övergångsbestämmelserna till persondatalagen).

2. De personer, som vid lagens ikraftträdande har varit föremål för sådan utredning som avses

i 2 § andra stycket men som inte tagits i anspråk för totalförsvarets räkning genom avtal, beslut om krigsplacering eller på annat sätt, får utan hinder av vad som sägs i 7 § antecknas i ett ADB-register över totalförsvarspliktiga.

Andra punkten i övergångsbestämmelserna gör att de som vid ikraftträdandet hamnar mellan punkterna 1 och 2 i 7 § — t.ex. de som har mönstrat men ännu ej krigsplacerats — också kan registreras i Pliktverkets ADB-register över totalförsvarspliktiga.

Förslag till lag om ändring i sekretesslagen (1980:100)

7 kap 12 §

Sekretess gäller i ärende om utredning om totalförsvarspliktigas personliga förhållanden, i ärende om antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar samt i ärende om inskrivning och krigsplacering av

totalförsvarspliktiga för uppgift om enskilds personliga förhållanden, om det kan antas att den

enskilde eller någon honom närstående lider men om uppgiften röjs. Motsvarande sekretess gäller i ärende som angår antagning till utbildning vid Försvarsmakten, skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen gäller dock inte beslut i ärende som avses i detta stycke.

Sekretess gäller inom personalvård med avseende på den som tjänstgör med totalförsvars-

plikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.

Sekretess gäller inom verksamhet som avser utbildning för totalförsvarsändamål med av-

seende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos befattningshavare som har till uppgift att utbilda den totalförsvarspliktige, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år. Den föreslagna ändringen i första stycket syftar i första hand till att de journalanteckningar

som görs beträffande den totalförsvarspliktige vid utbildningsenheterna under utbildningstiden och som sedan lämnas till Pliktverket skall vara belagda med sekretess även hos Pliktverket (se förslaget till ändring i förordningen [1995:238] om totalförsvarsplikt). Pliktverket behöver dessa uppgifter som underlag vid beslut om krigsplacering och för bedömning av om och hur den totalförsvarspliktige skall vidareutbildas inom totalförsvaret. Ändringen består i denna del i att krigsplacering lagts till i första meningen. Av den nuvarande lydelsen av andra meningen i första stycket framgår att sekretessen redan omfattar ärende som angår skyldighet att tjänstgöra med totalförsvarsplikt.

Vidare föreslås att utredning om totalförsvarspliktigas personliga förhållanden läggs till

de ärendetyper för vilka sekretessen skall gälla. Skälet härtill är att undanröja eventuella oklarheter som enligt vår uppfattning annars kan uppstå. Det är t.ex. inte självklart att en mindre omfattande utredning om en totalförsvarspliktigs personliga förhållanden som utförs av en annan myndighet än Pliktverket skall anses som ett inskrivningsärende. En fullständig uppräkning där utredning, antagning av kvinnor och inskrivning (av såväl kvinnor som män) tas med undanröjer eventuella tvivel. Med utredning om totalförsvarspliktigas personliga förhållanden avses sådan utredning som kan utföras enligt 2 kap. lagen om totalförsvarsplikt — dvs. mönstring eller annan mindre omfattande utredning.

Tredje stycket är nytt och avser att skydda de personuppgifter som Pliktverket lämnar till

befattningshavare vid totalförsvarets utbildningsenheter (se förslaget till ändringen i förordningen [1995:648] med instruktion för totalförsvarets pliktverk). Dessa uppgifter är av mycket känslig natur eftersom de graderar den totalförsvarspliktiges psykiska funktionsförmåga, allmänna begåvning m.m. Formuleringen av tredje stycket följer uppbyggnaden av andra stycket i paragrafen.

Förslag till förordning om ändring i förordningen (1995:238) om totalförsvarsplikt

3 kap. 15 §

De organisatoriska enheter där grundutbildning genomförs för värnplikt eller civilplikt med längre grundutbildning än 60 dagar skall, senast då den totalförsvarspliktige rycker ut, lämna journalhandlingar som upprättats under utbildningen till Totalförsvarets pliktverk.

Ändringen består i en ny paragraf som ålägger utbildningsenheterna att tillställa Plikt-

verket journalhandlingar som upprättats under grundutbildningen beträffande de totalförsvarspliktiga. Journalhandlingarna utgör underlag då Pliktverket skall ta beslut om krigsplacering och bedöma hur den enskilde på bästa sätt fortsättningsvis skall utbildas inom totalförsvaret. Utan denna bestämmelse omfattas journalhandlingarna av sekretess enligt 7 kap. 1 § sekretesslagen även gentemot Pliktverket.

Förslag till förordning om ändring i förordningen (1995:648) med instruktion för Totalförsvarets pliktverk 3 § Totalförsvarets pliktverk skall i samband med att en totalförsvarspliktig rycker in för värn-

plikt eller civilplikt med längre grundutbildning än 60 dagar lämna de journalhandlingar som upprättats vid mönstring eller särskild antagningsprövning enligt lagen (1994:1810) om möj-

lighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning till hälso-

och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras.

Totalförsvarets pliktverk skall vid samma tidpunkt och till samma enheter som anges i

första stycket lämna uppgifter om den totalförsvarspliktiges psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsotillstånd till befattningshavare som har till uppgift att utbilda honom eller henne. Uppgifterna skall anges kortfattat.

I första stycket föreslås en ändring som består i att särskild antagningsprövning läggs till

mönstring. Hälso- och sjukvårdspersonalen bör få del även av de journalanteckningar som rör

kvinnor som rycker in för grundutbildning som är längre än 60 dagar.

Andra stycket är nytt och ålägger Pliktverket att tillställa befattningshavare vid

utbildningsenheterna som har till uppgift att utbilda de totalförsvarspliktiga vissa personuppgifter som behövs för bedömningen av de enskildas olika kapacitet och förutsättningar i övrigt. Uppgifterna återfinns i dag på det grundutbildningskort som Pliktverket översänder till utbildningsenheterna i samband med inryckningen. Denna bestämmelse bryter — gentemot

befattningshavarna vid utbildningsenheterna — den sekretess som annars gäller för uppgifterna.

Uppgifterna bör — liksom på grundutbildningskortet i dag — anges kortfattat. Det skall påpekas att de sekretessbrytande bestämmelser som denna paragraf innehåller

— såväl i nuvarande skick som enligt de föreslagna ändringarna — inte bryter sekretess gentemot utbildningsenheter som inte är myndigheter. För det fall det skulle anses nödvändigt att lämna ut uppgifter till utbildningsenheter inom totalförsvaret som utgörs av andra än myndigheter torde utlämnande av uppgifterna kunna ske efter skadeprövning och med förbehåll enligt 14 kap. 9 § sekretesslagen.