SOU 1997:101

Behandling av personuppgifter om totalförsvarspliktiga betänkande

Till statsrådet och chefen för Försvarsdepartementet

Regeringen beslutade den 15 februari 1996 att tillsätta en särskild utredare med uppdrag att utreda och lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas av Totalförsvarets pliktverk (dir. 1996: 14).

Den 16 april 1996 förordnade dåvarande chefen för Försvars- departementet, statsrådet Peterson, f.d. justitierådet Inga-Britt Tömell att vara särskild utredare.

Som experter förordnades fr.o.m. samma dag systemutvecklaren Leif Alfredsson, hovrättsassessom Maria Hedegård, överstelöjtnanten Lars Krönmark, överstelöjtnanten Thomas Lövgren, hovrättsassessom Thomas Stiber Strömgren och avdelningsdirektören Hans Wehlin. Den 17 september 1996 förordnades även hovrättsassessorn Henrik Kjellin som expert i utredningen.

Som sekreterare förordnades den 22 april 1996 hovrättsassessom Stefan Olsson.

Utredningen har antagit namnet Pliktregisterutredningen. Härmed överlämnas utredningens betänkande Behandling av personuppgifter om totalförsvarspliktiga. Utredningens experter har i allt väsentligt ställt sig bakom förslagen.

Utredningsuppdraget är härigenom slutfört.

Stockholm i juni 1997

Inga-Britt Tömell

/Stefan Olsson

111. ÖVERVÄGANDEN OCH FÖRSLAG

9 Inledande ställningstaganden och allmänna

utgångspunkter ........................... 101 9.1 Förslaget till persondatalag och Pliktverkets register- verksarnhet ............................. 101

9.1.1 Förhållandet mellan EG-direktivet, förslaget till persondatalag och de särskilda registerför—

fattningarna ........................ 101 9.1.2 Persondatalagens normer bör tjäna som utgångspunkt ....................... 104

9.1.3 Ett samspel mellan central lagstiftning och särskilda författningar som reglerar hanteringen

av personuppgifter bör eftersträvas ......... 104 9.1.4 Typen av hantering som regleras och termino—

login bör vara desamma i en särskild författning

som i persondatalagen ................. 105 9.1.5 Datainspektionens tillsyn bör omfatta Plikt- verkets hantering av personuppgifter ........ 107

9.2

10 10.1

10.2

10.3

10.4

11

11.1 11.2

11.3 11.4 11.5

11.6 11.7 11.8 12 12.1 12.2

9.1.6 Förslagen om reglering av Pliktverkets register- verksamhet bör anpassas till förslaget till

persondatalag ...................... 107 Författningsreglering av behandlingen av personuppgifter om totalförsvarspliktiga ..................... 108 9.2.1 Författningsinnehåll .................. 108 9.2.2 Författningsteknisk lösning .............. 110 Lagens tillämpningsområde ................... 113 Reglerna skall avse automatisk behandling av person- uppgifter och annan behandling av personuppgifter som ingår i eller skall ingå i ett register .............. 113 Reglerna skall avse Pliktverkets behandling av person— uppgifter om totalförsvarspliktiga och om andra personer med uppgifter inom totalförsvaret vid höjd beredskap . . 114 Tillämpningsornrådet skall anknytas till ändarnålen med behandlingen ............................ 1 18 Behandling som faller utanför tillämpningsområdet . . . . 119

Behandling av personuppgifter om totalförsvarspliktiga — Avvikelser och preciseringar i förhållande till bestämmel- serna i den föreslagna persondatalagen ........... 123 Inledning .............................. 123 Ändamålen med behandlingen ................. 123 11.2.1 Pliktverkets behov av att behandla person-

uppgifter ......................... 124 11.2.2 Behandling för andra ändamål än dem som

uppgifterna ursprungligen insamlades för ..... 128 11.2.3 Särskilt om behandling för forskning och

statistik .......................... 130 Vilka personuppgifter skall få behandlas? .......... 131 Skydd för uppgifterna ...................... 136 Information till den registrerade och rättelse av felaktigt behandlade uppgifter ................. 137 Ansvaret för behandlingen ................... 140 Anmälan och tillsyn ....................... 143 11.7.1 Anmälan till Datainspektionen ............ 143 11.7.2 Datainspektionens tillsyn och befogenheter . . . . 146 Övriga bestämmelser i persondatalagen ........... 149 Pliktverkets ADB-register över totalförsvarspliktiga . . . . 153 Inledning .............................. 153 Registerinnehåll .......................... 153

12.3 12.4 12.5 12.6 12.7

13 14 14.1 14.2 14.3 14.4 15 15.1 15.2

16 16.1

16.2

12.2.1 Allmänt om vad som bör få antecknas i ett ADB- register över totalförsvarspliktiga .......... 154 12.2.2 Beträffande vilka personer skall det få förekomma uppgifter i registret? .......... 155 12.2.3 Vilka personuppgifter skall få antecknas i

registret? ......................... 159

12.2.4 Ytterligare begränsningar av vad som får före- komma i ADB-register över totalförsvarspliktiga 168 Vem skall få föra in uppgifter i registret? .......... 169 Terminalåtkomst .......................... 171 Sökbegrepp ............................. 174 Sambearbetning .......................... 177 Utlämnande av uppgifter på ADB-medium ......... 178 Arkivering och gallring ...................... 181 Sekretessfrågor ........................... 189 Inledning .............................. 189 Pliktverkets möjligheter att ta del av sekretessbelagda personuppgifter från andra myndigheter ........... 189 Sekretess för uppgifter om totalförsvarspliktiga hos Pliktverket ............................. 191 Sekretess hos dem som tar emot personuppgifter från Pliktverket ............................. 195 Skadestånd och strajjr ....................... 199 Skadestånd ............................. 199 Straff ................................. 200 Ikraftträdande och övergångsbestämmelser ......... 201 Ikraftträdande ........................... 201 16.1.1 Lagen om behandling av personuppgifter om totalförsvarspliktiga .................. 201 16.1.2 Ändringar i andra författningar ........... 202 Övergångsbestämmelser ..................... 202 16.2.1 Registrering av uppgifter om personer vars tjänstbarhet utretts före den 1 januari 1999, men som vid den tidpunkten inte tagits i anspråk för totalförsvarets räkning ......... 202 16.2.2 Förhållandet till den föreslagna persondata-

lagens övergångsbestämmelscr ............ 203 16.2.3 Behandling av personuppgifter om totalförsvars-

pliktiga hos andra än Pliktverket .......... 205

17 Konsekvenser av förslagen .................... 209 17.1 Prövning av offentliga åtaganden ............... 209 17.2 Regionalpolitiska konsekvenser, jämställdhet mellan könen och brottsförebyggande arbete ............. 209 17.3 Kostnader för förslagens genomförande ........... 209

18 INIEGER-delen av Pliktverkets ADB-register över total—

försvarspliktiga — En sammanfattning ............ 211 Författningskommentar .......................... 215 Bilagor Bilaga 1 Utredningens direktiv .................... 237 Bilaga 2 Datalagskommitténs förslag till persondatalag ..... 245

Förkortningar

ADB Automatisk databehandling

CLA Centrala läkarhandlingsarkivet

Dir. Direktiv

Ds Departementsserien

EG Europeiska gemenskapen

EU Europeiska unionen

FFS Försvarets författningssamling

KU Konstitutionsutskottet

OECD Organisation for Economic Co-operation and Develop- ment (Organisationen för ekonomiskt samarbete och utveckling)

Pliktverket Totalförsvarets Pliktverk

PLIS Pliktverkets informationssystem Prop. Proposition

RA-FS Riksarkivets författningssamling RF Regeringsformen

Rskr. Riksdagsskrivelse

SOU Statens offentliga utredningar TF Tryckfrihetsförordningen

YGL Yttrandefrihetsgrundlagen ÖCB Överstyrelsen för civil beredskap

Sammanfattning

Bakgrund

Totalförsvarets personalförsörjning tryggas genom en plikt för svenska medborgare och för utlänningar som är bosatta i riket att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskraf— ter och hälsotillstånd tillåter. Tjänstgöringen fullgörs som värnplikt, civilplikt eller allmän tjänsteplikt. För uttagning av pliktpersonal med värnplikt och civilplikt samt för redovisning av denna och övrig personal med uppgifter inom totalförsvaret svarar Totalförsvarets pliktverk (Pliktverket). Förutom pliktpersonal finns inom totalförsvaret olika personalkategorier av anställda och frivilliga.

För att klara uppgifterna med uttagning och redovisning har Pliktverket ett omfattande datorstöd med ADB-baserade register över totalförsvarets personal. Registren innehåller uppgifter som är av känslig karaktär såväl för den enskilde som från försvarssynpunkt. Registren regleras idag dels av datalagens allmänna bestämmelser om personregister, dels av föreskrifter som meddelats av Datainspektionen i samband med att tillstånd givits för registren. Förändringar är förestående såväl vad gäller registrens faktiska utformning som beträffande de legala förutsättningarna för att behandla personuppgifter med automatik. Pliktverket är inne i en teknisk utvecklingsfas som bl.a. innebär att personuppgiftema om totalförsvarets personal skall samlas i ett enda stort register (PLIS: Pliktverkets informationssys- tem), med stora möjligheter till elektronisk kommunikation med olika enheter inom totalförsvaret. Samtidigt är Sverige på väg att implemen— tera ett EG-direktiv om personuppgifter som kommer att innebära förändringar såvitt avser tillåtligheten att hantera personuppgifter i register och/eller på automatisk väg.

Uppdraget

Behovet av en författningsreglering av Pliktverkets personregister uppmärksammades redan i samband med att lagen (1994:1809) om totalförsvarsplikt arbetades fram. Regeringen valde då emellertid att avvakta tills det stod klart vilka uppgifter som i framtiden borde finnas

med i registret. I direktiven för vår utredning som lades fram under våren 1996 angavs att tiden nu var mogen för att lagreglera ett av landets största befolkningsregister. Uppdraget har kort sammanfattat — bestått i att lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksam- het som skall bedrivas av Pliktverket. Arbetet har i stora delar gått ut på att finna en lämplig avvägning mellan, å ena sidan, kraven på en ändamålsenlig och effektiv verksamhet och, å andra sidan, den enskildes intresse av skyddad personlig integritet.

Betänkandet

I detta betänkande lägger vi fram förslag till en lag om behandling av personuppgifter om totalförsvarspliktiga. Med totalförsvarspliktiga jämställes i lagen de som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt. De överväganden och förslag vi redovisar rör främst: ändamålen med behandlingen av personuppgiftema, vilka uppgifter som skall få behandlas, vem som skall få tillgång till uppgifterna och på vilket sätt,

ansvar för att uppgifterna är korrekta och aktuella m.m., vilka sökbegrepp som skall få användas i Pliktverkets register över totalförsvarspliktiga, gallring av registeruppgiftema samt

sekretess.

Förslagen

Vårt förslag till lag om behandling av personuppgifter om totalförsvar- spliktiga bygger på det förslag till persondatalag som nyligen lagts fram av Datalagskommittén i betänkandet Integritet Offentlighet Informationsteknik (SOU 1997:39). Persondatalagen, som i sin tur bygger på EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG), skall enligt förslaget i princip ersätta datalagen från och med den 1 januari 1999. I vårt lagförslag anger vi de preciseringar av och undantag från persondatalagens bestämmelser som vi ansett motiverade vid Pliktverkets behandling av personuppgif- ter om totalförsvarspliktiga och med totalförsvarspliktiga jämställd

personal.

Persondatalagen reglerar inte, till skillnad från datalagen, enbart ADB-registrering av personuppgifter utan all behandling av sådana uppgifter som är automatisk samt annan behandling av personuppgifter som ingår i eller är avsedda att ingå i ett register. Med behandling avses varje åtgärd som vidtas beträffande personuppgifter. Vårt förslag följer persondatalagens tillämpningsområde i denna del. Vi har dock ansett att registrering av uppgifter med hjälp av ADB alltjämt utgör en särskilt riskfylld hantering av uppgifterna för den registrerades del och därför föreslagit särskilda bestämmelser för Pliktverkets ADB-register över totalförsvarspliktiga. Det rör sig om för registerförfattningar sedvanliga bestämmelser om registerinnehåll, terrninalåtkornst och sökmöjligheter m.m.

Lagen om behandling av personuppgifter om totalförsvarspliktiga är med ett par undantag — endast tillämplig i Pliktverkets verksamhet. Lagen ger t.ex. i princip inga föreskrifter om vad den som emottar personuppgifter från Pliktverket har att iaktta. I konsekvens med detta anges i lagen Pliktverket som ansvarigt (persondataansvarigt) för den behandling av personuppgiftema som verket utför. Hur ansvaret kan vara fördelat bland andra som behandlar samma uppgifter tar vi inte ställning till. Svaret på den frågan får sökas i persondatalagen i varje särskilt fall.

Enligt den nya ordning som kommer att bli gällande i och med persondatalagen krävs inte längre tillstånd för registrering (eller för annan behandling) av personuppgifter. Vi föreskriver därför inte att Pliktverket får behandla personuppgifter för vissa ändamål utan anger istället vad som gäller när Pliktverket behandlar personuppgifter för vissa ändamål. Ändamålen med behandlingen — som enligt personda- talagens bestämmelser skall anges redan då personuppgiftema samlas in avgränsar därmed lagens tillämpningsområde och uttrycks i lagen med utgångspunkt i Pliktverkets arbetsuppgifter med att mönstra (motsv.), skriva in, krigsplacera och redovisa personal för totalförsva- ret. För dessa ändamål, som bärs upp av ett mycket starkt kollektivt intresse, bör Pliktverket ha rätt att behandla de personuppgifter som krävs och då även —— i den mån det är nödvändigt — känsliga person- uppgifter som t.ex. uppgifter om hälsa och religiös övertygelse. Vårt förslag till lag om behandling av personuppgifter om totalförsvarsplik- tiga följer detta resonemang. När det gäller frågan om vilka uppgifter som skall få antecknas i Pliktverkets ADB-register över totalförsvars- pliktiga finns det enligt vår uppfattning anledning att vara mer precis och uttömmande ange vad som är tillåtet registerinnehåll. Att uppgifterna ordnas i ett ADB—register innebär att möjligheterna att söka bland dem och med hjälp av olika sökbegrepp göra samman- ställningar av olika slag är betydligt större än om uppgifterna hanteras

på annat sätt. Till skydd för den enskildes personliga integritet lämnar vi därför i vårt förslag till lag en uttömmande uppräkning av vilka personer som får registreras och vilka uppgifter som får antecknas om dem. I samma syfte att särskilt skydda uppgifter i ADB-register lämnar vi förslag till begränsningar av sökbegrepp och av terminalåt- komst till registret för andra än Pliktverket. Vi föreslår också bestämmelser som anger när personuppgiftema i ADB—registret skall gallras (förstöras).

I övrigt innehåller vårt lagförslag en erinran om sekretesslagens bestämmelser, en bestämmelse som innebär viss inskränkning av Datainspektionens (tillsynsmyndighetens) befogenheter vid den tillsyn inspektionen skall utöva enligt persondatalagen samt föreskrifter som medför att persondatalagens bestämmelser om rättelse m.m. av personuppgifter och om skadestånd blir tillämpliga även när uppgifter behandlats i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd därav.

Vi föreslår att lagen skall träda i kraft samma dag som persondatala- gen (den 1 januari 1999).

Slutligen lämnar vi förslag till ändringar i sekretesslagen och till vissa sekretessbrytande bestämmelser i andra författningar, allt för att personuppgiftema om de totalförsvarspliktiga skall vara lagligen skyddade mot att obehöriga får del av dem medan de som behöver uppgifterna skall kunna få ut dem utan hinder av sekretessen.

Föreskrifter i förordningsform

Vi har föreslagit att regeringen skall ha möjlighet att utfärda närmare föreskrifter i följande fall.

Regeringen får till skydd för de registrerades personliga integritet föreskriva ytterligare begränsningar av vad som får antecknas i ADB— register över totalförsvarspliktiga.

—— Regeringen får föreskriva att annan än Pliktverket får ha terminalåt— komst till ADB-register över totalförsvarspliktiga samt i vilken omfattning.

Regeringen får föreskriva att annan än Pliktverket får föra in och rätta uppgifter i ADB-register över totalförsvarspliktiga samt i vilken omfattning.

—— Regeringen får föreskriva ytterligare begränsningar av sökbegrepp.

Regeringen får föreskriva kortare tid för gallring samt undantag från skyldigheten att gallra personuppgifter när det gäller bevarande av material för forskningens behov.

Författningsförslag

1. Förslag till lag om behandling av personuppgifter om totalförsvarspliktiga

Härmed föreskrivs följande. Lagens tillämpningsområde

15. Denna lag tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Totalförsvarets pliktverk bedriver för att

1. ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,

2. redovisa personal med uppgifter inom totalförsvaret,

3. säkerställa att den registrerade fortlöpande erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret,

4. tillse att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,

5. tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig och

6. planera, följa upp och utvärdera den verksamhet som anges i 1—5.

I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av annan än Totalförsvarets pliktverk.

Lagen gäller endast om behandlingen är helt eller delvis automatisk eller om personuppgiftema ingår i eller är avsedda att ingå i ett register.

Med totalförsvarspliktiga jämställes vid tillämpningen av denna lag personer som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalför- svarsplikt.

Definitioner

2 & Med behandling, blockering, register, den registrerade, personda- taansvarig, personuppgifter, känsliga personuppgifter, tillsynsmyndig- heten och tredje man förstås i denna lag detsamma som i persondatala- gen (1998:000).

Med utredning avses i denna lag mönstring och annan utredning om den totalförsvarspliktiges förhållanden som kan utföras enligt lagen (1994:1809) om totalförsvarsplikt samt särskild antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.

Med ADB-register över totalförsvarspliktiga avses register med personuppgifter om totalförsvarspliktiga som förs av Totalförsvarets pliktverk med hjälp av automatisk databehandling för de ändamål som anges i 1 5 första stycket.

Förhållandet till persondatalagen

3 & Om inget annat följer av denna lag eller av föreskrifter som meddelats med stöd härav, tillämpas persondatalagen vid behandling av personuppgifter om totalförsvarspliktiga.

Ändamålen med behandlingen

4 & Personuppgifter som samlats in av Totalförsvarets pliktverk skall anses insamlade för de ändamål som anges i 1 5 första stycket om inte Totalförsvarets pliktverk vid insamlingen uttryckligen angett att denna sker för andra ändamål.

Behandling av känsliga personuppgifter

5 & Känsliga personuppgifter får behandlas om det är nödvändigt för de ändamål som anges i 1 & första stycket.

Första stycket gäller även kommuner, landsting, kyrkliga kommuner och de statliga myndigheter som anges i 4 kap. 5 & andra stycket förordningen (1995:238) om totalförsvarsplikt, om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden med stöd av 2 kap. 1 5 lagen om totalförsvarsplikt.

Ansvaret för behandlingen

6 & Totalförsvarets pliktverk är persondataansvarigt för den behandling av personuppgifter om totalförsvarspliktiga som verket utför.

Registerinnehåll

7 & I ADB-register över totalförsvarspliktiga får antecknas personupp- gifter endast om den som

1. är aktuell för utredning enligt 2 5 andra stycket,

2. genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret,

3. skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret,

4. av en redan registrerad uppgetts som närstående eller

5. nämns bland de uppgifter som antecknas med stöd av 8 5 första stycket 13.

Uppgifter om en person som avses i första stycket 4, får antecknas i registret endast vid höjd beredskap.

Utan hinder av vad som sägs i första stycket får personuppgifter antecknas i registret om den som fattat beslut eller handlagt ärende rörande den registrerade hos Totalförsvarets pliktverk eller hos annan som utför utredning som avses i 2 5 andra stycket. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring inom totalförsvaret.

8 & I ADB-register över totalförsvarspliktiga får endast följande personuppgifter antecknas:

1. personnummer, namn, adress, telefonnummer och folkbok— föringsort,

2. hinder för genomförande av utredning som avses i 2 & andra stycket, för utbildning och för krigsplacering eller annat ianspråkta— gande av den registrerade för totalförsvarets räkning,

3. boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets pliktverk skall kunna fullgöra sina åligganden enligt förordningen (1995:239) om förmåner till totalför- svarspliktiga,

4. utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,

5. fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,

6. om den registrerade är svensk medborgare eller inte,

7. utgången i mål om ansvar för brott mot totalförsvarsplikten,

8. att den registrerade har dömts till påföljd för brott som anges i 19 & femte stycket polisregisterkungörelsen (196938),

9. att den registrerade genomgått säkerhetsprövning enligt säker- hetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,

10. vad som bestämts vid inskrivning enligt lagen om totalförsvars- plikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning,

11. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon skall utföra vid höjd beredskap,

12. tjänstgöring inom totalförsvaret samt betyg, vitsord, för- ordnanden och utmärkelser som är att hänföra till denna samt

13. personliga förhållanden i övrigt som åberopas av den registrera- de, om de rör hans eller hennes tjänstgöring inom totalförsvaret.

Utan hinder av vad som sägs i första stycket får beslut som rör totalförsvarsplikten, tidpunkter och tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter antecknas.

Beträffande den som antecknas i registret med stöd av 7 5 första stycket 4, får endast namn, adressuppgifter och relation till den som uppgett honom eller henne som närstående föras in i registret.

Beträffande handläggare och andra personer som avses i 7 & tredje stycket får endast namn, titel och tjänsteställe antecknas.

9 & Regeringen får till skydd för de registrerades personliga integritet föreskriva ytterligare begränsningar av vad som får antecknas i ADB— register över totalförsvarspliktiga.

Terminalåtkomst

10 & Totalförsvarets pliktverk har terminalåtkomst till ADB—register

över totalförsvarspliktiga. Regeringen får föreskriva att även annan får ha sådan åtkomst samt i vilken omfattning.

Registrering av uppgifter

11 & Regeringen får föreskriva att även annan än Totalförsvarets pliktverk får föra in och och rätta personuppgifter i ADB—register över totalförsvarspliktiga samt i vilken omfattning.

Sökbegrepp

12 & Personuppgifter som avses i 8 5 första stycket 2—3 och 5—9 får inte användas som sökbegrepp annat än om det behövs för tillsyn, uppföljning eller utvärdering av Totalförsvarets pliktverks verksamhet eller för framtagande av material för forskning eller statistik. Detsamma gäller uppgifter om resultat från kunskapsprov och anlagstester som utförts vid sådan utredning som avses i 2 5 andra stycket.

För åtkomst av personuppgifter om närstående till en totalförsvars- pliktig, om den som handlagt ärende, fattat beslut eller gjort journal- anteckning får endast den totalförsvarspliktiges personnummer användas som sökbegrepp. Detsamma gäller för åtkomst av person- uppgifter som antecknats med stöd av 8 5 första stycket 13.

Utan hinder av vad som sägs i första och andra styckena får nödvändigt sökbegrepp användas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett

dataprogram. Regeringen får föreskriva ytterligare begränsningar av sökbegrepp.

Gallring

13 & En personuppgift i ett ADB—register över totalförsvarspliktiga skall gallras så snart uppgiften inte längre behövs för de ändamål som anges i l 5 första stycket. Personuppgifter beträffande dem som avses i 7 5 första stycket 1—3 skall gallras senast vid utgången av det kalenderår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Uppgifter om närstående, beslutsfattare, handläggare, den som gjort journalanteckning samt om personer som nämns bland vad som antecknats med stöd av 8 5 första stycket 13 skall härvid anses som uppgifter om den totalförsvarspliktige. Regeringen får föreskriva kortare tid för gallring än vad som följer av detta stycke. Regeringen får föreskriva undantag från skyldigheten att gallra personuppgifter i fråga om bevarande av material för forskningens

behov. Sådana uppgifter skall dock avföras från registret vid den tidpunkt de annars skulle ha gallrats enligt första stycket.

Sekretess

14 5 För utlämnande av personuppgifter om totalförsvarspliktiga gäller de begränsningar som följer av sekretesslagen (1980: 100).

Inskränkning i tillsynsmyndighetens befogenheter

15 & Tillsynsmyndigheten får inte förbjuda Totalförsvarets pliktverk att behandla personuppgifter om totalförsvarspliktiga.

Korrigering av uppgifter

165 Persondatalagens bestämmelser om den persondataansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, om sådana åtgärder skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som utfärdats med stöd av denna lag.

Skadestånd

17 & Persondatalagens bestämmelser om skadestånd skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som meddelats med stöd av denna lag.

Övergångsbostämmelser

1. Denna lag träder i kraft den 1 januari 1999. Vid sådan behandling av personuppgifter för vilken lagen gäller och som redan pågår vid ikraftträdandet skall persondatalagens bestämmelser tillämpas utan hinder av vad som sägs i 2 p i övergångsbestämmelsema till den

lagen. Bestämmelsen i 5 5 andra stycket i denna lag skall emellertid inte börja tillämpas förrän den 1 oktober 2001.

2. De personer, som vid lagens ikraftträdande har varit föremål för sådan utredning som avses i 2 5 andra stycket men som inte tagits i anspråk för totalförsvarets räkning genom avtal, beslut om krigsplace- ring eller på annat sätt, får utan hinder av vad som sägs i 7å antecknas i ett ADB-register över totalförsvarspliktiga.

2. Förslag till lag om ändring i sekretesslagen (1980: 100)

Härigenom föreskrivs att 7 kap. 12 & sekretesslagen (1980:100) skall ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

7 kap. Sekretess med hänsyn främst till skyddet för enskilds

personliga förhållanden

Sekretess gäller i ärende om inskrivning av totalförsvarsplik- tiga och i ärende om antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Motsvarande sekretess gäller i ärende som angår antagning till utbildning vid Försvarsmakten, skyldighet att tjänstgöra med totalförsvars- plikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen gäller dock inte beslut i ärende som avses i detta stycke.

125

Sekretess gäller i ärende om utredning om totalförsvarsplik— tigas personliga förhållanden, i ärende om antagning av kvinnor till befattningar inom totalför- svaret som kräver längre grund- utbildning än 60 dagar samt i ärende om inskrivning och krigsplacering av totalförsvar— spliktiga för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Mot- svarande sekretess gäller i ärende som angår antagning till utbildning vid Försvarsmakten, skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänst- göring. Sekretessen gäller dock inte beslut i ärende som avses i detta stycke.

Sekretess gäller inom personalvård med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter,

om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.

Sekretess gäller inom verk— samhet som avser utbildning för totalförsvarsändamål med av- seende på den som tjänstgör med totalförsvarsplikt för upp- gift som hänför sig till psykolo— gisk undersökning och för upp— gift om enskilds personliga förhållanden hos befattnings- havare som har till uppgift att utbilda den totalförsvarspliktige, om det inte står klart att upp- giften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.

Denna lag träder i kraft den 1 januari 1998.

3. Förslag till förordning om ändring i förordningen (1995:238) om totalförsvarsplikt

Härigenom föreskrivs att det i 3 kap. 15 5 skall införas en ny paragraf med följande lydelse.

3 kap. Uppgiftsskyldighet Utbildningsenheter inom totalförsvaret

15 5 De organisatoriska enheter där grundutbildning genomförs för värnplikt eller civilplikt med längre grundutbildning än 60 dagar skall, senast då den totalförsvarspliktige rycker ut, lämna journal- handlingar som upprättats under utbildningen till Totalförsvarets

pliktverk.

Denna förordning träder i kraft den 1 januari 1998.

4. Förslag till förordning om ändring i förordningen (1995:648) med instruktion för totalförsvarets pliktverk

Härigenom föreskrivs att 3 5 förordningen (1995:648) med in- struktion för Totalförsvarets pliktverk skall ha följande lydelse.

Nuvarande lydelse

Totalförsvarets pliktverk skall i samband med att en totalför- svarspliktig rycker in för värn- plikt eller civilplikt med längre grundutbildning än 60 dagar lämna de journalhandlingar som upprättats vid mönstringen till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras.

3?)

Föreslagen lydelse

Totalförsvarets pliktverk skall i samband med att en totalför- svarspliktig rycker in för väm- plikt eller civilplikt med längre grundutbildning än 60 dagar lämna de journalhandlingar som upprättats vid mönstring eller särskild antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att full- göra värnplikt eller civilplikt med längre grundutbildning till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras.

Totalförsvarets pliktverk skall vid samma tidpunkt och till samma enheter som anges i första stycket lämna uppgifter om den totalförsvarspliktiges psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsotillstånd till befattningshavare som har till uppgift att utbilda honom eller henne. Uppgifterna skall anges kortfattat.

Denna förordning träder i kraft den 1 januari 1998.

I INLEDNING

1. Uppdraget

Genom beslut den 15 februari 1996 bemyndigade regeringen chefen för Försvarsdepartementet att utreda och lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas av Totalförsvarets pliktverk. I direktiven (dir. 1996:14) anförs bl.a. följande.

Totalförsvarets personalförsörjning tryggas genom en totalförsvars- plikt som gäller för varje svensk medborgare från början av det kalenderår när han eller hon fyller sexton år till slutet av det kalender- år när han eller hon fyller sjuttio år. Totalförsvarsplikten gäller också under motsvarande tid för var och en som utan att vara svensk medborgare är bosatt i Sverige. För att hantera och bearbeta all information om de som är totalförsvarspliktiga har Totalförsvarets pliktverk ett omfattande datorstöd. På grund av att totalförsvarsplikten omfattar i stort sett hela befolkningen och av att alla svenska män i åldern arton till och med tjugofyra års ålder är skyldiga att mönstra är Totalförsvarets pliktverks register ett av landets största befolknings— register. Behovet av författningsreglering av detta register uppmärk- sarmnades redan i samband med arbetet med den nya pliktlagstift- ningen. Tiden är nu mogen för en sådan åtgärd. De uppgifter som registreras om de totalförsvarspliktiga kan vara av mycket känslig karaktär, vilket ställer särskilda krav på integritetsskydd. Ju mer information som behövs och kan bearbetas och lagras desto större blir risken för intrång i den enskildes integritet. Det bör därför uppdras åt en särskild utredare att utarbeta förslag till de författningsregler som behövs.

Utgångspunkten för utredarens arbete skall vara att den enskilde skall tillförsäkras ett fullgott integritetsskydd samt att register som innehåller ett stort antal registrerade personer och har ett integri- tetskänsligt innehåll skall vara författningsreglerade. Intresset av ett starkt integritetsskydd får inte hämma användningen av ny teknik och möjligheterna för Totalförsvarets pliktverk att så effektivt och ändamålsenligt som möjligt bedriva sin verksamhet. Personregistre— ringen får dock inte medföra en otillbörlig kränkning av den enskildes personliga integritet. Konsekvenserna för andra intressen som

insynsbehov, rättssäkerhet, forskning och totalförsvarets behov måste också beaktas. Utredaren bör främst lämna förslag till reglering av följande frågor som direkt hänger samman med den personliga integriteten: — registerändamål — registerinnehåll —— registeransvar och förfoganderätt terminalåtkomst uppgiftslämnande på ADB-medium bevarande och gallring begränsningar av bearbetningsmöjligheter krav på krypteringssystem eller andra skyddsmekanismer för viss användning.

Utredaren skall i de förslag som lämnas också beakta att skydd för uppgifter som omfattas av sekretess enligt 2 kap. 2 & sekretesslagen (1980:100) kan förekomma i aktuellt personregister. Utredaren skall i sitt arbete utgå ifrån den erfarenhet som Totalförsvarets pliktverk och dess föregångare Vämpliktsverket har byggt upp.

Utredningens direktiv finns i sin helhet intagna som bilaga I .

2 Utredningsarbetet

Vi påbörjade vårt arbete i maj 1996 och inledde med att kartlägga den gällande regleringen för personregisterverksarnhet enligt nationella författningar och internationella konventioner. Samtidigt undersökte vi Totalförsvarets pliktverks arbetssätt och behov av personuppgifter om de totalförsvarspliktiga. I augusti företog vi ett studiebesök vid Totalförsvarets pliktverks huvudkontor i Karlstad, bl.a. för att skaffa oss en bild av hur mönstringsförrättningar är uppbyggda och av hur personuppgiftema hanteras i praktiken. Vi tog i ett tidigt skede kontakt med Datainspektionen, Riksarkivet (Krigsarkivet) och Socialstyrelsen, vilka myndigheter vi kontinuerligt fört dialog med och lämnat tillfälle att komma med synpunkter.

Vårt förslag har under arbetets gång kommit att inriktas på att följa det förslag till en ny persondatalag som utarbetats av Datalagskommit- tén (SOU 199739). Vi har haft regelbundna kontakter med kommit— tén, dels på sekretariatsnivå och dels genom sammanträffanden med kommitténs ordförande och sekreterare i anslutning till ett par av våra sammanträden. Vi har genom sekretariatets försorg vidare hållit oss underrättade om Registerutredningens (dir. 1995z38) arbete och över- väganden.

II NUVARANDE ORDNING OCH PAGAENDE UTVECKLING

3 Inledning — Personregister och

den enskildes integritet

Det allmänna har i olika sammanhang behov av att samla in, registre— ra, behandla och bevara uppgifter om enskildas förhållanden. Uppgif- terna används i verksamheter som t.ex. folkbokföring, skattläggning, bidragsberäkning, sjukvård och placering av totalförsvarspliktiga. Polis, åklagare, domstolar och kriminalvårdsväsende är av effektivi- tets- och rättssäkerhetsskäl beroende av att vissa uppgifter om misstänkta och dömda personer kontinuerligt finns tillgängliga. Även privata subjekt, t.ex. företag och föreningar, behöver ha tillgång till uppgifter om anställda, kunder, medlemmar m.fl. Uppgifter om enskilda utgör också en viktigt del av den statistik och forskning som behövs för kartläggning av vilka behov som finns och kommer att finnas i samhället och som utgör underlag för planeringen av det allmännas verksamhet. Den enskilde å sin sida har ett intresse av att hans privata sfär hans personliga integritet — är skyddad från insyn och inblandning från det offentliga och från andra.

Den grundläggande bestämmelsen om skydd för den enskildes personliga integritet återfinns i 1 kap. 2 & tredje stycket regerings- formen (RF), vari bl.a. sägs att det allmänna skall värna om den enskildes privatliv och familjeliv. Bestämmelsen har inte karaktären av en rättsligt bindande föreskrift utan utgör ett målsättningsstadgande för den offentliga verksamheten. I samband med att bestämmelsen infördes uttalade föredragande statsrådet att grundsatsen om den enskildes rätt till en fredad sektor var av så väsentlig betydelse i en demokratisk stat att den borde komma till uttryck i regeringsformen (prop. 1975/76:209 s. 131). Av förarbetena framgår vidare att integritetsskyddet vid dataregistrering var i blickpunkten vid be- stämmelsens tillkomst (SOU 1975:75 s. 168 f.).

Någon rättslig definition av vad som avses med personlig integritet finns inte. Begreppet har diskuterats bl.a. i de utredningar som behandlat datalagstiftningen. Sammanfattningsvis kan sägas att det är svårt att ge begreppet en exakt definition men att utgångspunkten är just den enskildes rätt till en fredad sektor av privatlivet. En sådan rätt

kan dock inte vara absolut. Den enskilde måste, med hänsyn till samhällets krav på honom själv och till principer om yttrandefrihet och tryckfrihet, acceptera vissa intrång i integriteten. Frågan gäller vilka intrång som skall tillåtas och vilka som skall anses som otillbörliga". Något allmängiltigt svar på denna fråga ges inte av lagstiftaren. (En översikt av tidigare utredningars och andras ut— talanden om otillbörlighet i detta avseende ges i Datalagsutredningens slutbetänkande SOU 1993: 10 s. 150—158.) Det finns inte heller någon rättsligt bindande föreskrift som ger ett allmänt integritetsskydd. I stället regleras detta skydd genom flera olika bestämmelser i grundlag, vanliga lagar, förordningar och föreskrifter. Skyddets omfattning varierar beroende på situationen. Av stor betydelse vid bedömningen av om en åtgärd som innebär integritetsintrång skall tillåtas, är naturligtvis ändamålet med åtgärden. En avvägning mellan den enskildes och andras intressen måste alltid göras.

Datalagen (1973z289) innehåller regler om integritetsskydd vid personregistrering som utförs med hjälp av automatisk databehandling (ADB). Lagen anger under vilka förutsättningar sådana register skall få föras, vad den registeransvarige har för skyldigheter när det gäller att skydda uppgifterna m.m. (se nedan under avsnitt 4.1). Datalagen (3 5 andra stycket) anger omständigheter som är av särskild betydelse vid bedömningen av om otillbörligt intrång i den registrerades personliga integritet kan uppkomma. Förutom ändamålet med registreringen skall arten och mängden av uppgifter, hos vem uppgifterna registreras och hur de används, liksom den enskildes inställning till registreringen beaktas. Utfallet av bedömningen ligger till grund för Datainspektionens beslut i tillståndsfrågor (3 & första stycket datalagen). Datalagen kommer inom en snar framtid att ersättas av en ny persondatalag enligt vilken tillstånd till ADB— behandling av personuppgifter inte längre kommer att krävas. Den nya lagen grundas på ett EG-direktiv som i allt väsentligt överensstämmer med de principer som redan gäller enligt svensk rätt. Lagförslaget jämte de överväganden som ligger till grund för detta presenteras i kap. 6 nedan.

Efter förslag av Data- och offentlighetskommittén (DOK, Ds Ju 1987z8) infördes år 1989 i 2 kap. 3 & andra stycket regeringsformen följande bestämmelse:

Varje medborgare skall i den utsträckning som närmare angives i lag skyddas mot att hans personliga integritet kränkes genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

Enligt 2 kap. 22 5 första stycket 2 regeringsformen är utlänning här i riket likställd med svensk medborgare i detta avseende.

Bestämmelsen tillkom efter det att datalagen trätt i kraft och innebar att det skydd som redan fanns genom bl.a. denna lag gavs grundlags— förankring. Enligt uttalande i propositionen (prop. 1987/88:57 s. 11) slår den nya regeln fast, att det skall finnas en datalagstiftning till skydd för den personliga integriteten men att den närmare om- fattningen av skyddet får regleras i vanlig lag. Här föreligger en skillnad i utformningen gentemot flertalet övriga fri- och rättighets— regler i 2 kap. regeringsformen som anger att varje medborgare är skyddad mot åtgärder från det allmännas sida som t.ex. kroppsvisita- tion, husrannsakan och hemlig avlyssning, men att skyddet under vissa förutsättningar får begränsas genom lag, dvs. åtgärderna får i vissa fall vidtas om lagstöd finnes. Skillnaden består i att regeln om skydd mot dataregistrering inte kan tillämpas direkt av myndigheterna, den kräver ytterligare lagstiftning. Bestämmelser som ger integritetsskyd- det innehåll återfinns i första hand i datalagen, sekretesslagen (1980:100) och i särskilda registerlagar. Regler om insyn och kontroll när det gäller allmänna handlingar varmed avses även ADB-upp- tagningar — finns i tryckfrihetsförordningen (TF) och bestämmelser om myndigheternas arkiv i arkivlagen(1990z782). Dessa regler beskrivs närmare nedan.

Kort sammanfattat kan det sägas att varje beslut om att inrätta ett ADB-baserat personregister, liksom utformningen av särskilda registerlagar, måste föregås av bedömningar som innefattar av— vägningar mellan kraven på ändamålsenlighet och effektivitet och den enskildes rätt till integritetsskydd. Allt inom de ramar som lagstiftaren satt upp genom central lagstiftning och med beaktande av de kon— ventioner på området som Sverige tillträtt.

4 Gällande reglering 4.1 Datalagen 4.1.1 Lagens tillämpningsområde och vissa definitioner

Datalagen (19731289, omtryckt 1992z446) har till syfte att hindra att hantering av personregister som förs med hjälp av automatisk databehandling medför otillbörligt intrång i den enskildes personliga integritet. Lagen skyddar endast fysiska personer och gäller enbart för ADB-baserade register. Juridiska personer och register som förs med annan teknik än ADB faller utanför lagens tillämpningsområde. En utgångspunkt i lagen är att personregister skall få föras men endast under vissa förutsättningar och med iakttagande av vissa regler.

I 1 & definieras personuppgift som upplysning som avser enskild person medan personregister anges vara register, förteckning eller andra anteckningar som förs med hjälp av ADB och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. En personuppgift kan ge upplysning om namn, personnummer, nationalitet, utbildning, familj, bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav m.m. En personupp- gift kan härledas till en viss person antingen direkt genom uppgiften i sig eller med hjälp av en identitetsuppgift som också framgår av registret. Även register som innehåller identitetsuppgifter av sådan art att endast den invigde kan tolka dem omfattas av datalagen enligt lagmotiven (prop. 1973z33 s. 118). Registerbegreppet kan enligt definitionen synas inbegripa all ADB-hantering av identifierbara personuppgifter, t.ex. även datoriserad ordbehandling av löpande text som innehåller personnamn. Av förarbetena till datalagen framgår emellertid att syftet med ADB-hanteringen är av betydelse i samman— hanget. Departementschefen anförde i denna del följande (a prop. s. 1 18).

För att ett register skall anses föreligga måste det emellertid direkt eller indirekt vara fråga om behandling från informationssynpunkt av faktiska uppgifter. Ett ADB-register kan således inte anses upprättat bara genom att löpande text lagras i ett datamedium, exempelvis för att sättning skall kunna ske med hjälp av ADB—teknik. Uppenbarligen faller på grund härav åtskillig databehandling av olika slags litteratur, främst skönlitteratur, utanför datalagens tillståndssystem. Först i den mån databehandlingen tar

sikte på faktiska uppgifter i den litterära framställningen såsom för upprättande av innehållsregister eller liknande föreligger ett register i datalagens mening. Vidare bör ett register anses föreligga, om de lagrade uppgifterna skall användas för att framställa exempelvis en telefonkatalog, ett adressregister eller en taxeringskalender. Den närmare gränsdragningen när det gäller att bestämma registerbegreppets innebörd får göras i praxrs.

Datalagsutredningen, som hade till uppgift att se över datalagen från såväl saklig som lagteknisk synpunkt (dir. 1989z26), framhöll att begreppet register är föråldrat och att varje försök att avgränsa ett rättsligt begrepp som personregister med hänsyn till förekomsten av tekniska rekvisit är dömt att misslyckas redan med hänsyn till den utvecklingstakt som inforrnationsteknologin uppvisar. Utredningen föreslog att datalagens tillämpningsområde istället skulle bestämmas med hänsyn till de tekniska möjligheterna att genom ADB—teknik göra personuppgifter tillgängliga (SOU 1993:10 s. 100—111). Med övergivande av registerbegreppet föreslog Datalagsutredningen följande definitioner i förslag till ny datalag.

1 & Syftet med denna lag är att skydda den enskilde mot att hans personliga integritet kränks genom att personuppgifter behandlas.

3 & Med behandling avses varje åtgärd som vidtas med personuppgif- ter genom automatisk databehandling.

Med behandling förstås även insamling av personuppgifter, om ytterligare åtgärder skall vidtas med uppgifterna genom automatisk databehandling.

6 5 Denna lag gäller inte vid behandling av personuppgifter om ändamålet med behandlingen är att behandlingen eller uppgifterna skall

] . utgöra ett direkt tekniskt hjälpmedel för framställning av tryckta skrifter eller yttranden som avses i yttrandefrihetsgrundlagen ,

2. utgöra en förteckning över dem som har lämnat meddelande enligt 1 kap. 1 & tryckfrihetsförordningen eller 1 kap. 2 & yttrandefri- hetsgrundlagen,

3. utgöra arkiv för material som har varit publicerat i periodisk skrift eller som har förekommit i program i ljudradio eller television,

4. ingå i sådana uppgiftssamlingar som lagrade uppslagsverk, ordböcker eller liknande referensmaterial, eller

5. ingå i löpande text.

Utredningens förslag innebar att syftet med behandlingen av person- uppgiftema blev direkt avgörande för om lagen är tillämplig eller inte.

Regering och riksdag har dock, i avvaktan på slutlig utformning av EG:s direktiv om personuppgifter (se nedan avsnitt 5.5), inte tagit ställning till Datalagsutredningens förslag i nu presenterade delar (jfr prop. 1993/94:217 s. 11).

Registrerad är enligt 1 & datalagen enskild person beträffande vilken förekommer personuppgifter i personregister och registeransvarig den för vars verksamhet personregister föres, om han förfogar över registret. Enligt förarbetena till datalagen (prop. 1973:33 s. 76, 119) skall man anses förfoga över ett register om man har befogenhet och möjlighet att överföra registret till läsbar form. Även den som har rätt att gå in i ett register, själv eller genom annan, och påverka innehållet anses enligt praxis förfoga över detsamma. Enligt lagmotiven skall definitionen tillämpas på sådant sätt att alltid någon kan konstateras vara registeransvarig. Man får från fall till fall avgöra vem eller vilka som skall vara ansvariga för ett register.

4.1.2 Licens och tillstånd till inrättande och förande av personregister

Huvudregeln är att personregister endast får inrättas och föras av den som har anmält sig hos Datainspektionen och erhållit licens (2 5 första stycket datalagen). Med inrättande förstås även insamling av uppgifter som skall ingå i registret (samma bestärrunelse fjärde stycket). Datainspektionen granskar inte anmälan i sak utan ger endast den registeransvarige ett bevis om att anmälan gjorts och ett särskilt licensnummer samt för in beviset (licensen) i myndighetens eget licensregister. Registret används sedan i Datainspektionens tillsyns- och inforrnationsverksamhet samt som underlag för uppbörd av de särskilda licensavgifter som den registeransvarige är skyldig att erlägga, se närmare 2—6 55 dataförordningen (1982z480, omtryckt 1989z254).

För att inrätta och föra personregister som skall innehålla särskilt integritetskänsliga uppgifter om enskilda personer krävs förutom licens även särskilt tillstånd av Datainspektionen (2 5 andra stycket 1 och 2 med hänvisning till 4 och 6 55). Som särskilt känsliga anses t.ex. uppgifter om att någon misstänks för eller har dömts för brott eller har avtjänat straff eller undergått annan påföljd för brott, uppgifter om någons sjukdom, hälsotillstånd eller sexualliv, uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten och uppgifter om någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt.

Tillstånd av Datainspektionen krävs också för personregister som skall innehålla uppgifter om personer som saknar sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kundför- hållande eller något därmed jämförligt förhållande eller personuppgif- ter som inhämtas från något annat personregister (s.k. sarnköming) om inte registreringen av uppgifterna eller utlämnandet av dessa sker med stöd av författning, Datainspektionens beslut eller den registrerades medgivande (2 5 andra stycket 3 och 4). För de två sist nämnda kategorierna gäller alltså tillståndsplikt oavsett om uppgifterna kan anses vara känsliga ur integritetssynpunkt eller inte.

Undantagna från licens- och tillståndsplikt är personregister som en enskild person inrättar eller för uteslutande för personligt bruk (2 & tredje stycket). Vidare krävs enligt 2 a 5 första stycket inte tillstånd dock licens från Datainspektionen för personregister vars inrättande beslutas av riksdagen eller regeringen (s.k. statsmaktsregister) eller för personregister som ofta förekommer inom en viss verksamhet för ett visst ändamål och som inrättas och förs enligt föreskrifter som meddelats av regeringen eller Datainspektionen. Den sist nämnda bestämmelsen infördes den 1 januari 1995 och som exempel på register som kan komma i fråga anges i lagmotiven (prop. 1993/94:217 s. 16) sjukhusens patientregister, forskningsregister, direktreklamregister samt register inom försäkringsbranschen och bankväsendet. Tillstånd krävs enligt nämnda lagrum inte heller för personregister som tagits emot av en arkivmyndighet för förvaring. Vidare behöver inte vissa sammanslutningar, myndigheter inom hälso- och sjukvården eller inom socialtjänsten, läkare och tandläkare samt arbetsgivare tillstånd för personregister av den anledningen att de innehåller vissa, för respektive verksamhet naturliga, integritetskänsli— ga uppgifter (2 a 5 andra stycket). I angivet lagrum preciseras vilka uppgifter det är frågan om och för vilket ändamål personregistren får föras för att tillstånd ej skall krävas.

Vid sin tillståndsprövning skall Datainspektionen ta ställning till om det finns anledning att anta att otillbörligt intrång i registrerads personliga integritet skall uppkomma. Bedömningen skall göras med hänsyn till vilka villkor (föreskrifter) som skall gälla för personregist- ret och tillstånd skall meddelas om det saknas anledning att anta att otillbörligt integritetsintrång skall uppkomma (3 5 första stycket). Vid prövningen skall inspektionen särskilt beakta arten och mängden av de personuppgifter som skall ingå i registret, hur och från vem upp- gifterna skall inhämtas sarnt den inställning till registret som föreligger eller kan antas föreligga hos dem som kan komma att registreras. Vidare skall särskilt beaktas att inte andra uppgifter eller andra personer registreras än vad som står i överensstämmelse med

ändamålet med registret (3 5 andra stycket). Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande och förande av personregister som omfattar andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning (3 a 5). Särskilda skäl krävs också för tillstånd till registrering av uppgifter om någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt (4 5 tredje stycket) samt, för annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter, för tillstånd till registrering av uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller upp- gift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen (4 5 andra stycket). För att andra än myndigheter, som enligt lag eller annan författning har att föra förteckning över sådana uppgifter, skall kunna erhålla tillstånd att inrätta och föra personregister som innehåller uppgifter om att någon misstänks eller har dömts för brott, avtjänat straff eller varit föremål för vissa andra närmare angivna tvångsingri- panden krävs synnerliga skäl.

I lagmotiven ges exempel på vad som kan utgöra särskilda respekti- ve synnerliga skäl i de aktuella avseendena. I sakens natur ligger enligt motiven att allmänna organ har uppgifter som gör det nöd- vändigt eller i varje fall befogat att föra relativt omfattande person- register. Även behoven av register för statistik— och forskningsändamål framhålles.

Som nämnts ovan faller statsmaktsregistren utanför Datainspektio- nens tillståndsprövning. Av motiven till datalagen framgår emellertid att frågan huruvida ett personregister kan medföra otillbörligt integritetsintrång skall bedömas efter likartade grunder, oavsett om registret inrättas efter tillstånd av Datainspektionen eller efter beslut av statsmakterna (prop. 1973:33 s. 120). I propositionen sägs att Datainspektionen därför, när den skall yttra sig över ett tilltänkt statsmaktsregister, skall anlägga samma synpunkter som vid en tillståndsprövning så långt det är möjligt. Den särskilda skyldighet som tidigare fanns för statsmakterna att inhämta yttrande från Datainspektionen inför inrättande av personregister som beslutats av riksdagen eller regeringen togs emellertid bort genom ändring av 2 a 5 per den 1 januari 1995 (lag 199411485). Ändringen som bl.a. motiverades med att den medförde arbetsbesparing för Datainspektio- nen torde dock inte innebära någon begränsning av integritetsskydds- prövningen i dessa fall (se prop. 1993/94:217).

Vid tillståndsgivning skall Datainspektionen meddela föreskrift om ändamålet med registret. Föreligger särskilda skäl får tillståndet begränsas till viss tid (5 5). Lämnas tillstånd skall Datainspektionen

vidare, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift för registret om

1. inhämtande av uppgifter för personregistret,

2. vilka personuppgifter som får ingå i personregistret,

3. utförandet av den automatiska databehandlingen,

4. den tekniska utrustningen, 5 . de bearbetningar av personuppgiftema i registret som får göras med automatisk databehandling,

6. underrättelse till berörda personer,

7. de personuppgifter som får göras tillgängliga,

8. utlämnande och annan användning avpersonuppgift,

9. bevarande och gallring av personuppgift, 10. kontroll och säkerhet samt 11. rättelse och andra åtgärder i fråga om oriktiga och missvisande uppgifter.

(Ang. p. 8 och dess förhållande till offentlighetsprincipen, se nedan under avsnitt 4.4)

Vid bedömandet av om en föreskrift behövs skall Datainspektionen särskilt beakta huruvida registret innehåller personuppgift som utgör omdöme eller annan värderande upplysning om den registrerade (6 5).

Datainspektionens skyldighet att förebygga otillbörliga integritetsin- trång genom föreskrifter gäller även statsmaktsregister om inte regeringen eller riksdagen redan meddelat föreskrifter i samma hänseende (6 a 5). Som framgår av lagtexten i 3 å (se ovan) skall redan vid bedömningen av om huruvida tillstånd kan lämnas med hänsyn till risken för integritetsintrång de föreskrifter beaktas som skall gälla för registret. Ett register som utan föreskrifter skulle kunna medföra ett otillbörligt integritetsintrång kan alltså tillåtas om det förenas med erforderliga föreskrifter.

4.1.3 Den registeransvariges skyldigheter och Datainspektionens tillsyn

Den eller de som är ansvariga för registret har enligt bestämmelser i 7—— 14 && datalagen att se till att registret inrättas och föres så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. Bestämmelserna medför bl.a. ett ansvar för att registret förs för ett bestämt ändamål, att uppgifterna i registret överensstämmer med ändamålet och att de är riktiga. Vidare finns regler om hur registret skall hanteras och skyddas mot obehörig insyn, spridning och förstörelse, om skyldighet för den registeransvarige att på begäran upplysa den registrerade om vilka uppgifter registret innehåller

beträffande denne, om när uppgifter skall utgå ur registret och om tystnadsplikt för den registeransvarige och för annan som tagit befattning med registret eller uppgifter som insamlats för detta. För det allmännas verksamhet regleras dock tystnadsplikten i sekretessla- gen (1980:100) varom mera nedan. Den registeransvariges skyldig— heter gäller med något undantag såväl för register som förs med tillstånd från Datainspektionen som för icke tillståndspliktiga register.

Datainspektionens övergripande ansvar upphör inte i och med att tillstånd med erforderliga föreskrifter givits. Datainspektionen har därefter, i enlighet med bestämmelserna i 15-18 (55 att utöva kontinu- erlig tillsyn över att automatisk databehandling inte medför otillbörligt intrång i någons personliga integritet. Tillsynsplikten omfattar även statsmaktsregister. För detta ändamål har Datainspektionen rätt att erhålla tillträde till lokaler där ADB utförs eller datautrustning m.m. förvaras samt vidare att få del av relevanta handlingar. Inspektionen får även föranstalta om körning av datamaskin. Den registeransvarige eller den som för hans räkning handhar personregister skall lämna Datainspektionen de uppgifter som begärs för tillsynen. Om tillträde till lokal eller tillgång till handling inte lämnas kan Datainspektionen utfärda vitesföreläggande (24 5). Om Datainspektionen finner att otillbörligt intrång i personlig integritet förekommit eller kan upp- komma, kan inspektionen meddela eller ändra föreskrifter eller om tillräckligt skydd inte kan åstadkommas på annat sätt förbjuda fortsatt förande av registret eller återkalla meddelat tillstånd. Be— träffande statsmaktsregister får Datainspektionen meddela eller ändra föreskrifter endast om åtgärden inte står i strid med beslut av regeringen eller riksdagen. Statsmaktsregister får inte förbjudas av Datainspektionen.

4.1.4 Övriga bestämmelser

Datalagen innehåller vidare bestämmelser om straff och skadestånd vid överträdelser av gällande bestämmelser för personregister och för handhavandet av uppgifterna i dessa (20—23 55).

Datainspektionens beslut överklagas hos allmän förvaltningsdomstol. Om det är en statlig myndighet som är registeransvarig skall talan dock föras direkt hos regeringen. Justitiekanslern (JK) får överklaga ett beslut för att tillvarata allmänna intressen (25 5).

I 26—28 55 finns särskilda bestämmelser rörande det statliga person- och adressregistret (SPAR).

Kompletterande bestämmelser om bl.a. licensanrnälan, tillståndsan— sökan m.m. ges i dataförordningen.

4.2. Särskilda registerförfatmingar

Personregister om vars inrättande riksdagen eller regeringen beslutar, de s.k. statsmaktsregistren, är enligt 2 a & datalagen undantagna från kravet på tillstånd från Datainspektionen. Datainspektionen kan dock meddela beslut om villkor även för dessa register, i den män inte rege- ringen eller riksdagen har meddelat villkor i sanuna hänseende (6 a och 18 55 datalagen). Vidare gäller datalagens bestämmelser om den registeransvariges skyldigheter, om Datainspektionens tillsyn samt om straff och skadestånd även för statsmaktsregistren.

Det finns numera ett stort antal personregister som regleras genom särskilda registerförfattningar. Författningamas innehåll varierar beroende på vid vilken tidpunkt de kommit till och den uppfattning om vad som borde regleras som då var rådande. En del registerförfatt- ningar fanns redan när datalagen infördes. Dessa äldre författningars primära mål var inte att värna om den enskildes integritet. De innehåller främst regler om vad som skall registreras och hur information får spridas. Nyare registerförfattningar kompletterar dock, eller ersätter delvis, datalagens integritetsskydd och innehåller bestämmelser om registerändamål, registeransvar, sökbegrepp (dvs. eventuella begränsningar i sökrnöjlighetema), utlämnande av uppgifter och gallring m.m. Som exempel på sådana senare författningar kan nämnas lagen (1994:1517) om socialförsäkringsregister, förslaget till lag om vissa personregister inom kriminalvården (Ds 1996:19) och förslaget till lag om personregister för forskning och utvecklingsarbete inom rättspsykiatrin (SOU 1996:72).

Registerförfattningarna ersätter sålunda inte datalagen fullt ut. Datalagen skall fortfarande tillämpas beträffande dessa personregister i de delar bestämmelser inte finns i den särskilda registerförfattningen.

4.3. Offentlighet och sekretess

4. 3 . 1 Inledning

Den enskildes intresse av integritetsskydd skall i förevarande samman- hang inte bara ställas mot myndigheters och andras behov av person- register för olika typer av verksamheter. Även den i vårt land rådande offentlighetsprincipen, som ger allmänheten rätt till insyn i statlig och kommunal verksamhet, måste beaktas. Offentlighetsprincipen innebär bl.a. att medborgarna har rätt att ta del av allmänna handlingar (handlingsoffentligheten) och att de har rätt att närvara vid domstols-

förhandlingar och vid sammanträden i beslutande statliga och kommunala församlingar (förhandlingsOffentligheten). Som ett utslag av offentlighetsprincipen kan också regeringsforrnens föreskrifter om yttrande- och informationsfrihet betraktas. (Vad gäller tryckfrihet och motsvarande frihet att yttra sig i radio och television m.m. finns särskilda bestämmelser i tryckfrihetsförordningen och yttrandefrihets- grundlagen. Dessa bestärrunelser behandlas inte i denna framställning.) Avvägningen mellan den enskildes integritet och offentlighetsprincipen berördes i propositionen om offentlighet, integritet och ADB där föredragande statsrådet uttalade följande (prop. 1990/91:60 s. 14):

Offentlighetsprincipen ställs naturligtvis ofta mot önskemålet att skydda den enskildes integritet. Det är i regel lätt att motivera undantag från offentlighetsprincipen vilka för enskilda situationer kan te sig välgrundade. Man måste emellertid alltid hålla det övergripande värdet av offentlighetsprincipen i minnet när man gör den awägning som är nödvändig mellan offentlighet och integritetsskydd och akta sig för att genom de många små stegens utveckling göra alltför stora undantag från principen.

Man måste också komma ihåg att själva offentlighetsprincipen utgör ett viktigt inslag i skyddet för den enskilda individen mot rättsövergrepp och annat som skulle kunna ske genom brist på insyn i det allmännas verksamhet.

Det är också viktigt att framhålla att lika litet som offentlighetsprincipen kan vara undantagslös kan något fullständigt skydd för den enskildes privata sfär upprätthållas.

Grundläggande bestämmelser om offentlighetsprincipen finns i tryck- frihetsförordningen (TF). Där uttrycks medborgarnas rätt att ta del av allmänna handlingar (2 kap. 1 5) och där anges allmänt av vilka skäl begränsningar får göras i denna rätt, dvs. i vilken utsträckning handlingar får hållas hemliga. Av möjliga skäl till begränsningar kan redan här nämnas hänsyn till skyddet för enskilds personliga eller ekonomiska förhållanden. Närmare bestämmelser om begränsningar i rätten att ta del av allmänna handlingar, liksom i rätten att röja vissa uppgifter m.m., återfinns i sekretesslagen (1980: 100). Framställningen närmast nedan behandlar översiktligt gällande regler om offentlighet och sekretess med koncentration på de delar som är relevanta för utredningsuppdraget. I avsnitt 6.9 redovisas de ändringar av bl.a. tryckfrihetsförordningen och sekretesslagen som av Datalagskommittén ansetts påkallade i samband med införandet av EG-direktivet om personuppgifter i svensk rätt.

Vissa för uppdraget aktuella sekretessfrågor genomgås ytterligare i avsnittet om utredningens överväganden.

4.3.2. Begreppet allmän handling

Med handling förstås enligt 2 kap. 3 5 första stycket tryckfrihetsför- ordningen framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handlingsbegreppet omfattar alltså inte bara papper med text eller bild på utan också t.ex. bandupptagningar och upptagningar för ADB. En handling är enligt samma lagrum allmän om den förvaras hos en myndighet och enligt särskilda regler härom anses inkommen eller upprättad där. När det gäller handlingar i traditionell mening, varmed här förstås papper med skrift eller bild på, är det som regel inga problem att avgöra om den förvaras hos myndigheten eller inte. Beträffande ADB-upptagningar blir bedömningen svårare. För denna typ av handlingar finns det en särskild regel i 2 kap. 3 5 andra stycket tryckfrihetsförordningen som innebär att en ADB-upptagning anses förvarad hos både den myndighet där själva upptagningen finns och den myndighet som har terminalåtkomst till upptagningen om det är tekniskt möjligt att ”komma åt” den. I lagtexten anges detta förhållande som att upptagningen:

anses förvarad hos myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.

Med begreppet ”tekniskt hjälpmedel som myndigheten själv utnyttjar” avses vad gäller ADB-upptagningar —— datorkraft. Begreppet innefattar även de tekniska hjälpmedel som finns hos en servicebyrå som myndigheten anlitar eller hos sido-, över- eller underordnad myndighet, liksom den utrustning som på annat sätt står till myndig— hetens förfogande. (Däremot kan, efter en lagändring 1991, inte längre den enskilde genom att själv ställa datorkapacitet till förfogande påverka området för insyn med stöd av offentlighetsprincipen, se prop. 1990/91:60 s. 27 ff.) Lagrummet innehåller vidare en viktig begränsning. Hindrar föreskrifter i en lag eller förordning eller särskilt beslut som grundar sig på lag, att en myndighet för egen räkning gör en överföring till läsbar form av en upptagning som ingår i ett personregister som förs med ADB, anses inte upptagningen vara förvarad hos myndigheten. En begränsning av rätten att göra sådan överföring i t.ex. en registerlag eller enligt ett beslut av Datainspektio- nen medför alltså att upptagningen inte utgör allmän handling även om de tekniska möjligheterna att ta fram den i läsbar form finns.

Enligt 2 kap. 10 & tryckfrihetsförordningen är en handling dvs. även en ADB—upptagning som förvaras hos en myndighet som bara

har till uppgift att lagra eller tekniskt bearbeta handlingen för annans räkning inte allmän hos den myndigheten (jfr även 2 kap. 6 5 3 st TF).

En handling anses enligt huvudregeln ha kommit in till en myndig- het när handlingen anlänt till myndigheten eller tagits emot av behörig person. Upprättad är en handling i princip när den fått sin slutliga utformning hos myndigheten antingen genom att den då expedieras eller, beträffande handlingar som inte skall expedieras, när det ärende den hör till är slutbehandlat hos myndigheten. Det finns flera särskilda regler om när olika typer av handlingar skall anses inkomna eller upprättade som innebär avsteg från de nu nämnda principerna (se 2 kap. 6—8 55 TF).

4.3.3. Allmänt om sekretessbestämmelserna och deras uppbyggnad

Utgångspunkten är att allmänna handlingar är offentliga och skall lämnas ut till den som begär det. Det finns dock områden där behovet av skydd mot insyn anses väga tyngre än offentlighetsprincipen. I 2 kap. 2 5 första stycket tryckfrihetsförordningen räknas de fall upp i vilka allmänna handlingar får hållas hemliga, nämligen om det är påkallat med hänsyn till:

1. rikets säkerhet eller dess förhållande till annan stat eller mellan- folklig organisation,

2. rikets centrala finanspolitik, penningpolitik eller valutapolitik,

3. myndighets verksamhet för inspektion, kontroll eller annan tillsyn, 4. intresset att förebygga eller beivra brott,

5 . det allmännas ekonomiska intresse,

6. skyddet för enskilds personliga eller ekonomiska förhållanden,

7. intresset att bevara djur- eller växtart.

Uppräkningen är uttömmande. Begränsningar av rätten att ta del av allmänna handlingar skall anges noga i särskild lag, dvs. sekretessla- gen, eller annan lag dit sekretesslagen hänvisar. Syftet är att man i varje särskilt fall skall kunna se i sekretesslagen om en allmän

handling är hemlig. Regeringen kan, efter bemyndigande i lag, ge kompletterande föreskrifter vad gäller en sekretessbestärnmelses tillämplighet. Vidare kan regering och riksdag i samma ordning tilläggas befogenheter att medge dispens från sekretess.

Enligt sekretesslagen förstås med sekretess förbud att röja uppgifter, vare sig det sker muntligen eller genom att allmän handling lämnas ut eller på annat sätt. Förbudet att röja uppgifter gäller alltså varje form av röjande och innefattar därmed såväl handlingssekretess som tystnadsplikt (1 kap. 1 (j). Sekretesslagen gäller för all verksamhet som bedrivs av det allmänna, i första hand hos myndigheter men även hos vissa andra organ som skall jämställas med myndigheter vid tillämpningen av sekretesslagen samt hos bolag, föreningar och stiftelser, där kommuner eller landsting utövar ett rättsligt bestämrnan— de inflytande (se närmare 1 kap. 8 och 9 55 sekretesslagen). Lagen innehåller inte bara bestämmelser om sekretess i förhållande till enskilda utan också bestämmelser om sekretess mellan myndigheter och mellan olika självständiga verksamhetsgrenar inom en och samma myndighet. Lagens uppbyggnad följer uppräkningen i tryckfrihetsför- ordningen av de fall då allmänna handlingar får sekretessbeläggas (2—10 kap. sekretesslagen). Bestämmelserna är utformade på det sättet att det anges att sekretess gäller i viss verksamhet eller hos viss myndighet för en viss typ av uppgifter etc. Att sekretess gäller för en viss uppgift innebär som sagts ovan att uppgiften inte får röjas.

Bestämmelser som skyddar den enskildes integritet återfinns i första hand i sekretesslagens 7—9 kap. som rör sekretess med hänsyn till skyddet för enskilds personliga och ekonomiska förhållanden. Sekretess gäller enligt dessa regler t.ex. inom sjukvården och social- tjänsten, hos allmän försäkringskassa, arbetarskyddsmyndigheter, skolor, polismyndigheter m.m. för uppgifter om bl.a. hälsotillstånd och personliga förhållanden i övrigt. Förutom rekvisit som rör föremålet för sekretessen innehåller bestämmelserna också rekvisit som anger sekretessens ”styrka”. De sist nämnda rekvisiten är dels sådana som anger vissa konkreta undantag (t.ex. undantas ofta formella beslut i ärenden) dels skaderekvisit, dvs. villkor som kräver viss sannolikhet för att skada skall uppstå om en uppgift lämnas ut, för att sekretess skall gälla. Skaderekvisiten är av två slag. Det raka skaderekvisitet innebär att sekretessfrågan i första hand inte behöver knytas till en skadebedömning i det enskilda fallet. Avgörande är i stället om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för den enskilde. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös, skall den alltså normalt anses falla utanför sekretessen. l förarbetena nämns uppgifter om adress eller civilstånd som exempel

på uppgifter av detta slag. Skulle uppgiften vara sådan att den lätt kan komma att missbrukas, t.ex. om den rör någon mera ”känslig” personuppgift om den enskilde, skall den i stället anses omfattas av sekretessen. Ett exempel på en bestämmelse med rakt skaderekvisit ges i 7 kap. 8 & sekretesslagen:

Sekretess gäller hos myndighet, som har till särskild uppgift att verka för arbetarskydd, i ärende enligt lagstiftningen om arbetsskadeförsäk- ring, arbetsmiljön eller reglering av arbetstid eller annars i ärende om arbetarskydd, för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde lider men om personuppgiften röjs.

Det omvända skaderekvisitet utgår från att sekretess är huvudregel. Sekretess gäller om det inte står klart att uppgiften kan röjas utan skada. Detta innebär att tillämparen har ett ganska begränsat utrymme för sin bedömning. I praktiken innebär detta att en myndighet många gånger inte kan lämna ut en uppgift som omfattas av en sådan sekretessregel utan att ha kännedom om mottagarens identitet och om dennes avsikter med uppgiften. 7 kap. 4 5 första stycket sekretesslagen innehåller en sekretessregel med omvänt skaderekvisit:

Sekretess gäller inom socialtjänsten för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men.

Sekretesslagen innehåller flera bestämmelser med generella undantag från sekretessens tillämplighet. Sekretess gäller t.ex. som regel inte i förhållande till den enskilde själv (14 kap. 4 5). Sekretess hindrar enligt huvudregeln ”aldrig” att part i mål eller ärende tar del av dom eller beslut i målet eller ärendet eller fråntas sin i rättegångsbalken stadgade rätt att få del av alla omständigheter som läggs till grund för avgörandet av ett mål eller ärende (14 kap. 5 5 andra stycket. Jfr dock 7 kap. 17 å som i sin tur anger undantag från undantagetl). Hand- lingssekretessen är ofta tidsbegränsad vilket anges i anslutning till de särskilda bestämmelserna om sekretess för olika sorters uppgifter. Vad gäller uppgifter om enskildas personliga förhållanden gäller sekretes- sen för uppgift i allmän handling norrnalt i 50 eller 70 år.

4.3 .4 Sekretess rörande totalförsvarspliktiga

I 7 kap. 12 & sekretesslagen stadgas att sekretess gäller i ärende om inskrivning av totalförsvarspliktiga och i ärenden om antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs.

Bestämmelsen är i första hand tillämplig för Totalförsvarets pliktverk (Pliktverket) som ansvarar för och handlägger mönstring och andra utredningar beträffande de totalförsvarspliktiga och fattar beslut om inskrivning m.m.

Som framgår skall ett rakt skaderekvisit tillämpas. Som exempel på vad som kan sekretessbeläggas kan nämnas uppgifter som kommer fram vid de hälsoundersökningar som sker vid mönstringen och uppgifter om t.ex. viss utbildning m.m. som lämnas till Pliktverket från andra myndigheter (angående överföring av sekretess mellan myndigheter, se nedan avsnitt 4.3.9). Uppgifter från de medicinska undersökningar av hälsotillstånd och fysiska kvalifikationer i övrigt som äger rum vid mönstringen (eller motsvarande utredning) har ett starkare skydd än vad som framgår av 12 5, eftersom även bestäm- melserna i 7 kap. 1 & sekretesslagen skall tillämpas. Dessa stadgar sekretess inom hälso— och sjukvården och i annan medicinsk verksam— het som t.ex. rättsmedicinsk och rättspsykiatrisk undersökning för uppgifter om enskilds hälsotillstånd eller personliga förhållanden i övrigt om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. ”Annan medicinsk verksamhet” omfattar t.ex. hälsoundersökning vid mönstring och för dessa uppgifter gäller sålunda ett omvänt skaderekvisit.

Vidare har regeringen, med stöd av 7 kap. 15 5 första stycket 1 p. sekretesslagen förordnat, att sekretess generellt skall gälla för Pliktver- kets register över totalförsvarets personal (se 1 bä sekretessför— ordningen (1980:657)). Denna möjlighet har regeringen tillagts beträffande verksamheter som avser registrering av betydande del av befolkningen. Skyddet är emellertid svagare än enligt de tidigare under detta avsnitt nämnda sekretessbestämmelserna eftersom sekretess endast gäller för uppgifter om enskildas personliga förhållanden om det av särskild anledning kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs.

4.3.5. Sekretess för personuppgift i personregister

Sekretess gäller enligt 7 kap. 16 & första stycket sekretesslagen för personuppgift i personregister som avses i datalagen om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid mot datalagen. Bestämmelsema är tillämpliga vid sådana myndigheter som är registeransvariga eller som annars har tillgång till personuppgifter i personregister. Förbudet gäller oavsett på vilket sätt uppgifterna lämnas ut, genom ADB-medium eller genom utskrifter på vanligt papper. Med de skaderekvisit som används i paragrafen innefattar sekretessen inte någon tystnadsplikt i egentlig mening. Risk för skada som anges aktualiseras nämligen bara vid massuttag i någon form av uppgifter från registret. Det är viktigt att hålla i minnet att andra bestämmelser om sekretess kan vara tillämp- liga beträffande uppgifterna i registret.

Sekretess gäller vidare enligt 9 kap. 7 5 sekretesslagen i myndighets verksamhet för enbart teknisk bearbetning eller teknisk lagring för annans räkning av personregister, för uppgift om enskilds personliga eller ekonomiska förhållanden.

4.3.6. Försvarssekretess

Sekretess gäller enligt 2 kap. 2 & sekretesslagen för uppgift som angår verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Som framgår av ordalydelsen omfattar det sekretessbelagda området alla verksamheter som är av betydelse för landets samlade försvar. Sekretessen är inte begränsad till att avse uppgifter hos en viss myndighet utan gäller inom det allmännas hela verksamhet.

4.3.7. Sekretess vid framställning av statistik

Enligt 9 kap 45 sekretesslagen gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser enskildas personliga eller ekonomiska för- hållanden och som kan hänföras till den enskilde. Denna sekretess är absolut, dvs. den är inte beroende av någon skadeprövning. Enligt paragrafen har regeringen möjlighet att föreskriva samma sekretess för

sådana uppgifter i annan med statistikfrarnställning jämförbar undersökning som utförs av myndighet. Så har skett genom 3 & sekretessförordningen bl.a. i fråga om vissa medicinska och be- teendevetenskapliga eller samhällsvetenskapliga studier hos utbild— ningsanstalter och forskningsinrättningar. Dessutom har uppgifter om enskildas personliga förhållanden som framkommer i vissa statliga utredningars verksamhet, t.ex. utredningar om praxis i asylärenden och bidragsfusk, sekretessbelagts med stöd av dessa bestärmnelser. Enligt 9 kap. 4 & sekretesslagen gäller fem undantag från regeln att sekretessen skall vara absolut. Uppgift får i dessa fall lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon som står honom nära lider skada eller men. Ett av undantagen gäller uppgifter som behövs för forskningsändamål. Ett annat undantag gäller uppgifter som inte genom namn, annan identi- tetsbeteckning eller därmed jämförligt förhållande är direkt hänförliga till den enskilde. Med uttrycket ”jämförbart förhållande” åsyftas bil— nummer, telefonnummer, anställningsnummer o.d. men inte uppgifter som genom s.k. bakvägsinforrnation kan hänföras till viss person.

4.3.8. Sekretess mellan myndigheter

I princip gäller sekretessreglerna även mellan myndigheter och mellan olika självständiga verksamhetsgrenar inom samma myndighet. Myn- digheterna kan alltså sägas vara jämställda med enskilda personer när det gäller att få ta del av uppgifter och allmänna handlingar från andra myndigheter. En rad undantag finns dock från denna huvudregel. Enligt 1 kap. 5 & sekretesslagen utgör sekretess inte hinder mot att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet. Som exempel på fall där denna bestämmelse kan vara tillämplig har i lagmotiven nämnts att en myndighet behöver ge en annan myndighet del av hemlig informa- tion till grund för ett remissyttrande. Av motiven framgår dock också att bestämmelsen skall tillämpas restriktivt och att den inte får åberopas för att hjälpa en annan myndighet t.ex. den mottagande att fullgöra sin verksamhet. Om en myndighet enligt lag eller förordning har skyldighet att lämna vissa uppgifter till annan myndig- het gäller inte sekretessen (14 kap. 1 & sekretesslagen). Som exempel kan nämnas 3 kap. förordningen (1995:238) om totalförsvarsplikt som ålägger skattemyndigheten, Kriminalvårdsstyrelsen, Socialstyrelsen, Statens skolverk, Vägverket m. fl. myndigheter att lämna uppgifter till Pliktverket om totalförsvarspliktigas förhållanden. Bestämmelser om sekretess hindrar (enligt samma lagrum i sekretesslagen) inte att

uppgifter lämnas till regeringen eller riksdagen. Enligt 14 kap 2 & hindrar inte heller sekretess uppgiftslämnande från en myndighet till en annan i vissa särskilt uppräknade fall, som då uppgiften behövs vid förundersökning i brottmål, rättegång, omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer eller tillsyn eller revision hos denna myndighet m.m. I 14 kap 3 5 första stycket sekretesslagen återfinns den s.k. generalklausulen som stadgar att sekretessbelagd uppgift får lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. I andra stycket undantas flera sekretess- bestämmelser till skydd för den enskildes personliga och ekonomiska förhållanden från generalklausulens tillämpningsområde, bl.a. den ovan nämnda sekretessregeln inom hälso- och sjukvården. Vidare anges att generalklausulen inte heller får tillämpas om utlärnnandet strider mot lag eller förordning eller, såvitt angår uppgift i person- register enligt datalagen, föreskrifter som meddelats med stöd av den lagen.

Sekretess till skydd för en enskild kan enligt 14 kap. 4 & första stycket helt eller delvis efterges av den enskilde själv. En myndighet kan alltså efter samtycke från den enskilde lämna ut uppgifter om denne till en annan myndighet Även tysta sk. presumerade samtycken som framgår av den enskildes beteende får godtas. Som nämnts ovan finns undantag från tillämpligheten av bestämmelserna i 14 kap. (se t.ex. 7 kap. 17 å).

4.3.9. Överföring av sekretess

Sekretessen följer inte en hemlig uppgift som lämnas ut om inte det finns en särskild regel om detta. Sekretess som till följd av en sådan regel förs över till en annan myndighet brukar kallas för sekundär sekretess hos den mottagande myndigheten. Den sekundära sekretessen innebär att en handling som är hemlig hos en utlämnande myndighet också är hemlig hos den myndighet som tar emot handlingen. Den sekundära sekretessen gäller också i fråga om handling till vilken har förts över uppgifter från den överlämnade handlingen.

I sekretesslagens 11—13 kap. ges bestämmelser om överföring av sekretess. 11 kap. innehåller särskilda bestämmelser om sekretessbe- lagda uppgifter som överlämnats till regeringen, riksdagen, riksdagens ombudsmän och justitiekanslern medan 12 kap. behandlar sekretessbe— lagda uppgifter som erhållits av domstol i domstolens rättskipande eller rättsvårdande verksamhet. I 13 kap. räknas särskilda fall i övrigt upp då sekretessen överförs mellan myndigheter. Sekundär sekretess

gäller enligt dessa bestämmelser bl.a. om en myndighet i sin forsk- ningsverksamhet från en annan myndighet erhåller uppgift som är sekretessbelagd där (3 5) och hos arkivmyndighet för sekretessbelagda uppgifter som lämnats till arkivmyndigheten för arkivering (4 5).

Om sekretess till skydd för samma intresse ändå är tillämplig hos den mottagande myndigheten har denna företräde. Sekretess förs då inte över från den myndighet som lämnar uppgifterna, vilket innebär att skyddet kan förstärkas eller försvagas vid ett överlämnande.

Om en sekretessbelagd uppgift lämnats ut till enskild har denne inte tystnadsplikt om det inte följer av särskilda föreskrifter (se t.ex. lagen [1975:689] om tystnadsplikt för vissa tolkar och översättare) eller utlämnandet förenats med förbehåll som inskränker rätten att föra uppgiften vidare (se 14 kap. 9 och 10 åå sekretesslagen).

4. 3 . 10 Meddelarfrihet

För lämnande av uppgifter för offentliggörande i tryckt skrift eller för framställning i film eller radio gäller särskilda regler enligt tryck— frihetsförordningen och yttrandefrihetsgrundlagen. Här är, något förenklat uttryckt, utgångspunkten att uppgiftslämnande — utom såvitt avser utlämnande av en hemlig handling är tillåtet även om uppgiften är sekretessbelagd. 16 kap. 1 & sekretesslagen anger i vilka fall tystnadsplikten har företräde framför sådan meddelarfrihet.

4.4. Kort om förhållandet mellan datalagstiftningen, tryckfrihetsförordningen och sekretesslagen

Informationsflödet mellan myndigheter, den enskildes rätt till skyddad integritet och rätt till insyn i det offentligas verksamhet regleras genom ett flertal författningar och föreskrifter av olika slag. Regelverket är inte okomplicerat och stundtals kan konflikter mellan olika regler uppkomma. Nedan ges en mycket kort beskrivning av förhållandet mellan de i rubriken angivna författningarna jämte de föreskrifter Datainspektionen kan utfärda. Vad som nedan sägs framgår i huvudsak redan av texten ovan i detta kapitel.

Datalagen har till syfte att hindra att hantering av personregister som förs med hjälp av ADB medför otillbörligt intrång i den enskildes integritet. Lagen anger i vilka situationer och under vilka villkor den enskilde får finna sig i att vara registrerad. Strängare villkor gäller generellt då det är fråga om registrering av för den enskilde

”känsliga” personuppgifter. Datalagen kompletteras och ersätts i vissa delar av särskilda registerlagar för statsmaktsregistren, dvs. de register som beslutats av regeringen eller riksdagen. Datalagstiftningen — varmed här avses såväl datalagen som de särskilda registerlagarna —— behandlar dock inte sekretess i det allmännas verksamhet. En myndighet som för ett personregister har främst att söka ledning i sekretesslagen när det gäller frågor om utlämnande av uppgifter ur registret. Som tidigare redovisats innebär ett förbud för en myndighet att överföra viss upptagning (t.ex. ADB-upptagning) till läsbar eller annan form som kan uppfattas, att upptagningen (handlingen) inte anses förvarad hos myndigheten (2 kap. 3 5 andra stycket TF). Detta är inte en sekretessregel. Bestämmelsen innebär helt enkelt att upptagningen inte utgör en allmän handling.

Enligt datalagen skall Datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift för personregister om bl.a. utlämnande och annan an— vändning av personuppgift (65 datalagen, se ovan 4.1.2). Enligt lagmotiven (prop. 1973133 5. 129 f.) är det i många fall uppenbarligen påkallat att meddela föreskrift om utlämnande och annan användning av personuppgifter. Datainspektionen kan härvid begränsa de ändamål för vilka uppgifter får användas i den registeransvariges verksamhet och föreskriva skyldighet för denne att ställa villkor i fråga om användningen av uppgifter som lämnas ut till någon annan. I 6 & tredje stycket anges uttryckligen att Datainspektionens föreskrifter inte får inskränka en myndighets skyldigheter enligt tryckfrihetsför- ordningen. Datainspektionen kan därmed inte meddela ett förbud mot utlämnandet av allmänna handlingar (om inte förbudet är begränsat till utlämnande på datorrnedium eller via terminalanslutning eller liknande). Om de aktuella uppgifterna är belagda med sekretess skall förutom föreskrift från Datainspektionen naturligtvis de särskilda bestämmelserna om sekretess tillämpas. Härvid kan bl.a. 7 kap. 16 & sekretesslagen bli aktuell, som föreskriver sekretess för personuppgif- ter i personregister om det kan antas att utlämnande skulle medföra att uppgiften används för ADB i strid mot datalagen, t.ex. av någon utan erforderligt tillstånd.

I den ovan behandlade sk. generalklausulen (14 kap 3 & sekretessla- gen), anges som ett undantag för dess tillämpning att utlämnandet skulle strida mot lag eller förordning eller, såvitt avser personregister, föreskrift som meddelats med stöd av datalagen. Har det t.ex. i lag föreskrivits att en viss myndighet för sin verksamhet på angivna villkor kan få ta del även av hemliga uppgifter hos en annan myndig- het kan det inte komma i fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället.

Datainspektionen kan inte meddela föreskrifter som står i strid med särskilda lagar och förordningar om utlämnande av uppgifter myndig- heter emellan. Däremot bör hinder inte möta mot en föreskrift som bara innebär att utrymmet för registerföraren att tillämpa generalklau- sulen krymps eller utesluts helt (jfr prop. 1979/80:2, del A, s. 328).

Datalagsutredningen har pekat på problem som kan uppstå då personuppgifter behandlas på områden där tryckfrihetsförordningen och yttrandefrihets grundlagen (YGL) är tillämpliga. Enligt utredningen kan konflikter uppstå vid tillämpningen av de båda grundlagarna och datalagstiftningen, dels genom att den senare kan verka försvårande för framställningen av olika yttranden och dels till följd av grund- lagarnas regler om anonymitetsskydd. För närmare studier av dessa frågor hänvisas till Datalagsutredningens slutbetänkande (SOU 1993:10 s. 113—147).

4.5. Bevarande och gallring

Grundläggande regler om offentliga arkiv finns i arkivlagen(1990:782) och i arkivförordningen (1991:446). Bestämmelserna omfattar arkiv hos såväl statliga som kommunala myndigheter och författningarna innehåller regler om vad som ingår i en myndighets arkiv, vård av arkiv och gallring av arkiv. Arkivlagens utgångspunkt är att allmänna handlingar skall bevaras. I arkivlagens3 & uttalas att myndigheternas arkiv är en del av det nationella kulturarvet och att arkiven skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. Av 10 & framgår emellertid att allmänna handlingar får gallras, dvs. förstöras (som förstöring räknas även överförande till andra ”databärare” om överföringen medför inforrnationsförlust, se Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter [RA-FS 199111] 2 kap. 1 (j). Dock skall, enligt samma lagrum, det arkivmaterial som återstår kunna tillgodose de ändamål som anges i 3 5. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning gäller dock dessa bestämmelser (med undantag för 125 datalagen, se strax nedan). I de särskilda för- fattningar som reglerar olika integritetskänsliga register (dvs. statsmaktsregister) föreskrivs i regel att materialet skall förstöras efter en viss tid, om det inte finns direkta föreskrifter om bevarande. För dessa fall är sålunda principen den omvända, dvs. att gallring skall ske. 1 motiven till arkivlagen (prop. 1989/90:72 s. 50 ff.) sägs att principen är rimlig med hänsyn till de integritetsaspekter som kan

föreligga på de särskilda registerlagamas områden. Vidare anförs att undantag från gallringsskyldigheten i dessa fall, som kan förestavas av hänsyn till insynsaspekten, myndigheternas informationsbehov och rättssäkerhetsaspekter, som regel bör tas in direkt i den särskilda registerlagen. Däremot bör konkreta avgöranden av vilka handlingar som skall bevaras med hänsyn till forskningens behov, i princip överlåtas till fackkunniga inom arkivmyndighetema. Av den an— ledningen anges i propositionen att, beträffande statliga myndigheters arkiv, det i den särskilda registerlagen också borde slås fast att, utöver de undantag från gallringsplikten som anges direkt i den lagen, ytterligare undantag får föreskrivas av regeringen eller av den myndighet som regeringen bestämmer. Dessa bemyndiganden får enligt propositionen förutsättas bli använda enbart för att bevara material med hänsyn till forskningens behov och då främst ett representativt urval av material. Prövningen av gallringsfrågor beträffande uppgifter i personregister som regleras genom särskilda registerlagar följer därmed teoretiskt följande modell:

— Utgångspunkten enligt arkivlagen är att handlingar som behövs för de i lagen uppräknade syftena skall bevaras.

— Om det i den särskilda registerlagen angetts att materialet skall förstöras efter viss tid gäller dock denna bestämmelse före arkivlagen .

— Beträffande material som behövs för forskningsändamål kan i den särskilda registerlagen ges bemyndigande för regeringen eller myndighet som regeringen bestämmer att meddela undantag från gallringsplikten. Om sådana bestämmelser meddelats gäller dessa. I annat fall gäller den särskilda registerlagens bestämmelser om gallringsplikt även detta material.

Ett exempel på gallringsbestämmelse i en registerlag utgörs av 10 å i förslaget till lag om vissa personregister inom kriminalvården (Ds 1996:19):

En uppgift i ett kriminalvårdsregister skall gallras så snart uppgiften inte längre behövs och senast fem år efter det att den senast registre- rade kriminalvärdspåföljden eller åtgärden till fullo verkställts eller annars har upphört. Regeringen får i förordning bestämma kortare tid för gallring.

Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från första stycket i fråga om bevarande av ett

urval av material för forskningens behov. Sådant material skall överlämnas till arkivmyndighet.

Den myndighet som av regeringen utses att utfärda särskilda be- stämmelser om gallring i dessa fall är som regel Riksarkivet.

För de register som inte är statsmaktsregister gäller delvis en annan ordning. Här måste man skilja på register som enbart kräver licens (licensregister) och sådana som kräver såväl licens som tillstånd från Datainspektionen (tillståndsregister). Enligt 12 & datalagen skall personuppgift utgå ur registret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning. Enligt uttrycklig bestämmelse i arkivlagen(10 &) gäller arkivlagens bestämmelser om gallring före 12 & datalagen. Detta innebär att licensregister hos myndigheter därmed skall gallras enligt arkivlagens norrnsystem, dvs. huvudregeln är att uppgifterna skall bevaras i de delar det krävs för de i arkivlagen angivna syftena. För tillstånds- registemas del skall Datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i den personliga integriteten, meddela föreskrift om bevarande och gallring av personuppgifter (6 5 första stycket 9 datalagen). Datainspektionens föreskrifter, som enligt 12 ådataförordningen skall lämnas efter samråd med Riksarkivet, blir då gällande, dvs. bestämmelsen i 6 & datalagen gäller före arkivlagens regler (se närmare prop. 1989/90:72 s. 48 ff.).

5. Internationella överenskommelser

5.1. Inledning

Den enskildes behov av skydd för den personliga integriteten behandlas i flera internationella överenskommelser och rekommenda- tioner. Som följer av framställningen nedan liknar bestämmelserna i de olika internationella dokumenten om behandling av personuppgifter varandra i hög grad. Det rör sig om regler som tar sikte på att registrering och annan behandling av uppgifter om enskildas personli— ga förhållanden skall vara begränsad till situationer då sådana åtgärder framstår som befogade ur samhällets eller den enskildes perspektiv. Vissa känsliga uppgifter erhåller regelmässigt särskilt skydd. Vidare intar bestämmelser om att uppgifterna skall vara korrekta och om den enskildes rätt till insyn en central roll.

Europarådets dataskyddskonvention och OECD:s rekommendation och riktlinjer för dataskydd har länge utgjort en grund för den svenska data- och registerlagstiftningen. EG—direktivet om personuppgifter har ännu inte implementerats i svensk rätt. Regeringen beslutade i juni 1995 att tillsätta en särskild kommitté med uppgift att analysera på vilket sätt ett kommande EG-direktiv om skydd för personuppgifter skall införlivas i svensk lagstiftning samt lägga fram förslag till ny lag på området. Kommittén, som antog namnet Datalagskommittén, har lämnat förslag till persondatalag (se bilaga 2) i mars 1997 (SOU 1997:39; — Integritet Offentlighet Inforrnationsteknik) samt förslag till de ändringar i tryckfrihetsförordningen, regeringsformen, sekretesslagen och arkivlagen som av kommittén bedömdes motiverade för att regleringen skall vara anpassad till EG-direktivet och den nya tekniken på dataområdet. Datalagskommitténs förslag redovisas nedan i kapitel 6. (Hänvisningar till Datalagskommitténs betänkande sker fortsättningsvis genom angivande av kommitténs namn jämte hänvis— ning till det aktuella avsnittet, i kursiv stil, t.ex: Datalagskommittén, avsnitt x.x.x)

5.2. Europarådets dataskyddskonvention

År 1980 antog Europarådets ministerkommitté en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen. Konventionen trädde i kraft år 1985 och har tillträtts av Sverige. Syftet med konventionen år att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Konventionen gäller för automatiserade person- register och för automatisk databehandling av personuppgifter i allmän och enskild verksamhet. En central del av konventionen innehåller bestämmelser om krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling. Kraven innebär bl.a. att uppgifterna skall hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling om inte nationell lagstiftning ger ett ändamålsenligt skydd. Detta gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga åtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. Det föreskrivs också vissa ytterligare skyddsåtgärder för registrerade personer, bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade. Vissa undantag från kraven på uppgifternas beskaffenhet får dock göras om de har stöd i nationell lagstiftning och om undantagen är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet e.d. eller för att skydda den registrerade personen eller andra personers fri- och rättigheter. Rätten till insyn och rättelse får också i vissa fall in— skränkas i fråga om personregister för statistikändamål eller forsk- ningsändamål.

5.3. OECD:s rekommendation och riktlinjer för dataskydd

Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat vissa riktlinjer för integritetsskyddet och persondataflödet över gränserna. Medlemsländema, däribland Sverige, har åtagit sig att följa den rekommendation som antogs tillsammans med riktlinjerna av OECD:s råd år 1980. Medlemsländerna skall enligt rekommendationen i sin lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som anges i riktlinjerna. De

grundläggande riktlinjerna liknar bestämmelserna i Europarådets dataskyddskonvention (liksom bestämmelserna i EG-direktivet om personuppgifter, se nedan). Riktlinjerna anger bl.a. att uppgifterna skall inhämtas på ett lagligt och korrekt sätt med när det är skäligt den registrerades kännedom eller samtycke, att de skall vara relevanta och ändamålsenliga samt riktiga och fullständiga, att ändamålet med insamlingen av uppgifter skall vara preciserat när uppgifterna samlas in, att uppgifterna inte får användas för andra ändamål än de vid insamlingen preciserade samt att de skall skyddas från otillåten användning och förstörelse m.m. Riktlinjerna innehåller vidare bestämmelser om den registrerades rätt att få reda på vilka uppgifter den registeransvarige har registrerade om honom eller henne och om den registeransvariges skyldigheter att rätta felaktiga uppgifter m.m.

5.4. Europarådets rekommendationer

Inom Europarådet har det tagits fram ett antal rekommendationer om dataskydd för personuppgifter inom olika områden. Som exempel kan nämnas rekommendationema om skydd för personuppgifter vid forskning och framställning av statistik (Recommendation No. R [83] 10) och om skydd för personuppgifter för anställningsändamål (Recommendation No. R [89] 2) samt rekommendationen om utlämnande av personuppgifter som innehas av det allmänna (”public bodies”) till tredje man (Recommendation No. R [91] 10).

5.5. EG-direktivet om personuppgifter

Den 24 oktober 1995 antogs inom EU Europaparlarnentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. (Fortsättningsvis EG-direktivet eller direktivet). Direktivet utgör, enligt vad som uttrycks i dess ingress, en precisering och en förstärkning av Europarådets dataskyddskonvention. Direktivet benämns ibland ”dataskyddsdirektivet”.

Enligt ingressen till direktivet skall det fria flödet av personuppgif- ter inom gemenskapen underlättas till gagn för den inre marknaden med fri rörlighet för varor, personer, tjänster och kapital. Detta skall ske genom att det i samtliga medlemsstater skapas en likvärdig, hög skyddsnivå när det gäller enskilda personers fri- och rättigheter,

särskilt rätten till privatliv. När de enskilda medlemsländernas lagstiftning på området harmoniserats skall staterna inte längre kunna hindra det fria flödet av personuppgifter inom gemenskapen med hänvisning till skyddet för enskilda personers fri- och rättigheter. Direktivet om behandling av personuppgifter är alltså inte av det slaget att det uppställer en miniminivå för den enskildes skydd. Det är inte tillåtet att föreskriva eller behålla vare sig ett sämre eller bättre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av direktivet. Medlemsstatema ges dock ett visst spelrum vid införandet av direktivet i nationell rätt. Bl.a. är det därvid enligt Datalagskommit- tén möjligt att ta hänsyn till principen om allmänhetens rätt att ta del av allmänna handlingar (Datalagskommittén, kap. 9).

Direktivet gäller för behandling av personuppgifter som helt eller delvis företas på automatisk väg oavsett om uppgifterna ingår i ett register eller ej. Direktivet omfattar också icke-automatisk behandling av personuppgifter men då endast om uppgifterna ingår i eller är avsedda att ingå i ett register. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas beträffande uppgifterna, oavsett om det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, sammanställning, förstöring eller utlämnande. Med register avses varje strukturerad samling av personuppgifter vilka är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.

Direktivet gäller inte behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Som exempel anges verksamhet som avses i avdelning V och VI i För- draget om Europeiska unionen (bestämmelser om en gemensam utrikes- och säkerhetspolitik respektive bestämmelser om samarbete i rättsliga och inrikes frågor — unionsfördragets andra och tredje ”pelare”). Vidare anges uttryckligen att direktivet inte gäller be- handlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Medlemsstaterna får under vissa närmare angivna omständigheter, t.ex. om undantag är nödvändiga med hänsyn till försvaret, allmän säkerhet eller förebyggande av brott, begränsa omfattningen av vissa av bestämmelserna i direktivet. Detta gäller bl.a. bestämmelserna om vissa grundläggande krav på uppgiftsbehandlingen.

Medlemsstaterna skall vidare besluta om undantag och avvikelser från bestämmelser i direktivet för behandling av personuppgifter som sker uteslutande för journalistiska ändamål och konstnärligt eller litterärt skapande.

I direktivet föreskrivs ett anmälningsförfarande till en tillsynsmyn- dighet när det gäller helt eller delvis automatiserad behandling av personuppgifter. När det gäller icke-automatiska behandlingar av personuppgifter är det tillåtet för medlemsstatema att föreskriva ett förenklat anmälningsförfarande. Den svenska regeringen har beslutat att utse Datainspektionen till svensk tillsynsmyndighet.

Medlemsstaterna är skyldiga att anpassa sina respektive nationella lagar och förordningar till direktivet senast per den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som då redan pågår skall denna bringas i överensstämmelse med direktivet — och den nya nationella lagstiftningen — senast tre år därefter, dvs. senast den 24 oktober 2001. Vissa längre frister gäller för det faktiska genomförandet av delar av direktivet.

Bestämmelser i EG-direktiv måste införas i svensk rättsordning för att bli gällande rätt här. Hur EG-direktivet om personuppgifter föreslås implementerat i svensk rätt beskrivs i nästa kapitel, där en mer utförlig bild ges av den ordning som kommer att gälla framöver.

6. Datalagskommitténs förslag till persondatalag m.m.

6.1. Inledning

Datalagskommittén lämnade sitt betänkande i mars 1997 (SOU 1997:39). Betänkandet, som är omfattande, innehåller förslag till den nya lag persondatalagen genom vilken EG-direktivet om person— uppgifter skall implementeras i svensk rätt. Lagen, som noga följer EG—direktivet, ersätter på sikt datalagen. Datalagskommittén föreslår också ändringar i tryckfrihetsförordningen, yttrandefrihetsgrundlagen, regeringsformen, sekretesslagen och arkivlagen. I denna framställning lämnas inte någon fullständig redovisning av Datalagskommitténs överväganden. Här ges en översikt över den nya ordningen med koncentration på de delar som bedömts vara centrala för utrednings- uppdraget. Våra egna förslag utgår ifrån att förslaget till persondatalag kommer att bli gällande rätt i Sverige inom en snar framtid. De närmare analyser av persondatalagens bestämmelser som därmed är nödvändiga redovisas under våra överväganden i kap. 9 och framåt.

Förslaget till persondatalag bifogas till detta betänkande som bilaga 2. Hänvisningar till aktuella avsnitt i Datalagskommitténs betänkande ges kursiverat i framställningen nedan (ex; Datalagskommittén, avsnitt/kap. x.x.x)

6.2. En generell och teknikoberoende lag

EG-direktivet gäller inte behandling av personuppgifter som utgör led i en verksamhet som som inte omfattas av gemenskapsrätten. Direktivet är därmed t.ex. inte tillämpligt på behandlingar som utförs för försvarsändamål. Persondatalagen är enligt förslaget däremot generellt utformad och gäller till sin lydelse i princip för all be- handling av personuppgifter, med undantag för rent privat hantering (Datalagskommittén, kap 7). Persondatalagen innehåller emellertid en föreskrift (2 (5) om att bestämmelser i lag eller förordning som avviker från lagen skall gälla. Avvikelser skall kunna förekomma, inte minst inom verksamheter som inte omfattas av EG-direktivet. Kommittén uttalar att den enskilde bör kunna förvänta sig att de lagar och

förordningar som är i kraft överensstämmer med EG-direktivet och framhåller att en översyn av nationell lagstiftning måste göras, t.ex. vad gäller de särskilda registerförfattningarna (Datalagskommittén, avsnitt 8.2.2).

Den föreslagna persondatalagen omfattar all automatisk behandling av personuppgifter samt även annan behandling om personuppgiftema ingår i eller är avsedda att ingå i ett register (5 5). Med behandling avses varje åtgärd som vidtas med uppgiften (3 5). Lagens till- ämpningsområde blir därmed vida större än datalagens som i princip ”bara” gäller vid registrering av personuppgifter med ADB. Vad som avses med ”automatisk” definieras varken i EG-direktivet eller i persondatalagen.

6.3. Förutsättningar för att behandling av personuppgifter skall vara tillåten

Datalagen bygger på ett system med licenser och tillstånd. Register med integritetskänsliga personuppgifter kräver regelmässigt Datain- spektionens tillstånd medan det i andra fall är tillräckligt för den ansvarige att lösa licens. För statsmaktsregistrens del ges tillstånd genom beslut av regering eller riksdag om ett registers inrättande. Den föreslagna persondatalagens system är ett annat. Licens eller formellt tillstånd krävs inte för behandling (inkl. registrering) av person- uppgifter. Persondatalagen anger under vilka förutsättningar be- handling av personuppgifter är tillåten och vad den som behandlar uppgifterna skall iaktta. Den som avser att behandla personuppgifter har —— enligt huvudregeln att ange ett ändamål för sin behandling, anmäla sin verksamhet till Datainspektionen samt därefter hålla sig inom de ramar som persondatalagen och anknytande författningar och andra föreskrifter anvisar.

Huvuddragen i persondatalagens bestämmelser om när och på vilket sätt personuppgifter får behandlas är följande (Datalagskommittén, kap. 12, se särskilt 12.4—12.5):

Behandling av personuppgifter får endast ske när den enskilde lämnat sitt samtycke eller när behandlingen är nödvändig för vissa upp- räknade ändamål, t.ex. för att en arbetsuppgift av allmänt intresse skall kunna utföras (10 å). Behandling av vissa uppgifter, i personda- talagen benämnda känsliga personuppgifter, är förbjuden (13 5). Det rör sig t.ex. om uppgifter som avslöjar religiös eller filosofisk övertygelse eller som rör hälsa eller sexualliv. Från förbudet mot

behandling av sådana uppgifter finns en rad undantag. Behandling är t.ex. tillåten om den enskilde samtycker, eller om behandlingen är nödvändig för hälso- och sjukvård eller för forsknings- och statistikän- damål (14—20 55). Vidare finns bestämmelser om att uppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål endast får behandlas av myndigheter, om inte regeringen eller myndighet som regeringen bestämmer föreskriver annat (21 5), samt om att personnummer bara får behandlas om det är klart motiverat av vissa skäl (22 5).

När uppgifter behandlas får detta i princip endast ske för de ändamål för vilka uppgifterna samlades in, och endast den behandling som är nödvändig är tillåten (9 5). Den ansvarige är skyldig att tillse att inte fler uppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen och att uppgifterna inte heller bevaras längre än nödvändigt med hänsyn till dessa ändamål. En behandling för historiska, statistiska och vetenskapliga ändamål skall inte anses oförenlig med de ändamål för vilka uppgifterna samlades in. För sådana ändamål får uppgifter också bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka de ursprungligen insamlades.

Behandlingar som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen eller som annars sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande omfattas inte av bestämmelserna om när och på vilket sätt uppgifter får behandlas (7 5) och bestämmelserna i persondatalagen skall över huvud taget inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldigheter enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (8 $).

6.4. Ansvaret för behandlingen och den ansvariges skyldigheter

Enligt förslaget till persondatalag är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter persondataansvarig (3 &) (Datalagskommittén, avsnitt 12. 2.6).

Som huvudregel bör — enligt Datalagskommittén bara fysiska personer, juridiska personer, utländska filialer eller myndigheter i Sverige kunna betraktas som persondataansvariga, inte andra ”organ” (som saknar rättskapacitet). Av definitionen följer att flera kan vara persondataansvariga för samma behandlingsåtgärd.

Persondataansvaret innebär bl.a. att den ansvarige skall tillse (9 ä):

att personuppgifter behandlas bara när det är lagligt, —— att personuppgifter alltid behandlas på ett korrekt sätt, att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilka uppgifterna samlades in, att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte flera personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, —— att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständi- ga med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Det åligger vidare den persondataansvarige:

att lämna information till den registrerade rörande behandlingen (23—27 55), — att på begäran av den registrerade, rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med persondatalagen (28 5), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 &) och att anmäla automatisk behandling av personuppgifter till Datain— spektionen (36 5). (Det finns dock undantag från denna skyldighet, se nedan under avsnitt 6.6)

Den persondataansvarige är skyldig att ersätta den registrerade för den skada som en lagstridig behandling av personuppgifter fört med sig (Datalagskommittén, avsnitt 12.13). Den persondatansvarige kan dock undgå skadeståndsskyldighet om han eller hon kan visa att felet inte berodde på honom eller henne (43 5).

Den persondataansvarige skall utfärda instruktioner för de personer som arbetar under hans eller hennes ledning liksom för persondatabi— träden (den som behandlar personuppgifter för den persondatansvari— ges räkning, 3 5) och dem som arbetar under biträdenas ledning (30 &) (Datalagskommittén, avsnitt 12.102).

6.5. Arkivering och gallring

Den i förra avsnittet berörda regeln om att uppgifter inte får behandlas för ändamål som är oförenliga med dem för vilka de samlades in skulle kunna tolkas som att uppgifterna i princip måste förstöras när ändamålet är uppfyllt eller behovet i förhållande till ändamålet annars upphör. Behandling för historiska, statistiska och vetenskapliga ändamål skall emellertid inte anses oförenlig med de ändamål för vilka uppgifterna insamlades (se ovan, avsnitt 6.3) och enligt Datalagskom- mittén (Datalagskommittén, avsnitt 9.4 och 12. 4.6.2) kan ändamål som myndighetsarkiv skall tillgodose hänföras just under ”historiska, statistiska och vetenskapliga ändamål ”. Det är därmed inte nödvändigt att myndigheter, redan när personuppgiftema samlas in, uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Datalagskommittén har föreslagit en uttrycklig bestämmelse i persondatalagen som anger att lagen inte hindrar att en myndighet bevarar sina allmänna handlingar eller att en arkivmyndighet tar hand om arkivmaterial (8 5 2 st).

6.6. Anmälan och tillsyn

Den föreslagna persondatalagen kräver inte till skillnad från datalagen — att tillstånd inhämtas för viss hantering av personuppgif- ter. Persondatalagen bygger i stället på ett system med skyldighet för den persondataansvarige att anmäla behandling av personuppgifter till en tillsynsmyndighet (Datainspektionen) som också utövar tillsyn över verksamheter där behandling av personuppgifter förekommer (Datalagskommittén, avsnitt 3.13.2—3, 3.17, 12.12 och 12.14). Behandling av personuppgifter som är helt eller delvis automatisk skall enligt huvudregeln skriftligen anmälas till Datainspektionen (36 5 1 st.). Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock föreskriva undantag från anmälnings- skyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten (36 5 2 st.). Vidare behöver anmälan till Datainspektionen inte göras om den persondataansvarige utser ett persondataombud och offent— liggör vem det är (37 5). Ett persondataombud har till uppgift att övervaka och se till att den persondataansvarige behandlar personupp- gifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne. Om den persondataansvarige inte vidtar rättelse efter på- pekande skall persondataombudet anmäla förhållandet till Datainspek-

tionen (38 å). Bland persondataombudets uppgifter ingår även att hjälpa enskilda att få rättelse av felaktiga och ofullständiga uppgifter (40 5). Ett persondataombud kan enligt Datalagskommittén vara anställd hos den persondataansvarige men får inte ha en ”alltför underordnad ställning” med hänsyn till att persondataombudet måste kunna agera självständigt (Datalagskommittén, avsnitt 12.12.2.4).

Datainspektionens verksamhet kommer efter persondatalagens ikraftträdande i huvudsak att bestå i renodlad tillsyn. Datainspektionen kommer enligt förslaget till persondatalag dock även om regeringen bestämmer det att ha möjligheter att utfärda närmare föreskrifter bl.a. om (51 å):

i vilka fall behandling av personuppgifter är tillåten, vilka krav som ställs på den persondataansvarige vid behandling av personuppgifter, vilken information som skall lämnas till den registrerade och hur lärnnandet av information skall gå till samt anmälan till Datainspektionen och förfarandet när anmälda uppgifter har ändrats.

Vid sin tillsyn har Datainspektionen i princip samma befogenheter som myndigheten har enligt datalagen i dag, dvs. rätt att få del av handlingar, tillträde till lokaler m.m. (45 5). Om Datainspektionen upptäcker oegentligheter skall inspektionen i första hand söka åstadkomma rättelse genom påpekanden. Om det är brådskande eller om rättelse inte går att få på annat sätt får Datainspektionen vid vite förbjuda den persondataansvarige att behandla uppgifterna på annat sätt än genom att lagra dem (47 5). Om uppgifter behandlats på ett olagligt sätt får Datainspektionen ansöka hos länsrätt om att upp— gifterna skall utplånas (49 5).

6.7. Kompletterande reglering

Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.1.2) är avsikten att persondatalagen skall innehålla alla grundläggande regler, principer och undantagsmöjligheter och att regeringen och Datainspek- tionen inom den ramen och med beaktande av vad EG-direktivet tillåter och kräver närmare skall precisera regleringen, till viss del genom verkställighetsföreskrifter. En genomläsning av den föreslagna lagtexten utvisar att regeringen eller den myndighet regeringen bestämmer har ett betydande utrymme att precisera regleringen.

En uppställning över aktuella bestämmelser ser ut så här:

Regeringen eller myndighet som regeringen bestämmer får:

föreskriva undantag från förbudet att behandla känsliga personupp- gifter (20 å), — föreskriva undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål (21 å), — föreskriva undantag från huvudregeln att det är förbjudet att föra över personuppgifter till tredje land (tredje land= en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomis— ka samarbetsområdet) (35 5), — föreskriva undantag från skyldigheten att anmäla behandling av personuppgifter till Datainspektionen (36 å) och —— meddela närmare föreskrifter om i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personda- taansvarige m.m. (51 å).

Regeringen får:

föreskriva att vissa behandlingar som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen för förhandskontroll (41 å).

Datainspektionen får:

— besluta om vilka skyddsåtgärder den persondataansvarige skall vidta för att skydda de personuppgifter som behandlas (32 å).

(Datalagskommitténs närmare överväganden i författningstekniska frågor redovisas i avsnitt 12.] i deras betänkande.)

6.8. Ikraftträdande och övergångsbestämmelser

Enligt EG-direktivet skall den svenska lagstiftning som inför direktivet träda i kraft senast den 24 oktober 1998. Datalagskommittén föreslår dock —- med hänsyn till att de grundlagsändringar de också föreslår bör träda i kraft samtidigt som den nya persondatalagen — att ikraftträdandedatum sätts till den 1 januari 1999. Datalagskormnittén anser att denna lösning är möjlig, trots Sveriges åtagande gentemot

EU. Behandling av personuppgifter som påbörjats före den 1 januari 1999 skall dock inte omfattas av bestämmelserna i den nya lagen förrän den 1 oktober 2001, i enlighet med vad som är tillåtet enligt EG-direktivet. Därmed finns det tid, menar Datalagskommittén, att anpassa de särskilda registerförfattningarna till EG—direktivet. Med hänsyn till att manuell behandling av personuppgifter inte tidigare reglerats i Sverige —— i vart fall inte av persondataskyddslagstiftningen finns det enligt Datalagskommittén starka skäl för att den respit till i oktober 2007 som EG-direktivet medger för sådan behandling bör utnyttjas, vilket också föreslås 1 p. 3 i övergångsbestärnmelsema.

När den nya lagen träder i kraft bör enligt Datalagskommittén de tillstånd och föreskrifter som Datainspektionen kan ha meddelat beträffande behandlingar som tidigare omfattades av datalagen (dvs. ADB—registrering) anses förlora sin verkan per ikraftträdandedagen.

De övergångsbestämmelscr Datalagskommittén föreslagit i övrigt, som bl.a. rör personuppgifter som arkiverats och samtycken som lämnats före persondatalagens ikraftträdande samt tillämpligheten av skadeståndsbestämmelsen, framgår av bilaga 2 till detta betänkande. (Se även Datalagskommittén, avsnitt 12.15.)

6.9. Datalagskommitténs övriga förslag till författningsändringar

6.9.1. Regler i datalagen som föreslås flyttade till andra lagar

Datalagskommittén har föreslagit (Datalagskommittén, kap 13):

att datalagens bestämmelse (14 &) om att myndigheter som använder upptagning för ADB för handläggning av mål eller ärende skall överföra upptagningen till läsbar form och tillföra den till handlingarna i målet eller ärendet, överförs till 15 kap. sekretesslagen, att datalagens bestämmelse om straff för dataintrång (21 &) överförs till brottsbalken samt att datalagens bestämmelser om det statliga person— och adress- registret (SPAR, 26—28 55) bryts ur den generella persondataskydds- lagstiftningen och placeras i en särskild registerförfattning.

6.9.2. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen

Datalagskommittén föreslår en ny begreppsapparat i tryckfrihetsför- ordningen (Datalagskommittén, kap 16). Offentlighetsinsynen skall inte längre vara knuten till myndighetens handlingar utan till dess uppgifter. Förändringen innebär enligt Datalagskommittén inte något nytt i grunden utan en anpassning till en ny teknik där det inte längre är självklart att uppgifter finns att hämta i handlingar i ordets traditionella betydelse. Med uppgift menas varje sakupplysning som kan uppfattas av en människa, antingen direkt eller med hjälp av tekniska hjälpmedel. En uppgift är enligt förslaget allmän om den förvaras hos en myndighet och förekormner i en handling (pappers- handling eller elektronisk handling) eller i en databas. En handling skall ha ett bestämt innehåll varmed avses ett en gång för alla bestämt innehåll. Det som är typiskt för en databas är att den inte har ett på förhand bestämt innehåll. Exempel på databaser är journaler, register, dagboksblad och andra förteckningar där det förs in uppgifter efter hand. En databas kan precis som en handling vara manuell eller ha elektronisk form. Liksom en handling kan den bestå av en enda uppgift. För att uppgifterna i en handling eller databas skall vara allmänna krävs, liksom vad gäller för sådana handlingar som tryckfrihetsförordningen omfattar enligt gällande rätt, att de kan göras uppfattbara med hjälp av den utrustning som myndigheten själv förfogar över. Liksom enligt gällande rätt innebär eventuella sökbe- gränsningar för myndigheten i lag eller annan författning att också allmänhetens rätt att ta del av uppgifterna omfattas av en sådan begränsning. För frågor om när en uppgift skall anses förvarad hos en myndighet, när den skall anses inkommen, hur den skall lämnas ut m.m. enligt de nya teknikanpassade bestämmelserna hänvisas till Datalagskommitténs betänkande (för en sammanfattning se Data- lagskommitténs författningskommentar).

För att anpassa även yttrandefrihetsgrundlagen till den nya ord— ningen föreslås en ändring i 5 kap. 3 & första stycket 2 i den lagen, som behandlar oriktigt utlämnande av uppgifter (handlingar, enligt nuvarande lydelse) via radioprogram, film eller ljudupptagning.

6.9.3. Regeringsformen

Enligt 8 kap. 7 & regeringsformen kan regeringen efter bemyndigande i lag genom förordning meddela föreskrifter om bl.a. skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling. Datalagskommittén föreslår att regeringen i stället ges rätt att meddela föreskrifter om skydd för personlig integritet vid behandling av personuppgifter. Syftet är att regeringen (och Datainspektionen om regeringen så bestämmer) skall kunna meddela föreskrifter på hela det område som omfattas av den före- slagna persondatalagen (Datalagskommittén, födfattningskommentaren och avsnitt 12.1.2).

6.9.4. Sekretesslagen

I konsekvens med att persondatalagen reglerar behandling av person- uppgifter föreslår Datalagskommittén att sekretessbestärnmelsen i 7 kap. 16 5 sekretesslagen ändras till att avse sekretess för personuppgif- ter om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med persondatalagen (jfr avsnitt 4.3.5 ovan). Vidare föreslås att andra stycket i paragrafen upphävs eftersom det redan av persondatalagen framgår vilka förutsättningar som gäller för över— föring av personuppgifter till tredje land (se aktuellt lagrum samt 33—35 && persondatalagen).

Beträffande den ändring av 9 kap. 6 5 sekretesslagen som föreslås hänvisas till Datalagskommitténs betänkande (Datalagskommittén, författningskommentaren och avsnitt 12.14.1.3). I övrigt är de föreslagna ändringarna i sekretesslagen i huvudsak föranledda av den nya begreppsapparat och terminologi som föreslås för tryckfrihetsför- ordningen.

6.9.5. Arkivlagen

De föreslagna ändringarna i arkivlagen syftar i huvudsak till att begreppen och terminologin (allmänna uppgifter i handlingar och databaser) skall överensstämma med vad som föreskrivs tryckfrihets- förordningen enligt föreslagna ändringar i denna.

7. Totalförsvaret och dess personal

7.1. Totalförsvarspliktens innebörd och omfattning

Begreppet totalförsvar, som finns definierat i 1 5 första stycket lagen (1992: 1403) om totalförsvar och höjd beredskap, avser den verksam— het som behövs för att förbereda Sverige för krig (jfr även beredskaps- förordningen [1993:2421). Totalförsvaret består av det militära försvaret vars huvuduppgift är att möta väpnade angrepp mot Sverige och det civila försvaret, som bl.a. skall värna civilbe- folkningen under krig, trygga nödvändig försörjning och även i övrigt upprätthålla viktiga samhällsfunktioner. För det militära försvaret ansvarar i huvudsak Försvarsmakten, medan ansvaret för det civila försvaret åvilar statliga myndigheter, kommuner, landsting, företag, organisationer och enskilda.

Sedan den 1 juli 1995 gäller lagen (1994: 1809) om totalförsvarsplikt (prop. 1994/95z6). Genom denna lag har de grundläggande bestäm- melserna om tjänstgöringsskyldighet inom landets totalförsvar samlats i en författning. Totalförsvarsplikten innebär en skyldighet för varje svensk medborgare och i viss utsträckning för utländska med- borgare som är bosatta i Sverige att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskrafter och hälsotill- stånd tillåter. Skyldigheten gäller från och med det kalenderår då personen fyller 16 år till utgången av det år när han eller hon fyller 70 år. Tjänstgöringen kan fullgöras som värnplikt, civilplikt eller allmän tjänsteplikt. Värnplikt och civilplikt omfattar grundutbildning, repetitionsutbildning, beredskapstjänstgöring och krigstjänstgöring. (I vissa fall kan en totalförsvarspliktig skrivas in för civilplikt och krigsplaceras utan grundutbildning om detär uppenbart att utbildnings— behov saknas). Den allmänna tjänsteplikten innebär endast en skyldig- het för den som är totalförsvarspliktig att tjänstgöra under höjd beredskap. Höjd beredskap är, enligt lagen om totalförsvar och höjd beredskap, antingen skärpt beredskap eller högsta beredskap. Under högsta beredskap är totalförsvar all samhällsverksamhet som då skall bedrivas.

Värnplikten fullgörs hos Försvarsmakten. Skyldigheten att fullgöra sådan plikt omfattar endast svenska män och gäller från början av det kalenderår de fyller 19 år till slutet av det kalenderår de fyller 47 år.

De som är ianspråktagna med värnplikt utgör den helt dominerande delen av de totalförsvarspliktiga som genomgår grundutbildning och repetitionsutbildning.

Alla mellan 16 och 70 år, som inte är ianspråktagna med värnplikt, är skyldiga att efter anmodan fullgöra civilplikt. Det är emellertid endast svenska män som är skyldiga att fullgöra civilplikt med längre grundutbildning än 60 dagar. Civilplikten kan, enligt bilaga till förordningen (1995:238) om totalförsvarsplikt, för närvarande fullgöras i följande verksamheter:

A. Verksamheteri det civila försvaret

. Polisverksamhet

. Befolkningsskydd . Hemskydd

. Räddningstjänst inklusive räddningstjänst vid flygplatserna . Hälso- och sjukvård

. Tandvård

. Kommunal tillsyn inom miljö- och hälsoområdet . Underhåll och reparationer av järnvägar och vägar

. Veterinärverksarnhet

10. Flyktingmottagning 11. Drift och underhåll inom elproduktion och nätverksarnhet 12. Kommunal teknisk verksamhet 13. Kommunal inforrnationsverksamhet 14. Barn— och familjeomsorg 15. Handikapp- och äldreomsorg 16. Själavård och sociala insatser 17. Begravningsverksamhet

OOOxlCNUl-P—UJN—

B. Verksamheteri Försvarsmakten

. Hälso- och sjukvård . Tandvård

. Veterinärverksamhet . Posthantering

. Gränsövervakning . Väghållning . Flygtrafikledning

NIONQIIJÅUJNP—l

Det är att märka att Civilplikten kan fullgöras såväl inom det civila som inom det militära försvaret. Civilplikten får dock inte omfatta

annan verksamhet som är förenad med egentliga stridsuppgifter än ordnings- eller bevakningsuppgifter.

När det råder höjd beredskap får regeringen ge föreskrifter om allmän tjänsteplikt, om det behövs för att verksamhet som är av särskild vikt för totalförsvaret skall kunna upprätthållas. Allmän tjänsteplikt gäller alla mellan 16 och 70 år (som inte redan är krigsplacerade med stöd av lagen om totalförsvarsplikt) och innefattar en skyldighet att tjänstgöra i en ordinarie anställning eller fullfölja ett uppdrag, eller att efter anvisning av en myndighet utföra vissa uppgifter. Regeringen eller den myndighet som regeringen bestämmer (Arbetsmarknadsstyrelsen eller, efter bestämmande av Arbetsmark- nadsstyrelsen, en länsarbetsnämnd) skall besluta hos vilka arbetsgivare som allmän tjänsteplikt skall fullgöras och vilka arbetstagare och uppdragstagare som skall omfattas av allmän tjänsteplikt. Statliga myndigheter där allmän tjänsteplikt skall fullgöras beslutar dock själva om vilka arbetstagare och uppdragstagare som skall omfattas av tjänsteplikten. De närmare föreskrifterna om tjänsteplikten kan tas in i anställningsavtalet med den enskilde. Ett beslut om att en totalför- svarspliktig skall fullgöra allmän tjänsteplikt får inte omfatta den som redan är krigsplacerad med stöd av lagen om totalförsvarsplikt.

Kvinnor är inte skyldiga att göra värnplikt eller att fullgöra civilplikt som kräver längre grundutbildning än 60 dagar. Kvinnor har dock möjlighet att fullgöra värnplikt eller civilplikt med längre grundutbildning om de så önskar och bedöms lämpliga. Till grundut- bildning för värnplikt eller civilplikt med längre grundutbildning än 60 dagar får kvinnor antas som är svenska medborgare och som vid den antagningsprövning som skall göras har fyllt 18 år. Om en kvinna efter ansökan och prövning skrivs in för värnplikt eller civilplikt med längre grundutbildning omfattas hon av samma bestämmelser som en man som med stöd av lagen om totalförsvarsplikt skrivits in för motsvarande utbildning. Hon blir således enligt lag skyldig att fullgöra delsgrundutbildning,delsrepetitionsutbildning,beredskapstjänstgöring och krigstjänstgöring. Dessa särskilda bestämmelser om kvinnor i totalförsvaret ges i lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning och förordningen (1995:240) med samma namn.

I samband med att lagen om totalförsvarsplikt och lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning infördes, upphävdes bl.a. värnpliktslagen ( 1941 :967), allmänna tjänstepliktslagen (1959:83) och lagen (1980:1021) om militär grundutbildning för kvinnor. Dessutom upphävdes lagen (1981:292) om tjänsteplikt för hälso— och sjukvårdspersonal samt veterinärpersonal m.m. Skyldigheten enligt den senast nämnda lagen

för vissa personalkategorier att delta i utbildning och övning för tjänstgöring under höjd beredskap regleras därmed inte längre i en särskild lag. De av hälso- och sjukvårdspersonalen som är anställda i verksamheter som skall upprätthållas under höjd beredskap (t.ex. landstingens sjukvård) deltar i utbildnings— och övningsverksamhet i enlighet med vad som anges i deras anställningsavtal. Utbildning och övning för dessa personer sker genom arbetsgivarens försorg. I de fall något anställningsförhållande inte föreligger mellan det bemanningsan— svariga organet och den hälso— och sjukvårdspersonal som detta organ önskar ta i anspråk för övning och utbildning, kan inskrivning med civilplikt i stället tillämpas. Inskrivning med civilplikt kan bli aktuell bl.a. beträffande dem ur hälso- och sjukvårdspersonalen som är anställda inom den privata sektorn eller som slutat arbeta men alltjämt omfattas av totalförsvarsplikten.

Även lagen (1966:413) om vapenfri tjänst upphävdes då lagen om totalförsvarsplikt infördes. Vapenfri tjänstgöring äger nu istället rum inom ramen för civilplikten. Enligt 3 kap. 16 5 lagen om totalförsvars- plikt skall en totalförsvarspliktig efter ansökan få rätt att vara vapenfri om han eller hon kan antas ha ”en så allvarlig personlig övertygelse rörande bruk av vapen mot annan att övertygelsen är oförenlig med en tjänstgöring som är förenad med bruk av vapen”. Närmare be- stämmelser om prövningen i dessa fall ges i 3 kap. 17—22 55 lagen om totalförsvarsplikt.

7.2. Utredningar om de totalförsvarsplilaigas förhållanden

7 . 2. 1 Inledning

För att de totalförsvarspliktigas möjligheter att fullgöra värnplikt eller civilplikt skall kunna bedömas och för att de skall kunna placeras på ”rätt ställe” inom totalförsvaret krävs att beslutsfattarna har ett underlag som innefattar uppgifter om de enskildas förhållanden i olika avseenden. Uppgifter som är relevanta är bl.a. sådana som rör hälso- tillstånd och civil utbildning. Uppgiftema inhämtas i princip på två sätt. Dels genom den enskilde själv, dels genom att myndigheter och andra — t.ex. skolor och vårdinrättningar —— lämnar uppgifter till den som har att fatta beslut om den enskilde. Den enskilde är enligt generella bestämmelser i lagen om totalförsvarsplikt skyldig att medverka i utredning om sina personliga förhållanden och att lämna uppgifter om sig själv (1 kap. 3 5 1 och 2 kap. 1 &) Ansvaret för att

samla in personuppgifter och att på grundval av dessa ta beslut om de totalförsvarspliktiga åvilar i första hand Totalförsvarets pliktverk (nedan Pliktverket).

7.2.2. Mönstring, annan mindre omfattande utredning och antagningsprövning

En man som är svensk medborgare är skyldig att mönstra om det inte är uppenbart att han saknar förutsättningar att fullgöra såväl värnplikt som civilplikt. Skyldigheten inträder det kalenderår mannen fyller 18 år eller, för den som förvärvar svenskt medborgarskap senare, från och med den dag han blir svensk medborgare. Om det inte finns särskilda skäl, är ingen skyldig att genomgå mönstring efter det kalenderår när han fyller 24 år. Den som är skyldig att mönstra skall inställa sig personligen vid något av Pliktverkets kontor för medicinska och psykologiska undersökningar samt annan utredning om personliga förhållanden (2 kap. lagen om totalförsvarsplikt). Pliktverket har med stöd av 9 kap. 1 5 förordningen (1995:238) om totalförsvarsplikt utfärdat närmare föreskrifter om vad som skall ske vid mönstringen enligt följande (2 kap. 4—8 55 Totalförsvarets pliktverks föreskrifter om totalförsvarsplikt):

Vid mönstringen skall den totalförsvarspliktige uppmanas att lämna uppgifter om

1. boende- och familjeförhållanden,

2. utbildning, studieinriktning och arbetslivserfarenhet,

3. idrotts— och fritidsintressen,

4. kunskap i telegrafering, maskinskrivning, fotografering, teckning, simning samt intresse för sjukvård och matlagning,

5. vana att använda fordon och arbetsmaskiner,

6. fjäll- och sjövana samt vana att vistas i skog och mark,

7. språkkunskaper,

8. särskilda kunskaper och färdigheter i övrigt,

9. deltagande i frivillig försvarsutbildning och militärt praktikantläger och 10. föreningsuppdrag.

Den medicinska undersökningen skall syfta till att utreda den totalför- svarspliktiges fysiska förutsättningar att fullgöra värnplikt eller civilplikt och får omfatta l. kontroll av hörsel, syn och färgseende,

2. bedömning av bullerskaderisk,

3. bestämning av förekomst av socker, äggvita eller blod i urinen, 4. kontroll av blodtryck och hjärtverksamhet under vila,

5. vägning, mätning av längd och muskelkraft och

6. annan undersökning som är nödvändig för att bedöma tjänstbar- heten.

Den psykologiska undersökningen skall syfta till att utreda den totalförsvarspliktiges begåvning, personlighet, anlag, intressen och önskemål samt hans psykiska funktionsförmåga, tjänstbarhet och ledarförmåga. Den psykologiska undersökningen får omfatta ]. psykologiska test,

2. inhämtande av uppgifter om den totalförsvarspliktiges personliga förhållanden och

3. intervju med den totalförsvarspliktige

Dessutom får den totalförsvarspliktige fotograferas som underlag för legitimations- och resehandlingar.

Enligt 2 kap. 9 & i nyss nämnda föreskrifter kan Försvarsmakten eller Överstyrelsen för civil beredskap (ÖCB) anmäla behov av ytterligare utredning (förnyad mönstring) av den totalförsvarspliktige om någon av myndigheterna finner att placering i viss befattning förutsätter detta.

Ansvaret för att mönstring genomförs åvilar Pliktverket. Mönstring (eller för kvinnor — antagningsprövning, se nedan) är en förut- sättning för att någon skall tas ut till värnplikt eller civilplikt med längre grundutbildning än 60 dagar.

På grundval av en mindre omfattande utredning än mönstring kan en totalförsvarspliktig tas i anspråk för civilplikt med grundutbildning under högst 60 dagar. En sådan utredning kan vara begränsad till att den totalförsvarspliktige efter anmaning lämnar uppgifter om sig själv eller genom att uppgifter om honom eller henne inhämtas från olika register e.d. Huvudansvaret ligger även beträffande denna utrednings- verksamhet på Pliktverket. Utredningen kan dock efter överenskom- melser mellan Pliktverket och kommuner, landsting eller kyrkliga kommuner utföras hos någon av de sist nämnda (se prop. 1994/95:6 s. 130). Enligt 2 kap. 1 & lagen om totalförsvarsplikt jämförd med 4 kap. 5 5 andra stycket förordningen om totalförsvarsplikt är den totalförsvarspliktige också skyldig att lämna uppgifter om sina personliga förhållanden till länsstyrelserna, Rikspolisstyrelsen, Försvarsmakten, Post- och telestyrelsen, Banverket, Vägverket, Luftfartsverket, Statens Jordbruksverk, Statens invandrarverk, Närings— och teknikutvecklingsverket samt Affärsverket svenska kraftnät. På grundval av dessa och andra uppgifter kan därmed en

mindre omfattande utredning än mönstring utföras även hos de nu uppräknade myndigheterna. Om en annan myndighet än Pliktverket genomfört utredningen skall kopior av handlingar som inkommit till den myndigheten tillställas Pliktverket (tillsammans med begäran om att den totalförsvarspliktige skrivs in) enligt 3 kap. 3 & Totalförsvarets pliktverks föreskrifter om totalförsvarsplikt. Av 2 kap. 12 & nämnda föreskrifter framgår att en mindre omfattande utredning kan genom- föras skriftligen, per telefon eller vid en personlig inställelse samt att utredningen inte skall vara mer omfattande än vad som behövs för att den totalförsvarspliktiges förutsättningar att fullgöra civilplikt i en viss befattning skall kunna bedömas.

En kvinna som ansökt om att få fullgöra värnplikt eller civilplikt med längre grundutbildning skall genomgå en antagningsprövning vid Pliktverket som motsvarar den för svenska män obligatoriska mönstringen (3 5 lagen om möjlighet för kvinnor att fullgöra vämplikt eller civilplikt med längre grundutbildning samt 1 & förordningen härom).

7 .2.3 Inhämtande av uppgifter om den enskildes personliga förhållanden från myndigheter rn. fl.

Uppgifterna från mönstringen eller antagningsprövningen behöver kompletteras med uppgifter inhämtade i andra sammanhang för att en så fullständig och korrekt bild som möjligt av den totalförsvarspliktige skall kunna erhållas. Det finns vidare ett behov för ansvariga myndigheter att kontinuerligt hålla sig informerade om förändringar av redan inskrivna totalförsvarspliktigas förhållanden. Lagen om totalförsvarsplikt och förordningen härom innehåller därför be- stämmelser om skyldighet för myndigheter och andra att förse Pliktverket med relevant information i dessa avseenden.

2 kap. 4 5 lagen om totalförsvarsplikt tar sikte på den information som behövs vid mönstringen, vid annan mindre omfattande utredning eller vid antagningsprövningen och stadgar att kommuner, landsting och enskilda vårdinrättningar skall lämna de uppgifter till Pliktverket om en totalförsvarspliktigs hälsotillstånd och personliga förhållanden i övrigt som behövs för att bedöma hans eller hennes förutsättningar för att fullgöra värnplikt eller civilplikt.

3 kap. förordningen om totalförsvarsplikt innehåller en uppräkning av myndigheter och andra som är skyldiga att lämna uppgifter till Pliktverket:

Skattemyndigheten skall före den 1 juli varje år lämna uppgift om varje svensk man som är folkbokförd i länet och som under året fyller 17 år (1 5). Uppgifterna utgör underlag för kallelser till mönstring. När en skattemyndighet har registrerat en uppgift som är av betydelse för inskrivning eller redovisning av dem som är skyldiga att mönstra eller som skrivits in för värnplikt eller civilplikt eller i utbildningsreserven (se nästa avsnitt), skall Pliktverket underrättas om

uppgiften (3 5).

Den eller de nämnder i ett landsting elleri en kommun som ansvarar för verksamhet enligt lagen (1993.-387) om stöd och service till vissa funktionshindrade samt chefsöverläkare vid en vårdinrättning där vård meddelas med stöd av lagen (1991 :1128) om psykiatrisk tvångsvård eller lagen (1991 :1129) om rättspsykiatrisk vård, skall före den 1 juni varje år lämna uppgifter om varje svensk man som under året fyller 17 år och som den 15 maj erhöll viss insats enligt lagen om stöd och service till vissa funktionshindrade, eller var intagen på vårdinrättning med stöd av de nämnda lagarna om psykiatrisk vård (5 5).

Samma skyldighet åligger den som förestår vården vid hem som avses i 12 5 lagen (1990:52) om vård av unga beträffande där intagna män (6 (j).

Uppgifterna som lämnas enligt dessa bestämmelser kan medföra att vissa inte kallas till mönstring, nämligen om det av uppgifterna framgår att vederbörande saknar förmåga att fullgöra värnplikt eller

civilplikt.

Kriminalvårdsstyrelsen skall lämna uppgifter, enligt kungörelsen ( 1970:517 ) om rättsväsendets informationssystem, om intagning eller avgång från kriminalvårdsanstalt (7 5).

Socialstyrelsen och Statens jordbruksverk skall på begäran lämna uppgifter om totalförsvarspliktigas examina och legitimationer (8 5).

Statens skolverk, Högskoleverket och rektorn för en utbildningsanstalt eller skola som drivs av staten, en kommun eller ett landsting skall på begäran lämna uppgift om totalförsvarspliktigas studieförhållanden

(9 5)- Vägverket skall på begäran lämna uppgifter ur körkortsregistret (10 å).

Post- och telestyrelsen skall på begäran lämna uppgifter om utfärdade certifikat inom radioområdet (11 5).

Sjöfartsverket skall på begäran lämna uppgifter ur sjömansregistret om adresser till totalförsvarspliktiga samt om deras olika behörighet och tjänstgöring på fartyg (12 å).

Luftfartsverket skall på begäran lämna uppgifter om utfärdade certifikat inom luftfartens område (13 å).

Kommuner, landsting och vårdgivare som bedriver enskild verksamhet skall på begäran lämna de uppgifter om anställd hälso- och sjukvårds— personal som behövs för Pliktverkets planeringsarbete (14 å).

Även vissa andra författningar innehåller bestämmelser om upp- giftslämnande till Pliktverket:

Allmänna domstolar har skyldighet att sända lagakraftvunna domar rörande brott mot totalförsvarsplikten m.m. till Pliktverket (7 kap. 5 5 förordningen om totalförsvarsplikt)

Rikspolisstyrelsen skall enligt 17 åpolisregisterkungörelsen (1969z38) under vissa förutsättningar lämna utdrag av sina register på fram- ställning av Pliktverket (även på framställning av Försvarsmakten) i fråga om totalförsvarspliktiga som skrivs in för värnplikt. I utdragen får inte tas med uppgifter om andra brott än de som särskilt uppräknas (våldsbrott, tillgreppsbrott, narkotikabrott, brott mot vapenlagen m.m.). Angående de närmare förutsättningarna se 17—19 55 Polis- registerkungörelsen. Om det är fråga om att den enskilde skall delta i verksamhet som är säkerhetsklassad skall registerkontroll mot polisregister göras. Det blir då aktuellt att kontrollera även andra polisregister än Rikspolisstyrelsens, t.ex. det som förs av Säkerhetspo— lisen (SÄPO). Denna typ av kontroll regleras i säkerhetsskyddslagen (1996:627).

7.3. Åtgärder efter utredning — Inskrivning, grundutbildning och krigsplacering

Om den totalförsvarspliktige efter mönstring eller motsvarande utredning bedömts ha förutsättningar att tjänstgöra inom totalförsvaret skall han eller hon skrivas in av Pliktverket, som handhar registrering- en av all pliktpersonal. Om resultatet av mönstringen visar att den totalförsvarspliktige saknar förutsättningar att fullgöra värnplikt och civilplikt skall Pliktverket besluta att han inte är skyldig att fullgöra sådan tjänstgöring.

Män som mönstrat och bedömts ha erforderliga förutsättningar skall skrivas in för värnplikt eller civilplikt eller i en utbildningsreserv.

Den som endast genomgått en mindre omfattande utredning än mönstring får skrivas in för civilplikt som förutsätter grundutbildning under högst 60 dagar.

Kvinnor som genomgått antagningsprövning för värnplikt eller civilplikt med längre grundutbildning kan efter samtycke skrivas in för värnplikt eller civilplikt. De kan också efter samtycke skrivas in i utbildningsreserven. Sarntycket skall i samtliga fall vara skriftligt.

Vid inskrivningen skall det, för den som skrivs in med värnplikt eller civilplikt, bl.a. bestämmas vilken befattning eller befattnings- grupp han eller hon skall placeras i, tid och plats för grundutbild- ningen och utbildningens längd.

Efter avslutad grundutbildning skall den som förvärvat tillräckliga kunskaper och färdigheter för en krigsuppgift krigsplaceras i en befattning eller i en viss verksamhet som han eller hon är lämplig för. Den som inte krigsplaceras får i stället skrivas in för civilplikt utan grundutbildning eller med en grundutbildning som inte överstiger 60 dagar. Beslut om krigsplacering enligt lagen om totalförsvarsplikt fattas av Pliktverket efter framställning från statliga myndigheter, kommuner, landsting, kyrkliga kommuner, bolag, föreningar, samfälligheter eller andra enskilda. En totalförsvarspliktigs krigsplace— ring kan komma att ändras flera gånger under den tid han eller hon omfattas av totalförsvarsplikten.

Bestämmelser om inskrivning och krigsplacering av pliktpersonal återfinns i 3 kap. lagen om totalförsvarsplikt och i 4 kap. förordningen om totalförsvarsplikt.

7.4. Personal inom totalförsvaret som inte är ianspråktagen med värnplikt eller civilplikt

Totalförsvarspliktens omfattning framgår av avsnitt 7.1 ovan. De som är inskrivna med värnplikt eller civilplikt eller är placerade i ut- bildningsreserv brukar benämnas ”pliktpersonal”. Pliktpersonalen utgör huvuddelen av den grupp som Pliktverket hanterar uppgifter om och det är endast beträffande dessa personer verket fattar beslut om inskrivning och krigsplacering m.m. Avsnitt 7.2 och 7.3 behandlar i första hand pliktpersonalen.

Övrig personal inom totalförsvaret kan vara krigsplacerad eller på annat sätt ianspråktagen för totalförsvaret på grund av anställningsav- tal, avtal med frivilliga försvarsorganisationer eller andra avtal som

grundar sig på frivillighet. Regler härom återfinns bl.a. i förordningen (1994:524) om frivillig försvarsverksamhet, förordningen (FFS 1987:8) om frivillig tjänstgöring vid Försvarsmakten, förordningen (FFS 1987:12) om krigsfrivilliga vid Försvarsmakten, hemväms- kungörelsen (1970:304), beredskapsförordningen och i lagen (1994:1720) om civilt försvar. Yrkesofficerarna tillhör dem som tjänstgör inom totalförsvaret med skyldighet att göra detta enligt (anställnings-) avtal. Som exempel på personer med mycket be- gränsade och speciella uppgifter inom totalförsvaret kan nämnas ledamöter i lokala värderingsnämnder som, efter beslut av länsstyrel- se, har till uppgift att besluta om ersättning till ägare av egendom som tas i anspråk för statens eller annans räkning t.ex. vid krigsfara enligt förfogandelagen (1978z262). Även de nu nämnda personerna omfattas formellt av totalförsvarsplikten om de är mellan 16 och 70 år. Deras skyldighet att delta i utbildning och tjänstgöra i övrigt grundar sig emellertid på det avtal de ingått med sin arbetsgivare eller annan och inte på totalförsvarsplikt. Det kan bli aktuellt att ta vissa av dem i anspråk med stöd av den allmänna tjänsteplikten vid höjd beredskap men i normalfallet fortsätter de även då att tjänstgöra med avtalet som grund.

Det finns vidare personer som har ålagts vissa begränsade uppgifter vid höjd beredskap, utan att skyldigheten att fullgöra dessa är knuten till totalförsvarsplikten. Det gäller t.ex. dem som skall ställa egendom till förfogande enligt förfogandelagen. Enligt förordningen (1992:391) om uttagning av egendom för totalförsvarets behov skall förfogandet i vissa fall förberedas i fred genom uttagning av egendom som kommer att behövas vid bl.a. krig eller krigsfara.

8. Närmare om Totalförsvarets pliktverk och dess verksamhet

8.1. Inledning

Lagen om totalförsvarsplikt och den nya förvaltningsmyndigheten Totalförsvarets pliktverk (Pliktverket) har inneburit en koncentration av inskrivningsförfarandet. Pliktverket har övertagit uppgifter vad gäller pliktpersonal som tidigare skötts av bl.a. Vämpliktsverket, Vapenfristyrelsen, Räddningsverket och länsstyrelserna. Pliktverket har en i huvudsak verkställande roll gentemot de myndigheter och andra organ som ansvarar för bemanningen av totalförsvaret. De centrala uppgifterna består i att pröva, välja ut, placera och på olika sätt redovisa pliktpersonal. Försvarsmakten fastställer de befattnings- typer för vilka grundutbildning med värnplikt skall ske, vilka krav som skall gälla för de olika befattningarna och utbildningstidens längd. På motsvarande sätt fastställer Överstyrelsen för civil beredskap, efter hörande av berörda myndigheter, befattningstyper m.m. avseende de totalförsvarspliktiga som skall tjänstgöra med civilplikt. Försvarsmak- ten och andra funktionsansvariga myndigheter avgör själva, inom ramen för statsmakternas beslut, hur många som skall grundutbildas per år för olika befattningar. De bemanningsansvariga organen; Försvarsmakten, kommuner, landsting, m.fl. fastställer behovet av (krigsplacerad) personal för sin respektive krigsorganisation och ”beställer” personal, eller som det uttrycks i 3 kap. 2 & Totalförsva- rets pliktverks föreskrifter om totalförsvarsplikt; underrättar Pliktver- ket om hur många och till vilka befattningar totalförsvarspliktiga skall skrivas in för värnplikt eller civilplikt.

8.2. Pliktverkets organisation

Pliktverket är en central förvaltningsmyndighet under Försvars- departementet och består av den centrala ledningen, med säte i Karlstad, samt fem regionkontor. Den centrala ledningen utgörs av verkschefen och hans ställföreträdare, en produktionsledning som planerar, samordnar och leder verkets produktion och samverkar med andra myndigheter på central nivå samt av staber för ekonomi och personal. Regionkontoren i Norrland (Östersund och Boden), Karlstad,

Stockholm, Göteborg och Kristianstad svarar för arbetet med mönstring och inskrivning, stöd till de bemanningsansvariga under tjänstgöringen och personalredovisning. De geografiska områdena för inskrivning och personalredovisning är inte identiska. Inskrivningsom- rådena är anpassade till var de mönstrande bor och redovisningsom— rådena till hur Sverige skall skyddas eller försvaras i händelse av olyckor, kris eller krig. Regionkontoret i Norrland har platskontor för stöd under grundutbildning samt för personalredovisning både i Östersund och Boden. Pliktverket har cirka 400 personer anställda (ca 350 heltidstjänster).

8.3. Pliktverkets uppgifter

Enligt 2 5 förordningen (1995 :648) med instruktion för Totalförsvarets pliktverk skall verket mönstra, skriva in och krigsplacera totalförsvars- pliktiga. Denna verksamhet har redovisats ovan i avsnitten 7.2 och 7.3. Pliktverket skall också, enligt 1 & nämnda instruktion, svara för att myndigheter och andra som har bemanningsansvar (= skyldighet att se till att krigsorganisationen är uppfylld med personal som kan lösa tilldelade uppgifter under höjd beredskap) inom totalförsvaret får stöd och service i frågor avseende bemanning med totalförsvarspliktiga som skrivs in för värnplikt eller civilplikt och i fråga om totalförsvarsplikti- gas tjänstgöring. Det framgår inte närmare av instruktionen på vilket sätt Pliktverket skall lämna de bemanningsansvariga stöd och service. I denna del är Pliktverkets uppgifter till stor del avhängiga vad som överenskommes med de bemanningsansvariga. Generellt kan sägas att samarbetet mellan Pliktverket och övriga myndigheter och andra organ inom totalförsvaret är omfattande.

Fram till pch med att den totalförsvarspliktige krigsplacerats utför Pliktverket uppgifter som att:

tillsammans med de berörda myndigheterna ta fram planerings- underlag för inskrivningsverksamheten,

kalla de totalförsvarspliktiga till mönstring eller annan utredning av de totalförsvarspliktigas förmåga att fullgöra värnplikt eller civilplikt,

— genomföra mönstringen alternativt annan utredning (mindre omfattande utredning kan genomföras av annan, se ovan avsnitt 7.2.2.),

i förekommande fall fatta beslut om rätt för den enskilde att vara vapenfri,

genom beslut om inskrivning placera de totalförsvarspliktiga i lämplig befattningsgrupp m.m.,

utfärda inkallelse till grundutbildning,

—- hantera uppskovsärenden, frågor om tillgodoräknande av tjänst- göringstid, m.fl. frågor som rör den enskilde t.o.m. genomförd grundutbildning,

—ta fram statistik och utföra analyser avseende grundutbildningen, bl. a. såvitt gäller avgångar (avbruten utbildning eller avhopp mellan inskrivningen och grundutbildningen) samt

fatta beslut om den totalförsvarspliktiges krigsplacering efter genomförd grundutbildning.

Efter grundutbildningen svarar Pliktverket för stöd och service genom att utföra uppgifter som att:

ta fram planeringsunderlag och statistik samt utföra analyser i olika former till stöd för de bemanningsansvarigas förbättringsåtgärder m.m.,

utfärda inkallelser till repetitionsutbildning,

— redovisa pliktpersonal (genom att lämna uppgifter till de be- manningsansvariga om vilken personal som finns disponibel),

— omfördela pliktpersonal vid behov.

Pliktverket skall enligt myndighetens instruktion även lämna stöd och service till de bemanningsansvariga i fråga om redovisning av annan personal inom totalförsvaret än dem som skrivs in med värnplikt eller civilplikt (1 5). Sådan personal är t.ex. de som är fast anställda inom Försvarsmakten och medlemmar i frivilligorganisationer.

Pliktverket svarar vidare för information till andra myndigheter och till allmänheten om frågor som rör plikttjänstgöring m.m. samt för viss utbildning.

Vid höjd beredskap tillkommer uppgifter för Pliktverket som t.ex. i krig — registrering och rapportering av krigsfångar.

8.4. Registerverksamheten

8 . 4. 1 Inledning

Pliktverkets arbete med att mönstra, skriva in, krigsplacera och vid olika tillfällen redovisa totalförsvarets personal förutsätter att verket ständigt har ordnad och aktuell information om dessa personer. Plikt- verket har därför behov av att föra relativt omfattande personregister. Registerverksamheten vid Pliktverket befinner sig i ett övergångsskede mellan två olika ADB-system. Det äldre systemet, som övertogs från Vämpliktsverket, omfattar fyra personregister: Inskrivningsarkiv- registret med uppgifter från mönstring m.m., Avgångsarkivregistret med sarnmanställningar av personuppgifter vilka upprättats i samband med att en person avregistrerats, Statistikregistret med personuppgifter för statistiska ändamål, samt Arkivregistret med uppställning över den enskildes tjänstgöringstillfällen och eventuella förordnanden. Den nya ordningen innebär, enligt Pliktverkets planering, att uppgifterna om de totalförsvarspliktiga samlas i ett enda register. Den beskrivning som ges nedan avser det nya systemet; PLIS Pliktverkets informations- system, som i vissa delar redan tagits i bruk på prov, parallellt med det äldre. Det nya systemet innebär också att ”pappershanteringen” på sikt kan minska genom att fler handlingar läggs in direkt i datorn samt genom att informationsutbytet med andra myndigheter m.fl. kan ske via terminal.

Samtliga Pliktverkets register förs med tillstånd av Datainspektio— nen. Eftersom totalförsvarsplikten omfattar en mycket stor del av befolkningen kommer PLIS att vara ett av landets största person- register. Mängden uppgifter om varje person blir också betydande eftersom registret förutom att tjäna som källa för enkel information om namn, ålder och adress etc. skall utgöra underlag för olika lämplig— hetsbedömningar och därför innehåller material från undersökningar och prov liksom uppgifter från hälso- och sjukvårdsmyndigheter m.fl. Registret är därmed också känsligt ur integritetssynpunkt.

I PLIS registreras beträffande pliktpersonalen vad som framkommer vid de utredningar om de enskildas personliga förhållanden som beskrivits ovan i avsnitt 7.2, uppgifter från deras utbildning inom försvaret samt beslut som rör deras tjänstgöring, t.ex. om inskrivning för viss befattning, krigsplacering etc. Typen och mängden av uppgifter som registreras om varje person varierar naturligen något, beroende på vilken kategori av pliktpersonal han eller hon tillhör. Av avsnitt 7.2 och 7.3 ovan framgår vilka utredningar som kan göras,

vilken information som i dessa sammanhang kan hämtas in och vilka beslut som kan tas beträffande den totalförsvarspliktige enligt gällande författningar. Nedan i detta kapitel ges en beskrivning av verksam- heten i praktiken med utgångspunkt i den kontinuerliga registrering av personuppgifter som sker om den totalförsvarspliktiges personliga förhållanden och av omständigheter som rör hans eller hennes tjänstgöring inom totalförsvaret. Först dock en redovisning av vilka närmare föreskrifter som gäller för Pliktverkets register.

8.4.2. Datainspektionens tillstånd och föreskrifter för PLIS

Datainspektionen meddelade den 26 juni 1996 tillstånd för Pliktverket att inrätta och föra personregistret PLIS. Datainspektionen fastställde ändamålet med registret enligt följande:

Registret skall utgöra ett hjälpmedel i administrationen av personalför- sörjningen för totalförsvarets behov

Beslutet förenades med följande föreskrifter:

Registret får endast innehålla uppgifter av den art som angivits i (Pliktverkets) ansökan (personnummer, namn, adressuppgifter, mönstringsdata, medicinska testdata, psykologiska testdata, kunskaps- data, skola/förband, utbildningstider, vitsord, bevakningsuppgifter, ärendetyp och beslut samt enligt tjänsteanteckning som bifogats beslutet uppgifter från Riksförsäkringsverket, vårdinrättningar, kriminalvårdsmyndighet, Rikspolisstyrelsen, Vägverket, Skolverket, Statistiska centralbyrån och Socialstyrelsen samt från utbildningsför- banden och skolorna.)

Enligt kompletterande beslut av Datainspektionen, den 8 januari 1997 får även fotografi för utfärdande av legitimations- och resehand- ling registreras. Fotografiet skall dock gallras ”vid tidpunkt då värnpliktig ryckt in till grundutbildning”. (Pliktverket har hos Datainspektionen ansökt om att gallringstidpunkten för fotografier ändras till; ”då grundutbildningen slutförts”)

Ätkomsten av uppgifterna skall begränsas till de personer som enligt arbetsordning har att behandla uppgifterna.

För åtkomst av uppgijier i hälsodeklaration och därtill kopplat läkarintyg får endast personnummer användas som sökbegrepp förutom för framställning av statistik.

Inhämtande och utlämnande av uppgifter får ske med hjälp av automatisk databehandling till respektive från de myndigheter som angivits i bilaga till beslutet (Riksskatteverket, Riksförsäkringsverket, vårdinrättningar, kriminalvårdsmyndighet, Rikspolisstyrelsen, Vägverket, Skolverket, Statistiska centralbyrån, Socialstyrelsen och Räddningsverket. I bilagan anges förutom myndigheter även utbild- ningsförband/skolor samt PK-banken)

Den registeransvarigeskall på lämpligt sätt informera den registrerade om förekomsten av registret, dess ändamål och huvudsakliga innehåll samt rätten till utdrag enligt 10 & datalagen.

Härutöver har Datainspektionen lämnat föreskrifter om vad som skall iakttas beträffande ADB-säkerheten när det gäller åtkomstskydd, behörighetskontroll, loggning, datakommunikation, utplåning samt reparation och service.

8.4.3. Beträffande vilka personer kan uppgifter registreras i PLIS?

PLIS kan enligt nuvarande föreskrifter från Datainspektionen i princip innehålla uppgifter om samtliga personalkategorier inom totalförsvaret. Den stora gruppen registrerade utgörs av dem som mönstrar, genomgår antagningsprövning (kvinnor) eller annan utredning för inskrivning, dvs. de som prövas för tjänstgöring med värnplikt eller civilplikt. Totalt mönstrade cirka 50 000 personer år 1995. Härav skrevs cirka 33 000 in för värnplikt och närmare 2 000 för civilplikt med lång grundutbildning medan cirka 14 000 placerades i utbild- ningsreserven. Av de senare var cirka 12 000 endast lämpliga för civilplikt med kortare grundutbildning. Omkring 1 000 av dem som mönstrar varje år har sådan hälsa att de inte är tjänstgöringsskyldiga, vare sig med värnplikt eller civilplikt. I enlighet med Pliktverkets uppgift att också redovisa annan personal inom totalförsvaret än pliktpersonal innehåller registret också uppgifter om anställda inom Försvarsmakten, anställda i olika civila verksamheter som på grund av sina anställningsavtal är skyldiga att delta i övningar och utbildning för försvarsändamål och/eller är ianspråktagna av sina arbetsgivare för deras respektive krigsorganisation samt medlemmar i frivilligorganisa- tioner m.fl. Totalt kan PLIS komma att innehålla uppgifter om närmare 2 miljoner människor som på grund av bestämmelser i författningar eller till följd av ingångna avtal har uppgifter att sköta under höjd beredskap.

8.4.4. Typer av personuppgifter i registret och flödet av uppgifter

Uppgifter om svenska män som mönstrar är dominerande i PLIS. Beskrivningen närmast nedan avser detta typfall. Den är summarisk och bygger på direkt information från Pliktverket om förfarandet. (Jfr avsnitt 7.2 Och 7.3.)

— Pliktverket får varje år uppgift från Riksskatteverket om namn, personnummer, adress och medborgarskap på de män som är bosatta i Sverige och som under året fyller 17 år. Uppgifterna registreras av Pliktverket och utgör underlag för kallelser till mönstring. Riks- skatteverket aviserar därefter adressändringar, förändrat medborgar- skap, dödsfall m.m. varje vecka till Pliktverket, som med ledning härav uppdaterar registret. Aviseringar sker också från Kriminalvårds- styrelsen (intagning i eller avgång från kriminalvårdsanstalt om fråga är om längre fängelsestraff), Vägverket (körkortsuppgifter) samt från vissa vårdinrättningar (bl.a. uppgifter om intagna).

Inför mönstringen tillställs den enskilde ett frågeformulär angående sin medicinska hälsa (Medicinsk hälsodeklaration). Formuläret ges in vid mönstringen där den enskilde också genomgår en medicinsk prövning för bedömning av hans förutsättningar att fullgöra värnplikt eller civilplikt, jämte en psykologisk prövning för fastställande av bl.a. hans psykiska tjänstbarhet. Härutöver utförs ett s.k. inskrivningsprov för bedömning av den mönstrandes begåvning och anlag. Han får också lämna uppgifter om färdigheter, intressen, utbildning m.m. Den prövning som utförs omfattar datoriserade frågeformulär och samtal med såväl läkare som psykolog. Resultaten översätts till kapacitetssiff- ror avseende förmåga och lämplighet i olika avseenden. Såväl själva provresultaten som kapacitetstalen registreras, liksom relevanta uppgifter om färdigheter, utbildning m.m. (t.ex. uppgifter om körkortsinnehav, telegraficertifikat, förarintyg för segel- eller motorbåt, fartygsmekanikerbrev, avlagd skepparexamen, genomförd militär ungdomsutbildning m.m.). En nyhet i PLIS i förhållande till äldre system är att joumalhandlingar med läkar- och psykologut— låtanden kan läggas in direkt i dataregistret, liksom att ifyllda blanketter kan skannas (optiskt läsas in) in i detsamma.

Mönstringen avslutas med att den enskilde har ett personligt samtal med en inskrivningsförrättare. Inskrivningsförrättaren har tillgång till de dittills insamlade uppgifterna om den enskilde och redogör mot bakgrund av provresultat m.m. för lämpliga befattningar för denne.

Efter en diskussion, där den enskilde får framföra sina synpunkter och önskemål, fattar inskrivningsförrättaren ett beslut om inskrivning placering i befattningsgrupp och typ av befattning, bestämmande av utbildningsenhet och ungefärlig tid för inryckning m.m. vilket registreras.

När den enskilde sedan rycker in till grundutbildningen får den utbildningsansvarige, utöver basdata som adress, personnummer osv., tillgång till de uppgifter om honom som rör kompetens, hälsa och tjänstbarhet m.m. Uppgifterna lämnas i dag i form av ett grundutbild— ningskort j ämte utskrivna joumalhandlingar men kan i framtiden göras tillgängliga för den utbildningsansvarige genom direkt terminalåtkomst till relevanta delar av PLIS.

-— Under grundutbildningen kompletteras registeruppgiftema med uppgifter om under utbildningen förvärvad kompetens, innefattande uppgifter om ev. befordran, fullgjorda tjänstgöringsdagar m.m. , samt slutligen med lämnade vitsord. Dessa uppgifter sammanfattas i dag på en skriftlig utryckningsrapportsom tillställs Pliktverket. Rapporten kan i framtiden ersättas med att den utbildningsansvarige själv —- via egen terminal för in uppgifterna i PLIS.

Efter grundutbildningen krigsplaceras den totalförsvarspliktige genom beslut av Pliktverket. Krigsplaceringen registreras.

Uppgifter från repetitionsutbildningstillfällen registreras i enlighet med vad som sker efter genomförd grundutbildning.

När det gäller pliktpersonal med kortare utbildning är de registrerade uppgifterna i princip av samma natur som de nyss beskrivna men av naturliga skäl är de oftast inte lika omfattande. Den enskilde har t.ex. då inte alltid genomgått mönstring. Informationen i registret om de fast anställda inskränker sig till rena basdata som namn, personnum- mer och adress samt uppgifter om befattning, utbildning m.m. vilka konkret anknyter till anställningen och krigsplaceringen. Beträffande dem som förekommer i registret enbart av den anledningen att de tillhör en frivilligorganisation finns endast uppgifter om namn, person- nummer etc. samt om den organisation vederbörande är medlem i.

8.4.5. Åtkomst och skydd

Personuppgiftema hanteras till övervägande del inom Pliktverket och då som underlag när verket skall ta beslut om inskrivning och placering av totalförsvarspliktiga eller redovisa personal inom totalförsvaret. Grundprincipen för hanteringen av uppgifterna inom Pliktverket är att endast de befattningshavare som i sitt arbete har behov av personuppgiftema har tillgång till PLIS och då endast till de för arbetsuppgiftema relevanta delarna av registret. PLIS är uppbyggt så att användarna — som ”loggar in” i systemet med en personlig kod tilldelas en ” användarroll”, knuten till den personliga koden, vilken öppnar de delar av systemet som de anses behöva för att lösa sin uppgift. Som exempel kan nämnas att den som planerar resor för mönstring endast får tillgång till information om personnummer, namn, adress och andra basuppgifter om den enskilde som han behöver för att kalla denne till förrättningen medan en inskrivningsför- rättare som skall ta beslutet om inskrivning — i princip har obegränsad tillgång till den mönstrandes personuppgifter. Den personliga koden kan också spåras i systemet så att det kan utläsas vem som gjort sökningar, genomfört ändringar m.m.

Utanför Pliktverket är det i första hand de utbildnings- och bemanningsansvariga myndigheterna inom det militära och civila försvaret som kan ha ett befogat intresse av uppgifterna i PLIS mot bakgrund av ändamålet med registret. Härutöver kan andra myndig- heter ha behov av vissa uppgifter. T.ex. lämnas uppgifter om in- och utryckningstider till Riksförsäkringsverket.

8.4.6. Information till den enskilde

Den enskilde får efter genomförd mönstring del av inskrivningsbe- slutet i form av en skriftlig handling där förutom själva beslutet vissa provresultat finns redovisade. Utformningen av inskrivningsbeslutet är under övervägande inom Pliktverket. Om den enskilde begär informa- tion om vad registren innehåller om honom eller henne handläggs denna begäran enligt särskilda rutiner.

8.4.7. Bevarande och gallring

Riksarkivet har, efter förslag från Krigsarkivet, tidigare utfärdat föreskrifter om bevarande och gallring för uppgifter i Vämpliktsver- kets olika register. Föreskrifterna gäller enligt särskilda beslut för Pliktverket beträffande de register som ”övertagits” från Värnplikts- verket. Olika föreskrifter gäller för de olika registren och för olika typer av uppgifter i dessa. Huvudprincipen beträffande Inskrivnings- arkivregistret (med bl.a. uppgifter från mönstringen) är att uppgifterna skall föras över till mikrofilm efter viss tid (vanligen 5 år) och därefter gallras ur databasen. Två exemplar av mikrofilmen skall sändas till Krigsarkivet medan ett exemplar behålles av Pliktverket så länge verket behöver uppgifterna för sin verksamhet.

För PLIS saknas särskilda föreskrifter från arkivmyndighet eller annan vad gäller arkivering och gallring av personuppgifter, vilket innebär att arkivlagens generella bestämmelser är tillämpliga.

8.4.8. Socialstyrelsens register över hälso- och sjukvårdspersonal i krig — INTEGER

Socialstyrelsen är enligt beredskapsförordningen ( 1993 :242) funktions- ansvarig myndighet för hälso- och sjukvården (framgår av bilagan till förordningen). I denna funktion har Socialstyrelsen, i enlighet med ett regeringsuppdrag som gavs år 1988, upprättat ett register över hälso- och sjukvårdspersonal (INTEGER). Registret är ett personalförsörj- ningsregister för krig och innehåller uppgifter om läkare, tandläkare, sjuksköterskor, operations-, röntgen— och laboratorieassistenter, undersköterskor, sjukvårdsbiträden, barnsköterskor, medicintekniker, drifttekniker, arbetsterapeuter, kuratorer, psykologer och sjukgym- naster. Uppgifter om de registrerades personnummer, namn, anställ- ningsform och kompetens lämnas till Socialstyrelsen från sjukvårdshu— vudmännen. Socialstyrelsen ansvarar för att registret kompletteras med folkbokföringsuppgifter, uppgifter om utbildning och legitimation samt om disponibilitet (dvs. uppgifter om huruvida den registrerade är ianspråktagen för försvarsändamål eller inte).

Enligt regeringens beslut av den 1 februari 1996 skall Socialstyrel- sen alltjämt svara för att det finns ett erforderligt register över hälso- och sjukvårdspersonalen i krig. Regeringen uppdrog emellertid åt Socialstyrelsen att, under förutsättning att godtagbara ekonomiska villkor kan uppnås, träffa överenskommelse med Pliktverket om driften av registret.

Enligt den överenskommelse som sedermera träffats skall INTEGER överföras till PLIS och utgöra en integrerad del av detta system. Det skall finnas möjligheter att skilja ut INTEGER-personalen genom en kod som åsätts hälso- och sjukvårdspersonal. Uppdatering och ändring av uppgifter i INTEGER-delen av registret skall skötas centralt av Pliktverket.

111 ÖVERVÄGANDEN OCH FÖRSLAG

9. Inledande ställningstaganden och allmänna utgångspunkter

9.1. Förslaget till persondatalag och Pliktverkets registerverksamhet

Bedömning: Regleringen av Pliktverkets verksamhet, såvitt avser hanteringen av personuppgifter, bör anpassas till bestämmelserna i den föreslagna persondatalagen och utformas så att den kan fungera i samspel med dessa. Detta innebär bl.a. att våra förslag utgår från persondatalagens tillämpningsområde, begrepp och terminologi.

9.1.1. Förhållandet mellan EG-direktivet, förslaget till persondatalag och de särskilda re gisterförfattningarna

Införlivandet av EG-direktivet om personuppgifter i svensk lagstiftning innebär relativt genomgripande förändringar av de centrala bestämmel- serna på området. De största förändringarna består i att det integritets- skyddade området utvidgas och att tillståndskravet för personregister- verksarnhet upphör. Det senare medför bl.a. att Datainspektionens roll förändras. Den registeransvariges (med persondatalagens terminologi; den persondataansvariges) skyldigheter påverkas också i viss utsträckning av den nya ordningen. Det är svårare att se om nivån på integritetsskyddet ändras.

En närmare beskrivning av Datalagskommitténs förslag till persondatalag ges ovan i kap. 6.

Enligt punkt 12 i ingressen till EG-direktivet måste de principer för skyddet av den enskildes fri- och rättigheter som direktivet innehåller gälla för all behandling av personuppgifter, som utförs av en person vars verksamhet regleras av gemenskapsrätten. Medlemsstaternas försvar —— militärt som civilt — regleras inte av denna rätt, liksom inte heller annan verksamhet som avses i avdelningarna V och VI i

Fördraget om den Europeiska unionen. Annan sådan verksamhet är t.ex. den som rör statens säkerhet och statens verksamhet på straffrät- tens område. (Punkt 13 i ingressen. De undantag som nämns där rör särbehandling av utländska medborgare, ömsesidiga erkännanden av exarnens- och utbildningsbevis m.m. samt harmoniseringsåtgärder till stöd för den gemensamma marknadens upprättande och funktion.)

Pliktverkets hantering av personuppgifter syftar till att tillgodose det svenska totalförsvarets behov av pliktpersonal och att möjliggöra redovisning av denna och övrig personal inom totalförsvaret. Det faller som ovan nämnts utanför EG:s kompetens att reglera sådan verksamhet. I artikel 3.2 anges dessutom särskilt att direktivet inte under några omständigheter gäller för behandling av personuppgifter som rör försvar. Teoretiskt kan därför bortses från direktivet vid utformningen av bestämmelser för behandling av personuppgifter om totalförsvarspliktiga.

EG-direktivet skall enligt föreliggande förslag införas genom nationella författningar den 1 januari 1999 (jfr. dock artikel 32.1 första stycket i direktivet). Datalagen kommer att upphöra att gälla, i vart fall efter den övergångsperiod om tre år inom vilken redan pågående verksamhet, som innefattar behandling av personuppgifter, enligt direktivet har att ställa om till de nya bestämmelserna (artikel 32.2 första stycket). Enligt föreliggande förslag till persondatalag är lagen generell i den betydelsen att den till sin lydelse omfattar även sådan verksamhet som faller utanför gemenskapsrätten, t.ex behand- ling av personuppgifter inom totalförsvaret. Det går alltså inte att bortse från persondatalagen vid en författningsreglering av behandling av personuppgifter, även om den verksamhet som skall regleras inte omfattas av EG-direktivet. Så länge inte något annat uttryckligen föreskrivs gäller persondatalagen för behandling av personuppgifter inom alla verksamheter (utom sådana som är av privat natur).

En generell författningsföreskrift om att persondatalagens be- stämmelser inte är tillämpliga på Pliktverkets registerverksamhet är tillåten och fullt möjlig. Enligt vår uppfattning finns det emellertid ingen anledning att välja en sådan lösning. Det finns flera tungt vägande skäl för att även författningar som reglerar hantering av personuppgifter inom sådan verksamhet som inte omfattas av EG- direktivet anpassas till de nya bestämmelserna. En annan sak är att det finns utrymme för att i dessa författningar göra avvikelser från persondatalagen och från EG—direktivet. De skäl som talar för en anpassning till den nya persondatalagen och som enligt vår mening särskilt bör framhållas redovisas nedan i avsnitt 9.1.2—9.1.5. Först dock något om det fortsatta behovet av särskild reglering för olika verksamheter där personuppgifter hanteras.

Den gällande datalagen förutsätter i princip att kompletterande bestämmelser för respektive registerverksamhet ges genom föreskrifter av Datainspektionen, såvitt avser de tillståndspliktiga registren. Datalagens bestämmelser är till stora delar riktade till Datainspektio- nen och anger i vilka situationer tillstånd skall ges, hur bedömningen skall gå till och vilka föreskrifter som kan och skall meddelas. Med persondatalagens införande upphävs kravet på tillstånd och bestämmel- serna i persondatalagen anger i stället direkt när och hur personuppgif- ter får behandlas, vilka förbud som gäller etc. Persondatalagen är därmed omedelbart tillämpbar för den som avser att behandla personuppgifter i sin verksamhet. Något tillstånd av myndighet eller i särskild författning krävs ej.

Som skäl för tidigare införda särskilda registerlagar har inte sällan åberopats uttalanden från riksdagen om nödvändigheten av sådan lagstiftning (se Konstitutionsutskottets betänkande 1990/91:KU11 som behandlar prop. 1990/91:60 om offentlighet, integritet och ADB. Utskottets betänkande godtogs av riksdagen, se rskr. 1990/91:160). Dessa uttalanden förlorar dock i och med persondatalagens införande mycket i aktualitet, eftersom de i huvudsak gjordes mot bakgrund av att vissa stora statsmaktsregister då i princip var oreglerade. Personda- talagen är tillämplig även på sådana register och avhjälper till stor del den uppmärksammade bristen med sin — i förhållande till datalagen direkta reglering av behandlingen av personuppgifter. Persondatala- gen är emellertid mindre utförlig än de särskilda registerförfatt- ningarna.

Det kan mot bakgrund av vad som nu konstaterats med visst fog ifrågasättas om det kommer att finnas behov av särskilda registerlagar efter persondatalagens ikraftträdande. Klart torde stå att behovet blir mindre efter denna tidpunkt. Persondatalagen är emellertid en generell produkt avsedd att passa all slags verksamhet där behandling av personuppgifter utförs och det fimis därför anledning att undersöka om inte preciseringar och särregleringar är nödvändiga på många områden. Detta gäller särskilt verksamhet som inte omfattas av EG- direktivet och när fråga är om behandling av känsliga personuppgifter. Också Datalagsutredningen förutsatte att särskilda bestämmelser skulle komma att erfordras vid sidan av dem som direkt införs från EG— direktivet. (Se SOU 1993:10 s. 171 f.) Datalagsutredningen erinrade dock om att kravet på särskild författningsreglering enbart tar sikte på några aspekter av informationsbehandlingen och att det alltså inte blir tal om några fullständiga registerförfattningar.

Vår uppfattning är att viss särskild reglering vid sidan av personda- talagen är nödvändig. Persondatalagen förutsätter också närmast att sådan reglering sker, i vart fall i vissa situationer. Det finns dock

anledning att överväga vilken omfattning särregleringen skall ha och i vilken form den skall ges.

9. 1 .2 Persondatalagens normer bör tjäna som utgångspunkt

Det är en självklarhet att de avvikelser från allmänt gällande be- stämmelser om integritetsskydd och från centrala regler om den enskildes rättigheter och den ansvariges skyldigheter, som är påkallade inom viss verksamhet, endast aktualiseras som undantag. Det är naturligt och lämpligt att bestämmelserna i persondatalagen tjänar som utgångspunkt när särskilda författningar som rör hantering av personuppgifter utformas. Awikelser från persondatalagens bestäm— melser bör göras endast om det finns goda skäl härför. Det skall här åter erinras om vad som sägs i punkt 11 i ingressen till EG-direktivet om att detta utgör en förstärkning och precisering av Europarådets dataskyddskonvention. EG-direktivet bygger på en ordning inom vars ramar gällande svensk datalagstiftning är utformad. Direktivet och förslaget till persondatalag har inte tillkommit därför att de rådande värderingarna på området ändrats utan främst för att ytterligare harmonisera EU:s medlemsstaters bestämmelser. Även om den föreslagna persondatalagen innehåller många nyheter på området för hantering av personuppgifter så överensstämmer den med grund- läggande principer om integritetsskydd i svensk rätt.

9.1.3. Ett samspel mellan central lagstiftning och särskilda författningar som reglerar hanteringen av personuppgifter bör eftersträvas

Statsmaktsregistren kräver inte Datainspektionens tillstånd. Dessa register kan i stället såvitt avser frågor om registerändamål, registerinnehåll, fastställande av registeransvar m.m. —- regleras genom särskilda författningar. Bestämmelserna i de särskilda för- fattningarna, som i stora delar motsvarar Datainspektionens före— skrifter för de tillståndspliktiga registren, ersätter dock inte datalagen. Datalagens bestämmelser om den registrerades rättigheter, den registeransvariges skyldigheter, förutsättningarna för skadeståndsskyl- dighet och straffansvar samt om Datainspektionens tillsyn gäller i allt väsentligt även för statsmaktsregistren. Alternativet hade varit att de nu nämnda, mycket centrala och för behandlingen av personuppgifter

i stort sett gemensamma bestämmelserna upprepades i varje särskild registerlag.

De särskilda registerförfattningar som finns i dag och som reglerar verksamhet som omfattas av EG-direktivet måste inom en nära framtid ses över och bringas i överensstämmelse med direktivet. Den koppling som nu finns mellan dessa författningar och datalagen får då ersättas med en koppling till den nya persondatalagen, om fördelarna med systemet att ha vissa grundläggande bestämmelser samlade i en central författning skall kvarstå. Fördelarna är enligt vår uppfattning uppenbara och en författning som reglerar verksamhet som inte omfattas av EG-direktivet bör inte bryta ett sådant mönster.

9.1.4. Typen av hantering som regleras och terminologin bör vara desamma i en särskild författning som i persondatalagen

En av de stora skillnaderna mellan förslaget till persondatalag och datalagen är tillämpningsområdet. Medan datalagen endast gäller ADB-baserade register föreslås persondatalagen omfatta all behandling av personuppgifter som företas på automatisk väg liksom manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register (I EG-direktivet anges detta i artikel 3.1).

Som ovan redovisats (avsnitt 4.1.1) framhöll redan Datalagsutred- ningen att registerbegreppet var föråldrat och föreslog därför att den nya datalagens tillämpningsområde i stället skulle bestämmas med hänsyn till de tekniska möjligheter som finns att göra personuppgifter tillgängliga med ADB-teknik. Konkret innebar Datalagsutredningens förslag att all automatisk databehandling av personuppgifter, utom vissa särskilt undantagna åtgärder, skulle omfattas av lagens be- stämmelser.

Det kan, som Datalagsutredningen anförde, inte anses ändamålsen- ligt att låta svaret på frågan huruvida en personuppgift ingår i ett register eller ej vara avgörande för på vilket sätt uppgiften skall få behandlas med ADB-teknik. Automatisk behandling av personuppgifter kan medföra otaliga möjligheter att lagra, ändra, sprida och utföra andra operationer med uppgifterna. Avgörande för tillåtligheten av automatisk behandling bör vara ändamålet med åtgärderna ställt emot den enskildes intresse av integritetsskydd. En något svårare fråga är möjligen om även manuell behandling av personuppgifter som ingår i eller skall ingå i ett register (automatiserat eller manuellt) skall regleras. Skäl som att den som vill använda personuppgifter på ett

otillbörligt sätt annars skulle kunna göra detta för hand för att undgå skyddsreglema eller att användningen av ny teknik i sarnhällsutveck- lingen inte hämmas om samma regler gäller för såväl automatisk som manuell behandling av personuppgifter, saknar inte bärkraft men är kanske inte helt övertygande. Utan automatikens hjälp är möjlig- heterna till effektiv lagring, bearbetning och spridning av uppgifterna kraftigt begränsade liksom även möjligheterna att ur ett stort underlag ta fram olika sarnmanställningar av personuppgifter. Detta innebär att manuell behandling framstår som långt mindre ”farlig” från den enskildes synpunkt. Dock är det naturligtvis i grunden riktigt att personuppgiftema i sig är lika skyddsvärda oavsett om de behandlas manuellt eller automatiskt. Resonemanget är giltigt vare sig be- handlingen sker inom en verksamhet som omfattas av EG-direktivet eller ej. Därmed — och då det inte synes finnas något beaktansvärt motstående intresse bör också de bestämmelser som reglerar Pliktverkets verksamhet följa persondatalagens tillämpningsområde i detta avseende. Härtill kommer att ett enhetligt tillämpningsområde tjänar ett visst självändamål eftersom den samlade regleringen då är lättare att överskåda och tillämpa än vid motsatt förhållande.

Förslaget till persondatalag innehåller i enlighet med vad EG- direktivet föreskriver vissa för den svenska ordningen nya begrepp som t.ex. mottagare och registerförare. Dessutom definieras en del begrepp, som t.ex. personuppgifter och register, på ett annat sätt än i datalagen. Vidare byts registeransvarig ut mot persondataansvarig och det är inte bara fråga om en ändring av terminologin utan också om en delvis ny innebörd av begreppet. (Definitioner återfinns i direktivets artikel 2.)

De särskilda registerlagar som reglerar verksamhet som omfattas av direktivet kommer i framtiden att vara hänvisade till persondatalagens begreppsvärld. Om författningar som reglerar behandlingen av personuppgifter om totalförsvarspliktiga skall ha den koppling till persondatalagen som ovan förordats, krävs att grundläggande begrepp och terminologi är identiska, i annat fall blir samspelet onödigt komplicerat. Det skall anmärkas att anledning att behålla och använda datalagens begrepp och definitioner annat än av skäl som att de är invanda —- egentligen saknas eftersom den lagen skall upphöra att gälla.

9.1.5. Datainspektionens tillsyn bör omfatta Pliktverkets hantering av personuppgifter

Enligt förslaget till persondatalag skall behandling av personuppgifter som är helt eller delvis automatisk anmälas till en särskild myndighet. Denna myndighet — i lagtexten kallad tillsynsmyndigheten — skall också utöva tillsyn över tillämpningen av bestämmelser i lag eller annan författning om behandling av personuppgifter. Regeringen har beslutat att Datainspektionen skall vara tillsynsmyndighet. Skäl att undanta Pliktverkets verksamhet från Datainspektionens tillsyn saknas. Regleringen av Pliktverkets behandling av personuppgifter bör därför anpassas till tillsynssystemet i persondatalagen.

9.1.6. Förslagen om reglering av Pliktverkets registerverksamhet bör anpassas till förslaget till persondatalag

På de skäl som ovan anförts anser vi att regleringen av Pliktverkets hantering av personuppgifter bör följa persondatalagens bestämmelser utom i de fall avvikelser är befogade på grund av verksamhetens särskilda karaktär. Persondatalagen föreligger för närvarande endast i förslagsform vilket egentligen talar emot vårt inledande ställnings- tagande. Vi har emellertid under utredningen, så som förutsätts i våra direktiv, följt Datalagskommitténs arbete och vi har lämnats tillfälle att diskutera lösningar med kommitténs ordförande och sekretariat. Detta gör att vi har kunnat anpassa våra förslag till den nya ord- ningen. Vi är medvetna om att den slutliga texten i den nya lagen kan komma att skilja sig ifrån Datalagskommitténs förslag, men vi gör den bedömningen att eventuella justeringar inte blir större än att vårt förslag kan anpassas till dessa utan alltför stora arbetsinsatser.

9.2. Författningsreglering av behandlingen av personuppgifter om totalförsvarspliktiga

Bedömning: Bestämmelser om behandling av personuppgifter om totalförsvarspliktiga bör i huvudsak ges i lag och vara utformade så att de utgår från persondatalagen och anger de undantag och preciseringar i förhållande till denna som är motiverade.

Det bör finnas särskilda bestämmelser i lagen som reglerar ADB-register över totalförsvarspliktiga som förs av Pliktverket.

9.2.1. F örfattningsinnehåll

Förslaget till persondatalag innehåller grundläggande bestämmelser för behandling av personuppgifter och gäller i princip oavsett inom vilken typ av verksamhet behandlingen äger rum. Särskilda författningar som reglerar behandling av personuppgifter inom en viss verksamhet, bör endast innehålla sådana preciseringar, utfyllnader och undantag som är påkallade med hänsyn till de behov som följer av verksamhetens speciella karaktär. I annat fall skapas onödig dubbelreglering och risk för tillärnpningssvårigheter.

Persondatalagen är, enligt föreliggande förslag, generell till sin utformning och avvikelser från dess bestämmelser är tillåtna endast om de har stöd i annan författning. Verksamhet som rör (total)försvaret omfattas emellertid inte av det EG-direktiv som ligger till grund för persondatalagen och utrymmet för särreglering är därför stort när det gäller behandling av personuppgifter om totalförsvarspliktiga. Detta förhållande rubbar emellertid inte slutsatsen att undantag från persondatalagens bestämmelser skall göras endast i den omfattning som verksamheten motiverar. EG-direktivet om personuppgifter och därmed persondatalagen — bygger på europeisk rättstradition på integritetsskyddsområdet och avsteg från hävdvunna principer bör inte göras om det inte finns starka skäl.

Överväganden om innehållet i författningar som rör behandling av personuppgifter om totalförsvarspliktiga bör i första hand omfatta frågan om avvikelser eller preciseringar är motiverade i förhållande till persondatalagens bestämmelser om: när behandling av personuppgifter är tillåten, — grundläggande krav på behandling av personuppgifter, — förbud mot behandling av känsliga personuppgifter,

villkor för behandling av uppgifter om lagöverträdelser och om personnummer,

information till den registrerade, — säkerheten vid behandlingen, den persondataansvariges skyldigheter, tillsynsmyndighetens uppgifter och befogenheter samt skadestånd.

Persondatalagens bestämmelser skall sålunda gälla även vid behandling av personuppgifter om totalförsvarspliktiga om inte annat följer av de särskilda författningar som reglerar just denna behandling.

Den föreslagna persondatalagen innehåller inga särskilda regler för register som förs med hjälp av ADB. Även om en personuppgift kan anses lika skyddsvärd om den behandlas helt manuellt som om den behandlas med datorteknik, är det svårt att bortse från de särskilda risker i integritetshänseende som automatiserade register för med sig. Möjligheterna att effektivt söka bland uppgifterna och på kort tid sammanställa stora mängder av information är oändligt mycket större om uppgifterna förekommer i ett ADB-baserat register än om de är förvarade i pärmar eller på annat icke elektroniskt sätt. Användningen av datorteknik underlättar också spridningen av uppgifter. Andra krav måste därför ställas på säkerheten vid automatisk lagring och över- föring av uppgifter än vid helt manuell hantering. Det är därför, och särskilt med hänsyn till att ett ADB-register över totalförsvarspliktiga enligt vår bedömning måste innehålla en mängd uppgifter av känslig karaktär för att vara ändamålsenligt, befogat att undersöka behovet av reglering av frågor som:

registerinnehåll,

terminalåtkomst (eller, med ett annat uttryck; direkt åtkomst), begränsningar av sökbegrepp, uppgiftslämnande på ADB-medium och — sambearbetning (samköming) med andra register.

I en författning om behandling av personuppgifter om totalförsvars- pliktiga bör också de ändamål för behandlingen anges som enligt persondatalagen skall uttryckas då uppgifterna samlas in. Dessutom bör i lagen pekas ut vem som är ansvarig (persondataansvarig) för behandlingen.

Efter persondatalagens ikraftträdande krävs inte tillstånd för registrering eller annan behandling av personuppgifter. Detta innebär bl.a. att någon bestämmelse om att ett register över totalförsvarsplikti- ga får föras endast om regeringen beslutat att inrätta ett sådant inte är aktuell.

9.2.2. Författningsteknisk lösning

Normgivningskompetensen regleras i 8 kap. regeringsformen (RF). En skiljelinje går härvid mellan privaträttslig och offentligrättslig normgivning. Med privaträttslig norrngivning menas föreskrifter om enskildas personliga ställning och inbördes ekonomiska och personliga förhållanden. Offentligrättslig normgivning avser dels föreskrifter om myndigheternas interna angelägenheter, dels föreskrifter om för- hållandet mellan myndigheter och enskilda. På det privaträttsliga området skall föreskrifter meddelas genom lag, dvs. riksdagen har exklusiv normgivningsrätt (8 kap. 2 & RF). Vad gäller den offent- ligrättsliga normgivningskompetensen är bilden mer splittrad. Offentligrättsliga föreskrifter skall ha lagforrn om de innebär åliggan- den för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 3 & RF). Enligt 8 kap. 13 5 första stycket 2 regeringsformen får regeringen genom förordning besluta föreskrifter som ej skall meddelas genom lag. Härav följer att regeringen kan meddela Offentligrättsliga föreskrifter om myndig- heternas interna angelägenheter, som t.ex. bestämmelser om hand- läggning av ärenden. Regeringen kan också med stöd av denna sk. ”restkompetens” genom förordning meddela Offentligrättsliga föreskrifter i övrigt så länge de inte är ”betungande” för den enskilde på sätt som anges i 8 kap. 3 & regeringsformen (se ovan). Registerförfattningar syftar ofta till att skydda den enskildes integritet och föreskrifter med sådant skyddssyfte kan knappast anses som betungande för honom eller henne. I 2 kap. 3 & regeringsformen anges emellertid att medborgarna ”i den utsträckning som närmare angives i lag” skall skyddas mot att deras personliga integritet kränks genom att personuppgifter registreras med hjälp av ADB. Ordalydel- sen ger utrymme för tolkningen att det är riksdagens sak att genom lagstiftning utfärda de erforderliga bestämmelserna. Av förarbetena framgår dock att syftet inte varit att hindra regeringen att meddela bestämmelser om dataskydd, utan endast att ange att riksdagen måste vara aktiv genom att stifta och vidmakthålla en dataskyddslagstiftning som utgör en verklig och allvarligt menad skyddslagstiftning (prop. 1987/88: 57 s. 11). Bestämmelser på det statliga området som syftar till att tillgodose integritetsskyddsintressen omfattas alltså av regering- ens restkompetens. Av 8 kap. 13 å andra stycket regeringsformen framgår dock att detta inte innebär att regeringen har rätt att meddela föreskrifter som avser riksdagen eller dess myndigheter. Sådan rätt kan i stället ges till regeringen genom bemyndigande i lag. Möjlig- heten för riksdagen att delegera normgivningskompetensen i denna del infördes år 1994 genom en ny punkt 8 i 8 kap. 7 5 första stycket

regeringsformen , som anger att regeringen efter bemyndigande i lag kan meddela föreskrifter genom förordning såvitt avser skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling. Tillägget i 7 & tillkom närmast för att möjliggöra vidare delegation från regeringen till Datainspektionen av rätten att meddela föreskrifter även på det kommunala och lands- tingskommunala området samt för viss privat verksamhet (se prop. 1993/94:116 ). Datalagskommittén har föreslagit att lagrummet ändras till att avse skydd för personlig integritet vid behandling av person- uppgifter-

Sammantaget har regeringen stora möjligheter, ofta redan utan bemyndigande från riksdagen, att i förordning meddela föreskrifter som rör behandling av personuppgifter. Utöver vad som ovan sagts om regeringens rätt att meddela föreskrifter om myndigheternas handläggning av ärenden och andra interna angelägenheter och före- skrifter om integritetsskydd har regeringen — vilket följer av 8 kap. 13 5 första stycket 1 regeringsformenrätt att meddela föreskrifter om verkställighet av lag. Möjligheten att meddela verkställighetsföre- skrifter anses, även om rättsläget är långt ifrån klart, innebära en relativt långt gående rätt att ”fylla ut” lagar, och då även sådana lagar som innehåller regler på områden där riksdagen har exklusiv norrn- givningskompetens. Utfyllnaden får dock inte innebära att regleringen tillförs något väsentligen nytt genom den av regeringen beslutade föreskriften (se prop. 1973:90 s. 211).

Datalagskommittén har dragit slutsatsen att gällande rätt vad avser normgivningskompetensen inte hindrar att det överlåts till regeringen och Datainspektionen att precisera reglerna i persondatalagen. Kommittén förordar också en sådan lösning framför ”en ordning som innebär att varje liten justering i regelverket kräver en sedvanlig lagstiftningsprocess via regering och riksdag...” som, enligt kommit- tén, framstår som onödigt omständlig och ohanterlig. (Datalagskom- mitten, avsnitt 12.1.2)

En uppställning över Datalagskommitténs förslag till vilka före- skrifter som skall kunna meddelas av regeringen och/eller Datainspek- tionen, med hänvisning till lagrum i förslaget till persondatalag, ges ovan i avsnitt 6.7.

Mot bakgrund av vad som nu anförts kan det konstateras att det skulle vara möjligt att ge en mycket stor del av de regler som bör gälla vid behandlingen av personuppgifter om totalförsvarspliktiga i förordningsform. Frågan är om detta också är lämpligt. När ovan berörd möjlighet till delegering av normgivningskompetensen infördes genom 8 kap. 7 & första stycket 8 regeringsformen uttalade före- dragande statsrådet följande (prop. 1993/94:116 s. 16):

Regeringen vill poängtera att möjligheten till en delegerad norrngivningskompetens på integritetsskyddsområdet inte kommer att förändra den nuvarande inriktningen i syfte att ta fram särskilda registerförfattningar för integritetskänsliga personuppgifter. I proposition l990/91:60 om offentlighet, integritet och ADB uttalas att en målsättning bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag (prop. s. 58). När propositionen behandlades av konstitutionsutskottet i betänkandet 1990/9lzKU11 anförde utskottet att det allmänt sett är av stor betydelse att en författningsreglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Utskottet delade den uppfattning som framfördes i propositionen att register hos kommunema, landstingskommunema, Riksförsäkringsverket och Socialstyrelsen bör regleras i särskilda registerlagar. Likaså ansåg utskottet att det krävs ingående överväganden i fråga om vilka register inom dessa områden som bör lagregleras (bet. s. 11).

Registret över totalförsvarspliktiga kommer att bli ett av landets mest omfattande personregister och det kommer att innehålla många uppgifter av känslig karaktär. Persondatalagens tillkomst utgör inte tillräckligt skäl att frångå den uppfattning som riksdagen givit uttryck för; att stora personregister med känsliga uppgifter skall lagregleras. Av våra direktiv följer också att vi skall lämna förslag till lagreglering av frågor som registerinnehåll, terminalåtkomst, förfoganderätt m.m.

I en lag om behandling av personuppgifter om totalförsvarspliktiga bör de yttre gränserna för verksamheten dras upp i de fall dessa inte överensstämmer med vad som gäller redan enligt persondatalagen. Det bör emellertid överlåtas åt regeringen eller i vissa fall åt Datain- spektionen att meddela de närmare föreskrifter som är påkallade till skydd för de registrerades personliga integritet. Bestämmelser av detaljkaraktär, som kan förutses bli omprövade med mer eller mindre täta mellanrum i takt med att samhället förändras och tekniken utvecklas, bör ges i annan form än lag, eftersom ändringar av lagtext är en relativt omständlig process.

I en lag som reglerar behandling av personuppgifter om totalför- svarspliktiga bör — i konsekvens med vad som utvecklats i avsnitt 9.2.1 intas en bestämmelse som anger att persondatalagens bestäm- melser skall vara tillämpliga om inget annat följer av lagen eller av föreskrifter som meddelats med stöd härav.

10. Lagens tillämpningsområde 10.1 Reglerna skall avse automatisk behandling av

personuppgifter och annan behandling av personuppgifter som ingår i eller skall ingå i ett register

Förslag: Lagen om behandling av personuppgifter om totalför- svarspliktiga skall — liksom persondatalagen — gälla för sådan behandling som är helt eller delvis automatisk och för annan behandling om uppgiftema ingår i eller är avsedda att ingå i ett register.

Bakgrund: Med behandling av personuppgifter avses enligt definitio- nen i förslaget till persondatalag; varje åtgärd som vidtas beträffande sådana uppgifter (3 5). I EG-direktivet (artikel 2 b) exemplifieras behandlingsåtgärder med insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, an— vändning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Persondatalagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatisk. Begreppet automatisk definieras inte i EG-direktivet eller i persondatalagen. Enligt Datalagskommittén står det klart att behandling av personuppgifter som finns i datorformat (binär form) inklusive överföringen till ett sådant format som regel bör anses som automatisk behandling i direktivets mening, medan det är osäkert om och i vilken utsträckning direktivets regler om automatisk behandling skall tillämpas på t.ex. bilder och ljud som lagrats på något analogt format, exempelvis på ett negativ eller på ett vanligt ljud- eller videoband (Datalagskommittén, avsnitt 12.2.12). Persondatalagen gäller också för annan behandling än automatisk, om uppgifterna ingår i eller är avsedda att ingå i ett register. Med register avses varje strukturerad samling av personuppgifter vilka är till— gängliga för sökning eller sammanställning enligt särskilda kriterier (5 & förslaget till persondatalag).

Överväganden: En förändring som följer med införandet av EG- direktivet om personuppgifter i svensk rätt, jämfört med gällande ordning enligt datalagen, är att även annan behandling av personupp- gifter än registrering med hjälp av ADB, blir reglerad och kringgärdad av bestämmelser om integritetsskydd. Ändringen som i vissa delar efterlystes redan av Datalagsutredningen (se ovan, avsnitt 4.1.1) — är oavsett EG—direktivet om personuppgifter påkallad, bl.a. med hänsyn till den tekniska utvecklingen som medfört att uppgifter kan behandlas med automatik i mycket stor utsträckning och på sätt som innebär risker för integritetsintrång, utan att uppgifterna för den skull behöver ingå i ett register. En annan sak är att registrering av personuppgifter medelst ADB alltjämt framstår som den åtgärd som medför de största riskerna för otillbörliga integritetsintrång, och att strängare föreskrifter därför i vissa fall bör gälla för sådan registrering än för övrig behandling.

Det utvidgade integritetsskyddet bör gälla även vid behandling av personuppgifter om totalförsvarspliktiga. En föreskrift som tydligt anger att lagen gäller för sådan behandling som är helt eller delvis automatisk samt för annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register, bör därför tas in i lagen om behandling av personuppgifter om totalförsvarspliktiga. Avgränsningen av tillämp- ningsområdet i det här avseendet är så central att en upprepning är att föredra framför en hänvisning till persondatalagen.

10.2. Reglerna skall avse Pliktverkets behandling av personuppgifter om totalförsvarspliktiga och om andra personer med uppgifter inom totalförsvaret vid höjd beredskap

Förslag: Lagen skall tillämpas vid behandling av personuppgifter om totalförsvarspliktiga. Med totalförsvarspliktiga jämställes personer som har en uppgift inom totalförsvaret vid höjd be- redskap utan att skyldigheten att fullgöra uppgiften grundar sig på

totalförsvarsplikt.

Lagen skall vidare tillämpas i Pliktverkets verksamhet. För ett par fall, bl.a. vad gäller behandling av ”känsliga personuppgif- ter”, bör det dock övervägas om lagen skall innehålla bestämmel- ser för verksamhet som bedrivs av annan än Pliktverket.

Bakgrund: Pliktverket har enligt sin instruktion bl.a. till uppgift att mönstra, skriva in och krigsplacera totalförsvarspliktiga samt att svara för att de bemanningsansvariga får stöd och service i fråga om de totalförsvarspliktigas tjänstgöring. Pliktverket skall dessutom kunna redovisa annan personal inom totalförsvaret.

De personuppgifter som behövs för uttagning och placering m.m. av totalförsvarspliktiga kommer i relativt stor utsträckning Pliktverket tillhanda från andra organ, företrädesvis andra myndigheter. Efter Pliktverkets behandling skall vissa uppgifter lämnas vidare, t.ex. till de enheter inom försvaret som skall utbilda den enskilde. Det är således flera myndigheter och andra organ utanför Pliktverket som i sina respektive verksamheter behöver behandla uppgifter om totalför- svarspliktiga, även om Pliktverkets roll är helt central i samman- hanget.

Överväganden: Enligt våra direktiv skall vi lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas av Pliktverket. Denna verksamhet består i huvudsak i att mönstra (motsv.), skriva in och krigsplacera den personal som omfattas av värnplikt eller civil- plikt. Totalförsvarspliktiga är emellertid alla svenska medborgare och utlänningar som är bosatta i Sverige, från och med det kalenderår de fyller 16 år till utgången av det år de fyller 70 år (ang. totalförsvars- pliktens innebörd se avsnitt 7 .1). I fredstid, och även i vissa fall vid höjd beredskap, grundas skyldigheten att tjänstgöra för en stor del av totalförsvarets personal på andra omständigheter än värnplikt och civilplikt. Detta gäller Försvarsmaktens fast anställda personal, arbetstagare som är ianspråktagna av sina arbetsgivare för uppgifter vid höjd beredskap, medlemmar i frivilligorganisationer och vissa personer med begränsade uppgifter, t.ex. enligt förfogandelagstift- ningen. De sist nämnda är inte ”personal” i egentlig mening men de har uppgifter att lösa vid höjd beredskap ibland tidigare — och de måste finnas förtecknade i någon typ av register för att det skall vara möjligt att ta deras tjänster i anspråk vid behov. Härtill kommer hälso- och sjukvårdspersonalen som Pliktverket, enligt överenskommelse med Socialstyrelsen, skall hålla ett personalförsörjningsregister över. Pliktverkets arbetsuppgifter enligt verkets instruktion förutsätter en möjlighet att behandla personuppgifter om all personal inom totalför- svaret, dvs. såväl pliktpersonal som personal vars skyldighet att tjänstgöra grundar sig på annat än totalförsvarsplikt.

För ett effektivt system för redovisning av totalförsvarets personal är det närmast nödvändigt att kunna ta fram uppgifter om de olika personalkategoriema i ett sammanhang. Mot bakgrund härav utformar

vi vårt förslag så att lagens tillämpningsområde omfattar behandling av personuppgifter om totalförsvarets hela personal. Dock med den begränsningen att det skall vara fråga om personer som har en uppgift att lösa vid höjd beredskap. Till dessa personer räknas också hälso- och sjukvårdspersonalen även om de inte redan i fredstid är krigspla- cerade eller motsvarande på särskild plats inom totalförsvaret. Eftersom den behandling av personuppgifter beträffande totalförsvarets personal som Pliktverket behöver kunna utföra till helt övervägande del avser pliktpersonal, föreslår vi den författningstekniska lösningen att personer som har en uppgift inom totalförsvaret vid höjd beredskap jämställes med totalförsvarspliktiga vid tillämpning av lagen om behandling av personuppgifter om totalförsvarspliktiga.

Anpassningen till persondatalagen medför att vårt förslag omfattar även annan behandling av personuppgiftema än registreringen av dem. Övergången från att reglera register till att reglera behandling medför att gränserna för uppdraget måste övervägas ytterligare något eftersom det — till skillnad för vad som gäller för själva registreringen av totalförsvarspliktiga är många olika organ som behandlar upp- gifterna. Dessutom är behandling ett i viss mån flytande begrepp såtillvida att flera aktörer kan vara inblandade samtidigt. Enligt definitionen av behandling i EG-direktivet är t.ex. såväl inhämtande som utlämnande av en personuppgift en behandlingsåtgärd. När Pliktverket mottar en uppgift från en arman myndighet är båda kontrahenterna åtminstone för en kort period inblandade i samma behandling. Vi har emellertid inte funnit skäl att reglera den behandling som myndigheter och andra utanför totalförsvaret utför innan och när de lämnar ut personuppgifter om totalförsvarspliktiga till Pliktverket (med undantag för att vissa kan ges möjlighet att lämna uppgifter till Pliktverket genom att själva lägga in dem direkt i Pliktverkets ADB-register över totalförsvarspliktiga, se nedan avsnitt 12.3). De personuppgifter som andra myndigheter m.fl. förfogar över är som regel inte insamlade för Pliktverkets räkning och utformningen av det skydd för uppgifterna som bör finnas hos den utlämnande myndigheten ankommer därför inte på oss.

En särställning intar de myndigheter och andra som utför mindre omfattande utredningar än mönstring i syfte att fastställa den totalför- svarspliktiges förmåga att fullgöra civilplikt med grundutbildning under högst 60 dagar (se avsnitt 7.2.2). Erhållna uppgifter (i form av kopior av handlingar) skall efter sådan utredning tillställas Pliktverket tillsammans med en begäran om att den totalförsvarspliktige skrivs in (3 kap. 3 & Totalförsvarets pliktverks föreskrifter om totalförsvars- plikt). Vad som sker i praktiken är att den utredande myndigheten tar fram ett underlag och föreslår ett inskrivningsbeslut med visst

innehåll. Personuppgiftema som den utredande myndigheten härvid behandlar är inte så omfattande och inte heller av den känsliga natur som de som framkommer vid en mönstringsförrättning. Behandlingen hos de utredande myndigheterna är än så länge i huvudsak manuell. I den utsträckning automatisk behandling förekommer, kommer den i framtiden att omfattas av persondatalagens bestämmelser och därmed av Datainspektionens tillsyn. Persondatalagens bestämmelser — så som de är utformade enligt föreliggande förslag — och de föreskrifter som kan emotses från Datainspektionen, bör därvid enligt vår mening ge uppgifterna ett tillräckligt skydd vid den utredande myndigheten. Att det behövs en särskild lag för Pliktverkets behandling av personuppgif- ter om totalförsvarspliktiga vid sidan av persondatalagen, beror främst på att Pliktverkets register är mycket omfattande med integritetskänsli- ga uppgifter och därför kräver tydliga föreskrifter i lagforrn och en hög skyddsnivå. Det saknas skäl till motsvarande särskild reglering för verksamheten hos de myndigheter som utför mindre utredningar och endast behandlar ett begränsat antal personuppgifter.

Bemannings- och utbildningsansvariga enheter inom totalförsvaret behandlar också personuppgifter om totalförsvarspliktiga. För uppgifter som dessa emottar från Pliktverket gäller enligt den föreslagna persondatalagens bestämmelser — att de inte får behandlas på sätt som är oförenligt med de ändamål som angavs när Pliktverket samlade in uppgifterna. (Som framgår av kap. 11 nedan föreslår vi att dessa ändamål anges i lagtexten.) Denna begränsning, jämte vad som följer av persondatalagsförslaget i övrigt, bedömer vi som en tillfredsställande reglering för berörda enheters behandling av mottagna personuppgifter. Här skall också tilläggas att föreskrifter om hur uppgifter får lämnas från Pliktverket, vilka som får ha direkt åtkomst till registret via terminal m.m., är sådant som påverkar mottagarnas behandlingsmöjligheter. Övervägandenbeträffande sådana föreskrifter redovisas nedan i kap. 12.

Sammanfattningsvis är det inte som utgångspunkt betraktat motiverat att låta en lag om behandling av personuppgifter om totalförsvarspliktiga omfatta annan verksamhet än den som bedrivs av Pliktverket. Våra direktiv anger också att det är behoven i denna verksamhet som skall tillgodoses med våra förslag. Som anmärktes ovan är det främst anpassningen till persondatalagens behandlingsbe- grepp som fått oss att överväga ett vidare tillämpningsområde än vad våra direktiv egentligen anvisar.

Slutsatsen att lagen skall tillämpas bara på Pliktverkets behandling av personuppgifter skall ses som en huvudprincip. För ett par situationer finns det anledning att överväga om lagen också skall innehålla bestämmelser som delvis rör verksamhet som utövas av

annan. Det gäller främst frågor om undantag från persondatalagens bestämmelser om att behandlingen inte får vara oförenlig med de ändamål för vilka uppgifterna insamlades och om förbud mot behand- ling av vissa känsliga personuppgifter. Övervägandena i dessa delar återfinns nedan i avsnitt 11.2.2 och 11.3.

10.3. Tillämpningsområdet skall anknytas till ändamålen med behandlingen

Förslag: Lagen skall tillämpas vid behandling av personuppgifter för vissa i lagen angivna ändamål.

Pliktverket skall anses ha samlat in personuppgiftema för dessa ändamål om inte annat uttryckligen angivits av Pliktverket vid in- samlingen.

Överväganden: Enligt förslaget till persondatalag skall ändamålen med behandlingen av personuppgifter vara uttryckligt angivna när uppgifterna samlas in. Uppgifterna får därefter enligt huvudregeln —- inte behandlas för något ändamål som är oförenligt med dessa (9 5 första stycket c och (1). De sålunda angivna ändamålen utgör därmed en gräns för hur uppgifterna får behandlas. En bestämmelse som anger ändamålen är därför central och viktig vid särskild författnings- reglering av behandling av personuppgifter inom en viss verksamhet. En sådan särskild författning bör inte vara utformad så att den hindrar den ansvarige att behandla personuppgifter för andra ändamål. Författningen kan därför inte uttömmande ange när och hur ett visst subjekt får behandla personuppgifter. Det skulle strida mot grunderna för persondatalagen, enligt vilken tillstånd till behandling av person- uppgifter inte krävs. Den särskilda författningen skulle behöva ändras varje gång vederbörande behövde behandla personuppgifter för andra ändamål än de ursprungligen angivna, även om behandlingen var tillåten enligt persondatalagens bestämmelser och även om en särskild reglering av den nya behandlingen annars inte var påkallad.

En särskild lag om behandling av personuppgifter om totalförsvars- pliktiga bör endast reglera vad som skall gälla vid den behandling av uppgifterna som sker för vissa i lagen angivna ändamål. Tillämpnings- området för lagen bör därför knytas till dessa så att det framgår att lagen bara gäller vid behandling för dem. Vidare bör det framgå att Pliktverkets insamling av personuppgifter skall anses ha skett för de i lagen angivna ändamålen om inget annat uttryckligen uppgivits vid denna insamling. Detta för att tydligt visa att behandling för andra

ändamål än dem som anges i lagen är tillåten, men endast om Plikt- verket vid insamlingen av uppgifterna angett att de skall användas för dessa andra ändamål.

Vilka ändamål lagen om behandling av personuppgifter om totalför- svarspliktiga bör avse och hur dessa skall uttryckas behandlas i avsnitt 11.2.

10.4. Behandling som faller utanför tillämpningsområdet

Sammanfattningsvis föreslår vi att lagen om behandling av personupp- gifter om totalförsvarspliktiga skall tillämpas i Pliktverkets verksamhet för vissa i lagen angivna ändamål, under förutsättning att behandlingen är helt eller delvis automatisk eller att personuppgiftema ingår i eller är avsedda att ingå i ett register. Skälen har redovisats ovan i avsnitt 10.1—10.3. Det är viktigt att lagens tillämpningsområde är klart och tydligt angivet. Övergången från ett invant system med regler om ADB-register och tillståndsgivning till ett med övergripande regler om behandling av personuppgifter är inte okomplicerat. Det kan därför vara på sin plats med ett ytterligare förtydligande av vad vi avser reglera med den nya lagen. Vad som sägs i detta avsnitt följer i huvudsak redan av de tidigare avsnitten i detta kapitel. Här redovisar vi ”andra sidan av myntet” genom att ange vad som inte avses falla under lagens tillämpningsområde samt berör kort vad som då gäller i stället.

(Här finns anledning att erinra om att persondatalagens bestämmel- ser — så som förslaget till den lagen är utformat — skall gälla vid behandling av personuppgifter om inte annat följer av lag eller annan fönfattning, se ovan avsnitt 9.2.)

— Lagen om behandling av personuppgifter om totalförsvarspliktiga gäller inte manuell behandling av personuppgifter som inte ingår och inte heller är avsedda att ingå i ett register. Lagens tillämpningsom- råde följer i dethär avseendet persondatalagens bestämmelser om vilka behandlingsåtgärder som omfattas. För Pliktverkets del torde det vara mycket få behandlingar av personuppgifter som kommer att falla utanför de bägge lagarnas tillämpningsområden på grund av den här begränsningen. I princip är alla uppgifter som inhämtas från den enskilde själv och från andra myndigheter m.fl. ämnade för registret över totalförsvarspliktiga. I den mån uppgifterna, på grund av föreskrifter om vilka uppgifter som får tas in i registret (se nedan

avsnitt 12.2), inte kan antecknas där, ankommer det på Pliktverket att ta ställning till om uppgiften skall behandlas helt manuellt utanför registerverksamheten, så att vare sig persondatalagen eller lagen om behandling av personuppgifter om totalförsvarspliktiga blir tillämplig, eller om uppgiften t.ex. genom att tas in i ett manuellt register, skall underkastas viss del av regleringen i dessa lagar.

Som utvecklats i avsnitt 10.2 föreslås att lagen om behandling av personuppgifter om totalförsvarspliktiga i princip endast skall gälla sådana behandlingar som utförs i Pliktverkets verksamhet. Myndig- heter m.fl. som lämnar personuppgifter till eller tar emot personupp- gifter från Pliktverket är underkastade persondatalagens bestämmelser, men inte vad som föreskrivs i den särskilda lagen om behandling av personuppgifter om totalförsvarspliktiga (se dock avsnitt 12.3 vad gäller möjligheter för dem som lämnar uppgifter till Pliktverket att göra detta genom att lägga in uppgifterna direkt i Pliktverkets register). Mottagande myndigheters möjligheter att behandla upp- gifterna begränsas dock indirekt genom vad denna lag föreskriver, dels om ändamålen med behandlingen (eftersom behandling inte får ske för ändamål som är oförenliga med dem för vilka uppgifterna en gång insamlades) dels om sättet för utlämnande (skall mottagaren ha direkt åtkomst via egen terminal? etc.).

— Lagen gäller endast behandling av personuppgifter om totalförsvars- pliktiga och med dessa enligt lagen jämställda personer i denna deras egenskap. Pliktverkets eventuella behandling av uppgifter om andra personer eller beträffande personer som i och för sig är totalförsvarspliktiga men där behandlingen inte grundas på detta förhållande, faller utanför lagens tillämpningsområde. Som exempel kan nämnas sådan registrering av krigsfångar som Pliktverket skall sköta under krigsförhållanden och eventuell behandling av uppgifter om den egna personalen, t.ex. för löneutbetalningar.

Fråga har uppkommit om behovet i vissa fall att registrera uppgifter om anhöriga till totalförsvarspliktiga. Våra överväganden i denna del återfinns i avsnitt 12.2.2. Här skall bara framhållas att även en uppgift om att den totalförsvarspliktige har en relation till en annan person är att anse som en personuppgift om den totalförsvarspliktige. Att uppgiften dessutom utgör en personuppgift om en annan person den anhörige — innebär inte att behandlingen faller utanför tillämpnings- området för lagen.

Lagen gäller vidare endast då personuppgifter om totalförsvarsplik- tiga behandlas för vissa ändamål som också skall anges i lagen.

Pliktverket kan samla in och behandla uppgifter för andra ändamål så länge åtgärderna är förenliga med persondatalagens bestämmelser och så länge Pliktverket också anger dessa ändamål vid insamlingen. För sådan behandling gäller inte lagen om behandling av personuppgifter om totalförsvarspliktiga.

Persondatalagen innehåller, enligt förslaget, vissa bestämmelser som begränsar den lagens tillämpningsområde, utöver vad som angetts ovan i avsnitt 10.1; Den gäller inte för sådan behandling av person- uppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 5) och den gäller bara för sådana persondataansva- riga som är etablerade i Sverige eller — om den persondataansvarige är etablerad i tredje land om denne använder sig av utrustning som finns i Sverige för behandling av personuppgifter (4 5).

Lagen om behandling av personuppgifter om totalförsvarspliktiga gäller enligt vårt förslag endast vid behandling för vissa ändamål i Pliktverkets verksamhet. Härav följer att inte heller den av oss föreslagna lagen gäller i verksamhet av privat natur eller för någon med persondataansvar utanför riket.

-—— Bestämmelsema i persondatalagen gäller, med vissa undantag som avser säkerheten vid behandlingen av personuppgifter, inte för spridning av personuppgifter och andra förfaranden som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen och inte heller för annan behandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 5). Persondatala- gens bestärnrnelser skall inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför- ordningen att lämna ut personuppgifter (offentlighetsprincipen) (8 5). Sådana behandlingsåtgärder som avses i 7 och 8 55 i persondatala— gen faller utanför tillämpningsområdet för vårt lagförslag så som vi dragit upp gränserna för detta. I den mån det blir aktuellt för Pliktverket att behandla personuppgifter om totalförsvarspliktiga för ändamål som skyddas av principer om tryckfrihet, yttrandefrihet och offentlighet gäller tryckfrihetsförordningens, yttrandefrihetsgrund- lagens och sekretesslagens bestämmelser och inte — med de undantag som anges i 7 5 i förslaget till persondatalag persondatalagen eller lagen om behandling av personuppgifter om totalförsvarspliktiga.

11. Behandling av personuppgifter om totalförsvarspliktiga —— Avvikelser och preciseringar i förhållande till bestämmelserna i den föreslagna persondatalagen

11.1. Inledning

Som utvecklats ovan anser vi att en lag om behandling av personupp- gifter om totalförsvarspliktiga i princip endast bör innehålla sådana preciseringar och undantag i förhållande till persondatalagens bestämmelser som motiveras av verksamheten. Vidare anser vi att det finns anledning att ge särskilda bestämmelser för behandlingen av personuppgifter i ADB-register över totalförsvarspliktiga, eftersom registrering med hjälp av ADB-teknik framstår som en särskilt riskfylld hantering av personuppgifter från integritetsskyddsynpunkt i vart fall då fråga är om en så stor mängd uppgifter av känslig karaktär som kommer att finnas i Pliktverkets register.

I detta kapitel redovisar vi de preciseringar av persondatalagsför— slagets allmänt hållna bestämmelser och de avvikelser från förslaget som vi anser motiverade. I kapitel 12 redovisas våra överväganden vad gäller Pliktverkets register över totalförsvarspliktiga.

11.2. Ändamålen med behandlingen

Förslag: Ändamålen med Pliktverkets behandling av personupp- gifter om totalförsvarspliktiga formuleras med utgångspunkt i Pliktverkets arbetsuppgifter och åligganden gentemot uppdrags- givarna inom totalförsvaret enligt följande.

Lagen är tillämplig när ändamålen med behandlingen är: att ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, att redovisa personal med uppgifter inom totalförsvaret, att säkerställa att den registrerade fortlöpande erhåller ända- målsenlig utbildning och lämplig placering inom totalförsvaret, — att tillse att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,

att tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig samt — att planera, följa upp och utvärdera den verksamhet som nu nämnts.

11.2.1. Pliktverkets behov av att behandla personuppgifter

Bakgrund: I 10 5 i förslaget till persondatalag anges när behandling av personuppgifter är tillåten. Enligt bestämmelsen får personuppgifter behandlas bara om den registrerade lämnat sitt samtycke till be- handlingen eller när behandlingen är nödvändig

a) för att fullgöra ett avtal med den registrerade,

b) för att på den registrerades begäran vidta åtgärder innan ett avtal träffas,

e) för att den persondataansvarige skall kunna fullgöra en rättslig skyldighet,

d) för att skydda vitala intressen för den registrerade,

e) för att utföra en arbetsuppgift av allmänt intresse,

f) för att den persondataansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning eller

g) för ändamål som rör ett berättigat intresse hos den persondataan- svarige eller hos sådana tredje män till vilka personuppgiftema lämnas ut när detta intresse väger tyngre än den registrerades intresse.

Om inte samtycke från den enskilde inhämtats måste något av de övergripande ändamål som anges i punkterna a—g vara för handen för att det över huvud taget skall vara tillåtet att behandla personuppgifter med automatik, eller manuellt om personuppgiftema ingår i eller är avsedda att ingå i ett register.

Den persondataansvarige skall själv ange konkreta ändamål för sin behandling av personuppgiftema. I 9 5 första stycket c beskrivs detta så att den persondataansvarige skall se till att personuppgifter ”...samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,..”. Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.4.3) innebär kravet på att ändamålen skall vara särskilda att en alltför allmänt hållen ändarnålsangivelse inte godtas. Att ändamålen skall vara berättigade torde, enligt Datalagskommittén, inte innebära något annat än att ändamålen skall hålla sig inom de ramar persondata-

lagen och anknytande lagstiftning anvisar. Det finns inget krav på att ändamålen skall nedtecknas av den persondataansvarige.

Ändamålen med behandlingen så som de angivits av den personda- taansvarige sätter gränser för hur uppgifterna får behandlas sedan de samlats in. I 9 5 persondatalagen anges de grundläggande kraven på behandlingen av personuppgifter. Enligt detta lagrum skall den persondataansvarige bl.a. se till d) att personuppgifter inte behandlas för något ändamål som är oförenligt med de för vilka uppgifterna samlades in,

e) att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

f) att inte flera personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständi- ga med hänsyn till ändamålen med behandlingen och

i) att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Överväganden: Lagen om behandling av personuppgifter om totalför- svarspliktiga skall tillämpas i viss av Pliktverket bedriven verksamhet. De ändamål som denna verksamhet skall tjäna bör anges i lagen. Ändamålen bestämmer i visst avseende lagens tillämpningsområde (se ovan avsnitt 10.3) och gör att de ovan redovisade bestämmelserna i persondatalagens 9 5 går att tillämpa. Våra förslag förutsätter att ändamålen är givna och det kan därför inte överlåtas åt Pliktverket eller annan att uttrycka dessa.

För att uppfylla persondatalagens krav på att ändamålen skall vara särskilda måste de vara preciserade. Samtidigt bör de inte vara så ”skräddarsydda” till rutinerna att de hindrar varje förändring av verksamheten. En lösning, som innebär att ändamålen formuleras med utgångspunkt i de uppgifter som det åligger Pliktverket att utföra, är enligt vår bedömning lämplig. Metoden innebär att ändamålen anges på ett heltäckande sätt och att detaljeringsnivån blir rimlig. Det är viktigt att de ändamål som uttrycks i lagtexten är tillräckliga och omfattar såväl de uppgifter som Pliktverket skall dvs. är skyldiga att — utföra, som sådana uppgifter som Pliktverket efter begäran från organ inom totalförsvaret skall kunna dvs. på mer eller mindre frivillig grund — åta sig inom ramen för sin allmänna servicefunktion.

Som framgår av kap. 7 och 8 ovan har Pliktverket mer än en funktion att fylla, och behov av att kunna behandla information om de totalförsvarspliktigas och annan med dessa enligt vårt lagförslag — jämställd personals förhållanden uppkommer i flera fall.

En genomgång av Pliktverkets verksamhet visar att personuppgifter behöver behandlas för de ändamål som anges nedan i punkterna 1—6.

1. Behandling av personuppgifter för att ta fram underlag till beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret.

Under denna punkt faller till att börja med Pliktverkets huvuduppgift att mönstra, skriva in och krigsplacera totalförsvarspliktiga. Här ryms också Pliktverkets hantering av personuppgifter i samband med annan mindre omfattande utredning än mönstring enligt lagen om totalför- svarsplikt, och vid särskild antagningsprövning enligt lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.

Pliktverkets personregister utgör i dag en källa till information även för de myndigheter och andra organ inom totalförsvaret som själva kan besluta om krigsplacering eller andra former av ianspråktagande av personal till sin organisation, för verksamhet under höjd beredskap. Här avses t.ex. frivilligorganisationer och myndigheter som är bered- skapsmyndigheter. Även om det inte framgår direkt av Pliktverkets instruktion att verket skall förse andra myndigheter m.fl. med uppgifter till stöd för deras beslut om krigsplacering eller annat ianspråktagande av personal för totalförsvarsändamål, anser vi att de personuppgifter Pliktverket innehar skall kunna användas för detta ändamål om det begärs.

Här är det viktigt att framhålla att sekretesslagens bestämmelser ger ett skydd mot att information som är känslig lämnas ut av Pliktverket.

Syftet med INTEGER-registret över hälso- och sjukvårdspersonal (se ovan, avsnitt 8.4.8) täcks också av ändamålsbeskrivningen i denna punkt.

2. Behandling av personuppgifter för redovisning av personal med uppgifter inom totalförsvaret.

Pliktverket har enligt sin instruktion till uppgift att redovisa i princip all personal inom totalförsvaret. (Vad gäller annan personal än pliktpersonal förutsätter möjligheten att redovisa denna att det organ som förfogar över den enskilde anmält detta till Pliktverket.)

3. Behandling av personuppgifter för att säkerställa att den registrera- de fortlöpande erhåller ändamålsenlig utbildning och lämplig place- ring inom totalförsvaret.

I sin verksamhet skall Pliktverket inte bara utreda och en gång för alla placera den enskilde inom totalförsvaret. Det är viktigt att uppgifter om hans eller hennes kunskaper och lämplighet i övrigt hålls aktuella i relevanta delar. För detta ändamål krävs en kontinuerlig behandling av personuppgiftema.

4. Behandling av personuppgifter för att tillse att den totalförsvarsplik- tige fullgör sina skyldigheter såvitt avser totalförsvarsplikten.

Personuppgifter behöver behandlas av Pliktverket för att kalla den enskilde till t.ex. mönstring och grundutbildning samt för att pröva frågor om hämtning, föreläggande av vite m.m., allt i avsikt att tillse att den totalförsvarspliktige fullgör vad som ankommer på honom eller henne enligt gällande bestämmelser.

5. Behandling av personuppgifter för att tillgodose den enskildes rättigheter och tryggheti hans eller hennes egenskap av totalförsvars- pliktig.

Totalförsvarsplikten är inte enbart förenad med skyldigheter för den enskilde. Han eller hon har också rättigheter. Behandling av person- uppgifter krävs även för att tillgodose dessa. Ofta är rättigheterna en spegelbild av skyldigheterna. Skyldigheten att tjänstgöra kan upphävas av en rättighet att befrias från plikttjänstgöring under vissa förut- sättningar. Rätt till vapenfri tjänstgöring eller till uppskov kan föreligga i vissa fall, liksom rätt till ekonomiskt bistånd.

Sådan hälsoundersökning som utförs t.ex. vid mönstringen syftar till att utröna den totalförsvarspliktiges tjänstbarhet ur medicinsk syn- punkt. Undersökningen sker inte enbart i försvarets intresse; ända- målet är i lika hög grad att tillse att den enskilde inte utsätts för påfrestningar under tjänstgöringen som han eller hon inte har förutsättningar att klara. Detsamma gäller den psykologiska under- sökningen. Vid inryckningen tillställs sjukvårdspersonalen vid förbandet eller motsvarande utbildningsenhet uppgifter från under- sökningarna. Detta sker bl.a. för att skapa garantier för att den enskilde blir behandlad på ett sätt som hans eller hennes hälsa och förmåga kräver samt för att ett medicinskt underlag finns i händelse av olycka eller om det annars skulle bli aktuellt med sjukvårdsinsatser.

6. Behandling av personuppgifter för att planera, följa upp och utvärdera sådan verksamhet som nämnts ovan.

Pliktverket behöver också använda personuppgifter t.ex. för att planera mönstringsförrättningar, undersöka om urvalsmetodema fungerar m.fl. åtgärder som syftar till praktiska arrangemang för verksamheten och för analyser av om förändringar är påkallade. Dessa ändamål följer inte med självklarhet av vad som räknats upp i p. 1—5 och bör därför anges särskilt.

De ovan angivna ändamålen avser att omfatta alla arbetsuppgifter som åligger Pliktverket eller som Pliktverket enligt sin instruktion bör kunna utföra på begäran och som förutsätter sådan behandling av personuppgifter som omfattas av den föreslagna persondatalagens bestämmelser. Mängden personuppgifter som Pliktverket måste hantera medför att annan behandling än automatisk i princip är utesluten. Vi bedömer att samtliga nu angivna ändamål är berättigade, i betydelsen att de inte står i strid med vad persondatalagen anger om när behandling av personuppgifter är tillåten (10 5 förslaget till persondatalag, se ovan under Bakgrund). Behandlingen är nödvändig för att den verksamhet det åligger Pliktverket att bedriva skall kunna utföras. Denna verksamhet, som i huvudsak består i att mönstra (motsvarande), skriva in och krigsplacera totalförsvarspliktiga, lämna stöd till de bemanningsansvariga samt redovisa personal inom totalförsvaret, måste anses vara av allmänt intresse. Samtycke från den enskilde till att uppgifterna behandlas med automatik och/eller registreras krävs därför ej.

11.2.2. Behandling för andra ändamål än dem som uppgifterna ursprungligen insamlades för

Bakgrund: Av 9 5 första stycket d i förslaget till persondatalag följer att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Pliktverket får i sin verksamhet personuppgifter från flera myndig- heter och andra organ som samlat in uppgifterna för helt andra ändamål än dem som Pliktverket skall använda uppgifterna för (se avsnitt 7.2.3).

Överväganden: Datalagskommittén framhåller att även ett utlämnande till annan av personuppgifter måste vara förenligt med de ursprungli- gen angivna ändarnålen. Det bör därför, enligt kommittén, inte vara möjligt att kringgå kravet på en fortsatt ändamålsenlig behandling

genom att en persondataansvarig lämnar ut uppgifterna till en annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprungliga (Datalagskommittén, avsnitt 12.4. 3). Den som lämnar ut uppgifterna skulle i denna situation —— i vart fall med vetskap om mottagarens avsikter göra sig skyldig till en otillåten behandling i och med utlämnandet. Konflikt kan här uppstå mellan persondatala- gens bestämmelser om en alltigenom ändamålsenlig behandling och bestämmelser i andra författningar som föreskriver skyldighet för vissa myndigheter att lämna uppgifter till andra. (Motsvarande konflikt uppkommer inte vad gäller myndigheternas skyldighet att lämna ut uppgifter till allmänheten eftersom persondatalagen inte innebär någon inskränkning av offentlighetsprincipen. Se 8 5 första stycket förslaget till persondatalag och avsnitt 6.3 ovan.) Bestämmelser om skyldighet för en myndighet att lämna uppgifter till en annan myndighet har ofta tillkommit för att sekretess som gäller för uppgiften skall brytas (se 14 kap. 1 5 sekretesslagen och avsnitt 4.3.8, ovan). Bestämmelserna har däremot knappast föregåtts av några överväganden om huruvida mottagarens behandling är förenlig med de ändamål för vilka uppgiften ursprungligen samlats in. Datalagskommittén har upp- märksammat problemet och anfört, att bestämmelserna om skyldighet att lämna ut uppgifter måste ses över, något som kommittén inte har ansett att dess uppdrag omfattat (Datalagskommittén, avsnitt 8. 2. 2). För Pliktverkets del skulle ovan redovisade problem kunna lösas genom en föreskrift om att personuppgifter får lämnas till Pliktverket för de i lagen om behandling av personuppgifter om totalförsvarsplik- tiga angivna ändamålen, även om uppgiften ursprungligen insamlats för andra ändamål. Eftersom bestämmelser i andra lagar och för- ordningar har företräde framför bestämmelserna i persondatalagen (se 2 5 förslaget till persondatalag) innebär emellertid redan en föreskrift i författning om att en uppgift skall lämnas ut, att utlämnande också kan och skall ske, även om åtgärden skulle strida mot de ändamål för vilka uppgiften ursprungligen samlats in. Detta förhållande, jämte en sådan bestämmelse som vi föreslagit ovan om att de uppgifter som Pliktverket samlar in skall anses insamlade för de i lagen angivna ändamålen så länge inte annat uttryckligen angivits vid Pliktverkets insamling, medför att persondatalagens bestämmelser om ändamålsen- lig behandling inte hindrar vare sig utlämnande av uppgifter till Pliktverket, i de fall skyldigheten att lämna uppgiften följer av författning, eller Pliktverkets egen behandling av dessa uppgifter. En särskild föreskrift om att utlämnande och behandling är tillåten i dessa situationer är därmed inte nödvändig. Det skall framhållas att den översyn av bestämmelserna om skyldighet att lämna ut uppgifter som Datalagskommittén förordar, och som också får anses påkallad

allmänt sett, inte behöver omfatta de regler som föreskriver skyldighet att lämna personuppgifter till Pliktverket så länge skyldigheten motiveras av totalförsvarets behov eftersom bestämmelser som rör försvar inte behöver bringas i överensstämmelse med EG—direktivet.

Slutligen skall påpekas att det i dag inte går att säga var gränserna går för när en behandling blir ”oförenlig” med ändamålen. Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.4. 3) får detta bestämmas genom praxis och de mer preciserade regler som regering— en och Datainspektionen kan utfärda.

11.2.3. Särskilt om behandling för forskning och statistik

Överväganden: Som nämnts ovan anses generellt — inte behand- ling för historiska, statistiska och vetenskapliga ändamål oförenlig med de ändamål för vilka uppgifterna samlats in (avsnitt 6.3). Detta följer uttryckligen av 95 andra stycket i förslaget till persondatalag. Personuppgifter från t.ex. mönstringsförrättningar utgör ett viktigt underlag för statistik och forskning och vi ser inga skäl att göra undantag från persondatalagens bestämmelser, eller på annat sätt begränsa eller förbjuda behandling av uppgifterna för sådana ändamål. De personuppgifter Pliktverket samlat in kan alltså användas för forskning och statistik trots att detta inte angivits vid insamlingen av uppgifterna. Någon särskild bestämmelse om detta i lagen om behandling av personuppgifter om totalförsvarspliktiga erfordras inte. Den lag vi föreslår reglerar inte behandling för forsknings— och statistikändamål. Vi föreslår emellertid vissa särbestämmelser när det gäller möjligheter till sökning av personuppgifter i Pliktverkets ADB- register över totalförsvarspliktiga och beträffande bevarande av uppgifter i registret för dessa ändamål. (Se avsnitt 12.5 och kap. 13.)

11.3. Vilka personuppgifter skall få behandlas?

Förslag: Pliktverket skall få behandla känsliga personuppgifter om det är nödvändigt för något av de i lagen angivna ändamålen. Även de myndigheter och andra som kan utföra mindre om- fattande utredningar om de totalförsvarspliktigas förhållanden enligt lagen om totalförsvarsplikt, skall få behandla känsliga personuppgifter om uppgifterna behövs i sådan utredningsverk- samhet. Bedömning: I övrigt är inga avvikelser från persondatalagens bestämmelser om vilka personuppgifter som får behandlas på- kallade allmänt sett.

(De begränsningar vi föreslår av vilka uppgifter som skall få behandlas genom att registreras i Pliktverkets ADB-register över totalförsvarspliktiga redovisas i avsnitt 12.2, nedan.)

Bakgrund: Enligt förslaget till persondatalag skall den persondataan- svarige tillse att inte flera personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (9 5 första stycket f.). Lagen innehåller också förbud mot behandling av vissa känsliga personuppgifter (13 5) och mot att andra än myndigheter behandlar personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål (21 5). Enligt 22 5 får uppgifter om personnummer bara behandlas när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller av något annat beaktansvärt skäl.

Pliktverket behöver i sin verksamhet kunna behandla såväl sådana uppgifter som enligt persondatalagens definition är känsliga, som uppgifter om lagöverträdelser och personnummer.

Överväganden: Vad gäller de personuppgifter om totalförsvarspliktiga som Pliktverket skall kunna behandla, är det, bortsett från de begräns- ningar som bör göras vad gäller ADB-registrering av uppgifterna, enligt vår bedömning tillräckligt med den föreslagna persondatalagens allmänt hållna bestämmelse om att inte fler uppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen. (I avsnitt 12.2 nedan anges vilka personuppgifter som bör få införas i Pliktverkets ADB-register över totalförsvarspliktiga.)

Inte heller persondatalagens bestämmelser om behandlingen av uppgifter om lagöverträdelser m.m. och av personnummer, föranleder några förslag till undantag eller förtydliganden från vår sida. Uppgifter om lagöverträdelser kan tas in av Pliktverket från olika polisregister

för att förhindra att en kriminellt belastad person hamnar i en från säkerhetssynpunkt olämplig befattning. Vidare får Pliktverket uppgifter från Kriminalvårdsstyrelsen om intagningar och avgångar från kriminalvårdsanstalter, främst som underlag för beslut om kallelser till mönstring och repetitionsövningar, och från domstolar om domar i mål om brott mot totalförsvarsplikten (se ovan, avsnitt 7.2.3.) Som myndighet har Pliktverket också rätt att behandla sådana uppgifter (så länge behandlingen är nödvändig med hänsyn till ändamålen). De villkor persondatalagen ställer för att personnummer skall få behandlas är uppfyllda i Pliktverkets verksamhet. Vikten av en säker identifie- ring är ett skäl till varför Pliktverket måste kunna behandla uppgifter om personnummer.

Persondatalagens bestämmelser om förbud mot behandling av känsliga personuppgifter föranleder emellertid närmare överväganden. I 13 5 första stycket persondatalagen anges att det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung,

b) politiska åsikter, c) religiös eller filosofisk övertygelse, d) medlemskap i fackförening.

Enligt andra stycket i 135 är det också förbjudet att behandla personuppgifter som rör hälsa eller sexualliv.

De nu uppräknade kategorierna av uppgifter betecknas med persondatalagens terminologi som känsliga (3 5 persondatalagen). Det är en självklarhet att ett förbud mot behandling av dessa uppgifter inte kan vara absolut. Inte minst med hänsyn till den enskildes egna intressen måste även känsliga personuppgifter kunna behandlas i vissa fall, t.ex. inom sjukvården. 15—19 55 i persondatalagen innehåller också en rad undantag från förbudet. Känsliga personuppgifter får enligt dessa lagrum behandlas efter den enskildes samtycke eller eget offentliggörande av upp- gifterna, — när behandlingen är nödvändig i vissa fall, t.ex. för att rättsliga anspråk skall kunna göras gällande,

av ideella organisationer inom deras verksamhet såvitt avser med- lemmar och vissa andra personer, inom hälso- och sjukvården samt för forskning och statistik.

Dessutom får regeringen eller myndighet som regeringen bestämmer föreskriva ytterligare undantag från förbudet mot behandling av

känsliga personuppgifter, om det behövs med hänsyn till ett allmänt intresse.

Pliktverket behöver kunna behandla uppgifter om den enskildes hälsa i stor utsträckning. Resultaten från de medicinska och psykolo- giska undersökningar som föregår ett beslut om inskrivning av den totalförsvarspliktige utgör det viktigaste underlaget vid bedömningen av hans eller hennes tjänstbarhet. Även uppgifter om religiös eller filosofisk övertygelse tillhör sådant som Pliktverket 1 vissa fall behöver för att få underlag för beslut om hur den enskilde skall användas inom totalförsvaret. En allvarlig personlig Övertygelse rörande bruk av vapen kan t.ex. grunda en rätt till vapenfri tjänstgöring och en anslutning till den religiösa sekten Jehovas vittnen kan innebära att den totalförsvarspliktige tills vidare inte skall kallas till mönstring (se 3 kap. 16 5 och 10 kap. 8 5 2 lagen om totalförsvarsplikt samt 7 kap. 3 5 förordningen om totalförsvarsplikt). Dessutom kan det förekomma att andra känsliga uppgifter åberopas av den enskilde själv som skäl för befrielse från tjänstgöring eller för särskild typ av tjänstgöring.

De undantag från förbudet mot behandling av känsliga personupp- gifter som anges ipersondatalagen omfattar inte Pliktverkets verksam- het i nu aktuellt avseende. Inte heller kan bestämmelser i andra för— fattningar om att myndigheter och de totalförsvarspliktiga själva skall lämna känsliga uppgifter till Pliktverket, anses innebära att Pliktverket också har rätt att vidta åtgärder med uppgifterna i strid med personda- talagens förbud. Här är det viktigt att hålla i minnet att vad personda- talagen förbjuder inte är all sorts behandling av känsliga personuppgif- ter utan —— vilket följer av lagens tillämpningsområde — behandling som helt eller delvis är automatisk samt även annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register. Pliktverket har således rätt att behandla känsliga uppgifter manuellt, förutom genom att registrera dem, utan särskilda föreskrifter om undantag från persondatalagens förbud.

Pliktverket behöver emellertid kunna registrera känsliga personupp- gifter med hjälp av ADB och i viss utsträckning även i övrigt kunna behandla dem med automatik. Vi föreslår därför att en bestämmelse tas in i lagen om behandling av personuppgifter om totalförsvarsplikti- ga som generellt medger Pliktverket att behandla känsliga personupp- gifter om det är nödvändigt med hänsyn till de ändamål som anges i lagen. Eftersom det inte går att förutse vilka uppgifter den enskilde själv kan komma att åberopa bör undantaget inte begränsas till vissa känsliga uppgifter.

Förbudet mot behandling av känsliga personuppgifter medför problem också för de myndigheter och andra organ som kan utföra annan mindre omfattande utredning än mönstring. (Se 2 kap. 1 5 lagen

om totalförsvarsplikt och 4 kap. 5 5 andra stycket förordningen om totalförsvarsplikt samt avsnitt 7. 2. 2, ovan. ) Även om en sådan utredning inte skall vara mer omfattande än vad som behövs för att den totalförsvarspliktiges förutsättningar att fullgöra civilplikt i en viss befattning skall kunna bedömas, utgör uppgifter om hälsotillstånd en del av det underlag som behövs. Det torde vara i det närmaste omöj- ligt att hantera uppgifterna utan att föra 1n dem i någon typ av — i vart fall manuellt register och även om uppgifterna i dag vidare- befordras till Pliktverket per brev, är det rimligt att anta att för- sändelsema i en nära framtid kommer att ske i elektronisk form. Det finns alltså ett behov av bestämmelser som ger de aktuella myndigheterna rätt att behandla känsliga personuppgifter. Det kan med visst fog invändas att den lag vi föreslår endast bör vara tillämplig på Pliktverkets verksamhet och att de avvikelser från persondatalagen som är motiverade för andras verksamhet bör undersökas särskilt och tas in i andra författningar. De mindre omfattande utredningarna tjänar emellertid samma syften som Pliktverkets egen utredningsverksamhet och är mycket nära förknippade med denna på sådant sätt att överens- kommelser myndigheterna emellan om samordning ofta är nödvändig. Praktiskt går det inte sällan till så att en myndighet först ber Pliktver- ket om ett underlag som omfattar vissa uppgifter, varefter myndig- heten sj älv kompletterar uppgifterna genom frågor till den totalförsvar— spliktige. Underlaget tillställs därefter Pliktverket tillsammans med en begäran om att den totalförsvarspliktige skall skrivas in. Pliktverkets och den andra myndighetens åtgärder kan därmed sägas vara förenade i samma utredningsärende. De undantag från persondatalagens bestämmelser som ärendet motiverar kan enligt vår uppfattning därför med fördel ges i samma författning, på samma sätt som reglerna för utredningar om den totalförsvarspliktiges förhållanden, för såväl Pliktverket som andra myndigheters vidkommande, ges i lagen om totalförsvarsplikt (och i förordningen därom). Vi föreslår att be— stämmelser som ger de aktuella myndigheterna m.fl. rätt att behandla känsliga personuppgifter tas in i lagen om behandling av personuppgif- ter om totalförsvarspliktiga. I lagtexten bör markeras att detta är ett undantag från lagens tillämpningsområde i övrigt, och vilket är en mycket viktig begränsning att undantaget från persondatalagens förbud mot behandling av känsliga personuppgifter för de berörda myndigheterna endast gäller i deras verksamhet för att utreda totalförsvarspliktigas förhållanden som sker med stöd av bestämmel- serna i lagen om totalförsvarsplikt. Känsliga personuppgifter skall också kunna kommuniceras mellan Pliktverket och de enheter inom totalförsvaret som är ansvariga för pliktpersonalens utbildning. Pliktverket skall tillställa den utbildnings-

ansvarige uppgifter om den enskildes hälsa i samband med att denne rycker in till grundutbildning. Efter avslutad grundutbildning skall Pliktverket få tillbaka uppgifterna, med eventuella tillägg som införts i den enskildes journal. Enligt 18 5 andra stycket persondatalagen får den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt alltid behandla känsliga personuppgifter. En förbandsläkare (motsvarande) är underkastad förbud att röja uppgifter om enskilds hälsotillstånd och andra personliga förhållanden i enlighet med sekretesslagens föreskrifter (7 kap. 1 och 3 55), och får därmed enligt den föreslagna persondatalagen behandla de aktuella upp- gifterna. Så länge det är hälso— och sjukvårdspersonal som behandlar känsliga personuppgifter hos den utbildningsansvarige behövs sålunda inte några särskilda bestämmelser som ger tillåtelse till behandlingen. Hos den utbildningsansvarige torde härutöver endast de som tar befattning med det grundutbildningskort som översänds i samband med inryckningen ha ett behov av att behandla känsliga personuppgif- ter (se ovan avsnitt 8.4.4). I grundutbildningskortet förekommer sifferkoder som anger hälsa och psykisk funktionsförmåga. Det torde redan nu finnas ett behov för den utbildningsansvarige att behandla grundutbildningskortet genom att ordna in det i någon form av register och det kan förutses bli vanligt att uppgifterna skickas elektroniskt från Pliktverket till den utbildningsansvarige. Skulle det anses nödvändigt med särskilda bestämmelser som anger att utbildningsan- svariga enheter inom försvaret får behandla känsliga personuppgifter, bör dessa ges i annan författning än i lagen om behandling av personuppgifter om totalförsvarspliktiga. Det är här frågan om behandlingsåtgärder som behöver kunna utföras av Pliktverkets ”kunder”, sedan dessa tagit emot uppgifterna från Pliktverket. De bestämmelser som kan vara nödvändiga bör övervägas särskilt. Vårt uppdrag omfattar inte en sådan översyn, men vi vill framhålla att en översyn kan bli nödvändig i och med att användandet av datakommu- nikation ökar. En lösning som kan visa sig lämplig är att regeringen, med stöd av 20 5 persondatalagen, ger en generell föreskrift om att behandling av känsliga personuppgifter är tillåten i verksamhet som avser utbildning av personal inom totalförsvaret.

11.4. Skydd för uppgifterna

Bedömning: Persondatalagsförslagets allmänna bestämmelser om skyddsåtgärder och om att Datainspektionen kan meddela närmare skyddsföreskrifter skall gälla även vid behandling av person- uppgifter om totalförsvarspliktiga. Ytterligare föreskrifter i lag eller förordning om skydd för uppgifterna är inte påkallade.

Bakgrund: Enligt 31 5 i förslaget till persondatalag skall den persondataansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns,

b) vad det skulle kosta att genomföra åtgärderna,

c) de särskilda risker som finns med behandlingen av personuppgifter— na och

d) hur pass känsliga de behandlade personuppgiftema är.

Tillsynsmyndigheten får enligt 32 5 besluta om vilka skyddsåtgärder som den persondataansvarige skall vidta. Tillsynsmyndighetens beslut kan förenas med vite (47 5 persondatalagen).

Överväganden: Pliktverket behandlar en stor mängd personuppgifter, i betydande delar av känslig karaktär. Kraven på skydd för uppgifterna måste därför ställas högt. Personliga kort med tillhörande koder för varje befattningshavare, som ger åtkomst endast till de uppgifter som han eller hon får behandla och logg-in system där användaren kan spåras, jämte skydd mot intrång utifrån genom kryptering vid överföring av uppgifter mellan regionkontoren, är exempel på sådana åtgärder som framstår som absolut nödvändiga. Den kunskap som krävs för att avgöra vad som är en rimlig skyddsnivå med hänsyn till befintlig teknik och kostnader finns hos Datainspektionen. Den lösning som anvisas i förslaget till persondatalag är därför enligt vår upp— fattning den lämpligaste också när det gäller Pliktverkets verksamhet. Härtill kommer att den snabba tekniska utvecklingen medför att det framstår som olämpligt att i lag eller förordning binda Pliktverket vid en viss metod.

Vi föreslår sålunda inga avvikelser från persondatalagen i denna del. Vi har vid detta ställningstagande förutsatt att Datainspektionen utnyttjar sina möjligheter och ger säkerhetsföreskrifter för Pliktverkets behandling av personuppgifter om totalförsvarspliktiga.

11.5. Information till den registrerade och rättelse av felaktigt behandlade uppgifter

Bedömning: Den föreslagna persondatalagens bestämmelser om den persondataansvariges inforrnationsplikt är tillräckliga. Några ytterligare föreskrifter för Pliktverkets behandling av personupp— gifter om totalförsvarspliktiga behövs inte i detta avseende. Förslag: Persondatalagens bestämmelser om den persondataansva- riges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man till vilken uppgifterna har lämnats ut om sådana åtgärder, skall gälla även då personuppgifter behandlats i strid med lagen om be- handling av personuppgifter om totalförsvarspliktiga eller före- skrifter som utfärdats med stöd av den lagen.

Bakgrund: Bestämmelser om vilken information den registrerade har rätt till då personuppgifter beträffande honom eller henne behandlas ges i 23—27 55 i förslaget till persondatalag. När uppgifter om en person samlas in från denne själv skall den persondataansvarige alltid självmant lämna information om behandlingen. Om personuppgifter samlas in från någon annan skall information lämnas när uppgifterna antecknas eller — om uppgifterna är avsedda att lämnas ut till tredje man — när de lämnas ut för första gången. Om uppgifterna har samlats in från annan än den registrerade behöver dock inte in- formation lämnas om det finns bestämmelser om registrerandet eller om utlämnandet av uppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas om det visar sig omöjligt eller skulle innebära en oproportionerligt stor ansträngning för den persondataansvarige. I de sist nämnda fallen skall information i stället lämnas senast i samband med att uppgifterna används för att vidta åtgärder beträffande den registrerade.

Den information som skall lämnas till den registrerade är enligt 25 5 persondatalagen a) uppgift om den persondataansvariges identitet, b) uppgift om ändamålen med behandlingen och c) all övrig information som behövs för att den registrerade skall kunna ta tillvara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information.

Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Den persondataansvarige är vidare skyldig att efter skriftlig ansökan lämna information, gratis en gång per kalenderår, om huruvida personuppgifter som rör sökanden behandlas eller inte. Behandlas uppgifter om honom eller henne skall information också lämnas om a) vilka uppgifter som behandlas b) varifrån dessa uppgifter hämtats c) ändamålen med behandlingen och (1) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

Regeringen eller myndighet som regeringen bestämmer (Datainspek- tionen) får enligt 51 5 persondatalagen meddela närmare föreskrifter om vilken information som skall lämnas till den registrerade och hur detta skall gå till.

Bestämmelser om sekretess gäller före persondatalagens föreskrifter om informationsskyldighet och kan hindra att uppgifter lämnas ut till den registrerade (27 5 persondatalagen).

Enligt 28 5 persondatalagen är den persondataansvarige skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen eller föreskrifter som utfärdats med stöd av den. (Blockering = varje åtgärd som kan vidtas för att personuppgiftema i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgiftema inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningense 3 5 persondatalagen) Den persondataansvarige skall vidare, under vissa förutsättningar, också underrätta dem till vilka uppgifterna har lämnats ut om åtgärden.

Överväganden: För Pliktverkets del innebär reglerna om infomtation till den registrerade bl.a. att sådan självmant skall lämnas vid mönstringen och vid motsvarande utredningar, där den totalförsvars- pliktige själv lämnar uppgifterna till Pliktverket. Det torde inte vara förenat med några större svårigheter eller orimliga ansträngningar att t.ex. ordna det så att den mönstrande inför mönstringsförrättningen får den i förslaget till persondatalag föreskrivna informationen. Det torde inte vara tillräckligt att information lämnas först i samband med beslutet om inskrivning, dvs. efter det att uppgifterna samlats in och redan behandlats till viss del. Det kan vara lämpligt att Datainspektio- nen ger närmare föreskrifter om hur Pliktverket skall uppfylla sin informationsskyldighet.

Information om behandling av personuppgifter som Pliktverket hämtat från annan myndighet eller annat organ behöver inte ges till

den registrerade om det framgår av lag eller förordning att dessa uppgifter skall lämnas ut till Pliktverket. Detta undantag från inforrnationsskyldigheten följer av 24 5 andra stycket i förslaget till persondatalag, som i sin tur grundar sig på artikel 11 p. 2 i EG- direktivet, där det också anges att medlemsstaterna skall föreskriva lämpliga skyddsåtgärder, bl.a. när denna undantagsregel är tillämplig. Datalagskommittén har uttalat (Datalagskommittén, avsnitt 12. 7.2.4) att när det finns bestämmelser om registrering eller utlämnande i en författning, torde det också finnas mekanismer eller föreskrifter som förhindrar missbruk och som får anses vara tillräckliga för att uppfylla direktivets krav på lämpliga skyddsåtgärder. Enligt vår bedömning innebär de föreskrifter som finns om utlämnande av uppgifter till Pliktverket, tillsammans med vad som följer av vårt förslag om de ändamål för vilka dessa uppgifter får behandlas, ett tillräckligt skydd mot missbruk.

Sammantaget anser vi att det saknas skäl att göra undantag, vare sig genom utvidgning eller genom inskränkning, från den informations- skyldighet gentemot den registrerade som föreskrivs i persondatalagen.

Reglerna i persondatalagen om rätt för den registrerade att få personuppgifter rättade, blockerade eller utplånade gäller enligt 28 5 endast uppgifter som inte behandlats i enlighet med persondatalagen eller föreskrifter som meddelats med stöd av den lagen. Uppgifter som behandlats i strid mot föreskrifter i särskilda registerförfattningar omfattas sålunda inte om inte behandlingen också strider mot persondatalagen eller mot föreskrifter som meddelats med stöd av denna. Enligt vår uppfattning saknas skäl till att göra någon skillnad härvidlag. Den registrerade bör ha samma möjlighet att få personupp- gifter rättade eller korrigerade på annat sätt om behandlingen strider mot bestämmelserna i en särskild registerförfattning som i andra fall. För att detta skall uppnås krävs, att det i lagen om behandling av personuppgifter om totalförsvarspliktiga tas in en bestämmelse om att persondatalagens regler i denna del gäller även då uppgifterna har behandlats i strid med förstnämnda lag eller föreskrifter som utfärdats med stöd av den lagen.

Det skall anmärkas att den persondataansvarige torde ha rätt att välja lämplig korrigeringsmetod (Datalagskommittén, avsnitt 12. 8.2. 3). Enligt Datalagskommitténs tolkning av EG-direktivet bör den persondataansvarige också kunna välja andra åtgärder för att ”läka” brott mot vissa föreskrifter (Datalagskommittén, avsnitt 12.8.2.1). Har personuppgifter behandlats utan att en nödvändig anmälan till tillsynsmyndigheten gjorts (se nedan, avsnitt 11.7.1), bör den persondataansvarige kunna undvika ”rättelse, utplånande eller blockering” av uppgifterna genom att skyndsamt lämna in en anmälan.

På motsvarande sätt bör man, enligt Datalagskommittén, kunna resonera när personuppgifter har behandlats i strid med de bestämmel- ser som finns om en lämplig säkerhetsnivå vid behandlingen eller om den information om behandlingen som skall lämnas till den registrera- de.

Det bör i sammanhanget uppmärksammas att den persondataansvari- ge har ett eget ansvar enligt persondatalagen (9 5 första stycket h), att tillse att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen.

11.6. Ansvaret för behandlingen

Förslag: Pliktverket skall vara persondataansvarigt för de be- handlingar av personuppgifter om totalförsvarspliktiga som verket utför. Pliktverket skall inte ansvara för behandling som annan utför innan Pliktverket mottagit uppgifterna eller sedan upp- gifterna lämnats ut.

Bakgrund: Persondataansvarig är enligt den definition som ges i förslaget till persondatalag den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter (3 5). Av definitionen följer att fler än en person kan vara ansvarig för en behandlingsåtgärd. Persondataansvaret innebär:

1. Skyldighet för den persondataansvarige att se till (9 5 första stycket):

a) att personuppgifter bara behandlas när det är lagligt, särskilt att samtycke inhämtas när så krävs,

b) att personuppgifter alltid behandlas på ett korrekt sätt,

c) att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, (1) att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

e) att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, 0 att inte flera personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

g) att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständi- ga med hänsyn till ändamålen med behandlingen, och

i) att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

2. Den persondataansvarige skall lämna information till den registrera— de om behandlingen (23—27 55). (Se ovan, avsnitt 11.5.)

3. Den persondataansvarige är skyldig att på begäran av den registre- rade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med persondatalagen (28 5). (Se ovan, avsnitt 11.5.)

4. Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 5). (Se ovan, avsnitt 11.4.)

5. Den persondataansvarige skall enligt huvudregeln anmäla all automatisk behandling av personuppgifter till Datainspektionen (36 5). (Se nedan, avsnitt 11.71.)

6. Den persondataansvarige skall ersätta den registrerade för den skada en lagstridig behandling av personuppgifter fört med sig (43 5). (Se nedan, avsnitt 15.1.)

Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.2.6) bör huvudregeln vara att endast fysiska personer, juridiska personer, utländska filialer eller myndigheter i Sverige skall kunna betraktas som persondataansvariga, inte några andra organ som saknar rättskapacitet.

Den persondataansvarige kan anlita någon som utför behandlingen av personuppgifter för hans eller hennes räkning. Denne är då att betrakta som persondatabiträde (3 5 persondatalagen). I dessa situationer skall det, enligt 30 5 andra stycket persondatalagen, upprättas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I avtalet skall det särskilt föreskrivas att persondatabiträdet får behandla personupp- gifterna bara i enlighet med instruktioner från den persondataansvarige och att persondatabiträdet är skyldigt att vidta de skyddsåtgärder som följer av persondatalagen (se ovan, avsnitt 11.4). En persondataansva- rig som anlitar ett persondatabiträde skall förvissa sig om att biträdet kan genomföra de säkerhetsåtgärder som måste vidtas och också se till att denne verkligen vidtar åtgärderna (31 5 persondatalagen).

Överväganden: Ändamålen med Pliktverkets behandling av person- uppgifter bestäms enligt vårt förslag i en särskild lag om behandling av personuppgifter om totalförsvarspliktiga. I de fall behandling av personuppgifter inom viss verksamhet regleras i en särskild för- fattning, bör också den persondataansvarige pekas ut där. Definitionen i förslaget till persondatalag av vem som är ansvarig den som bestämmer ändamålen och medlen — kan annars leda tanken fel. EG- direktivet tillåter att den persondataansvarige anges i en nationell författning när ändamål och medel för behandling av personuppgifter också bestäms på det sättet (artikel 2 (1).

Vid behandling av personuppgifter i Pliktverkets verksamhet är det självklart Pliktverket som skall bära persondataansvaret. Någon annan som kan fullgöra de skyldigheter som följer med detta ansvar finns inte. Ansvaret kan emellertid endast omfatta Pliktverkets egen behandling av personuppgifter. De myndigheter och andra som lämnar uppgifter till Pliktverket ansvarar för behandlingen till dess att uppgiften är överlämnad. På samma sätt är de organ inom totalförsva- ret som erhåller uppgifter från Pliktverket ansvariga för sin behandling från det att de tagit emot uppgiften. I lagen bör därför anges att Pliktverket är persondataansvarigt för den behandling av personuppgif- ter om totalförsvarspliktiga som verket utför. Pliktverket skall alltså inte anses ansvarigt för sådan behandling av personuppgiftema som utförs av någon annan. Vare sig de som lämnar uppgifter till Pliktver- ket eller de som får uppgifter därifrån intar ställning som uppdragsta- gare (persondatabiträden) till Pliktverket. Det är inte Pliktverket som fastställer ändamål och medel för dessa myndigheters och andra organs behandling av uppgifterna.

Vi får i avsnitt 12.3 anledning att ta upp frågan om vissa organ skall ges möjlighet att lämna personuppgifter till Pliktverket genom att lägga in dem direkt i Pliktverkets register över totalförsvarspliktiga. Den som förfar på detta sätt har självfallet ett ansvar för att uppgiften är korrekt. När uppgiften är införd i registret ”behandlar” Pliktverket uppgiften genom att lagra den och har då också i enlighet med den bestämmelse vi nyss föreslagit ett persondataansvar vid den be- handlingen. Detta förefaller rimligt eftersom Pliktverket har de praktiska möjligheterna att korrigera uppgiften, bevaka att den inte bevaras längre än nödvändigt, lämna information till den registrerade på begäran m.m. Pliktverkets ansvar i denna situation fråntar emellertid inte uppgiftslämnaren dennes ansvar. Denne har alltjämt en skyldighet att t.ex. skydda uppgifterna vid behandlingen vid sin egen terminal, vidta åtgärder för att rätta dem om det framkommer att de är felaktiga m.m. Detta behöver emellertid inte uttryckas särskilt i lagtexten. Bestämmelsen om att Pliktverket bär persondataansvaret för

sina behandlingsåtgärder, syftar till att klarlägga att ingen annan ansvarar för vad Pliktverket gör med uppgifterna och att en registrerad alltid skall kunna vända sig till Pliktverket för att få information och för att få felaktigheter rättade m.m., såvitt avser uppgifter som Pliktverket behandlar. Bestämmelsen utesluter emellertid inte att annan här ett ansvar för sin behandling av samma uppgift.

11.7. Anmälan och tillsyn

Förslag: Pliktverkets behandling av personuppgifter om totalför- svarspliktiga skall vara underkastad Datainspektionens tillsyn. Datainspektionen får dock inte förbjuda Pliktverket att behandla personuppgifter om totalförsvarspliktiga.

1171. Anmälan till Datainspektionen

Bakgrund: Införandet av EG—direktivet i svensk rätt innebär bl.a. att nuvarande system med obligatoriska licenser och tillstånd för ADB- baserade personregister ersätts med en ordning där behandling av personuppgifter inte kräver annat än en anmälan till Datainspektionen. Den persondataansvarige måste givetvis följa de föreskrifter om behandling av personuppgifter som ges i lagar och förordningar samt av Datainspektionen, men något formellt tillstånd för verksamheten behövs inte.

EG-direktivet föreskriver skyldighet för den persondataansvarige att före genomförandet av en behandling, eller en serie behandlingar, som helt eller delvis företas på automatisk väg och som har samma eller flera närbesläktade ändamål underrätta tillsynsmyndigheten, dvs. för svenskt vidkommande Datainspektionen (artikel 18). Direktivet ger dock medlemsstaterna vissa möjligheter att föreskriva undantag från anmälningsplikten. Datalagskommittén, som i sitt betänkande argumenterar för att skyldigheten att anmäla behandlingar till Datainspektionen skall begränsas till ett minimum (Datalagskommittén, avsnitt 12.12), ger i sitt förslag till persondatalag stort utrymme för sådana undantag. Persondatalagens bestämmelser om anmälnings- skyldighet återfinns i 36—42 55. Här föreskrivs som huvudregel att behandling av personuppgifter som är helt eller delvis automatisk skall anmälas skriftligen till tillsynsmyndigheten (fortsättningsvis Datain- spektionen). Icke automatisk behandling av personuppgifter skall inte anmälas. Den persondataansvarige kan undgå anmälningsskyldighet

även för automatiska behandlingar om han utser ett persondataombud och offentliggör vem det är. Persondataombudet skall se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne. Har persondataom- budet anledning att misstänka att den persondataansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall persondataombudet anmäla förhållandet till Datainspektionen. Persondataombudet skall även i övrigt samråda med Datainspektionen vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas samt hjälpa registrerade personer att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Regeringen eller Datainspektionen (efter regeringens bemyndigande) får föreskriva ytterligare undantag från anmälningsskyldigheten, bl.a. för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång iden personliga integriteten. Datalagskommittén anger som exempel på vad som bör kunna undantas från anmälnings- skyldighet genom föreskrifter som meddelas med stöd av denna bestämmelse sådana behandlingar som i dag endast omfattas av Datainspektionens generella föreskrifter eller föreskrifter om ett förenklat ansökningsförfarande (Datalagskommittén, avsnitt 12.12. 2. 3).

I de fall anmälan till Datainspektionen skall ske, ankommer det enligt 51 5 f persondatalagen på regeringen eller myndighet som regeringen bestämmer (Datainspektionen) att meddela närmare föreskrifter om anmälan och om förfarandet när anmälda uppgifter ändras.

Enligt EG-direktivet (artikel 19) skall en anmälan till en till- synsmyndighet åtminstone innehålla a) den persondataansvariges (registeransvariges) och dennes eventuella företrädares namn och adress,

b) ändamålen med behandlingen,

c) en beskrivning av den eller de kategorier av registrerade som berörs och de uppgifter eller kategorier av uppgifter som hänför sig till dem, (1) mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut,

e) föreslagna överföringar av uppgifter till tredje land,

f) en allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av de åtgärder som vidtagits för att trygga säkerheten i behandlingen.

Överväganden: Att behandlingen av personuppgifter om totalförsvars- pliktiga, enligt vårt förslag, regleras i en särskild lag kan användas som ett argument för att Pliktverket skall befrias från skyldigheten att anmäla automatiska behandlingar till Datainspektionen. I denna lag regleras behandlingen av personuppgiftema relativt noggrant och eftersom verksamheten inte omfattas av EG-direktivet finns det möjlighet att föreskriva undantag från anmälningsskyldigheten oavsett hur bestämmelserna i persondatalagen tolkas. En anmälan av Pliktver- kets behandlingsåtgärder till Datainspektionen kan tjäna det syftet att vissa uppgifter om verksamheten, som inte framgår av lagen om behandling av personuppgifter om totalförsvarspliktiga, görs till- gängliga för såväl Datainspektionen som för allmänheten. Det gäller (enligt vad som följer av EG-direktivet om vad en anmälan skall innehålla) adressen till den persondataansvarige, uppgifter om kategorier av mottagare av personuppgiftema och en allmän be— skrivning av de säkerhetsåtgärder som vidtagits. (Härutöver kan regeringen eller Datainspektionen utfärda generella föreskrifter om att en anmälan skall innehålla ytterligare uppgifter). Allmänhetens intresse av information tillgodoses emellertid även om Pliktverkets behandling undantas från anmälningsskyldighet. Enligt 42 5 i förslaget till persondatalag skall nämligen den persondataansvarige, till var och en som begär det, skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar av personuppgifter som inte anmälts till Datainspektionen. Upplysningama skall omfatta det som en anmälan annars skulle ha omfattat. Fördelarna med att Pliktverket lämnar in en amnälan till Datainspektionen synes därmed små. Ett sådant konstaterande utgör dock inte tillräckligt skäl för att persondatalagens huvudregel om anmälningsskyldighet skall frångås. Förutom den fördelen att Datainspektionen utan anmaning därom får uppgifter om Pliktverkets behandling av personuppgifter, torde en anmälningsskyldighet innebära ett incitament för Pliktverket att utse ett persondataombud. Om Pliktverket väljer att utse ett persondataom- bud bortfaller anmälningsskyldigheten, men persondataombudet skall föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle omfattats av anmälningsskyldighet om ombudet inte funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan skulle ha innehållit (39 5 persondatalagen). Persondataombudet får i enlighet med vad som beskrivits ovan —— ställning som länk mellan Datainspektionen och Pliktverket och även mellan Pliktverket och de registrerade, vilket framstår som ett lämpligt sätt att samla kompetens i frågor som rör Pliktverkets behandling av personuppgifter om totalförsvarspliktiga. Enligt EG-direktivet skall ett persondataombud ”på ett oberoende sätt” kunna kontrollera den

persondataansvarige. Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.12.2.4) kan persondataombudet vara anställd hos den persondataansvarige men får inte inneha en ”alltför underordnad ställning” med hänsyn till de krav på självständighet som måste ställas.

Det ankommer på Pliktverket att avgöra om persondataombud skall utses eller inte. En sådan ordning framstår emellertid som fördelaktig såväl för Pliktverket som för de registrerade.

11.7.2 Datainspektionens tillsyn och befogenheter

Bakgrund: Artikel 28 i EG-direktivet föreskriver att det skall finnas en eller flera nationella tillsynsmyndigheter som har till uppgift att inom varje medlemsstats territorium övervaka de bestämmelser som medlemsstatema antar till följd av direktivet. Regeringen har genom beslut den 18 januari 1996 (Dnr. Ju 96/ 176) utsett Datainspektionen till tillsynsmyndighet. Datalagskommittén har föreslagit att reglerna om Datainspektionens uppgifter förs in i myndighetens instruktion och att det i persondatalagen bara tas in bestämmelser om inspektionens befogenheter i samband med tillsynsverksamheten (Datalagskommittén, avsnitt 12.14.1.3).

I förslaget till persondatalag föreskrivs rätt för Datainspektionen att för sin tillsyn på begäran få tillgång till de uppgifter som behandlas, upplysningar och dokumentation rörande behandlingen av personupp- gifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter (45 5). Om Datainspektionen inte efter sådan begäran kan få tillräckligt underlag för att konstatera att behandlingen är laglig, får myndigheten vid vite förbjuda den persondataansvarige att behandla personuppgifter på annat sätt än genom att lagra dem (46 5). Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, får myndig— heten vid vite förbjuda den persondataansvarige att fortsätta behandla personuppgiftema på ett annat sätt än att lagra dem (47 5). Datain- spektionen får också hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som behandlats på ett olagligt sätt skall utplånas. Beslut om utplånande får inte meddelas om det är oskäligt (49 5). Datainspektionens beslut i tillsynsverksamheten får överklagas hos allmän förvaltningsdomstol. För att ett över— klagande skall tas upp av kammarrätt krävs prövningstillstånd (50 5).

Datainspektionens möjligheter att meddela föreskrifter i olika avseenden, t.ex. säkerhetsföreskrifter har redovisats ovan. För en sammanställning se avsnitt 6.7.

Överväganden: Vi har ovan utgått från att Datainspektionen skall utöva tillsyn över Pliktverkets behandling av personuppgifter om totalförsvarspliktiga (se bl.a. avsnitt 9.1.5). Så är fallet i dag och något bärande skäl att i framtiden undanta—denna verksamhet från Datainspektionens kontroll kan vi inte finna.

Enligt gällande datalag har Datainspektionen vid sin tillsyn rätt att erhålla tillträde till lokaler där ADB ”utföres”, att få tillgång till handlingar som rör ADB och föranstalta om ”körning av datamaskin”. Vidare skall den registeransvarige lämna de uppgifter rörande ADB som Datainspektionen begär för sin tillsyn (16 och 17 55 datalagen). Inspektionens rättigheter enligt datalagen är alltså i stort sett desamma som föreskrivs i förslaget till persondatalag. Vad gäller Datainspektio— nens befogenheter föreligger viss skillnad mellan gällande ordning och vad som föreslagits av Datalagskommittén. Om förandet av person— register lett till otillbörligt intrång i personlig integritet eller det finns anledning att anta att sådant intrång kan uppkomma, får Datainspektio- nen idag, enligt 18 5 första stycket datalagen, meddela olika typer av föreskrifter för registret (se 6 5 datalagen ang. vilka föreskrifter som kan meddelas). Om inte integritetsskydd kan åstadkommas på annat sätt får Datainspektionen förbjuda fortsatt förande av personregistret eller återkalla meddelat tillstånd (18 5 andra stycket datalagen). Datainspektionens föreskrifter och förbud får förenas med vite (18 5 tredje stycket datalagen). När ett register förs i strid mot ett meddelat förbud skall det förklaras förverkat om inte en sådan åtgärd framstår som uppenbart obillig (22 5 datalagen). Skillnaderna mellan ”förbud mot fortsatt förande av registret” och ett ”förbud mot behandling av personuppgiftema på annat sätt än att lagra dem” förefaller marginell, liksom skillnaden mellan ett beslut om ”förverkande av registret” och ett som innebär att personuppgiftema skall ”utplånas ”. Datalagen och persondatalagen skiljer sig emellertid åt vad gäller Datainspektionens möjligheter att ingripa mot de sk. statsmaktsregistren. Enligt datalagen får Datainspektionen meddela föreskrifter för statsmaktsregistren endast i den mån det inte står i strid med beslut av regeringen eller riksdagen. Datainspektionen får aldrig förbjuda fortsatt förande av ett statsmaktsregister. Om Datainspektionen anser att en av riksdagen eller regeringen beslutad föreskrift bör ändras eller att statsmakts- registret inte längre bör föras, har inspektionen att göra en fram- ställning om detta (se prop. 1973:33 s. 144). I förslaget till personda- talag görs ingen skillnad på behandlingar av personuppgifter som

beslutats av statsmakterna och andra. Datainspektionens befogenheter är desamma oavsett vem som beslutat att verksamheten skall före- komma. De inskränkningar som för närvarande finns i Datainspektio- nens befogenheter vad gäller statsmaktsregistren bottnar i att det inte ansetts lämpligt att inspektionen kan överpröva statsmakternas beslut (se prop. 1973:33 s. 93 ff.).

Vi anser inte att en generell bestämmelse om att Datainspektionen inte får meddela föreskrifter som står i strid med vad statsmakterna beslutat är nödvändig. Om Datainspektionen finner missförhållanden som endast kan rättas till genom ändringar i statsmakternas beslut, bör inspektionen som i dag vara hänvisad till att göra framställningar till regeringen om detta.

Pliktverkets registrering och övriga behandling av personuppgifter om totalförsvarspliktiga är nödvändig för att totalförsvarets personal- försörjning skall klaras. Det är inte rimligt att Datainspektionen skall ha möjlighet att förbjuda behandling av personuppgifter i en statlig verksamhet av sådan vikt, även om inspektionen skulle finna att uppgifterna behandlades på ett olagligt sätt. Det förefaller inte troligt att ett behov skulle uppkomma för Datainspektionen att förbjuda Pliktverket att behandla personuppgifter. En sådan åtgärd förutsätter i praktiken dels att Pliktverket behandlat uppgifterna på ett olagligt sätt, dels att verket inte rättat sig efter påpekanden från Datainspektio- nen. Med tanke på den betydelse Pliktverkets behandling av person- uppgifter har för Sveriges totalförsvar anser vi dock att lagstiftningen inte ens bör ge Datainspektionen möjlighet att stoppa verksamheten. Vi föreslår därför en undantagsbestämmelse av det innehållet i lagen om behandling av personuppgifter om totalförsvarspliktiga. Ett sådant undantag avviker i från vad EG—direktivet föreskriver, vilket också är möjligt för en verksamhet som rör totalförsvaret — dvs. för en verksamhet som inte omfattas av direktivet.

Datainspektionens möjligheter att hos länsrätten ansöka om utplåning av uppgifter som behandlats på ett olagligt sätt bör gälla även för uppgifter om totalförsvarspliktiga. Skulle det vara fråga om utplåning av uppgifter av sådan omfattning eller karaktär att totalför- svaret är hotat som verksamhet, torde ett beslut om utplåning anses som oskäligt och därför inte komma att meddelas (se 495 andra stycket persondatalagen).

Slutligen bör det uppmärksammas att Datainspektionens befogen- heter enligt persondatalagen gäller vid all olaglig behandling av personuppgifter och inte bara vid behandling i strid med persondatala— gens bestämmelser. Sålunda omfattas till skillnad mot vad som gäller för den enskildes möjligheter att få felaktigt behandlade uppgifter korrigerade även behandling som i och för sig över-

ensstämrner med vad persondatalagen föreskriver men står i strid med bestämmelser i en särskild registerförfattning (jfr avsnitt 11.5 ovan).

11.8. Övriga bestämmelser i persondatalagen

Överväganden som rör bevarande och gallring av personuppgifter, sekretess, sanktioner (straff och skadestånd) samt övergångsbe- stämmelscr, redovisas nedan i kap. 13—16.

Förslaget till persondatalag innehåller utöver vad som ovan redovi- sats i detta kapitel och utöver vad som vi enligt förra stycket åter- kommer till, spridda bestämmelser om behandling av personuppgifter som vi inte funnit anledning att gå in på närmare, antingen därför att de inte berör Pliktverkets verksamhet eller därför att det saknas anledning att överväga undantag för Pliktverkets del. För fullständig- heten redovisas här vilka bestämmelser i persondatalagen detta gäller:

11 5 Förbud mot direkt marknadsföring Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring sedan den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

12 5 Rätt att återkalla samtycke till behandling I de fall där behandling av personuppgifter bara är tillåten efter samtycke har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Därefter får ytterligare personuppgifter om den registrerade inte behandlas. En registrerad har inte utöver vad som nu sagts och vad som följer av 11 5 rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt persondatalagen.

29 5 Rätt att slippa automatiserade beslut Ett beslut som har rättsliga följder för en fysisk person eller annars märkbart påverkar denne får grundas enbart på automatisk behandling av personuppgifter, vilka är avsedda att bedöma egenskaper hos den berörda personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat på manuell väg.

I kommissionens förklaring till artikel 15 .1 i EG-direktivet, som ligger till grund för denna bestämmelse i persondatalagen, framhålls att det skall vara fråga om ett beslut som grundar sig enbart på automatisk databehandling. Det som är förbjudet, enligt Datalagskom- mittén (Datalagskommittén, avsnitt 3.8), är att slaviskt följa det resultat som har producerats av ett system för automatisk databehand- ling. Den automatiska databehandlingen kan vara ett stöd vid

beslutsfattandet, men behandlingen får inte utgöra slutresultatet utan det måste finnas utrymme för en mänsklig bedömning.

Pliktverkets beslut om inskrivning av totalförsvarspliktiga grundas till stor del på vad som framkommit vid de i och för sig databaserade undersökningarna av den enskilde, men inslaget av mänsklig be- dömning från t.ex. läkare, psykologer och inskrivningsförrättare är betydande. Pliktverkets arbetssätt strider inte mot förbudet mot automatiserade beslut, såvitt framkommit under utredningen.

33—35 55 Överföring av uppgifter utanför EG Huvudregeln är att det är förbjudet att föra över personuppgifter som behandlas till tredje land, dvs. en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska sarnarbetsom- rådet. En rad undantag finns angivna i persondatalagen och såväl regeringen som om regeringen så bestämmer Datainspektionen får föreskriva ytterligare undantag.

Något utflöde av personuppgifter från Pliktverket till tredje land förekommer enligt uppgift inte i dag. Skulle det utökade internationel— la samarbetet på det militära eller civila området motivera undantag från persondatalagens bestämmelser finns det utrymme i persondatala- gen för regeringen och Datainspektionen att föreskriva sådana undantag (se 35 5 persondatalagen).

41 5 Obligatorisk anmälan för särskiltintegritetskånsliga behandlingar Regeringen får föreskriva att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas för förhandskontroll till till- synsmyndigheten tre veckor innan behandlingen påbörjas. Sådan anmälan skall ske även om persondataombud utsetts.

Bestämmelsen om anmälan för förhandskontroll innebär att be— handlingen inte får sättas i gång förrän Datainspektionen lämnats tillfälle att kontrollera den. Om Datainspektionen vid sin förhands— kontroll kommer fram till att personuppgifter kan komma att behand— las på ett olagligt sätt, kan inspektionen ingripa, ytterst genom att vid vite förbjuda den persondataansvarige att påbörja behandlingen. Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.12.2.5) kan en förhandskontroll sägas ske i samband med att särskilda registerförfatt- ningar beslutas av riksdagen eller regeringen eftersom Datainspek- tionen regelmässigt hörs i samband med att sådana författningar beslutas (Jfr 7 kap. 2 5 RF samt prop. 1993/94:217). Vi utgår ifrån att även de förslag som detta utredningsarbete utmynnar i, kommer att tillställas Datainspektionen för synpunkter. Bestämmelser om förhandskontroller förefaller därför inte aktuella vid Pliktverkets

behandling av personuppgifter om totalförsvarspliktiga som omfattas av vårt lagförslag.

12. Pliktverkets ADB-register över totalförsvarspliktiga

12.1. Inledning

Den stora mängd personuppgifter som Pliktverket skall behandla i sin verksamhet medför att ADB måste användas. När registrering av personuppgifter sker med hjälp av ADB uppkommer särskilda risker för intrång i de registrerades personliga integritet. Den som har tillgång till ett ADB-register har i princip obegränsade möjligheter att söka bland uppgifterna och göra sammanställningar av olika slag. Särskilda föreskrifter, som begränsar möjligheterna att anteckna personuppgifter i ADB-register och som skyddar de uppgifter som finns där, är därför motiverade.

12.2. Registerinnehåll

Förslag: I lagen om behandling av personuppgifter om totalför- svarspliktiga anges uttömmande beträffande vilka personer anteckningar får göras i Pliktverkets ADB-register över totalför- svarspliktiga och vilka typer av personuppgifter som får an- tecknas.

Personuppgifter skall få antecknas i ADB-register över totalför- svarspliktiga endast beträffande den som är aktuell för mönstring (motsv.), har tagits i anspråk för totalförsvarets räkning genom avtal, beslut om krigsplacering eller på annat sätt, skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompe- tens är viktig för totalförsvaret. Dessutom skall vissa uppgifter få antecknas om den som uppgetts som närstående av en redan registrerad, nämns bland uppgifter som åberopats av en registre- rad eller fattat beslut, handlagt ärende eller gjort journalanteck- ning rörande den registrerade.

I 13 punkter anges i lagen vidare de olika typer av personupp- gifter som får förekomma i ADB-register över totalförsvarsplikti- ga, allt under förutsättning att Pliktverket behöver uppgifterna för

de ändamål som fastställts ovan (avsnitt 11.2). Regeringen skall ha möjlighet att föreskriva ytterligare begränsningar av vad som får registreras.

12.2.1. Allmänt om vad som bör få antecknas i ett ADB- register över totalförsvarspliktiga

Bakgrund: Vid uttagning av personal till totalförsvaret är det nödvändigt att den ansvarige i första hand Pliktverket har tillgång till ett omfattande underlag av personuppgifter beträffande de totalförsvarspliktiga. Förutom basuppgifter som namn och adress m.m. måste uppgifter finnas om de enskilda personernas hälsa och förmåga i olika avseenden. Säkerheten kräver t.ex. att kriminellt belastade personer inte ges känsliga befattningar. Pliktverket måste vidare känna till den enskildes egna intressen och önskemål liksom faktiska hinder för hans eller hennes tjänstgöring. (Beträffande den personal som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt se avsnitt 10.2 ovan torde det emellertid oftast vara tillräckligt med vissa basuppgifter om namn, personnummer, adress, befattning, kompetens etc.)

Det är lätt att inse att Pliktverkets intresse av att samla in och ordna uppgifter i ADB-register kan komma i konflikt med den enskildes krav på skydd för den personliga integriteten.

Överväganden: Pliktverkets verksamhet är nödvändig för att de bemanningsansvariga enheterna skall erhålla personal som har kapacitet att fullgöra sina uppgifter i krig och andra krissituationer. Verksamheten syftar till att garantera rikets skydd och till att säkra att viktiga samhällsfunktioner upprätthålls även under exceptionella förhållanden. Det kollektiva intresset av att denna verksamhet fungerar är mycket starkt. En utgångspunkt är därför att Pliktverket måste tillåtas behandla de personuppgifter som krävs för att verksamheten skall kunna upprätthållas på en kvalitativt hög nivå. Pliktverket måste också kunna behandla uppgifterna på ett effektivt och funktionellt sätt, vilket innebär som tidigare nämnts att uppgifterna måste kunna hanteras automatiskt, i ADB-register. Även för redovisning av totalförsvarspersonal som inte är uttagna med plikt krävs det ADB för att hålla uppgifterna ordnade och aktuella samt för att de snabbt skall kunna tas fram vid behov.

Vad som nu sagts innebär inte att kravet på skydd för den registre- rades personliga integritet skall åsidosättas. Tvärtom är det viktigt att register av det slag som Pliktverket för register med känsliga uppgifter om en stor del av befolkningen regleras noggrant vad gäller innehållet. En generell fullmakt till den persondataansvarige att bestämma registerinnehållet kan på sikt resultera i att registret kommer att innehålla uppgifter som inte är nödvändiga men som bedöms vara ”bra att ha”. Så får det inte vara. Visserligen tillåter förslaget till persondatalag inte behandling av fler uppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 5 första stycket 1). Denna bestämmelse är emellertid enligt vår mening inte tillräcklig för att det på ett från integritetsskyddssynpunkt säkert sätt skall kunna fastställas, var gränserna går för vad som får registreras av Pliktverket. Vi föreslår därför att det i lagen om behandling av personuppgifter om totalförsvarspliktiga preciseras och i princip uttömmande anges vilka uppgifter eller kategorier av uppgifter som får förekomma i Pliktverkets ADB-register över totalförsvarsplik- tiga. (Detta register planeras bli synonymt med PLIS, dvs. utgöra ett enda register. Det förefaller emellertid olämpligt att i lag nämna registret i bestämd form. I framtiden kan en lösning med flera register komma att väljas.) Det skall återigen framhållas att vi i vårt lagförslag med totalförsvarspliktiga jämställer personer som har en uppgift inom totalförsvaret vid höjd beredskap, utan att deras skyldighet att fullgöra uppgiften grundar sig på totalförsvarsplikt.

Kraven på skydd för uppgifter i ett ADB-register över totalförsvar— spliktiga måste självfallet vara mycket högt ställda. Att Pliktverkets verksamhet kräver omfattande registrering av personuppgifter medför att skyddet för den enskildes personliga integritet måste tillgodoses genom såväl tekniska åtgärder som legala begränsningar av åtkomsten till uppgifterna. Även försvarssekretessen motiverar ett starkt skydd, t.ex. för uppgifter om vissa registrerades befattningar och krigsplace- r1ngar.

12.2.2. Beträffande vilka personer skall det få förekomma uppgifter i registret?

Bakgrund: Totalförsvarsplikten omfattar alla personer mellan 16 och 70 år som är bosatta iSverige (se avsnitt 7.1). En stor del av dessa är emellertid inte på förhand tagna i anspråk för uppgifter inom totalför- svaret. Det finns vidare personal inom totalförsvaret som på grund av avtal eller bestämmelser i författning som inte avser totalförsvarsplikt är skyldiga att tjänstgöra eller utföra vissa uppgifter vid höjd be-

redskap. Den sist nämnda personalkategorien kan ha passerat den övre åldersgränsen för totalförsvarsplikten (t.ex. medlemmar av frivilligor- ganisationer som kvarstår efter 70 års ålder och som har vissa uppgifter i organisationens krigsorganisation.)

Överväganden: Pliktverket behöver för sin verksamhet inte hålla ett allmänt befolkningsregister med uppgifter om alla som kan komma att tas ut till tjänstgöring i händelse av krig. Uppgifter om vilka som tillhör det åldersintervall som kan komma i fråga kan hämtas från Riksskatteverket vid behov. ADB-register över totalförsvarspliktiga bör begränsas till att innehålla uppgifter om sådana personer som på ett eller annat sätt är tagna i anspråk för totalförsvarets räkning eller som ännu inte skrivits in men är aktuella för mönstring, särskild antagningsprövning eller annan mindre omfattande utredning. Det är enligt vår bedömning tillräckligt att uppgifter finns om dessa personer för att Pliktverket skall kunna utföra sina huvudsakliga arbetsupp- gifter, nämligen att mönstra, skriva in och krigsplacera totalförsvars- pliktiga samt att redovisa totalförsvarets personal. Uppgifter om de nu berörda kan i sin tur utgöras av vissa begränsade uppgifter om andra personer. Mot bakgrund av det nu anförda bör uppgifter om en person få antecknas i ett ADB-register över totalförsvarspliktiga i följande fall:

1 . Om han eller hon är aktuell för mönstring eller mindre omfattande utredning enligt lagen om totalförsvarsplikt eller särskild antagnings- prövning enligt lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.

Pliktverket behöver kunna registrera uppgifter om pliktpersonalen redan när ett personärende påbörjas, vilket normalt sker genom avisering från Riksskatteverket. Ett ärende kan också inledas genom att den enskilde själv tar kontakt med Pliktverket och lämnar upp- lysningar, t.ex. om att han eller hon är förhindrad att inställa sig till mönstring eller annan utredning under en viss period eller om särskilda önskemål beträffande sin tjänstgöring. En sådan kontakt kan medföra krav på åtgärder senare från Pliktverkets sida och därmed innebära att personuppgifter behöver sparas. Med ”aktuell” för mönstring etc. avses här alla personer som inom en inte allt för avlägsen framtid skall eller kan bli föremål för sådan utredning som nämns i punkt 1 och som på något sätt aktualiserats för en åtgärd eller ett ställningstagande från Pliktverkets sida. Naturligtvis krävs det också att det finns ett behov av registrering i varje enskilt fall. Enbart en förfrågan från en enskild, t.ex. angående innehållet i en viss

utbildning eller om förutsättningarna för vapenfri tjänst, skall inte föranleda att han eller hon antecknas i registret.

2. Om han eller hon genom avtal, beslut om krigsplacering eller på annat sätt tagits i anspråk för totalförsvaret.

Härmed avses anställda inom Försvarsmakten, anställda inom civil verksamhet som krigsplacerats (eller motsvarande) av sin arbetsgivare med stöd av anställningsavtalet, medlemmar i frivilligorganisationer m.fl., som har tagits i anspråk genom att ställas till visst organs förfogande för försvarsändamål. Flertalet av dessa personer har någon gång varit aktuella för utredning som avses i punkt 1 och har därmed kunnat antecknas i registret redan med stöd av den punkten. För att kunna anteckna uppgifter också om personer som tagits i anspråk för totalförsvaret utan att ha genomgått en sådan utredning, krävs emellertid detta tillägg. Det kan t.ex. gälla kvinnor som är ianspråk- tagna av sin arbetsgivare eller av en frivilligorganisation, men som inte är inskrivna med civilplikt och inte varit aktuella för utredningsåt- gärder.

Även vissa andra personer, som t.ex. utlänningar eller före detta utländska medborgare som erhållit en placering i totalförsvaret utan att ha genomgått sådan utredning som avses i punkt 1, ”fångas upp” av förevarande punkt.

3. Om han eller hon skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret

Personer som avses i första ledet i denna punkt är sådana som har ålagts eller frivilligt åtagit sig begränsade uppgifter vid höjd beredskap, som t.ex. att ställa viss egendom till totalförsvarets förfogande enligt förfogandelagen och med stöd av den lagen meddelade förordningar.

Andra ledet avser i första hand de personer som i dag förekommer i Socialstyrelsens register över hälso- och sjukvårdspersonal (INTE- GER, se ovan avsnitt 8.4.8). Pliktverket skall överta driften av detta register som, såvitt nu kan bedömas, kommer att föras som en del av PLIS och sålunda vara integrerat med Pliktverkets ADB-register över totalförsvarspliktiga i övrigt. I ”INTEGER-delen” av Pliktverkets register kan det vara nödvändigt att uppgifter om personer antecknas enbart på grund av deras yrkeskompetens, dvs. utan att formellt beslut fattats om att ta dem i anspråk för viss huvudmans räkning. Upp- gifterna om denna personalkategori kan sägas utgöra en inventarieför- teckning som skall kunna användas för att i en krigssituation sätta in

hälso— och sjukvårdspersonal, där den bäst behövs. Registrering av en person enbart på grund av hans eller hennes kompetens bör endast förekomma då det framstår som synnerligen viktigt för totalförsvarets funktion att ha uppgifterna tillgängliga. Den bestämmelse som vi föreslår nedan (avsnitt 12.2.4) om att regeringen skall kunna begränsa innehållet i ett ADB-register över totalförsvarspliktiga bör bl.a. utnyttjas för att ge föreskrifter om i vilka fall registrering som här avses får förekomma.

4. Om han eller hon av en redan registrerad uppgetts vara närstående till denne och höjd beredskap råder.

I ofredstider behöver uppgifter om närstående till dem som tjänstgör inom totalförsvaret finnas tillgängliga. Detta för att besked skall kunna lämnas till rätt person om någon skadats eller stupat och för att personliga tillhörigheter m.m. skall kunna sändas till rätt mottagare. Ett visst behov av uppgifter om närstående finns redan vid grundut- bildningen. Behovet är dock inte så framträdande i fredstid att det är motiverat att uppgifter om vem eller vilka som står den totalförsvars- pliktige närmast antecknas i Pliktverkets ADB-register. Det är tillräckligt att sådana uppgifter då finns hos den utbildningsansvariga enheten.

Uppgifter om närstånde i ADB-register över totalförsvarspliktiga bör skyddas på det sättet att de inte är åtkomliga annat än med den totalförsvarspliktiges personnummer som sökbegrepp.

5. Om han eller hon nämns bland uppgifter som åberopas av den registrerade.

Det är inte ovanligt att en totalförsvarspliktig inför mönstringen eller när det är dags att rycka in till grundutbildning begär anstånd och härvid åberopar t.ex. familjeskäl eller hänvisar till situationen på sin arbetsplats. I dessa sammanhang kan det bland de uppgifter som lämnas av den totalförsvarspliktige förekomma namn och andra uppgifter om andra personer, t.ex beträffande familjemedlemmar eller i form av ett intyg från arbetsgivaren. Det kan också vara fråga om intyg från läkare eller från en utbildningsanstalt. Även dessa uppgifter bör kunna sparas i Pliktverkets ADB-register över totalförsvarspliktiga för att en rationell och säker handläggning skall kunna åstadkommas. Som utvecklas nedan i avsnitt 12.5 bör det inte vara tillåtet att använda uppgifterna som sökbegrepp. De är intressanta i Pliktverkets verksamhet enbart som uppgifter hänförliga till en viss registrerad totalförsvarspliktig.

6. Om han eller hon handlagt ärende, fattat beslut eller gjort journalanteckning beträjfande den registrerade.

I vissa fall måste uppgifter om namn och titel m.m. på personer som utfärdat intyg, ställt diagnoser, handlagt ärenden eller vidtagit liknande åtgärder rörande den totalförsvarspliktige kunna tas fram. Det ligger inte minst i den totalförsvarspliktiges eget intresse att tillförlitligheten och värdet av dessa åtgärder kan kontrolleras och bedömas. Det är naturligt och följer oftast av de aktuella personernas yrkesroller att handlingar som de utfärdar kan komma att registreras och/eller behandlas med automatik. I ett ADB-register över totalförsvarspliktiga bör uppgifter om vem som handlagt ärenden och fattat beslut rörande den registrerade hos Pliktverket och andra myndigheter som utför utredningar om de totalförsvarspliktigas förhållanden kunna antecknas. Dessutom bör uppgifter om vem som gjort joumalanteckningar vid utbildningsenheterna kunna tas in i registret (jfr avsnitt 12.3).

Det skall framhållas att det naturligtvis rör sig om mycket begrän- sade uppgifter som namn, titel och tjänsteställe, jämte tidsangivelser för eventuella beslut (se nästa avsnitt). I likhet med vad som gäller för uppgifter om anhöriga m.fl. bör uppgifter om de nu aktuella per- sonerna i princip endast vara åtkomliga genom att den totalförsvars- pliktiges personnummer används som sökbegrepp i ADB-registret.

12.2.3 Vilka personuppgifter skall få antecknas i registret?

Bakgrund: Av avsnitt 7.2 ovan framgår omfattningen av de ut- redningar som görs i dag och vilka personuppgifter som därvid inhämtas av Pliktverket för bedömningen av de totalförsvarspliktigas tjänstbarhet och lämplighet i olika avseenden. Härutöver länmas det på den registrerades eller andra personers initiativ, in ytterligare personuppgifter. Dessutom behövs vissa uppgifter som rör admini- stration m.m. för handläggningen av ärenden som rör de registrerades tjänstgöring.

Överväganden: Sammanfattningsvis gör vi den bedömningen att i stort sett alla de uppgifter som inhämtas måste antecknas i ADB- register för att Pliktverkets verksamhet skall kunna utföras på ett effektivt sätt. Till skydd för den registrerades integritet är det ändå angeläget att i lag ange ramarna för registreringen av uppgifter så noggrant som möjligt. Verksamheten får dock inte låsas fast på sådant sätt att varje justering eller tillägg måste godkännas av riksdagen. Utvecklingen på det tekniska området kan t.ex. innebära att de

egenskaper en viss befattningshavare skall ha i dag inte är desamma i morgon. Nya befattningar med nya kravprofiler kan tillskapas och egenskaper som i dag inte tillmäts någon betydelse kan visa sig vara väsentliga för tjänstbarhetsbedömningen i framtiden. En målsättning bör vara att i lagen ange de typer av uppgifter som skall få registreras. I vissa fall, där fråga är om specifika och från den enskildes synpunkt känsliga uppgifter, kan lagen vara mera exakt, som t.ex. när det gäller uppgifter ur polisens register eller om medborgarskap.

Mot bakgrund av dessa överväganden vad gäller innehåll i stort och detaljeringsnivå, bör en uppställning över de uppgifter som Pliktverket får anteckna i ett ADB-register över totalförsvarspliktiga för de i avsnitt 11.2.1 angivna ändamålen se ut på följande sätt:

1. Uppgifter om personnummer, namn, adress, telefonnummer och folkbokföringsort.

Uppgifterna är sk. basuppgifter som behövs för att den enskilde skall kunna identifieras, informeras, delges kallelser m.m.

2. Uppgifter om hinder för mönstring eller annan utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning.

Här avses i princip alla hinder som kan förekomma, temporära eller permanenta; sjukdom, utlandsresa, förtidspension, intagning på kriminalvårdsanstalt eller vårdinrättning m.m. Uppgifterna är nödvändiga för att de bemanningsansvarigas personalförsörjning skall kunna garanteras och för Pliktverkets planering av mönstringsför- rättningar och inryckningsresor till grund- och repetitionsutbildningar.

3. Uppgifter om boende- och familjeförhållanden samt om den registrerades försörjning, om uppgiften behövs för att Pliktverket skall kunna fullgöra sina åligganden enligt förordningen ( 1995:239 ) om förmåner till totalförsvarspliktiga.

Utöver dagersättning har en totalförsvarspliktig under vissa förut- sättningar rätt till ekonomisk ersättning i form av familjepenning, bostadsbidrag, näringsbidrag och begravningsbidrag (familjebidrag enligt 7 kap. förordningen om förmåner till totalförsvarspliktiga). Pliktverket har skyldighet att förse beslutsfattande myndigheter med de uppgifter som behövs för bedömningen av rätten till familjebidrag. Pliktverket kan också besluta om och betala ut viss bidragsersättning (ekonomiskt stöd) enligt 8 kap. 3 5 nämnda förordning.

Det skall anmärkas att det krävs att den enskilde ansöker om bidrag för att frågan skall tas upp. En registrering av uppgifter med stöd av denna punkt förutsätter sålunda att fråga om bidrag initierats av den totalförsvarspliktige själv.

4. Uppgifter om utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret.

Uppgifterna skall tjäna som underlag för att avgöra om den totalför- svarspliktige fyller kraven för en viss befattning eller uppgift, rent kunskapsmässigt och om han eller hon har de anlag och den motivation som krävs. Här avses t.ex. uppgifter om formell utbildning som viss examen eller avlagt körkortsprov, kunskaper i övrigt (simkunskaper, språkkunskaper etc.) vana från viss verksamhet (t.ex. sjövana eller från viss yrkesverksamhet), fritidsintressen som kan vara relevanta (t.ex. orientering, skidåkning, engagemang i frivillig försvarsorganisation) samt även resultat från de kunskapsprov och anlagstest som utförs vid mönstringsförrättningen (motsv.). En fullständig uppräkning av vad som kan rymmas under denna punkt är omöjlig att göra. Avgörande för om uppgiften får registreras är att den har betydelse för bedömningen av vilka uppgifter den totalförsvar- spliktige kan utnyttjas för.

För den personal som är ianspråktagen av arbetsgivaren, eller som kan tänkas bli det i en krigssituation, t.ex. hälso- och sjukvårdsperso- nal (INTEGER, se ovan 8.4.8 och under punkt 3 i föregående avsnitt), är det nödvändigt att uppgift om anställning finns tillgänglig. Personer inom denna personalkategori är som regel inte skyldiga att tjänstgöra på grund av totalförsvarsplikt utan på grund av vad som sägs i deras anställningsavtal. Som redovisas ovan i avsnitt 10.2 jämställer vi emellertid sådan personal med totalförsvarspliktiga i vårt lagförslag.

5. Uppgifter om jysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen i denna del.

Uppgifterna om den enskildes hälsa och psykiska och fysiska status tillhör de allra viktigaste vid bedömningen av vilken befattning han eller hon är lämpad för. Tjänstgöringen inom totalförsvaret är ofta förenad med påfrestningar utöver det vanliga av såväl fysisk som psykisk natur. Inte minst för den totalförsvarspliktiges egen skull är det nödvändigt att ett fullständigt och tillförlitligt material finns i dessa delar. Utöver slutsatserna behövs ett underlag som visar vad be-

dömningama grundar sig på, för det fall det blir aktuellt med vårdinsatser under tjänstgöringen.

6. Uppgift om den registrerade är svensk medborgare eller inte.

Uppgiften behövs för att fastställa i vilken utsträckning den registrera- de är skyldig att tjänstgöra på grund av bestämmelserna om totalför— svarsplikt (se ovan, avsnitt 7.1). Det är för Pliktverkets verksamhet tillräckligt med information om den registrerade är svensk medborgare eller inte. Vilket medborgarskap en registrerad utlänning innehar saknar betydelse i sammanhanget och skall därför inte heller föras in i registret.

7. Uppgifter om utgången i mål om ansvar för brott mot totalförsvars- plikten (brott mot 10 kap. 1—5 55 lagen om totalförsvarsplikt).

Uppgifterna behövs som underlag i Pliktverkets verksamhet dels vid beslut om att någon inte skall kallas till mönstring eller plikttjänst- göring därför att det kan antas att han eller hon inte kommer att fullgöra den värnplikt eller civilplikt som inskrivningen avser (se 10 kap. 8 5 första punkten lagen om totalförsvarsplikt), dels vid be- dömningen av huruvida personen i fråga är lämplig för viss befattning.

8. Uppgifter om att den registrerade dömts för brott som anges i 19 5 femte stycket polisregisterkungörelsen (1969-38).

Pliktverket får på begäran utdrag ur Rikspolisstyrelsens register beträffande totalförsvarspliktiga som skrivs in eller är inskrivna för värnplikt. Utdragen omfattar endast vissa brott (våldsbrott, tillgrepps- brott, narkotikabrott, brott mot vapenlagen m.m.) och behövs som underlag vid bedömningen av den totalförsvarspliktiges lämplighet. I Pliktverkets ADB-register bör endast få antecknas att den registrerade dömts för något av dessa brott. Anteckningen bör inte få utvisa vilket brott det är frågan om eller vilken påföljd som utdömts. Anteckningen skall tjäna som en varning och/eller förklaring till varför vederbörande inte skrivits in med värnplikt.

9. Uppgifter om att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) , för vilken säkerhetsklass prövningen skett samt resultatet av denna.

För tillträde till vissa befattningar inom totalförsvaret krävs att den totalförsvarspliktige genomgått säkerhetsprövning. Prövningen syftar till att klarlägga om personen i fråga kan antas vara lojal och pålitlig från säkerhetssynpunkt. Prövningen sker för verksamheter i tre olika klasser, där säkerhetsklass 1 avser den från säkerhetssynpunkt mest känsliga verksamheten (verksamhet där den som deltar i stor om- fattning får del av uppgifter som omfattas av sekretess och är av synnerlig betydelse för rikets säkerhet). Prövningen som förutsätter samtycke från den enskilde består i kontroll mot polisregister och, för säkerhetsklass 1 och 2, särskild personutredning. Pliktverket behöver information om huruvida prövning har ägt rum, för vilken klass prövningen skett och om den registrerade ”klarade” prövningen eller inte, allt för att upprätthålla en kontinuerlig kontroll och minska riskerna för onödiga omprövningar. Däremot behövs inte de uppgifter som legat till grund för bedömningen.

10. Uppgifter om vad som bestämts vid inskrivning enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.

Vid inskrivningen bestäms vilken befattning eller typ av befattning som den totalförsvarspliktige skall utbildas till, tid och plats för grundutbildning (som regel) samt grundutbildningens längd. Alterna- tivt kan inskrivningsbeslutet innebära att den registrerade placeras i en utbildningsreserv. Uppgifterna är grundläggande för Pliktverkets verksamhet och självklara i ett ADB-register över totalförsvarspliktiga.

]] . Uppgifter om krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon skall utföra vid höjd beredskap.

Dessa uppgifter är nödvändiga för Pliktverkets redovisning av totalförsvarets personal. uppgifterna är, liksom de i p. 10 angivna, centrala och givna i ett register av förevarande slag.

12. Uppgifter om tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna.

Uppgifterna är av betydelse vid den kontinuerliga bedömning av den registrerades tjänstbarhet och lämplighet som är nödvändig inför beslut om krigsplacering, vidareutbildning m.m.

13. Uppgifter om personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.

Utöver de i p. 1—12 angivna uppgifterna, som låter sig fastställas relativt konkret, tar Pliktverket del av personuppgifter av skiftande slag som kan ha betydelse vid handläggningen av ärenden som gäller de registrerades tjänstgöring. Det rör sig i första hand om uppgifter som åberopas av de registrerade själva som grund för olika typer av framställningar, t.ex. om befrielse från tjänstgöring, uppskov eller önskemål om uttagning till viss befattning. Uppgifterna kan teoretiskt bestå i vad som helst. De kan vara upprättade av den enskilde själv eller utgöras av intyg från arbetsgivare, läkare eller annan person, t.ex. en förälder. För att en framställning av detta slag skall kunna behandlas på ett säkert och effektivt sätt är det i praktiken nödvändigt att uppgifterna registreras. Detta bör också vara tillåtet med tanke på att uppgifterna lämnats till Pliktverket på den registrerades eget initiativ.

Vid en granskning kan det visa sig att många av de uppgifter som åberopas av den enskilde i praktiken saknar betydelse för bedöm— ningen av hans eller hennes skyldigheter eller möjligheter att tjänst- göra inom totalförsvaret. I och med att uppgifterna åberopats av den enskilde själv är det dock svårt att påstå att de saknar relevans i förhållande till de ändamål för behandlingen som angetts ovan. I den enskildes rättigheter ligger att han eller hon skall få framföra sina synpunkter och få sina yrkanden prövade. För att dessa rättigheter skall kunna tillgodoses är det nödvändigt att Pliktverket behandlar de åberopade uppgifterna på ett rationellt och säkert sätt. De bör därför också få antecknas i ADB—register över totalförsvarspliktiga.

Särskilt om registrering av vissa känsliga personuppgifter

Vi föreslår en bestämmelse som ger bl.a. Pliktverket rätt att behandla sådana personuppgifter som enligt förslaget till persondatalag betecknas som känsliga (se avsnitt 11.3, ovan). Bestämmelsen utgör ett undantag från det i persondatalagen stadgade förbudet mot behandling av sådana uppgifter. Pliktverket måste kunna hantera uppgifter bl.a. om de registrerades hälsa och i vissa fall religiösa

övertygelse på ett rationellt sätt. (Det kan dessutom förekomma att en registrerad själv åberopar andra känsliga uppgifter, t.ex. sådana som rör sexuell läggning, för att bli befriad från viss typ av tjänstgöring inom totalförsvaret. Sådana uppgifter bör kunna behandlas på samma sätt.) Den föreslagna bestämmelsen om undantag från förbudet mot behandling av känsliga personuppgifter innebär att den enskildes samtycke inte krävs för att uppgifterna skall få behandlas. Utform- ningen av punkterna 1—13 ovan medför att känsliga personuppgifter också får behandlas genom att registrerasi Pliktverkets ADB-register över totalförsvarspliktiga utan samtycke från den registrerade. Registrering av känsliga uppgifter som inte rör hälsa (uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och sexualliv se 13 & persondatalagen) förutsätter emellertid i princip att den registrerade själv åberopat dessa (se p. 13 ovan). Vi anser att det förhållandet att den enskilde själv åberopat uppgifterna, jämte det skydd som erbjuds genom att uppgifterna inte får användas som sökbegrepp i registret (se avsnitt 12.5, nedan), medför att registrering utan samtycke till en sådan åtgärd bör vara tillåten. Effektivitetsskäl talar för att upp— gifterna skall få behandlas i registret tillsammans med övriga uppgifter om den registrerade.

Vi är medvetna om att invändningar kan framföras mot detta synsätt. Det förhållandet att en enskild själv åberopat t.ex. med- lemsskap i en religiös sekt som skäl för befrielse från plikttjänst- göring, innebär inte med nödvändighet att han också accepterat att uppgiften införs i ett ADB-register hos myndigheten. Vi har övervägt en bestämmelse som hindrar registrering av vissa känsliga uppgifter om inte den enskilde lämnar sitt samtycke:

Uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller

filosofisk övertygelse, eller sexualliv får antecknas i ett ADB-register över totalförsvarspliktiga endast om den registrerade lämnat sitt samtycke till en sådan åtgärd.

Av skäl som ovan anförts har vi dock avstått från att föreslå en sådan begränsning av möjligheterna att registrera de aktuella uppgifterna.

Det skall noga framhållas att varje medborgare enligt grundlag (2 kap. 2 5 och 3 5 första stycket RF) är skyddad mot tvång att till- kännage sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende samt mot att bli antecknad i register enbart på grund av sin politiska åskådning utan samtycke. Vårt förslag ändrar naturligtvis inte eller rättare sagt; kan inte ändra på detta förhållande.

Administrativa uppgifter m.m.

De uppgifter som skall kunna registreras enligt punkterna 1—13 ovan måste i många fall förses med information om vilken tidpunkt eller tidsperiod de är hänförliga till. I annat fall är det omöjligt att värdera uppgifterna. För tydlighetens skull bör detta anges särskilt i lagen. Vidare bör i registret kunna införas beslut som Pliktverket tar i olika avseenden som rör den totalförsvarspliktige samt de rent admini- strativa och tekniska uppgifter som behövs för en rationell och säker handläggning och behandling av personuppgiftema. Med admini- strativa uppgifter avses t.ex. uppgifter om vilket lokalkontor som handlagt ett ärende, att handlingar expedierats, att vissa kontrollåt— gärder vidtagits eller att ett ärende avslutats utan att formellt beslut fattats m.m. En teknisk uppgift kan t.ex. vara en hänvisning till att andra uppgifter finns att hämta i ett annat register eller i ett arkiv.

Begränsningar av vilka uppgifter som skall få registreras beträjfande dem som förekommer i registret av annan orsak än att de själva är totalförsvarspliktiga (eller jämställda med totalförsvarspliktiga vid tillämpning av lagen om behandling av personuppgifter om totalför- svarspliktiga)

Det är självklart bara sådana uppgifter som Pliktverket behöver i sin verksamhet som skall antecknas i ADB-register. Olika typer av uppgifter behövs för olika personalkategorier inom totalförsvaret (jfr. vad som anförs nedan angående kravet på nödvändighet och relevans i avsnitt 12.2.4). Beträffande dem som skall kunna förekomma i ADB- register över totalförsvarspliktiga i egenskap av närstående till en registrerad eller i egenskap av beslutsfattare, handläggare eller därför att vederbörande fört journalanteckningar om en registrerad, bör begränsningar av vad som får antecknas anges i lag. Vad gäller närstående är det tillräckligt att namn, adress och relation till den registrerade antecknas. Beslutsfattare och övriga i den kategorin bör endast förekomma med namn, titel och tjänsteställe.

Elektroniska akter

Pliktverket planerar ett system för ärendehandläggning med elektronis- ka akter. En sådan akt skapas genom att inkomna handlingar optiskt läses (skannas) in i ett datasystem. Handläggaren kan också upprätta beslut, tjänsteanteckningar och promemorior direkt i den elektroniska

akten via sin terminal. Även utkast till beslut m.m. kan föras direkt i datasystemet. Elektronisk akthantering medför att bruket av pappershandlingar avsevärt kan reduceras vid handläggningen av ärenden. Sökandet bland dokument i en sådan akt och kommunikatio- nen med andra underlättas också med hjälp av elektroniken. Elektro- nisk akthantering främjar effektiviteten och möjligheterna härtill bör tas tillvara även i Pliktverkets verksamhet.

Så länge fråga är om de uppgifter som anges i punkt 1—13 ovan eller anteckningar om beslut och administrativa eller tekniska uppgifter kan de elektroniska akterna hanteras inom ramen för ett ADB-register över totalförsvarspliktiga tillsammans med övriga uppgifter. Alla handlingar som kommer in med sådana uppgifter t.ex. alla hand- lingar med uppgifter som åberopas av den enskilde —— kan skannas in i registret utan begränsningar. Vad som inte kan tas in är tjänstean- teckningar och handlingar med uppgifter som inte omfattas av punkterna 1—12 och som inte heller åberopats av den enskilde. Enligt vår uppfattning bör sådana uppgifter inte få förekomma i ADB-register över totalförsvarspliktiga. Det (eller de) register vårt lagförslag avser förs för vissa ändamål. Ett okritiskt införande av alla handlingar som inkommer till Pliktverket och som har anknytning till en registrerad person skulle innebära risk för att registret kom att innehålla sådana uppgifter som inte har med ändamålen att göra eller som i det vart fall inte är befogat att behandla genom att anteckna i ADB-register. Behandling av uppgifter som inte är relevanta för ändamålen, eller av fler uppgifter än vad som är nödvändigt med hänsyn till ändamålen, strider mot den föreslagna persondatalagen (se 10 å i förslaget till persondatalag). Risk föreligger också för att känsliga personuppgifter behandlas genom att registreras i ADB-register trots att uppgiften är ointressant med hänsyn till de ändamål vi angivit för verksamheten. Det skall framhållas att vårt lagförslag inte i sig hindrar Pliktverket att föra elektroniska akter vid sidan av ADB-register över totalförsvars- pliktiga.

Särskilt om fotografier

Pliktverket har i dag Datainspektionens tillstånd att registrera fotografier för utfärdande av legitimations- och resehandlingar. Fotograferingen sker på Försvarsmaktens begäran och handlingarna skall användas till styrkande av den registrerades identitet vid subventionerade resor liksom vid in— och utpassering vid utbildnings- enheten m.m., under grundutbildningen. Försvarsmakten betalar Pliktverket för denna tjänst och det innebär en besparing att låta

Pliktverket sköta detta jämfört med om fotograferingen utförs på förbanden efter inryckningen.

Fotograferingen ligger utanför Pliktverkets ordinarie arbetsuppgifter och handhas av Pliktverket enbart av praktiska skäl och av kost— nadsskäl. Fotografierna behövs inte för de ändamål vi ansett motivera Pliktverkets behandling av personuppgifter. Det förefaller visserligen praktiskt och kostnadseffektivt med en ordning som den rådande men sådana skäl kan inte anses tillräckliga för att ADB-register med ett stort antal personuppgifter, varav många av mycket känsligt slag, kompletteras med ett foto av den registrerade. Vårt förslag om vad som skall få förekomma i ADB-register över totalförsvarspliktiga omfattar därför inte fotografier på de registrerade.

12.2.4 Ytterligare begränsningar av vad som får förekomma i ADB-register över totalförsvarspliktiga

Kravet på nödvändighet och relevans

Persondatalagens bestämmelser om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till de ändamål de insamlats för och att uppgifterna skall vara adekvata och relevanta i förhållande till samma ändamål gäller även vid Pliktverkets behandling av personuppgifter om totalförsvarspliktiga och därmed —— enligt vårt lagförslag jämställd personal. Bestämmelserna om vad som får registreras i Pliktverkets ADB-register över totalförsvarspliktiga skall sålunda inte läsas som att dessa uppgifter får införas i sådana register vare sig det faktiskt behövs eller inte. Det är t.ex. självklart att det behövs fler och andra typer av personuppgifter om den som tas i anspråk med värnplikt än beträffande en person som förekommer i registret endast därför att han eller hon i händelse av krig är tagen i anspråk för en frivilligorganisations räkning. Detta behöver inte understrykas särskilt i lagen.

Regeringen bör ha möjlighet att införa ytterligare begränsningar av vilka uppgifter som får registreras

En uppställning i lag över vilka personuppgifter som skall få före- komma i ett register måste innehålla vissa generaliseringar för att inte systemet skall bli alltför tungrott. Det kan finnas anledning att göra begränsningar av vilka uppgifter som skall få antecknas i registret, utöver vad som framgår av våra förslag. Som angivits i avsnitt 12.22

ovan bör det t.ex. närmare övervägas i vilka fall uppgifter om en person skall få registreras i Pliktverkets ADB-register över totalför- svarspliktiga enbart på grund av att han eller hon har viss kompetens. För att undvika missförstånd bör möjligen också vissa uppgifter om den totalförsvarspliktiges intressen uttryckligen undantas från vad som får registreras. T.ex. är det olämpligt att medlemsskap i organisationer som inte har ren försvarsanknytning antecknas. (Det torde visserligen följa av att intresset skall ha betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret, men det är svårt att undvika att en ”gråzon” uppkommer). Innehållet i föreskrifter av nämnd karaktär kan behöva ändras relativt ofta, t.ex. i takt med att personer med olika typer av specialistkompetens efterfrågas av totalförsvaret. Föreskrifterna bör därför ges i förordning.

Vi föreslår mot bakgrund av vad som nu anförts att regeringen i lagen ges rätt att meddela ytterligare begränsningar av vilka uppgifter som får registreras.

Att en uppgift får antecknas säger inget om när den skall gallras

I detta kapitel har vi endast tagit ställning till när uppgifter om vissa personer får antecknas i ADB-register över totalförsvarspliktiga och vilka uppgifter som då får antecknas. Det är en annan sak att avgöra när uppgifterna skall gallras ur ett sådant register. En del uppgifter behövs endast under en kortare tid, på grund av att de förlorar sin praktiska betydelse eller därför att de snabbt blir inaktuella och därmed felaktiga, medan andra står sig och behövs i stort sett så länge den registrerade omfattas av totalförsvarsplikten. Gallringsfrågor behandlas nedan i kapitel 13.

12.3. Vem skall få föra in uppgifter i registret?

Förslag: Regeringen skall få föreskriva att även annan än Plikt- verket får föra in och rätta personuppgifter i ADB-register över totalförsvarspliktiga samt i vilken omfattning.

Bakgrund: Pliktverket har planerat för ett ”papperslöst” system där vissa organ inom totalförsvaret skall kunna lägga in uppgifter om sin personal direkt i Pliktverkets ADB-register, från egen terminal. Enligt planerna är det i första hand tre olika typer av anteckningar som skall kunna göras på detta sätt:

1. journalanteckningar som under grundutbildningen förs av läkare eller annan sjukvårdspersonal vid en utbildningsenhet,

2. utryckningsrapporter med uppgifter om antalet fullgjorda tjänst- göringsdagar, vitsord m.m. som lämnas till Pliktverket från den ansvariga utbildningsenheten efter det att den totalförsvarspliktige fullgjort sin grundutbildning samt

3. anteckningar om att en person tagits i anspråk för ett organs krigsorganisation.

Tekniken tillåter i princip att alla som skall lämna uppgifter till Pliktverkets register, och som har terminalåtkomst till detta, gör det genom att föra in uppgifterna i registret. Det är sålunda möjligt att anteckningar utöver dem som avses i p. 1-3 ovan kommer att ske på det sättet i framtiden, om det bedöms lämpligt.

Överväganden: I dag lämnas de uppgifter som beskrivits ovan i punkterna 1-3 i handlingar som översänds till Pliktverket och där skrivs in i Pliktverkets ADB-register av en tjänsteman. En ordning som innebär att de som lämnar uppgifter själva för in dem direkt i registret sparar självfallet tid och arbetskraft. Risken för att upp- gifterna blir felaktigt antecknade i registret torde minska eftersom ett led i behandlingen - avskrivning från pappershandlingen till ADB— register på Pliktverket försvinner. Med det beskrivna systemet följer emellertid vissa säkerhetsrisker. Möjligheterna att direkt påverka innehållet i registret sprids utanför Pliktverkets lokaler och kontroll. Tillfällena att föra in felaktiga uppgifter i registret kan därmed öka för personer med sådant uppsåt.

Effektivitetsskäl talar för att ett system där uppgiftslämnare lämnar uppgifterna genom att själva föra in dem i mottagarens ADB-register skall tillåtas. En förutsättning är emellertid att säkerhet kan garanteras mot att obehöriga personer påverkar registerinnehållet. Sådan säkerhet kan enligt vår uppfattning skapas genom att endast vissa befattnings— havare hos uppgiftslämnaren ges access till registret. Personliga användarkort med koder måste utfärdas och möjligheterna för den behörige att föra in uppgifter måste begränsas till den art av uppgifter som vederbörande skall lämna till Pliktverket. Säkerheten vid terminalen hos uppgiftslämnaren måste vara hög, utrustningen bör t.ex. vara inlåst när terminalen är obemannad. Pliktverket måste ta på sig ett ansvar för att utbilda och informera uppgiftslämnama i säkerhetsfrågor. De säkerhetsmässiga överväganden som bör föregå ett tillstånd för annan att föra in uppgifter i Pliktverkets register kan inte göras generellt. Varje organ - eller i vart fall typ av organ (t.ex. Försvarsmaktens utbildningsenheter) - bör prövas för sig. Det är

därför lämpligt att överlåta till regeringen att i förordning ange vilka organ, utöver Pliktverket, som skall ha rätt att föra in uppgifter i Pliktverkets ADB-register över totalförsvarspliktiga. Av förordningen bör framgå såväl vem som har rätt att föra in uppgifter i registret som vilken art av uppgifter denne har rätt att lämna till Pliktverket på detta sätt. Säkerhetsföreskrifter för behandlingen hos uppgiftslämnama bör -

i likhet med vad som skall gälla för behandlingen hos Pliktverket - ges av Datainspektionen (jfr ovan, avsnitt 11.4).

De som medges att föra in personuppgifter i Pliktverkets ADB- register bör också ges behörighet att rätta uppgifter som blivit felaktigt antecknade. Däremot bör det vara Pliktverkets sak att se till att inaktuella uppgifter gallras efterhand.

Angående persondataansvaret då annan än Pliktverket för in upp— gifter i ADB-register över totalförsvarspliktiga, se ovan avsnitt 11.6.

12.4. Terminalåtkomst

Förslag: Pliktverket skall ha terminalåtkomst till ADB—register över totalförsvarspliktiga. Regeringen skall få föreskriva att även annan får ha sådan åtkomst samt i vilken omfattning.

För att understryka att sekretesslagens bestämmelser måste beaktas innan uppgifter görs tillgängliga för någon utanför Pliktverket, skall det anges i lagen att sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvarspliktiga.

Bakgrund: Den som har terminalåtkomst till ett ADB-register kan, när han eller hon själv bestämmer, ta del av registerinnehållet med hjälp av bildskärm. Åtkomsten kan avse hela registret eller en del av detta. Terminalåtkomst ger i sig inte möjlighet att påverka innehållet i registret.

I dag kommuniceras en stor mängd handlingar med personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret mellan Pliktverket och enheter inom totalförsvaret. Det finns hos de in- blandade en önskan att ersätta utväxlingen av pappershandlingar med datakommunikation. I föregående avsnitt behandlades frågan om möjlighet för dem som skall lämna uppgifter till Pliktverket att göra detta genom att själva föra in dem direkt i Pliktverkets register. När det gäller de handlingar som skickas från Pliktverket till de be- manningsansvariga organen (bemanningsansvar= skyldighet att tillse att krigsorganisationen är uppfylld med personal som kan lösa tilldelade uppgifter under höjd beredskap) och till utbildningsenheterna

skulle kommunikationen kunna ske genom att mottagarna fick hämta uppgifterna i Pliktverkets ADB—register över totalförsvarspliktiga via egen terminal.

Frivilligorganisationerna rekryterar i dag personal med Pliktverkets hjälp. Pliktverket kan på begäran ta fram listor ur sina register på personer som har sådana färdigheter som efterfrågas T.ex. kan en lokal bilkår söka personer i ett visst åldersintervall med viss körkorts- behörighet i ett län. Enligt uppgift finns det önskemål från frivilligor— ganisationema att få terminalåtkomst till Pliktverkets register så att de kan utföra dessa sökningar själva.

Överväganden: Av hänsyn till kravet på skydd för den registrerades personliga integritet bör terminalåtkomsten till Pliktverkets ADB- register över totalförsvarspliktiga hållas begränsad. Direkt åtkomst till registret via terminaler utanför Pliktverket innebär ökade risker för att obehöriga skall komma åt uppgifterna. Av effektivitetsskäl bör dock terminalåtkomst tillåtas i de fall ett verkligt behov därav föreligger, under förutsättning att erforderligt skydd för uppgifterna kan garante- ras. Av stor betydelse vid bedömningen är naturligtvis vilka person- uppgifter som användaren skall kunna få tillgång till från sin terminal.

Det är självklart att Pliktverket skall ha full terminalåtkomst till egna ADB-register. Att handläggarna på Pliktverket endast skall kunna ta del av sådana uppgifter som är relevanta för deras respektive verksamhetsornråden är självklart och behöver inte uttryckas i lag. Ansvaret i denna del vilar på Pliktverkets ledning och skulle särskilda föreskrifter anses nödvändiga kan de med fördel meddelas av Datainspektionen (se ovan, avsnitt 8.4.5 och 11.4). Vid övervägande av vilken personal inom Pliktverket som skall få ta del av olika personuppgifter har verket att beakta att sekretess också kan gälla mellan olika verksamhetsgrenar inom myndigheten, om verksamhets- grenarna är att betrakta som självständiga i förhållande till varandra (se 1 kap. 3 & andra stycket sekretesslagen).

Bemanningsansvariga myndigheter och organ bör ha terminalåt- komst till uppgifter om den egna personalen. Detsamma gäller de myn- digheter och andra organ som genomför utbildning av totalförsvars- pliktiga, såvitt avser dem som antagits till utbildningen. Effektiviteten torde främjas avsevärt om t.ex. utbildande förband inom Försvarsmak— ten kan ta del av de uppgifter de behöver om de inryckande via terminal i stället för att hålla egna ”pappersarkiv” med handlingar, som skall återställas till Pliktverket efter grundutbildningen. De personuppgifter de bemanningsansvariga organen behöver om sin egen personal är relativt få och som regel inte av känslig karaktär för den registrerade. Det torde vara en fördel för de bemanningsansvariga om

de kan få relevant information kontinuerligt uppdaterad och omedel- bart tillgänglig via terminal. Inom de bemannings- och utbildningsan- svariga enheterna bör skyddet för personuppgifter kunna hållas på en hög nivå.

Det kan ifrågasättas om detär nödvändigt att fiivilligorganisationer— nu i sin rekryteringsverksamhet har direkt åtkomst till Pliktverkets ADB-register över totalförsvarspliktiga. Införandet av ett sådant system skulle utan tvivel innebära en effektivitetsvinst för såväl berörda organisationer som för Pliktverket. Till skillnad mot vad som gäller för utbildningsenheter och bemanningsansvariga organ inom totalförsvaret är det här fråga om ett ”fritt sökande” bland personer som inte har någon naturlig anknytning till den som utför sökningen. Det torde också, generellt sett, vara svårare att upprätthålla och kontrollera säkerheten vid terminalerna hos frivilligorganisationerna. De personuppgifter som, med hänsyn till bestämmelser om sekretess, kan lämnas ut till frivilligorganisationerna för rekryteringsändarnål är emellertid inte av känslig natur. Med en mycket stark begränsning av de sökbegrepp som får användas (se nästa avsnitt) och säkerhetsåtgär- der i form av krypterad överföring av information, tekniska hinder för åtkomst av fler uppgifter än dem som är relevanta m.m., torde ett visst utrymme kunna ges åt frivilligorganisationerna att med terminal- åtkomst använda Pliktverkets register i sin rekryteringsverksamhet.

Om Socialstyrelsens register över hälso- och sjukvårdspersonal (INTEGER) skall integreras med Pliktverkets ADB-register över totalförsvarspliktiga behöver Socialstyrelsen och andra berörda bl.a. sjukvårdshuvudmännen och civilbefälhavarna -— terminalåtkomst till dessa uppgifter.

Sammanfattningsvis är det många utanför Pliktverket som är betjänta av terminalåtkomst till ADB-register över totalförsvarsplikti- ga. Enligt vår bedömning måste det övervägas från fall till fall vilka uppgifter var och en av de nu uppräknade skall få ta del av via egen bildskärm. Bestämmelserna om terminalåtkomst måste i praktiken vara relativt detaljerade och det är inte uteslutet att de behöver ändras med relativt täta mellanrum. Terminalåtkomsten regleras därför lämpligen i förordningsform. Vi föreslår att regeringen ges möjlighet att bestämma i vilken omfattning andra än Pliktverket skall ha terminalåt— komst till ADB-register över totalförsvarspliktiga.

Det är viktigt att framhålla att en föreskrift om terminalåtkomst inte bryter reglerna om sekretess. En första förutsättning för att någon skall ha rätt att ta del av personuppgifter om totalförsvarspliktiga eller andra personer i Pliktverkets register är att uppgifterna inte är sekretessbelagda i förhållande till den som vill ha ut dem. Först därefter kan det övervägas hur uppgifterna lämpligast kan överbringas.

För att klargöra detta förhållande bör det föras in en bestämmelse i lagen om behandling av personuppgifter om totalförsvarspliktiga med erinran om att sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvarspliktiga.

Frågor om sekretess för personuppgifter om totalförsvarspliktiga hos Pliktverket och andra inblandade behandlas i kap. 14, nedan.

12.5. Sökbegrepp

Förslag: Det skall vara förbjudet att som sökbegrepp använda vissa personuppgifter som ensamma eller tillsammans med andra kan bedömas som känsliga från den enskildes synpunkt när det inte behövs för Pliktverkets verksamhet. De förbjudna sökbe— greppen räknas upp i lagen om behandling av personuppgifter om totalförsvarspliktiga. Förbudet skall emellertid inte gälla då sökbegreppen behöver användas för åtkomst av uppgifter för forskning eller statistik, för Datainspektionens tillsyn eller för uppföljning och utvärdering av Pliktverkets verksamhet.

Personuppgifter om närstående till en registrerad totalförsvars- pliktig och om vem som handlagt ärende, fattat beslut eller gjort journalanteckning rörande en totalförsvarspliktig, skall endast få eftersökas med hjälp av den totalförsvarspliktiges personnummer. Detsamma skall gälla vid eftersökning av uppgifter som anteck- nats i registret därför att de åberopats av den totalförsvarspliktige.

Regeringen skall ha möjlighet att föreskriva ytterligare be- gränsningar av de sökbegrepp som får användas.

Utan hinder av meddelade förbud skall nödvändiga sökbegrepp alltid få användas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.

Bakgrund: Olika ord och beteckningar används som sökbegrepp för att ta fram enstaka uppgifter eller sammanställningar av uppgifter ur ADB-register. Vilka sökbegrepp som får användas för att ta fram uppgifter ur personregister hos en myndighet har betydelse för frågan om vad som är att anse som allmänna handlingar i registret och vad som därmed kan bli tillgängligt för utomstående. Föreligger förbud för myndigheten att använda vissa sökbegrepp för egen räkning innebär detta också att sammanställningar som grundas på sådana sökbegrepp inte utgör allmänna handlingar eftersom sådana upptagningar inte anses förvarade hos myndigheten (2 kap 3 5 2 st. TF. Se ovan, avsnitt 4.3.2). Begränsningar av sökbegrepp utgör ett skydd för den registre-

rades personliga integritet på så sätt att vare sig den registerförande myndigheten eller utomstående tillåts ta del av uppgiftssammanställ— ningar som i och för sig är tekniskt möjliga men inte motiverade för myndighetens egen verksamhet.

Datalagskommitténs förslag till ändringar itryckfrihetsförordningen innebär ingen förändring i detta avseende.

Överväganden: Pliktverkets ADB-register över totalförsvarspliktiga kan användas till att ta fram sammanställningar av de mest skilda slag. Det är t.ex. möjligt att ta fram listor över personer med viss sjukdom, som dömts för brott eller som har nedsatt psykisk funktionsförmåga. Sådana sammanställningar saknar intresse för Pliktverket. Möjlig- heterna att använda registret på detta sätt bör begränsas. Utgångs- punkten är härvid att endast sammanställningar eller upptagningar som är befogade i Pliktverkets verksamhet bör vara tillåtna. Förenklat uttryckt behöver Pliktverket i första hand använda sökbe- grepp av två slag (förutom personnummer då uppgifter om en bestämd individ skall tas fram). Det rör sig dels om uppgifter om de registrera- des utbildning, kunskaper, färdigheter, vitsord och liknande, för att krigsorganisationens behov av kompetent personal skall kunna tillgodoses på ett effektivt sätt, dels om uppgifter om innehållet i formella beslut om inskrivning och krigsplacering eller annat ianspråk— tagande av den registrerade, för redovisning av vilken personal olika enheter förfogar över eller utbildar vid olika tillfällen. Pliktverket behöver emellertid inte kunna söka på uppgifter avseende resultat från prov som genomförs vid mönstring eller annan motsvarande utredning eftersom en sökning på innehållet i inskrivningsbeslutet visar vilka individer som bedömts som lämpliga för viss befattning. Om enskilda provresultat skulle vara relevanta kan de tas fram genom att person- numren på dessa individer används som sökbegrepp. Utöver vad som nu nämnts behöver vissa uppgifter om adresser, (för reseplanering m.m.), och om anställning (för hälso— och sjukvårdspersonalen i INTEGER) kunna användas som sökbegrepp i begränsad omfattning. Med hänsyn till att Pliktverkets ADB-register över totalförsvarspliktiga är mycket omfattande går det knappast att i en lagtext exakt ange vilka sökbegrepp som skall få användas. Det viktiga är att de uppgifter som enskilt eller tillsammans med andra kan anses som känsliga från den registrerades synpunkt, förbjuds som sökbegrepp i den utsträckning användningen inte är nödvändig. Mot bakgrund av vad som anförts föreslås följande uppgifter omfattas av ett sådant förbud (Jfr upp— ställningen över tillåtet registerinnehåll i avsnitt 12.2.3, ovan).

Uppgifter om hinder för mönstring eller motsvarande utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade.

Uppgifter om boende- eller familjeförhållanden eller om för- sörjning.

— Uppgifter om resultat från kunskapsprov eller anlagstester som utförts vid mönstring eller motsvarande utredning.

Uppgifter om jysisk och psykisk hälsa och förmåga.

Uppgifter om medborgarskap.

Uppgifter som rör ansvar för brott.

— Uppgifter om säkerhetsprövning enligt säkerhetsskyddslagen .

I lagtexten kan förbudet mot användande av dessa sökbegrepp utformas som en hänvisning till den bestämmelse som anger vilka uppgifter som får registreras. Undantag från förbuden att använda de uppräknade sökbegreppen bör göras för de fall sökbegreppen behöver användas vid Datainspektionens tillsyn eller vid uppföljning och utvärdering av Pliktverkets verksamhet.

Pliktverkets register är unikt såtillvida att det innehåller uppgifter om en stor del av befolkningens hälsotillstånd vid en given tidpunkt och det utgör bl.a. därför ett mycket viktigt underlag för forskningen. Ytterligare undantag från förbuden mot att använda de uppräknade sökbegreppen bör därför göras för forskningens behov och för framställning av statistik. Vad gäller användning för statistikändamål skall det framhållas att absolut sekretess gäller för uppgifter om enskildas personliga och ekonomiska förhållanden hos statistikmyndig- heten (9 kap. 4 & sekretesslagen).

Vissa uppgifter saknar rimligen intresse också för forskningen och för Pliktverkets egen uppföljning och utvärdering. Det gäller uppgifter om närstående till de totalförsvarspliktiga och om vilka som fattat beslut, handlagt ärende eller gjort journalanteckning rörande de totalförsvarspliktiga. För åtkomst till dessa uppgifter bör sökbegreppen vara begränsade till de totalförsvarspliktigas personnummer. Något skäl till att kunna söka efter de nu nämnda uppgifterna på annat sätt finns i princip inte. Också uppgifter som antecknats enbart därför att de åberopats av den registrerade totalförsvarspliktige bör vara skyddade på det sättet att de endast kan eftersökas med hjälp av den

registrerades personnummer. Här kan det finnas personuppgifter av mycket känslig natur för den registrerade samt även uppgifter om andra personer än honom eller henne själv. De nu aktuella uppgifterna behöver såvitt vi kan bedöma inte heller kunna användas som sökbegrepp vid Datainspektionens tillsyn.

Generella undantag från samtliga förbud att använda vissa sökbe- grepp bör gälla då sökbegreppen behövs för rättelse av uppgift eller för åtgärdande av programfel. Det går inte att på förhand avgöra vilka sökbegrepp som måste användas vid den här typen av nödvändiga korrigeringsåtgärder.

I likhet med vad vi föreslagit beträffande bestämningen av innehållet i Pliktverkets ADB-register över totalförsvarspliktiga, bör regeringen ges möjlighet att ytterligare begränsa de sökbegrepp som får användas.

12.6. Sambearbetning

Bedömning: Någon föreskrift om förbud mot sambearbetning av uppgifter i Pliktverkets ADB-register över totalförsvarspliktiga med uppgifter i andra ADB-register är inte påkallad.

Bakgrund: Sambearbetning (maskinell samkörning) av uppgifter från två ADB-register innebär i praktiken att ett nytt register upprättas. Av det skälet behövs enligt gällande rätt formellt tillstånd — alternativt författningsstöd för sambearbetning. Integritetsskyddsaspekter kan motivera att sambearbetning inte bör tillåtas.

Förslaget till persondatalag bygger på ett tillståndslöst system och sambearbetning är sålunda tillåten så länge behandlingen är förenlig med de ändamål som angavs då respektive uppgifter samlades in och i övrigt håller sig inom de ramar persondatalagen anger bl.a. om nödvändighet och relevans.

Överväganden: Vårt lagförslag bygger på förslaget till persondatalag och sålunda behövs ingen bestämmelse som ger Pliktverket tillstånd till att sambearbeta uppgifter i sitt ADB-register över totalförsvarsplik- tiga med uppgifter från andra ADB-register, för att en sådan åtgärd skall få vidtas. Vi gör vidare den bedömningen att den registrerade erhåller ett tillräckligt integritetsskydd genom persondatalagens bestämmelser om att personuppgiftema skall behandlas ändamålsenligt. I och med att ändamålen med Pliktverkets behandling av uppgifterna finns angivna har den registrerade också viss möjlighet att förutse hur

uppgifterna kommer att användas. Någon bestämmelse om förbud mot sambearbetning är därför inte motiverad.

Det skall påpekas att uppräkningen av vilka personuppgifter som får antecknas i ADB-registret över totalförsvarspliktiga begränsar möjligheterna att samköra registeruppgifter genom att ta in nya uppgifter i det registret.

12.7. Utlämnande av uppgifter på ADB-medium

Bakgrund: Bestämmelser om sekretess hindrar att uppgifter lämnas ut från Pliktverket till obehöriga. Om inte annat följer av särskilda bestämmelser väljer Pliktverket i vilken form uppgifterna skall tillhandahållas dem, som har rätt att få del av dessa (Jfr avsnitt 12.4 om terminalåtkomst, ovan). Nuvarande bestämmelse i 7 kap. 16 5 sekretesslagen stadgar sekretess för personuppgifter i personregister som avses i datalagen om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid mot datalagen. Bestämmelsen innebär i praktiken att ett utlämnande på ADB-medium kräver att mottagaren har tillstånd av Datainspektionen eller författningsstöd för att föra ett personregister med de uppgifter som lämnas ut. Till skillnad från vad datalagen föreskriver kräver persondatalagen, enligt föreliggande förslag, inte tillstånd för behandling inklusive registrering av personuppgifter. Den nämnda bestämmelsen i sekretesslagen (som av Datalagskommittén föreslås ändrad till att avse situationer då ett utlämnande kan antas medföra att uppgiften behandlas i strid med persondatalagen) kommer därmed inte längre att hindra utlämnande på ADB-medium. Datalagskommittén har dessutom föreslagit en ändring i tryckfrihets- förordningen som innebär att den som begär det har rätt att mot en fastställd avgift i utskrift, kopia eller elektronisk form få ut en handling eller uppgifter ur en databas, allt till den del uppgifterna får lämnas ut. Enligt gällande rätt är en myndighet inte skyldig att lämna ut upptagning för ADB i annan form än utskrift (2 kap. 13 & TF).

Överväganden: Som framgår av vad som nyss anförts kommer det efter persondatalagens ikraftträdande inte att krävas någon särskild bestämmelse för att en mottagare som så önskar skall kunna få uppgifter från Pliktverkets ADB-register över totalförsvarspliktiga på

ADB-medium. Utgångspunkten är inte längre att tillstånd att föra ett register behövs för mottagaren i dessa situationer utan möjligen i stället att Pliktverket är skyldigt att lämna ut uppgifterna på ADB- medium om så begärs.

Datalagskormnittén motiverar sitt förslag till ändring av den berörda bestämmelsen om formerna för utlämnande i tryckfrihetsförordningen på följande sätt (Datalagskommittén, avsnitt 18. 6.1):

Bestämmelsen om att upptagningar inte behöver tillhandahållas i annan form än utskrift infördes samtidigt med datalagen. Som tidigare nämnts var syftet med bestämmelsen att undvika otillbörliga intrång i den personliga integriteten. Man befarade nämligen att uppgifterna kunde bli föremål för vidare behandling i strid mot datalagens bestämmel- ser. Offentlighets- och sekretesslagstiftningskommitténs förslag som låg till grund för bestämmelsen mötte kritik redan på den tiden. En rad remissinstanser ansåg bl.a. att det med hänsyn till den tekniska utvecklingen borde te sig alltmer naturligt och praktiskt att låta offentlighetsprincipen inrymma också direkt tillgång till datamedier. Det framhölls även från vissa att den föreslagna spärren var bristfällig, eftersom man med hjälp av optisk läsning (skanning) skulle kunna bygga upp sådana dataregister enbart med hjälp av utskrifter av upptagningar som myndigheterna är skyldiga att lämna ut.

Vi anser att tiden nu är mogen att lämna pappershanteringen även när det handlar om att lämna ut uppgifter enligt offentlighetsprincipen. Myndigheterna bör i princip ha en skyldighet att, inte bara visa utan även, lämna ut allmänna handlingar och andra uppgifter i elektronisk form. Det bör vara upp till den enskilde beställaren att välja i vilken form han vill ha uppgifterna.

Vi utgår i våra förslag ifrån att Datalagskommitténs förslag till persondatalag kommer att antas av riksdagen utan omfattande förändringar. Den slutsatsen bygger vi i huvudsak på att EG-direktivet om personuppgifter är utformat på det sättet att möjligheter till nationella avvikelser är begränsade. Med Datalagskommitténs förslag till ändring av bestämmelserna i tryckfrihetsförordningen i nu aktuell del förhåller det sig annorlunda. Den skyldighet som föreslås för myndigheter att länma ut uppgifter i elektronisk form följer inte av vårt medlemskap i EU eller av andra internationella åtaganden. Det är därför svårare att förutse hur ett sådant förslag kommer att emottas av lagstiftaren. Vi delar dock den uppfattning som Datalagskommittén redovisar att den som vill ha uppgifter på ADB-medium och som förfogar över rätt utrustning är oförhindrad att genom sk. skanning föra över innehållet i de pappershandlingar han eller hon med laga stöd utfått från en myndighet, till en hårddisk eller en diskett. Sammantaget anser vi att en bestämmelse som begränsar möjlig- heterna till utlämnande av uppgifter på ADB-medium i princip inte fyller någon funktion. Det legala skydd den enskilde erhåller genom att personuppgifter med mer eller mindre känsligt innehåll är sekretessbelagda och genom persondatalagens bestämmelser om när

och hur personuppgifter får behandlas får anses utgöra ett tillräckligt skydd. Vi föreslår med hänsyn till vad som nu anförts, och med beaktande av den ändring Datalagskommittén föreslagit av tryck— frihetsförordningens bestämmelse om i vilken form uppgifter skall lämnas ut av myndigheter, inte någon bestämmelse som begränsar möjligheterna att lämna ut uppgifter på ADB-medium.

13. Arkivering och gallring

Förslag: En personuppgift i Pliktverkets ADB-register över totalförsvarspliktiga skall gallras så snart den inte behövs för de ändamål den insamlats för av Pliktverket och senast vid utgången av det kalenderår den registrerade totalförsvarspliktige fyller 70 år om inte han eller hon även därefter har en uppgift inom totalför- svaret vid höjd beredskap.

Regeringen skall få föreskriva kortare tid för gallring.

Undantag från gallringsskyldigheten skall få göras genom föreskrifter av regeringen eller av den myndighet som regeringen bestämmer beträffande personuppgifter som skall bevaras för forskningens behov. Sådana uppgifter skall avföras från registret när skyldigheten att gallra annars inträtt. Bedömning: Särskilda föreskrifter för joumalhandlingar som enligt patientjoumallagen (19851562) skall bevaras viss minsta tid behövs ej.

Bakgrund: Enligt 9 5 första stycket i) i förslaget till persondatalag skall den persondataansvarige tillse att personuppgifter inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgiftema avidentifieras eller förstöras (Datalagskommittén, avsnitt 12.4.5). Enligt en uttrycklig bestämmelse i 8 5 andra stycket i förslaget till persondatalag hindrar dock inte övriga bestämmelser i lagen att en myndighet arkiverar eller bevarar sina allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Datalagskommittén har motiverat denna bestämmelse med att de ändamål som myndighetsarkiven skall tjäna kan hänföras till vad som i EG—direktivet om personuppgifter kallas ”historiska, statistiska och vetenskapliga ändamål”. Sådana ändamål skall inte anses oförenliga med de ändamål för vilka uppgifterna insamlades och behandling som tjänar dem är i princip alltid tillåten. (Se avsnitt 6.5 ovan och Datalagskommittén, avsnitt 9.4). Data- lagskommittén anför bl.a. att om en myndighets primära hantering av uppgifterna är tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Arkivlagen och de bestämmelser i övrigt som reglerar myndigheternas bevarande av allmänna hand- lingar behöver därför i princip inte ändras på grund av att EG-

direktivet om personuppgifter implementeras i svensk rätt. Data— lagskommittén föreslår dock att begreppet allmän handling ersätts med allmän uppgift i arkivlagen samt att uppgifter i handlingar och databaser skall ses som en del av myndighetens arkiv så snart uppgifterna är att anse som allmänna enligt 2 kap. tryckfrihetsför- ordningen (se Datalagskommittén, avsnitt 22.1).

Arkivlagen föreskriver som huvudregel att allmänna handlingar skall bevaras. För personuppgifter i register som regleras av särskilda registerförfattningar är principen som regel i stället den omvända, nämligen att uppgifterna skall gallras efter en bestämd tid om det inte finns någon uttrycklig bestämmelse i den särskilda författningen, eller i bestämmelse som är meddelad med stöd av denna, att uppgiften skall bevaras. (Se ovan avsnitt 4.5 och prop. 1989/90:72 s 50 ff). Principen med gallring som huvudregel för personuppgifter i ADB-register förestavas av integritetsskäl.

För joumalhandlingar finns särskilda bestämmelser i patientj ournal- lagen ( 1985:562 ). Med joumalhandlingar avses de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vård (med vård avses även undersökning och behandling) och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Som joumalhandling anses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel, dvs. även uppgifter lagrade på datamedium. I patientjournallagen finns bestämmelser om patientjournalers utformning och innehåll, skyldighet för viss hälso— och sjukvårdspersonal att föra journal och om bevaran- de av joumalhandlingar m.m.

Överväganden Vad innebär gallring?

I dag är det möjligt för en myndighet att bevara uppgifter från ett ADB-register även när tidpunkten för gallring av uppgifterna är passerad. Föreskrifter om att uppgifter skall gallras vid en viss tidpunkt hindrar nämligen inte att de först förs över på ett annat medium och lagras på annat ställe än i registret av myndigheten. Att uppgifterna (handlingarna, enligt nuvarande lydelse av arkivlagen) skall gallras innebär visserligen att de skall förstöras (se t.ex. prop. 1989/90:72 s. 39). Förstöring behöver dock inte betyda att uppgiften utplånas fysiskt så att den inte kan återfinnas. Enligt 2 kap. 1 & Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga

myndigheter (RA-FS 1991:1) räknas som förstöring av handling— ar/uppgifter även överförande till annan databärare (fysiskt underlag för handlingar/uppgifter) om överföringen medför

— inforrnationsförlust

—— förlust av möjliga inforrnationssammanställningar — förlust av sökmöjligheter eller — förlust av möjligheten att fastställa informationens autencitet.

Personuppgifter i ett ADB-register kan sålunda anses förstörda (gallrade) om de förs över till mikrofilm innan datamediet (t.ex. en diskett) raderas eller utplånas, om möjligheter till informationssam— manställningar eller att söka i materialet gått förlorade i och med överföringen.

Vi anser inte att det är vår sak att ta ställning till om en ordning som den nyss beskrivna är tillfredsställande. Vi kan bara konstatera att definitionen av gallring (förstöring) är ägnad att skapa viss förvirring.

Vi använder inte gallringsbegreppet i någon annan betydelse än den som nu redovisats vilket är viktigt att påpeka inför den fortsatta framställningen. Det väsentliga är enligt vår mening att särskilda bestämmelser finns som anger hur länge olika personuppgifter får finnas kvar i Pliktverkets ADB—register över totalförsvarspliktiga. En föreskrift om att en uppgift skall gallras innebär alltid att den skall tas bort från registret.

För uppgifter som inte registrerats krävs inga särskilda bestämmelser

För personuppgifter som Pliktverket behandlar utan att registrera dem i ADB-register över totalförsvarspliktiga, krävs enligt vår bedömning inga särskilda bestämmelser om gallring. Här är arkivlagens huvud- regel om att handlingarna skall bevaras och de möjligheter arkiv- myndigheten (Riksarkivet) har att lämna föreskrifter tillräckliga.

Huvudregeln skall vara gallring efter bestämd tid för uppgifter i registret

Vi delar den uppfattning som uttrycks i prop. 1989/90:72 s 50 ff, om att integritetsskyddet motiverar en i förhållande till arkivlagen omvänd gallringsprincip för ADB-register med personuppgifter. För person- uppgifter i Pliktverkets ADB-register över totalförsvarspliktiga bör utgångspunkten därför vara att uppgifterna skall gallras efter en bestämd tid. Behovet av uppgifterna för de ändamål som Pliktverket

samlade in dem för, bör vara vägledande vid bedömningen av hur länge uppgifterna skall bevaras i registret. Det finns som regel inte skäl att hålla uppgifterna ordnade i register, med de sökmöjligheter och möjligheter till att ta fram olika sammanställningar av uppgifter som detta innebär, när detta inte längre behövs för de ändamål för vilka registren skapats. När uppgifterna inte längre behövs för något av dessa ändamål så skall de därför gallras, om inte särskilda skäl talar för att de skall bevaras. De uppgifter Pliktverket samlar in och registrerar är av skilda slag. En del av dem förlorar mycket snabbt i värde medan andra behövs under hela den tid den registrerade är totalförsvarspliktig. En stor del av underlaget från mönstringen (eller motsvarande undersökning) torde t.ex. vara ointressant med hänsyn till de angivna ändamålen efter det att grundutbildningen genomförts. Uppgifter om vilken utbildning den totalförsvarspliktige erhållit och vilka färdigheter han därvid förvärvat är däremot intressanta under en längre tid. Det är svårt att avgöra när en viss uppgift förlorar sin relevans. Vi föreslår att den yttersta gränsen för ett bevarande i ADB- registret över totalförsvarspliktiga anges i lagen, vilket kan uttryckas så att en uppgift skall gallras så snart den inte längre behövs för något av de ändamål som den insamlats för och som framgår av lagen. Uppgifterna skall därvid som huvudregel — gallras senast vid utgången av det kalenderår den registrerade totalförsvarspliktige fyller 70 år (dvs. senast då totalförsvarsplikten upphör). I vissa fall kan det förekomma att personer har uppgifter att fylla inom totalförsvaret även efter det att totalförsvarsplikten upphört för deras del. T.ex. kan medlemmar i frivilligorganisationer kvarstå som medlemmar efter det att de fyllt 70 år och därvid också behålla sina krigsuppgifter inom organisationen. De som skall ställa egendom till förfogande vid höjd beredskap, de som ingår som ledamöter i värderingsnämnder och vissa andra personer med mer eller mindre särpräglade uppgifter, är skyldiga att utföra sina åligganden oavsett om de är över eller under sjuttio år. Som utvecklats i avsnitt 10.2 jämställs dessa personer med totalförsvarspliktiga i vårt lagförslag. I gallringsbestäImnelsen behövs därmed också ett undantag från sjuttioårsgränsen för dem som även därefter har en uppgift vid höjd beredskap.

Uppgifter om närstående och andra personer beträffande vilka - uppgifter antecknats i registret som personuppgifter hänförliga till en viss registrerad totalförsvarspliktig, skall naturligtvis inte kvarstå i registret längre än uppgiften behövs som inforrnationsunderlag om den totalförsvarspliktige. Detta bör framgå av lagtexten.

Det bör ankomma på regeringen ge närmare föreskrifter om när olika personuppgifter skall gallras. '

Undantag från gallringsskyldighet skall göras för forskningens behov

Många av de personuppgifter Pliktverket registrerar har ett mycket stort värde för forskningen. Uppgifterna innehåller allsidig information beträffande en stor del av befolkningen företrädesvis män vid en viss ålder. Samma slag av uppgifter insamlas år efter år och föränd- ringar av t.ex. folkhälsan kan härigenom kontinuerligt följas. Det är lätt att inse att undantag från skyldigheten att gallra uppgifter bör göras med hänsyn till forskningen. Ett sådant undantag medför att uppgifterna inte behöver överföras till annan databärare med någon typ av inforrnationsförlust som följd, vilket torde vara en stor fördel för forskningen. Avgörandet av vilka uppgifter som skall bevaras med hänsyn till forskningens behov bör överlåtas till Riksarkivet (jfr prop. 1989/90:72 s. 52).

Det torde vara såväl nödvändigt som tillräckligt att i lagtexten ange att regeringen äger föreskriva undantag från gallringsplikten för forskningens behov. Gallringsföreskrifter för myndigheter faller under regeringens sk. restkompetens (se avsnitt 9.2.2, ovan). I och med att riksdagen enligt vårt förslag — går in och ger föreskrifter om gallring, måste kompetensen återföras genom att det i lagen anges att regeringen får föreskriva kortare tid för gallring än vad som följer av lagen. Regeringen kan därefter —— utan särskilt bemyndigande i förordning överlåta åt myndighet (Riksarkivet) att meddela bestämmel— ser ”i ämnet”, enligt 8 kap. 13 & tredje stycket regeringsformen.

Det skall påpekas att sådana uppgifter som enligt förslaget till persondatalag betecknas som känsliga, får behandlas för forsknings- ändamål om behandlingen är nödvändig och samhällsintresset av att projektet genomförs klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som projektet kan innebära (se 19 å i förslaget till persondatalag).

Patientjournallagens bestämmelser

En del av de uppgifter som Pliktverket registrerar omfattas av bestämmelserna i patientjournallagen (1985:562) . Det gäller t.ex. journalanteckningar som förs av hälso- och sjukvårdspersonal vid totalförsvarets utbildningsenheter. För joumalhandlingar föreskrivs en minsta bevarandetid om tre år efter det att den sista uppgiften fördes in i handlingen (8 5). Regeringen eller myndighet som regeringen bestämmer får föreskriva att vissa slags joumalhandlingar skall bevaras minst tio år. I övrigt gäller — såvitt avser de joumalhand- lingar som utgör allmän handling — arkivlagens bestämmelser och de

bestämmelser som utfärdats med stöd av den lagen. Kraven på vissa minimitider för bevarandet av joumalhandlingar motiveras av säkerheten och rättssäkerheten i vården (se prop. 1984/85:189 ).

De ovan föreslagna gallringsföreskriftema i lagen om behandling av personuppgifter om totalförsvarspliktiga hindrar inte en tillämpning av patientjournallagens bestämmelser om minsta tid för bevarande av joumalhandlingar. Innan en joumalhandling gallras ur ett ADB- register över totalförsvarspliktiga kan den tas ut i utskrift och bevaras på annat ställe än i registret. Någon särskild bestämmelse som gör undantag från gallringsplikten för joumalhandlingar är därför inte nödvändig.

Förvaring av handlingar undantagna från gallring

Enligt arkivlagen (1990:782) svarar varje myndighet för vården av sitt arkiv (4 &) Normalt innebär ett överlämnande av en myndighets arkivmaterial till en arkivmyndighet en viss förstärkning av skyddet för uppgifterna. Föreskrifter om att sådana uppgifter som är undantag- na från gallringsplikt skall överlämnas till arkivmyndighet är därför inte sällsynta i särskilda registerförfattningar. Arkivmyndighetens uppgift är koncentrerad på förvaring och den myndigheten har också normalt andra resurser för en effektiv och säker lagring av uppgifter som inte skall behandlas i det dagliga arbetet. I dag bevaras Pliktver- kets läkarhandlingar (joumalhandlingar) som i praktiken utgör det centrala materialet för forskningens behov genom att uppgifterna (som finns på papper) kopieras (mikrofilmas) och förs över till det av Pliktverket förda Centrala läkarhandlingsarkivet (CLA). I CLA finns i dag joumalhandlingar för dem som är födda åren 1946— 1976 medan Krigsarkivet (del av Riksarkivet) förvarar joumalhandlingar för dem som är födda före 1946. Att hålla de mest aktuella delarna av arkivet är förenat med ett relativt omfattande arbete med att svara på frågor från allmänheten, försäkringskassor och försäkringsbolag m.fl. Pliktverket har —— med Riksarkivets föreskrifter i bakgrunden byggt upp en organisation och ett kunnande för att klara denna uppgift. Vi ser ingen anledning att ändra på detta förhållande. Det skall påpekas att Riksarkivet har möjlighet att föreskriva att statliga myndigheter skall överlämna sina arkiv — helt eller i vissa delar — till annan myndighet eller till arkivmyndighet (9 & arkivlagen). Det finns alltså möjlighet för Riksarkivet att ta över hela CLA, och andra uppgifter som skall sparas, om en sådan åtgärd skulle anses lämplig.

Även om uppgifterna skall finnas kvar hos Pliktverket saknas det skäl för att låta uppgifter som bevarats enbart för forskningens behov

kvarstå i Pliktverkets ADB-register över totalförsvarspliktiga. Vi föreslår därför en bestämmelse som anger att detta material skall atföras, dvs. tas bort, från registret.

Sammanfattning

En tillämpning av vårt förslag, jämte Riksarkivets föreskrifter om vad som avses med gallring (förstöring) ger följande resultat:

Uppgifter som skall gallras skall vid tidpunkten för gallringen utplånas ur registret. En föreskrift om gallring hindrar dock inte att uppgiften dessförinnan mikrofilmas, skrivs ut på papper eller sparas på annat sätt av myndigheten (under förutsättningen att överföringen till den andra databäraren medfört förlust av sökmöjligheter eller annan förlust som nämns i Riksarkivets definition av förstöring).

Uppgifter som Riksarkivet bestämt skall sparas för forskningens behov, behöver inte gallras (dvs. behöver inte ”förstöras”) men skall avföras från ADB-registret över totalförsvarspliktiga. Eftersom gallring inte är föreskriven kan uppgifterna föras över till ett annat ADB-register utan att möjligheterna att söka bland uppgifterna eller göra sammanställningar reduceras.

—— Uppgifter som skall gallras men ändå bevaras av hänsyn till be- stämmelserna i patientjournallagen , skall före gallringen överföras till annan databärare för lagring på annat ställe än i ADB-registret över totalförsvarspliktiga.

14. Sekretessfrågor

14.1. Inledning

Sekretesslagstiftningen måste genomgående beaktas vid tillämpningen av särskilda registerförfattningar. Terminalåtkomst, utlämnande på ADB-medium m.fl. bestämmelser som ger mottagare möjlighet att ta del av registerinnehåll på ett visst sätt begränsas alltid av gällande föreskrifter om sekretess. För att undvika missförstånd har vi därför föreslagit en uttrycklig bestämmelse med erinran om att sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvar— spliktiga (se avsnitt 12.4).

Uppgifter om totalförsvarspliktiga skall kunna överlämnas mellan de myndigheter och andra inblandade som behöver ta del av dem för att totalförsvarets och den registrerades behov skall kunna tillgodoses. Uppgifterna är till stor del av känslig karaktär och det framstår som angeläget att ett sekretesskydd finns mot obehöriga utomstående.

Kort sammanfattat bör reglerna vara utformade så att sekretessen inte hindrar dem som behöver uppgifterna från att ta del av dessa medan den skall utgöra ett effektivt legalt skydd mot att uppgifterna hamnar i orätta händer.

I avsnitt 4.3 ovan lämnas en redogörelse för gällande sekretessbe- stämmelser.

14.2. Pliktverkets möjligheter att ta del av sekretessbelagda personuppgifter från andra myndigheter

Förslag: De organisatoriska enheter där grundutbildning för värnplikt eller civilplikt genomförs skall, senast då den totalför- svarspliktige rycker ut, lämna joumalhandlingar som upprättats under utbildningen till Pliktverket.

Bakgrund: De uppgifter som lämnas till Pliktverket från andra myndigheter är inte sällan sekretessbelagda hos dessa. Av den anledningen finns en ”katalog” av sekretessbrytande bestämmelser

föreskrifter om uppgiftsskyldighet (se ovan, avsnitt 4.3.8) —— i 3 kap. förordningen om totalförsvarsplikt. Under utredningsarbetet har det uppmärksammats att någon särskild föreskrift som gör det möjligt för Riksförsäkringsverket att lämna uppgifter om förtidspensioner till Pliktverket utan att företa skadeprövning inte finns. Förhållandet är detsamma vad gäller utlämnande till Pliktverket av de joumalanteck- ningar som gjorts på utbildningsenheterna under grundutbildningen.

Överväganden: Pliktverket behöver uppgifter om huruvida någon av dem som skall kallas till mönstring eller andra utredningar för fastställande av totalförsvarsplikten är förtidspensionerad. Förtids- pension innebär som regel hinder för tjänstgöring och det är en fördel för såväl Pliktverket som den enskilde om förhållandet uppmärksam- mas innan kallelse till t.ex. mönstring utfärdas. Enligt 7 kap. 7 & sekretesslagen gäller sekretess hos Riksförsäkringsverket i ärende enligt lagstiftningen om allmän försäkring för uppgift om någons hälsotillstånd eller andra personliga förhållanden om det kan antas att den som uppgiften rör eller någon honom närstående lider men om uppgiften röjs. Eftersom sekretessbrytande bestämmelser saknas innebär detta stadgande att Riksförsäkringsverket i princip har att göra en skadeprövning varje gång Pliktverket begär att få sådana uppgifter. Detta är inte en tillfredsställande ordning. Vi har övervägt att föreslå att en bestämmelse tas in i förordningen om totalförsvarsplikt med in- nebörden att Riksförsäkringsverket, på begäran av Pliktverket, skall lämna uppgifter om beslutade folkpensioner i form av förtidspensioner och sjukbidrag (se 7 kap. lagen [1962z381] om allmän försäkring). Pliktverket har dock redan agerat och framställt en begäran till Försvarsdepartementet om en motsvarande ändring i förordningen om totalförsvarsplikt. Vi avstår av den anledningen från att lägga fram ett förslag från utredningens sida.

Under grundutbildningen förekommer det att förbandsläkare och annan hälso- och sjukvårdspersonal vid utbildningsenheterna för journalanteckningar beträffande pliktpersonal. Detta blir aktuellt om åtgärder i form vård och behandling förekommer under utbildnings- tiden. Pliktverket behöver dessa journalanteckningar som underlag vid bedömningen av hur den totalförsvarspliktige bäst skall kunna användas inom totalförsvaret efter genomförd grundutbildning. Uppgifterna i journalerna är emellertid belagda med sekretess enligt 7 kap. 1 5 första stycket sekretesslagen och de får därmed inte lämnas ut från hälso- och sjukvårdsenheten på t.ex. ett förband om det inte står klart att de kan röjas utan att den enskilde eller någon honom närstående lider men. Detta innebär i princip att den ansvarige har att göra en skadeprövning varje gång en joumalhandling skall lämnas till

Pliktverket. För att möjliggöra ett smidigare förfarande föreslår vi en sekretessbrytande bestämmelse med innebörden att utbildningsen- heterna, senast vid utryckningen, skall lämna de joumalhandlingar som upprättats under utbildningstiden till Pliktverket. Bestämmelsen förs lämpligast in i förordningen om totalförsvarsplikt.

I övrigt har vi inte funnit några hinder i form av sekretess för att Pliktverket skall kunna få de uppgifter verket behöver från andra myndigheter. Härvid har vi bedömt att bestämmelsen i 4 kap. 6 5 förordningen om totalförsvarsplikt får anses som sekretessbrytande vad gäller de personuppgifter som skall lämnas till Pliktverket från de myndigheter som kan utföra mindre omfattande utredningar angående de totalförsvarspliktigas personliga förhållanden. I nämnda lagrum anges att den som vill få totalförsvarspliktiga inskrivna skall lämna Totalförsvarets pliktverk det underlag som behövs för inskrivningen.

14.3. Sekretess för uppgifter om totalförsvarspliktiga hos Pliktverket

Förslag: Uppgifter om en enskilds personliga förhållanden i journaler som upprättats vid utbildningsenheten under utbildnings- tiden skall vara sekretessbelagda även hos Pliktverket. Pliktverkets skyldighet att överlämna joumalhandlingar till hälso- och sjukvårdspersonalen vid totalförsvarets utbildningsen- heter, när de totalförsvarspliktiga rycker in, skall omfatta även sådana joumalhandlingar som upprättats vid särskild antagnings- prövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning. Pliktverket skall dessutom ha skyldighet att lämna uppgifter om den totalförsvarspliktiges psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsa till befattnings— havare vid utbildningsenheten som har till uppgift att utbilda den totalförsvarspliktige. Dessa uppgifter skall anges kortfattat.

Bakgrund: Personuppgifter om totalförsvarspliktiga skyddas av bestämmelserna i 7 kap 125 sekretesslagen och — såvitt avser uppgifter från medicinska undersökningar — av 1 5 i samma kapitel (en utförligare redovisning ges ovan i avsnitt 4.3.4). Härtill kommer sekretesslagens särskilda bestämmelser om sekretess för personuppgif- ter i personregister (se avsnitt 4.3.5 jfrt med Datalagskommitténs förslag som redovisas i avsnitt 6.9.4) och för uppgifter som angår verksamhet för att försvara landet (se avsnitt 4.3.6).

Bestämmelser som bryter sekretessen hos Pliktverket — bortsett från sekretesslagens generella bestämmelser om begränsningar i sekretess (14 kap. sekretesslagen) finns i förordningen (1995:648) med instruktion för Totalförsvarets pliktverk. I nämnda förordning föreskrivs följande:

3 & Totalförsvarets pliktverk skall i samband med att en totalförsvars- pliktig rycker in för värnplikt eller civilplikt med längre grundutbild- ning än 60 dagar lämna de joumalhandlingar som upprättats vid mönstringen till hälso— och sjukvårdspersonalen vid den organisatoris— ka enhet hos en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras.

Bestämmelsen infördes den 1 januari 1997 sedan det upptäckts att Pliktverket på grund av gällande sekretessbestämmelser i princip var förhindrade att lämna ut joumalhandlingar till de utbildningsansvariga enheterna inom totalförsvaret utan samtycke från den enskilde.

Överväganden: Vi har i förra avsnittet föreslagit en sekretessbrytande bestämmelse som gör det möjligt för Pliktverket att ta del av de joumalhandlingar som upprättats under de totalförsvarspliktigas grundutbildning. Någon bestämmelse som skyddar sådana uppgifter sedan de inkommit till Pliktverket finns för närvarande inte (Förutom det mycket svaga skydd som ges för uppgifter i Pliktverkets register över totalförsvarets personal, se 1 b & sekretessförordningen och avsnitt 4.3.4, ovan). 7 kap. 1 5 första stycket sekretesslagen gäller endast för uppgifter inom hälso- och sjukvården och 7 kap. 12 5 första stycket avser uppgifter i ärenden om inskrivning av totalförsvarsplikti- ga sarnt antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar. Det är uppenbart att uppgifter om den enskildes hälsa och personliga förhållanden i övrigt som återfinns i de aktuella journalerna bör åtnjuta ett likvärdigt skydd hos Pliktverket som de uppgifter som framkommer vid mönstringen och motsvarande förrättningar. Vi föreslår därför att 7 kap. 12 5 första stycket sekretesslagen ändras till att omfatta sekretess även i ärenden om krigsplacering av den totalförsvarspliktige. Av lagrummet följer redan att sekretess för uppgifterna gäller bl.a. i ärende som angår skyldighet att tjänstgöra med totalförsvarsplikt och avbrott i sådan tjänstgöring. Tillsammans med den ändring vi föreslår torde därmed sekretessen omfatta de ändamål för vilka Pliktverket innehar dessa uppgifter. Skaderekvisitet i lagrurrunet är rakt, dvs. uppgifterna får inte lämnas ut om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Med hänsyn till att de

journalanteckningar som förs vid en utbildningsenhet normalt är av relativt enkel beskaffenhet torde ett sådant skydd vara nog.

I övrigt är sekretesskyddet för personuppgifter hos Pliktverket tillräckligt enligt vår bedömning. Ovan lämnad redovisning visar att det inte sällan finns flera sekretessregler som gäller för samma uppgift. Möjligen kan det sägas vara en brist att uppgifter från psykologiska undersökningar som utförs vid mönstring (motsv.) endast är skyddade enligt en bestämmelse med ett rakt skaderekvisit (7 kap. 12 5 första stycket sekretesslagen) hos Pliktverket. Till skillnad från vad som gäller de medicinska undersökningarna är nämligen inte 7 kap. 1 5 första stycket sekretesslagen tillämpligt på personuppgifter från dessa undersökningar (se ovan avsnitt 4.3.4). Vår översyn av aktuella sekretessregler har dock inte omfattat omprövningar av tidigare överväganden vad gäller sekretessens styrka i olika fall. Vi vill med den gjorda anmärkningen endast fästa uppmärksamhet på förhållandet.

Bestämmelser som bryter sekretessen för personuppgifter hos Pliktverket är få. Den enda som specifikt inriktar sig på uppgifter som behandlas av Pliktverket är den ovan redovisade i myndighetens instruktion. Behovet av sekretessbrytande föreskrifter är dock inte heller stort. De flesta uppgifter som är av den karaktären att de inte kan lämnas ut med hänsyn 'till sekretess, behöver inte heller utges till annan för att verksamheten med att placera och redovisa totalförsvars- pliktig personal skall fungera. Vi har uppmärksammat två fall där föreskrifter som bryter sekretessen är påkallade:

] . Utlämnande av joumalhandlingar till utbildningsenheterna beträffande de kvinnor som genomgått särskild antagningsprövning.

Den ovan redovisade bestämmelsen i Pliktverkets instruktion gäller endast joumalhandlingar som upprättats vid mönstring. Behovet av joumalhandlingar hos hälso- och sjukvårdspersonalen på utbildningsen- heten är lika stort beträffande de kvinnor som antas till grundutbild— ning efter sådan särskild antagningsprövning som motsvarar mönstring (se 3 5 lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning). Ett tillägg bör därför göras till 3 & i förordningen med instruktion för Totalförsvarets pliktverk så att även joumalhandlingar upprättade vid antagningsprövning för kvinnor omfattas av bestämmelsen om utlämnande.

2. Utlämnande av uppgifter om psykisk funktionsförmåga och fysisk arbetsförmåga m.m. till utbildningsenheten.

Det är inte bara hälso— och sjukvårdspersonalen vid utbildningsenheten som behöver uppgifter om den totalförsvarspliktiges psyke och hälsa under grundutbildningen. Ansvarigt befäl eller motsvarande bör också få tillgång till basuppgifter i detta avseende (jfr vad som finns med på det sk. grundutbildningskortet, avsnitt 8.4.4). Vi föreslår därför en bestämmelse som anger att Pliktverket i samband med att den totalför- svarspliktige rycker in skall lämna kortfattade uppgifter om hans eller hennes psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsa till utbildningsenheten. Personuppgiftema lämnas lämpligen till befattningshavare som har till uppgift att utbilda den totalförsvarspliktige. Bestämmelsen kan införas som ett andra stycke i 3 5 förordningen med instruktion för Totalförsvarets pliktverk.

Det förekommer att utbildning av totalförsvarspliktiga som skall tjänstgöra med civilplikt genomförs hos ett organ som inte är en myndighet. Bestämmelser som bryter sekretess genom att uppgifts— skyldighet föreskrivs i lag eller förordning är endast tillämpliga myndigheter emellan. (Se 14 kap. 1 & sekretesslagen. Se även 1 kap. 8 & enligt vilket lagrum vissa andra organ skall jämställas med myndigheter vid tillämpningen av sekretesslagen). Något generellt behov av att annars sekretessbelagda uppgifter lämnas ut till annan än myndighet under grundutbildningen har inte framkommit. Vi vill dock peka på att utlämnande av sådana uppgifter inte kan ske med stöd av 3 5 förordningen med instruktion för Totalförsvarets pliktverk i dessa fall. Efter en skadeprövning i det enskilda fallet torde nödvändiga personuppgifter emellertid kunna lämnas ut även till enskilda ut- bildningsanordnare, i vart fall med förbehåll om att uppgifterna inte får lämnas vidare (se 14 kap. 9 5 första stycket sekretesslagen).

Med hänsyn till att det i nuläget förefaller något oklart vem som skall stå som mottagare av personuppgifter om de totalförsvarspliktiga i en krigssituation har vi inte övervägt vilka sekretessbrytande bestämmelser som härvid kan vara nödvändiga.

14.4. Sekretess hos dem som tar emot personuppgifter från Pliktverket

Förslag: Sekretess skall gälla för uppgifter om den totalförsvars- pliktiges personliga förhållanden inom verksamhet som avser utbildning för totalförsvarsändamål, hos befattningshavare som har till uppgift att utbilda honom eller henne. Uppgifterna skall inte få lämnas ut om det inte står klart att de kan röjas utan att den som uppgiften rör eller någon honom eller henne närstående lider men.

Bakgrund: Sekretessen följer inte en uppgift som lämnats ut om det inte finns en särskild regel om detta (se ovan avsnitt 4.3.9).

Överväganden: Det är viktigt att en sekretessbelagd uppgift som kan lämnas ut från Pliktverket till annat organ inom totalförsvaret på grund av en sekretessbrytande bestämmelse inte står oskyddad hos mottaga- ren. För uppgifter om den enskildes hälsotillstånd eller andra personliga förhållanden som lämnas till de utbildningsansvariga enheternas hälso— och sjukvårdspersonal gäller sekretessbestämmelserna i 7 kap. 1 5 första stycket sekretesslagen även hos mottagaren. I kommentaren till sekretesslagen (Corell m.fl; Sekretesslagen — Kommentar till 1980 års lag med ändringar, 3 uppl., 1992) uttalas i anslutning till denna bestämmelse följande:

Hälso- och sjukvård behöver inte bedrivas i organisatoriskt självständiga former utan kan utgöra inslag i annan förvaltning, t.ex. inom skolväsendet, socialtjänsten, kriminalvården eller försvarsmakten. Också företagshälsovården i det allmännas verksamhet faller under paragrafens tillämpningsområde. Avsikten är att i dessa fall den del av verksamheten som är att räkna till hälso— eller sjukvård skall falla under den nu aktuella sekretessregleringen, inte under den reglering som gäller för värdmyndigheten. I den mån uppgifterna kommer att hanteras i denna myndighets egentliga verksamhet, blir emellertid den senare regleringen att tillämpa.

Uppgifter om t.ex. den enskildes hälsa som kan komma att lämnas av Pliktverket till andra delar av utbildningsenheten än hälso- och sjukvårdspersonalen, omfattas sålunda inte av sekretess enligt 7 kap 1 & första stycket sekretesslagen. Det gäller i första hand det ovan nämnda grundutbildningskortet med uppgifter om bl.a. den enskildes psykiska funktionsförmåga. Paragrafen i övrigt är inte heller tillämplig hos den utbildande enheten. Enligt 7 kap. 12 å andra stycket sekre- tesslagen gäller sekretess: ”. . .inom personalvård med avseende på den

som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.”

Inte heller denna sekretessbestärnmelse torde vara tillämplig på de uppgifter i ett grundutbildningskort som tillställs utbildningsenheten. En utbildningsansvarig chef är knappast sådan ”annan befattnings— havare” som nämns där. Uppgifterna i grundutbildningskortet skall —— enligt vad vi föreslår vara kortfattade och lämnas i dag i form av en siffer- och/eller bokstavskod. Innehållet är mycket känsligt såvitt avser graderingen av den enskildes psykiska funktionsförmåga och trots kodning så pass lättolkat för de initierade, vilket torde vara i stort sett alla de som själva tjänstgjort inom totalförsvaret, att uppgifterna bör skyddas med en sekretessbestärnmelse även hos mottagaren. Vi föreslår därför att 7 kap. 12 & sekretesslagen förses med ett nytt tredje stycke där det anges att sekretess gäller för uppgifter som hänför sig till psykologiska undersökningar och för uppgifter om den totalför- svarspliktiges personliga förhållanden hos befattningshavare som har till uppgift att utbilda honom eller henne. De aktuella personuppgifter- nas känslighet motiverar ett omvänt skaderekvisit. Uppgifter från psykologiska undersökningar får härmed ett starkare sekretesskydd hos befattningshavaren vid utbildningsenheten än vad uppgifterna har hos Pliktverket. Så är också fallet i dag när sådana uppgifter lämnas från Pliktverket till en förbandsläkare eftersom 7 kap. 1 5 första stycket sekretesslagen gäller hos förbandsläkaren men inte hos Pliktverket. (Jfr vad som sägs om uppgifter från psykologisk undersökning i avsnitt 14.3).

Uppgifter i övrigt som lämnas ut av Pliktverket har, såvitt vi kan bedöma, erforderligt sekretesskydd hos mottagarna. Uppgifter om krigsplaceringar etc. omfattas av försvarssekretessen om uppgifterna är känsliga (2 kap. 2 & sekretesslagen). Det skall också erinras om den absoluta sekretess som gäller för uppgifter som används vid fram- ställning av statistik (9 kap. 4 & sekretesslagen, se avsnitt 4.3.7 ovan) och om att den sekretess som gäller hos Pliktverket (enligt 13 kap. 3 och 4 55 sekretesslagen) följer med uppgifterna om de överlämnas till en myndighet för forskningsverksamhet eller för arkivering. Om enskild efter särskild skadeprövning enligt sekretesslagen får ta del av uppgifter för forskningsändamål kan förbehåll med förbud att lämna uppgiften vidare ställas upp enligt 14 kap. 9 & sekretesslagen. Sådant förbehåll kan också som tidigare nämnts användas om det i

andra fall skulle vara aktuellt att lämna ut personuppgifter om totalförsvarspliktiga till andra utbildningsanordnare än myndigheter.

15 Skadestånd och straff

15.1. Skadestånd

Förslag: Persondatalagens bestämmelser om skadestånd skall gälla även behandlingar som utförts i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av den lagen.

En föreskrift som anger detta förhållande tas in i lagen eftersom den föreslagna persondatalagens skadeståndsbestämmelser endast gäller vid behandling som skett i strid med den lagen eller före- skrifter som meddelats med stöd därav.

Bakgrund: Enligt förslaget till persondatalag (43 5) skall den persondataansvarige ersätta den registrerade för den skada som en behandling av personuppgifter i strid med den lagen eller föreskrifter som har meddelats med stöd av lagen fört med sig. Ersättning skall inte bara betalas för person— och sakskada utan också för ren för- mögenhetsskada samt för den kränkning av den personliga integriteten som behandlingen har inneburit. Ersättningsskyldigheten kan i den utsträckning det är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar att felet inte berodde på honom eller henne.

Skillnaden mellan de särskilda bestämmelserna i förslaget till persondatalag och allmänna bestämmelser i skadeståndslagen(1972:207) består främst i att ersättning enligt persondatalagen kan utgå för ren förrnögenhetsskada och för kränkning av den personliga integriteten även om brottslig gärning ej begåtts.

Överväganden: Datalagskommitténs överväganden har skett mot bakgrund av EG—direktivet om personuppgifter (Datalagskommittén, avsnitt 12.132). Formuleringen i den föreslagna persondatalagen innebär att behandlingar som strider mot en särskild författning som reglerar behandling av personuppgifter inom viss verksamhet, men som är tillåten enligt persondatalagen, inte grundar skadeståndsskyl- dighet annat än enligt allmänna skadeståndsbestämmelser i skade- ståndslagen. Det saknas enligt vår uppfattning skäl att göra sådan åtskillnad. Skada som uppkommit genom att personuppgifter behand-

lats i strid med gällande rätt bör bedömas lika ur skadeståndssynpunkt oavsett i vilken författning de föreskrifter som har åsidosatts före- kommer. Vi föreslår därför att persondatalagens bestämmelser om skadestånd skall gälla även behandlingar som utförts i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av denna lag.

15.2. Straff

Bedömning: Skäl för avvikelser från de föreslagna bestämmelser- na i persondatalagen, eller från straffrättsliga föreskrifter i övrigt, föreligger inte.

Bakgrund: Datastraffrättsutredningen har föreslagit att datalagens bestämmelser om straff för dataintrång (21 å datalagen) flyttas till brottsbalken (se SOU 1992:110 s. 182 ff). Datalagskommittén har instämt i förslaget. I övrigt har Datalagskommittén föreslagit viss avkriminalisering i förhållande till vad som gäller enligt datalagen i dag. Kommittén anser att vissa av de straffbestämmelser som finns i dag inte är relevanta för det föreslagna systemet och att vite och skadestånd i flera fall utgör tillräckliga sanktioner (Datalagskommittén, avsnitt 12. 13. 2.4). Kommittén föreslår en bestämmelse i persondatala- gen (44 å) som straffbelägger lämnande av osanna uppgifter till den registrerade eller tillsynsmyndigheten. Straffet föreslås vara böter eller fängelse i högst sex månader eller, om brottet är att betrakta som grovt, fängelse i högst två år.

Överväganden: Det saknas skäl för särskilda straffbestämmelser avseende brott mot föreskrifterna i lagen om behandling av personupp- gifter om totalförsvarspliktiga.

16. Ikraftträdande och övergångsbestämmelscr

16.1. Ikraftträdande

Förslag: Lagen om behandling av personuppgifter om totalför- svarspliktiga skall träda i kraft den 1 januari I 999. Andringarna i sekretesslagen (1980:100) , förordningen ( 1995:238 ) om totalförsvarsplikt och förordningen ( 1995:648 ) med instruktion för Totalförsvarets pliktverk, skall träda i kraft den I januari 1998.

16.1.1. Lagen om behandling av personuppgifter om totalförsvarspliktiga

Överväganden: Vårt förslag till lag om behandling av personuppgifter om totalförsvarspliktiga är skrivet mot bakgrund av den av Datalags- kommittén föreslagna persondatalagen (SOU 1997:39) och utformad i samspel med den lagens bestämmelser. Lagen kan således inte träda i kraft före persondatalagen, vilken föreslagits gälla från och med den 1 januari 1999. Då det inte finns skäl att avvakta ytterligare föreslår vi att lagen om behandling av personuppgifter om totalförsvarspliktiga träder i kraft samtidigt som persondatalagen. Tiden fram till dess torde vara tillräcklig för övervägande av vilka ytterligare föreskrifter i förordningsform som kan behövas. I och med att lagarna träder i kraft samtidigt skall Pliktverket inte behandla personuppgifter i enlighet med datalagen fram till oktober 2001, vilket annars hade varit fallet enligt övergångsbestämmelsema till persondatalagen. (Se nedan under Övergångsbestämmelser, avsnitt 16.2.2).

Tillstånd och föreskrifter som har meddelats av Datainspektionen bör anses förlora sin verkan per ikraftträdandedagen (Jfr Datalagskom- mittén, avsnitt 12. 15.2.5). Föreskrifter från Riksarkivet avseende gall- ring av ADB-registret över totalförsvarspliktiga finns för närvarande inte. I den mån sådana föreskrifter behöver utfärdas före den 1 januari 1999 bör de utformas så att de inte strider mot vårt lagförslag.

16.1.2. Ändringar i andra författningar

Överväganden: Vi har föreslagit ändringar i sekretesslagen , för- ordningen om totalförsvarsplikt och förordningen med instruktion för Totalförsvarets pliktverk (se kap. 14).

Nämnda ändringar är inte beroende av att persondatalagen trätt i kraft, utan fungerar även tillsammans med nu gällande föreskrifter. Bestämmelserna bör införas snarast möjligt, eftersom de reglerar och möjliggör nödvändigt utbyte av personuppgifter de inblandade myndig- heterna emellan. Vi föreslår den 1 januari 1998 som datum för införandet.

16.2. Övergångsbestämmelser

Förslag: Personer som vid lagens ikraftträdande har mönstrat (motsv.) men inte tagits i anspråk för totalförsvarets räkning skall, utan hinder av de begränsningar av registerinnehåll som följer av lagen, också få antecknas i Pliktverkets ADB-register över

totalförsvarspliktiga. Persondatalagens bestämmelser skall gälla vid behandling av

personuppgifter som omfattas av lagen om behandling av person- uppgifter om totalförsvarspliktiga från den 1 januari 1999, även såvitt avser sådan behandling som redan pågår vid den tidpunkten.

Bestämmelsen som ger andra än Pliktverket rätt att behandla känsliga personuppgifter skall dock gälla först från och med den 1 oktober 2001.

16.2.1. Registrering av uppgifter om personer vars tjänstbarhet utretts före den 1 januari 1999, men som vid den tidpunkten inte tagits i anspråk för totalförsvarets räkning

Överväganden: Enligt vårt förslag skall uppgifter om totalförsvars- pliktiga få registreras i Pliktverkets ADB-register över totalförsvars— pliktiga när de är aktuella för mönstring, särskild antagningsprövning eller annan mindre omfattande utredning med motsvarande syfte. Upp- gifter beträffande personer som genom avtal, beslut om krigsplacering eller på annat sätt är tagna i anspråk för totalförsvaret får också registreras. I ett övergångsskede faller den som har mönstrat (motsv.)

men ännu inte krigsplacerats, mellan nu angivna punkter. Det gäller t.ex. dem som mönstrat men ännu inte fullgjort grundutbildningen och därför ännu inte kunnat krigsplaceras, och dem som efter mönstringen placerats i en utbildningsreserv. För att åtgärda denna brist bör det i övergångsbestämmelsema anges att uppgifter om dessa personer också får antecknas i registret.

Det är självfallet så att uppgifterna endast får antecknas där i den mån de är relevanta för ändamålen med registret och inte om de enligt andra föreskrifter redan fallit för gallringsplikten.

16.2.2. Förhållandet till den föreslagna persondatalagens övergångsbestämmelscr

Överväganden: Nedan anges de föreslagna övergångsbestämmelsema till persondatalagen i 8 punkter. Under varje punkt följer våra överväganden och kommentarer. Om inget annat sägs föreslår vi inga undantag vad gäller behandlingen av personuppgifter om totalförsvars- pliktiga. (För en utförlig redovisning av skälen bakom de föreslagna övergångsbestämmelsema till persondatalagen hänvisas till Data- lagskommittén, avsnitt 12.15).

1. Denna lag träder i kraft den 1 januari 1999, då datalagen (1973:289) upphör att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som meddelats före den 1 januari 1999.

Talan mot Datainspektionens beslut, t.ex.om förverkande av register, skall föras enligt datalagens bestämmelser om beslutet är meddelat med stöd av den lagen.

2. Beträffande sådan behandling av personuppgifter som pågår vid ikraftträdandet skall till utgången av september månad 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande.

Enligt Datalagskommittén bör man kunna använda sig av en vid tolkning av begreppet ”behandling som redan pågår”. Har väl en serie behandlingar påbörjats före ikraftträdandet, bör den behandlingsserien kunna fortsätta oberörd av den nya lagen ända till den 1 oktober 2001 , trots att bara viss typ av behandling — t.ex. genom sökningar,

ändringar och kompletteringar påbörjas eller återupptas (Data- lagskommittén, avsnitt 12. 15. 2. 2).

I och med att lagen om behandling av personuppgifter om totalför- svarspliktiga enligt vad vi föreslår träder i kraft samma dag som persondatalagen, skall inte denna övergångsbestämmelse gälla för Pliktverkets behandling av dessa uppgifter. Pliktverket har att följa bestämmelserna i båda de nya lagarna från och med den gemensamma dagen för ikraftträdandet. Det bör därför anges i bestämmelsen om ikraftträdande för lagen om behandling av personuppgifter om totalförsvarspliktiga att även persondatalagen skall tillämpas vid behandlingen, utan hinder av vad som sägs i 2 p i övergångsbestäm- melsema till den lagen.

3. Bestämmelserna i 9, 10, 13, och 2] 55 i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 beträjfande sådan manuell behandling av personuppgifter som pågår vid ikraftträdandet.

De uppräknade paragraferna avser grundläggande krav på behand- lingen av personuppgifter, allmänna förutsättningar när behandling är tillåten, förbud mot behandling av känsliga personuppgifter samt förbud för andra än myndigheter att behandla uppgifter om lagöverträ- delser. Innebörden är att Pliktverket kan fortsätta ev. manuell behandling av personuppgifter som redan pågår den 1 januari 1999, utan att behöva beakta dessa bestämmelser i persondatalagen fram till nämnd datum. Manuell behandling av personuppgifter har tidigare inte reglerats av persondataskyddslagstiftningen i Sverige och Datalags- kommittén har valt att utnyttja den möjlighet till respit med införandet av EG—direktivet avseende sådan behandling som ges i direktivet. Respiten bör gälla även i Pliktverkets verksamhet.

4. Beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelsernai 9, 10, 13, och 21 55 i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Dessförinnan skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av punkt 2 eller 3 ovan.

Vi har föreslagit att uppgifter som skall undantas från gallring av hänsyn till forskningens behov skall avföras från Pliktverkets ADB- register över totalförsvarspliktiga. Den lagring som sker på annat ställe omfattas av denna övergångsbestämmelse. Någon bestämmelse som förtydligar detta förhållande behövs inte i lagen om behandling

av personuppgifter om totalförsvarspliktiga eftersom den lagen inte reglerar behandling av personuppgifter som lagras för historisk forskning.

5. Anmälan enligt 36 å i den nya lagen får göras före ikraftträdandet.

Det är den anmälan om behandling av personuppgifter som skall göras till tillsynsmyndigheten som avses. Pliktverket kan om verket inte väljer att utse ett persondataombud, vilket innebär att anmälnings- skyldigheten bortfaller (37 & förslaget till persondatalag) göra en sådan anmälan före den 1 januari 1999.

6. Ett samtycke som lämnats före ikraftträdandet skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen.

Bestämmelsen föranleder ingen särskild kommentar.

7. Har en begäran om registerutdrag enligt 10 å i den äldre lagen kommit in före ikraftträdandet men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 å i den nya lagen.

Bestämmelsen föranleder ingen särskild kommentar.

8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträjfat efter ikraftträdandet. I annat fall tillämpas de äldre bestämmelserna.

Vårt förslag till skadeståndsbestäanelse hänvisar till persondatalagens. Vad som anges i denna punkt i persondatalagens övergångsbestämmel- ser gäller sålunda även då skadeståndsyrkandena grundas på att behandling skett i strid mot lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av lagen.

16.2.3. Behandling av personuppgifter om totalförsvarspliktiga hos andra än Pliktverket

Överväganden: Vårt lagförslag berör även andra än Pliktverket. Vi ger t.ex. ett utrymme för andra än Pliktverket att lägga in uppgifter i ADB-registret över totalförsvarspliktiga och föreskriver om terminalåt- komst för andra till registret. Hos dessa andra myndigheter m.fl. skall

inte persondatalagen börja tillämpas förrän i oktober 2001 beträffande sådan behandling av personuppgifter som redan pågår den 1 januari 1999. Olika regelverk för dem som behandlar uppgifter om totalför- svarspliktiga bl.a. genom att skicka uppgifterna sinsemellan kan ställa till problem. Automatisk behandling som inte innefattar registrering är t.ex. under en övergångsperiod oreglerad hos den som emottar uppgifter från Pliktverket medan verket är underkastat persondatalagens bestämmelser. Vi kan dock inte finna att några olösliga konflikter uppstår. I och med att även Pliktverket har respit från persondatalagens bestämmelser såvitt avser manuell behandling av personuppgifter och då datalagens regelverk endast griper in om mottagarna registrerar uppgifterna i ADB-register bör samspelet fungera under den period om två och ett halvt år det är fråga om.

Särskilda problem skulle kunna uppstå under övergångsperioden om andra än Pliktverket för in uppgifter i ADB-registret över totalför- svarspliktiga. Dessa andra organ för i praktiken själva ett ”register i registret” och är därmed underkastade datalagens bestämmelser. En föreskrift i förordning om att annan t.ex. hälso- och sjukvårdsper- sonal vid Försvarsmaktens utbildningsenheter -- får föra in vissa uppgifter i Pliktverkets ADB-register över totalförsvarspliktiga, innebär dock att åtgärderna inte är tillståndspliktiga eftersom de beslutats av regeringen. De föreskrifter som kan utfärdas av Datain- spektionen med stöd av datalagen bör kunna utformas så att konflikter mellan regelverken inte uppstår. (Läkare har redan på grund av särskilt undantag i datalagen rätt att utan särskilt tillstånd föra ett register över någons sjukdom eller hälsotillstånd i övrigt, se 2 a 5 andra stycket 4 datalagen). En liknande situation som kan uppstå är att Pliktverket enligt den nya ordningen inte är förhindrat att lämna ut uppgifter på ADB-medium, medan mottagaren inte får inneha ett personregister på ADB-medium utan tillstånd enligt datalagens bestämmelser. Som nämnts inledningsvis anser vi dock att problemen bör kunna lösas under den aktuella övergångsperioden. Idet här fallet genom att mottagaren ansöker om tillstånd hos Datainspektionen, eller låter sig nöja med att få uppgifterna på annat medium.

Beträffande en särskild bestämmelse i förslaget till lag om be- handling av personuppgifter om totalförsvarspliktiga är det emellertid befogat att göra ytterligare överväganden. Det gäller det föreslagna undantaget från förbudet mot behandling av känsliga personuppgifter för de myndigheter m.fl. som kan utföra mindre omfattande utredning- ar enligt lagen om totalförsvarsplikt (5 & andra stycket i vårt lag- förslag). Bestämmelsen medför att de berörda myndigheterna även kan registrera dessa uppgifter med hjälp av ADB. Om bestämmelsen träder i kraft före den 1 oktober 2001 innebär detta att en onödig konflikt

med datalagens regler om tillståndsplikt uppstår. Olika regler kan komma att gälla för olika typer av uppgifter i samma register hos den aktuella myndigheten. Denna bestämmelse bör därför inte träda i kraft förrän persondatalagens bestämmelser i övrigt (med undantag för de som gäller manuell behandling) gäller för dessa organs behandling av personuppgifter. De kan tillsvidare behandla de uppgifter de finner nödvändiga utan att vara underkastade någon persondataskyddslagstift- ning så länge de inte för ett eget ADB—register med uppgifterna. Vi föreslår mot bakgrund av det anförda att 5 5 andra stycket i lagen om behandling av personuppgifter om totalförsvarspliktiga träder i kraft först per den 1 oktober 2001.

17. Konsekvenser av förslagen

17.1. Prövning av offentliga åtaganden

Enligt generella kommittédirektiv (dir. 1994z23) har samtliga kommittéer och särskilda utredare att förutsättningslöst pröva offentliga åtaganden inom den verksamhet som utreds. I direktivet uttalas att vissa kollektiva nyttigheter måste garanteras genom offentliga åtaganden. Försvaret nämns som en av dessa. Prövningen av ett offentligt åtagande som rör sådana nyttigheter kan enligt direktiven göras översiktligt eller i vissa fall slopas helt. Pliktverkets verksamhet utgör en bas för totalförsvarets personalför- sörjning och kan inte rimligen garanteras av annan än det offentliga. Med hänsyn till att kontinuerlig riksomfattande samordning är nödvändig, är staten den lämpligaste huvudmannen. Med dessa korta konstateranden avslutar vi, med hänvisning till vad som sägs i det aktuella direktivet om kollektiva nyttigheter, vår prövning i denna del.

17.2. Regionalpolitiska konsekvenser, jämställdhet mellan könen och brottsförebyggande arbete

Generella kommittédirektiv föreskriver redovisning av ställda förslags konsekvenser för regionalpolitiken (dir. 1992z50), jämställdhetspoliti- ken (dir. 1994:124) och det brottsförebyggande arbetet (1996z49). Vi har inte kunnat finna att vad som nu nämns berörs av våra förslag.

17.3. Kostnader för förslagens genomförande

De förslag vi lämnar avser att reglera en redan pågående verksamhet och anpassa reglerna till den nya centrala lagstiftningen på området. Förslagen medför sålunda i sig inga kostnader för samhället.

De begränsningar vi föreslår av vad som skall få förekomma i registret och hur uppgifterna skall få kommuniceras mellan dem som behöver dem, kan innebära merkostnader för de berörda jämfört med

de lösningar de planerat för. Vi har t.ex. inte medgivit att fotografier av pliktpersonal skall få finnas i ADB-registret över totalförsvarsplikti- ga (se ovan, avsnitt 1223). Enligt Pliktverkets beräkningar innebär en ordning där fotografier (och den totalförsvarspliktiges narnnteck- ning) lagras i ett separat register (fristående serversystem) en investeringskostnad om ca 450 000 kr. Driften av systemet är beräknad till ca 50 000 kr/år, inklusive service.

18 INTEGER-delen av Pliktverkets ADB-

register över totalförsvarspliktiga En sammanfattning

Som redogjorts för ovan (avsnitt 8.4.8) skall Socialstyrelsens personalförsörjningsregister över hälso- och sjukvårdspersonal i krig (INTEGER) överföras till PLIS och utgöra en del av detta system. Pliktverket skall enligt överenskommelse med Socialstyrelsen sköta uppdatering och ändring av uppgifterna även i INTEGER-delen av registret.

Vårt förslag till lag om behandling av personuppgifter om totalför- svarspliktiga ger utrymme för en lösning som innebär att INTEGER- personalen registreras tillsammans med de totalförsvarspliktiga i Pliktverkets ADB-register. Vi har vid utformningen av förslaget till lagtext tagit hänsyn till de särskilda krav på registerinnehåll, sökbe- grepp m.m. som därmed måste ställas. Närmast nedan följer en sammanfattning av dessa överväganden.

Ändamålen med behandlingen

Lagen om behandling av personuppgifter om totalförsvarspliktiga är tillämplig även vid behandling av personuppgifter om INTEGER- personalen. Detta följer av 1 5 första stycket 1, där det anges att lagen tillämpas i den verksamhet Pliktverket bedriver för att ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. INTEGER förs för att ett underlag —— en förteckning skall finnas när hälso- och sjukvårds- personal skall fördelas över landet i en krigssituation.

Registerinnehåll

7 5 första stycket 3 i vårt förslag är till viss del utformad särskilt för att de av hälso- och sjukvårdspersonalen som inte är formellt krigsplacerade ändå skall kunna registreras i Pliktverkets ADB-register över totalförsvarspliktiga. Det gäller andra ledet i punkten där det sägs att det får antecknas uppgifter om den som på grund av viss kompe- tens är viktig för totalförsvaret.

De uppgifter som får antecknas om hälso- och sjukvårdspersonalen (och övriga totalförsvarspliktiga) anges i 8 &. Med stöd av detta lagrum kan uppgifter om personnummer, namn, adress, anställning, utbildning och kunskaper m.m. antecknas, i den mån det bedöms erforderligt.

Registrering av uppgifter och terminalåtkomst

Bestämmelserna i 10 och 11 55 ger regeringen möjlighet att tillåta Socialstyrelsen m.fl (t.ex. sjukvårdshuvudmännen och civilbefäl- havama) att ha terminalåtkomst till ADB-register över totalförsvar- spliktiga och att föra in uppgifter direkt i registret. De bestämmelser som regeringen kan ge i förordning kan vara utformade så att de tillåter åtkomst endast till uppgifter om hälso- och sjukvårdspersonal.

Sökbegrepp

Enligt vårt förslag är det tillåtet att använda sökbegrepp som t.ex. anställning, utbildning, kunskaper och färdigheter. Härmed är det t. ex. tillåtet att söka efter ”läkare” med särskild utbildning som ”kirurg” anställd vid ett visst landsting. Vi har bedömt att vårt förslag till begränsning av sökbegrepp ger tillräckligt utrymme för INTEGER- funktionen i registret.

Persondataansvar

Enligt 6 & i vårt förslag är Pliktverket persondataansvarigt för den behandling som verket utför. Någon annan lösning är enligt vår bedömning inte rimlig. Pliktverket för visserligen INTEGER-delen av registret på uppdrag av Socialstyrelsen och Socialstyrelsen har också ett betydande inflytande vad gäller innehållet i denna del av registret. Pliktverket agerar dock generellt som en servicemyndighet i för- hållande till övriga delar av totalförsvaret. Pliktverket hanterar personuppgiftema självständigt och det är verkets arbetsuppgift — enligt instruktion att redovisa (all) personal inom totalförsvaret. Det är självklart att Pliktverket måste föra en dialog med de myndigheter verket bistår och ingå överenskommelser med dessa. Frågor om vilka uppgifter registret måste innehålla m.m. kan inte avgöras av Pliktver- ket ensamt. Pliktverket intar dock inte en sådan underordnad roll att ansvaret för verkets behandling av personuppgifter kan läggas på

andra myndigheter eller andra organ. Detta gäller även beträffande behandlingen av uppgifter om hälso- och sjukvårdspersonal.

Vad som nu sagts utesluter inte att även andra t.ex. de som lämnar personuppgifter till Pliktverkets register har ett eget ansvar för de åtgärder som de vidtar med uppgifterna. Tvärtom är huvud— regeln att var och en av de inblandade ansvarar för sina ”behand- lingar” (se avsnitt 11.6, ovan).

Författningskommentar

Förslag till lag om behandling av personuppgifter om totalförsvarspliktiga

Lagens tillämpningsområde

1 5 Denna lag tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Totalförsvarets pliktverk bedriver för att 1. ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, 2. redovisa personal med uppgifter inom totalförsvaret, 3. säkerställa att den registrerade fortlöpande erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret, 4. tillse att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten, 5. tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig och 6. planera, följa upp och utvärdera den verksamhet som anges i 1—5.

I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av annan än Totalförsvarets pliktverk.

Lagen gäller endast om behandlingen är helt eller delvis automatisk eller om personuppgiftema ingår i eller är avsedda att ingå i ett register.

Med totalförsvarspliktiga jämställes vid tillämpningen av denna lag personer som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt.

Paragrafen anger lagens tillämpningsområde. Lagen skall tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksam- het Pliktverket bedriver enligt punkterna 1—6. Begreppen behandling och personuppgifter definieras i förslaget till persondatalag (fortsätt- ningsvis persondatalagen) till vilken 2 & hänvisar. Med behandling avses enligt persondatalagen varje åtgärd som vidtas beträffande personuppgifter och med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 & persondatalagen). En personuppgift om en totalförsvarsplik- tig kan samtidigt utgöra en uppgift om en annan person, t.ex. om en närstående (se 7 5 första stycket 4), om vem som tagit ett beslut som rör den totalförsvarspliktige (se 7 & tredje stycket) eller om en person som nämns bland de uppgifter som åberopats av en totalförsvarspliktig (se 7 5 första stycket 5).

Om Pliktverket behandlar uppgifter om andra personer t.ex. om egen personal eller om totalförsvarspliktiga, för andra ändamål än dem som anges i denna paragraf t.ex. lagring av personuppgifter för forskningsändamål -- är lagen inte tillämplig. För att möjliggöra åtkomst till och bevarande av personuppgifter om totalförsvarspliktiga för forskningsändamål finns emellertid särskilda bestämmelser i lagen (se 12 5 första stycket och 13 å andra stycket).

Om det särskilt anges gäller lagen också vid behandling av person- uppgifter i annan verksamhet än den som bedrivs av Pliktverket. Här avses i första hand bestämmelsen i 5 5 andra stycket som ger vissa myndigheter och andra rätt att behandla känsliga personuppgifter. Även bestämmelserna om rätt för annan att föra in uppgifter i Pliktverkets ADB-register över totalförsvarspliktiga (11 å) och om terminalåtkomst till detta register (10 &) kan hänföras hit. Generellt faller annars behandling av personuppgifter som utförs av dem som lämnar uppgifter till Pliktverket eller tar emot uppgifter därifrån utanför lagens tillämpningsområde.

En viktig begränsning ligger i att lagen är tillämplig endast om behandlingen är helt eller delvis automatisk eller om personuppgiftema ingår i eller är avsedda att ingå i ett register (automatiskt eller manuellt fört). , Enligt sista stycket jämställes alla personer som har uppgifter att fylla vid höjd beredskap med totalförsvarspliktiga vid tillämpningen av lagen. De som här avses är personer som på grund av avtal eller bestämmelser i författningar som inte avser totalförsvarsplikt har en skyldighet att tjänstgöra eller utföra en uppgift vid höjd beredskap. Som exempel kan nämnas yrkesofficerare, vissa medlemmar i frivillig- organisationer och ägare till egendom vilken uttagits för totalförsvarets behov med stöd av förfogandelagstiftningen. Även behandling av personuppgifter om dem som inte tagits i anspråk för viss bestämd tjänstgöring eller ålagts viss bestämd uppgift inom totalförsvaret vid höjd beredskap omfattas av lagens tillämpningsområde, under förutsättning att den typ uppgift dessa personer skall fullgöra är bestämd. Lagen är därmed t.ex. tillämplig vid behandling av person- uppgifter om hälso- och sjukvårdspersonal oavsett om personerna i fråga är inskrivna med civilplikt, skyldiga att tjänstgöra enligt sina anställningsavtal eller endast kan tas i anspråk med stöd av allmän tjänsteplikt. Dessa personers uppgifter vid höjd beredskap är bestämda med sådan säkerhet att det är motiverat att personuppgifter om dem får behandlas (jfr 7 5 första stycket 3).

Vilka personer som får registrerasi Pliktverkets ADB-register över totalförsvarspliktiga anges i 7 5.

De ändamål som räknas upp i punkterna 1—6 motsvarar de centrala delarna av Pliktverkets verksamhet. För en närmare beskrivning av vad som avses hänvisas till avsnitt 11.2. 1.

För behandling av personuppgifter som faller utanför denna lags tillämpningsområde gäller persondatalagens bestämmelser under förut— sättning att behandlingen är helt eller delvis automatisk eller att personuppgiftema ingår i eller är avsedda att ingå i ett register. Denna lags förhållande till persondatalagen beskrivs i kommentaren till 3 5.

Definitioner

2 5 Med behandling, blockering, register, den registrerade, persondataansvarig, personuppgifter, känsliga personuppgifter, tillsynsmyndigheten och tredje man förstås i denna lag detsamma som i persondatalagen (1998:000) .

Med utredning avses i denna lag mönstring och annan utredning om den totalförsvars- pliktiges förhållanden som kan utföras enligt lagen (1994:1809) om totalförsvarsplikt samt särskild antagningsprövning enligt lagen (1994: 1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.

Med ADB-register över totalförsvarspliktiga avses register med personuppgifter om totalförsvarspliktiga som förs av Totalförsvarets pliktverk med hjälp av automatisk databehandling för de ändamål som anges i l & första stycket.

I denna paragraf definieras vissa begrepp som förekommer i lagen.

I första stycket anges begrepp som införs i och med persondatala- gen. I lagen om behandling av personuppgifter om totalförsvarspliktiga används, av lätt insedda skäl, samma terminologi som i persondatala- gen. I persondatalagen definieras dessa begrepp på följande sätt (definitionerna av behandling och personuppgifter har presenterats i kommentaren till 1 5): Blockering= varje åtgärd som kan vidtas för att personuppgiftema i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personupp- giftema inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen . Register= varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Den registrerade= den som en personuppgift avser. Persondataansvarig= den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av person- uppgifter. Känsliga personuppgifter= Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.

Tillsynsmyndigheten= Den myndighet som regeringen utser (Datain-

spektionen)

Tredje man = Någon annan än den registrerade, den persondataansva— . rige, persondatabiträdet och sådana personer som under den person-

dataansvariges eller persondatabiträdets direkta ansvar har befogenhet

att behandla personuppgifter. Inte heller ett persondataombud anses

som tredje man. '

Begreppen persondatabiträde och persondataombud används inte i lagen om behandling av personuppgifter om totalförsvarspliktiga. För definitioner hänvisas till persondatalagens3 5 (se bilaga 2).

I andra stycket ges mönstring, annan utredning enligt lagen om totalförsvarsplikt samt särskild antagningsprövning för kvinnor samlingsbeteckningen utredning. Skälet härtill är endast att förenkla de fortsatta skrivningarna.

I tredje stycket definieras ADB-register över totalförsvarspliktiga. Detta görs för att skilja registret från andra personregister som Pliktverket eventuellt kan komma att föra och för att ge registret ett namn i den fortsatta framställningen. Bestämmelserna i 7—13 55 gäller endast för personuppgifter i detta (eller dessa) register.

Förhållandet till persondatalagen

3 & Om inget annat följer av denna lag eller av föreskrifter som meddelats med stöd härav, tillämpas persondatalagen vid behandling av personuppgifter om totalförsvarsplik- tiga.

Redan av persondatalagen (2 &) följer att bestämmelser i lagar och förordningar som avviker från persondatalagen gäller framför denna. I 3 5 ovan uttrycks förhållandet mellan persondatalagen och denna lag på det sättet att persondatalagen gäller om inget annat sägs i denna lag eller i föreskrifter som meddelats med stöd härav. För att ta reda på grundläggande bestämmelser för behandling av personuppgifter måste man alltså gå till persondatalagen, även när det gäller behandling av personuppgifter om totalförsvarspliktiga som omfattas av denna lag. Lagen om behandling av personuppgifter om totalförsvarspliktiga utgörs nämligen av föreskrifter som preciserar och i vissa fall gör undantag från persondatalagens allmänt hållna bestämmelser. Förhål- landet till persondatalagen har behandlats genomgående i betänkandet (se särskilt kap. 11) och beskrivs också fortsättningsvis i komrnen— tarema till de följande paragraferna i denna lag i den mån det bedöms erforderligt. Här skall endast strukturen och de viktigaste punkterna

upprepas .

Persondatalagens bestämmelser om när behandling av personuppgif- ter är tillåten återfinns i den lagens 10 &. Där anges att uppgifter får behandlas bara om den registrerade har lämnat sitt samtycke eller när behandlingen i vissa fall är nödvändig, t.ex. för att utföra en arbets- uppgift av allmänt intresse eller för att den persondataansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning. De ändamål som anges i 1 5 första stycket i denna lag faller inom vad som är att bedöma som uppgifter av allmänt intresse nämligen att förse landets totalförsvar med lämplig personal och att redovisa denna. I de delar ändamålen är att tillgodose den registrerades intressen utgör detta arbetsuppgifter i samband med den myndighetsutövning Pliktverket och andra myndigheter inom totalförsvaret utövar gentemot den registrerade. Utgångspunkten är sålunda att den registrerades samtycke inte krävs för behandling av personuppgifter om totalförsvarspliktiga för de ändamål som anges i 1 5 i denna lag. Detta följer av en tillämpning av 10 & persondatalagen enligt nu redovisat resonemang. (Angående behandling av känsliga personuppgifter; se kommentaren till 5 5).

I persondatalagens9 & anges grundläggande krav på behandling av personuppgifter. Av detta lagrum följer bl.a. att den persondataansva- rige skall se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, att de personuppgifter som behandlas är riktiga och, om detär nödvändigt, aktuella samt att personuppgifter inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Allt detta är tillämpligt även vid behandlingen av personuppgifter om totalförsvarspliktiga. Av vad som nu sagts följer t.ex. att även om en uppgift ingår bland dem som får registreras i Pliktverkets ADB-register över totalförsvarspliktiga enligt 8 5 i denna lag, så får behandling (inklusive den behandlingsåtgärd som registreringen utgör) inte ske om uppgiften är överflödig med hänsyn till ändamålen.

Av bestämmelsen i förevarande paragraf följer vidare att personda- talagens bestämmelser om information till den registrerade (23 och 24 55 persondatalagen), förbud mot automatiserade beslut (29 & persondatalagen), säkerheten vid behandlingen (30—32 55 persondata- lagen), anmälan till tillsynsmyndigheten (36—41 55) samt om straff för osanna uppgifter (44 5) är tillämpliga även vid behandling av personuppgifter om totalförsvarspliktiga. Detta gäller även vad som i övrigt regleras i persondatalagen så länge inte något annat följer av lagen om behandling av personuppgifter om totalförsvarspliktiga eller

föreskrifter som meddelats med stöd av denna lag. (Som ovan nämnts går också föreskrifter i andra lagar och förordningar före persondatala- gens bestämmelser vid en konflikt).

Ändamålen med behandlingen

4 & Personuppgifter som samlats in av Totalförsvarets pliktverk skall anses insamlade för de ändamål som anges i l & första stycket om inte Totalförsvarets pliktverk vid insamlingen uttryckligen angett att denna sker för andra ändamål.

Ändamålen skall enligt persondatalagen (9 5 första stycket 0) alltid anges när personuppgifter som skall behandlas (med automatik eller genom att antecknas i register) samlas in. Ändamålsangivelsen styr sedan behandlingen av uppgifterna på det sättet att annan behandling än den som är relevant och nödvändig i förhållande till dessa ändamål i princip inte får företas. Genom vad som anges i 4 5 ovan kan Pliktverket behandla personuppgifter för de ändamål som anges i 1 5 första stycket även i de fall uppgifterna lämnats till Pliktverket från andra myndigheter m.fl. som ursprungligen samlat in uppgifterna för andra ändamål. Utan en föreskrift av det här slaget hade detta i vart fall i viss utsträckning varit förbjudet eftersom 9 5 första stycket (1 i persondatalagen stadgar att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Av bestämmelsen framgår också att denna lag inte hindrar att Pliktverket behandlar personuppgifter för andra ändamål än dem som uttrycks i lagen. Pliktverket måste emellertid i sådant fall ange dessa andra ändamål senast vid insamlingen av personuppgiftema. Vid behandling för andra ändamål än dem som anges i 1 5 första stycket är denna lag inte tillämplig.

Det skall påpekas att behandling för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in (9 5 andra stycket persondatalagen). Detta gör att personuppgifter kan behandlas för forskning och statistik även om dessa ändamål inte angavs vid insamlingen av uppgifterna. (Behandling av personuppgifter för forskning och statistik omfattas dock inte av bestämmelserna i lagen om behandling av personuppgifter om totalförsvarspliktiga.)

Det skall vidare observeras att detta lagrum inte fritar Pliktverket från skyldigheten att lämna information om behandlingen till den registrerade enligt bestämmelserna i persondatalagen(23—27 55).

Behandling av känsliga personuppgifter

5 & Känsliga personuppgifter får behandlas om det är nödvändigt för de ändamål som anges i 1 5 första stycket.

Första stycket gäller även kommuner, landsting, kyrkliga kommuner och de statliga myndigheter som anges i 4 kap. 5 5 andra stycket förordningen (1995:238) om totalförsvarsplikt, om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden med stöd av 2 kap. 1 5 lagen om totalförsvarsplikt.

Paragrafen innebär ett undantag från persondatalagens förbud mot behandling av känsliga personuppgifter (13 & persondatalagen). Undantaget medför att samtycke till behandling från den registrerade inte krävs. För att markera att känsliga personuppgifter inte får behandlas slentrianmässigt anges det att uppgifterna får behandlas om det är nödvändigt med hänsyn till något av de ändamål som anges i 1 & första stycket. Här finns det anledning att påminna om för- hållandet mellan lagens mer allmänna regler om behandling och de regler som anger vad som får registreras. Denna bestämmelse innebär inte att känsliga uppgifter får antecknas i ADB-register över totalför- svarspliktiga. För att en sådan behandlingsåtgärd skall vara tillåten krävs det dessutom att uppgiften får föras in i registret enligt vad som följer av 7 och 8 $&.

Andra stycket medger att även de myndigheter som utför mindre omfattande utredningar om de totalförsvarspliktigas förhållanden omfattas av undantaget från persondatalagens förbud.

Bestämmelserna i denna paragraf utgör självfallet inget undantag från den enskildes grundlagsbefästa skydd mot tvång att tillkännage sin åskådning i politiskt, religiöst, kulturellt eller annat Sådant hänseende eller mot att bli antecknad i register enbart på grund av sin politiska åskådning utan samtycke (2 kap. 2 & och 3 5 första stycket RF).

Ansvaret för behandlingen

6 & Totalförsvarets pliktverk är persondataansvarigt för den behandling av personuppgif- ter om totalförsvarspliktiga som verket utför.

Paragrafen uttrycker närmast en självklarhet. Den behövs emellertid för att visa att Pliktverket ansvarar för den egna behandlingen av personuppgifter även om den i princip sker på uppdrag av olika organ inom totalförsvaret. Pliktverket ansvarar inte för den behandling andra utför innan uppgifterna är överlämnade till Pliktverket och inte heller för den behandling mottagare av personuppgifter utför. Om någon annan än Pliktverket tillåts föra in en uppgift i ADB-registret över totalförsvarspliktiga har denne ett ansvar för sin åtgärd att anteckna

uppgiften i registret medan Pliktverket har ett ansvar för den be- handling som består i att lagra uppgiften i ett automatiskt register. Olika organ kan således ha ansvar för sina respektive åtgärder med samma personuppgift.

Ansvaret följer av denna bestämmelse endast när behandlingen sker för de ändamål som anges i l 5 första stycket. I övriga fall får ledning sökas i persondatalagens bestämmelser om persondataansvar.

Innebörden av persondataansvaret framgår av persondatalagen . En sammanställning ges i avsnitt 11.6.

Uppgifter om andra personer än de totalförsvarspliktiga själva kan komma att behandlas för de ändamål som anges i 1 & första stycket och de kan också antecknas i Pliktverkets ADB-register över totalför- svarspliktiga enligt 7 5. Det rör sig om närstående till den totalför— svarspliktige, vissa beslutsfattare m.fl. samt personer som nämns bland uppgifter som åberopats av den totalförsvarspliktige. Pliktver- kets ansvar enligt denna paragraf omfattar också sådana uppgifter eftersom de är att anse som uppgifter om den registrerade totalför- svarspliktige.

Registerinnehåll

7 5 I ADB-register över totalförsvarspliktiga får antecknas personuppgifter endast om den som

1. är aktuell för utredning enligt 2 5 andra stycket,

2. genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret,

3. skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret,

4. av en redan registrerad uppgetts som närstående eller

5. nämns bland de uppgifter som antecknas med stöd av 8 5 första stycket 13.

Uppgifter om en person som avses i första stycket 4, får antecknas i registret endast vid höjd beredskap.

Utan hinder av vad som sägs i första stycket får personuppgifter antecknas i registret om den som fattat beslut eller handlagt ärende rörande den registrerade hos Totalförsva- rets pliktverk eller hos annan som utför utredning som avses i 25 andra stycket. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring inom totalförsvaret.

I denna paragraf anges beträffande vilka personer uppgifter får förekomma i Pliktverkets ADB-register över totalförsvarspliktiga. Första punkten avser dem som står i begrepp att mönstra, genomgå mindre omfattande utredning enligt lagen om totalförsvarsplikt eller särskild antagningsprövning. Med ”aktuell för” avses även de som själva anhängiggjort ett ärende hos Pliktverket genom en förfrågan eller upplysning, även om Pliktverket ännu inte aviserats om dem från

Riksskatteverket eller de på annat sätt aktualiserats för utredning på det allmännas initiativ.

Andra punkten avser dem som på olika sätt är ianspråktagna för totalförsvaret. T.ex. genom att vara fast anställda i Försvarsmakten, krigsplacerade m.m. De flesta av dessa personer har någon gång varit föremål för den typen av utredning som avses i första punkten, dock inte alla.

Tredje punkten avser dem som utan att vara ianspråktagna tilldelats en särskild uppgift vid höjd beredskap, t.ex. att ställa viss egendom till förfogande samt dem som på grund av sin kompetens behöver finnas ”listade” i en krissituation. Den senare kategorin utgörs i dag i princip endast av hälso- och sjukvårdsperonal i det sk. INTEGER- registret (se avsnitt 8.4.8).

Fjärde punkten avser dem som en registrerad uppger som närståen- de — dvs. de som skall underrättas om något skulle hända den registrerade. Av andra stycket i paragrafen framgår att anteckning om närstående endast får göras vid höjd beredskap.

Femte punkten ger möjlighet att anteckna uppgifter om personer som nämns bland uppgifter som åberopats av den registrerade. Ett praktiskt exempel är uppgifter om en arbetsgivare, när ett intyg från denne åberopats vid en begäran om uppskov med plikttjänstgöring.

I tredje stycket anges att uppgifter om beslutsfattare, handläggare och dem som fört joumalanteckningar, hos Pliktverket eller hos annan som får göra utredningar enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning, får registreras.

Av 8 och 12 55 framgår att uppgifter om andra än den totalförsvars- pliktige själv endast får antecknas i begränsad omfattning och att det i princip är förbjudet att använda uppgifter om dessa personer som sökbegrepp i registret.

Avslutningsvis skall erinras om vad som sägs i 1 & fjärde stycket om att personer med uppgifter inom totalförsvaret vid höjd beredskap jämställs med totalförsvarspliktiga enligt denna lag. T.ex. kan den som frivilligt åtagit sig att utföra en sådan uppgift därmed också registreras i ett ADB-register över totalförsvarspliktiga med stöd av 3 p. i 7 5, trots att hans eller hennes skyldighet att medverka inte grundar sig på totalförsvarsplikt. Personen ifråga behöver inte ens omfattas av totalförsvarsplikten. Han eller hon kan med andra ord vara såväl under sexton år som över sjuttio.

8 5 I ADB-register över totalförsvarspliktiga får endast följande personuppgifter antecknas: l. personnummer, namn, adress, telefonnummer och folkbokföringsort,

2. hinder för genomförande av utredning som avses i 2 5 andra stycket, för utbildning och för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,

3. boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets pliktverk skall kunna fullgöra sina åligganden enligt förordningen ( 1995:239 ) om förmåner till totalförsvarspliktiga,

4. utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,

5. fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedönmingen härav,

6. om den registrerade är svensk medborgare eller inte,

7. utgången i mål om ansvar för brott mot totalförsvarsplikten,

8. att den registrerade har dömts till påföljd för brott som anges i 19 5 femte stycket polisregisterkungörelsen ( 1969:38 ),

9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) , vilken säkerhetsklass prövningen avsett och resultatet av denna, 10. vad som bestämts vid inskrivning enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning, ll. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon skall utföra vid höjd beredskap, 12. tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna samt 13. personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.

Utan hinder av vad som sägs i första stycket får beslut som rör totalförsvarsplikten, tidpunkter och tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter antecknas.

Beträffande den som antecknas i registret med stöd av 7 5 första stycket 4, får endast namn, adressuppgifter och relation till den som uppgett honom eller henne som närstående föras in i registret. Beträffande handläggare och andra personer som avses i 7 5 tredje stycket får endast namn, titel och tjänsteställe antecknas.

Här anges vilka personuppgifter som får antecknas i ADB-register över totalförsvarspliktiga.

Första punkten avser basuppgifter som behövs för identifikation, delgivning av kallelser, information till den enskilde m.m.

Andra punkten avser alla hinder för genomförande av utredning m.m. som kan förekomma, temporära eller permanenta; sjukdom, utlandsvistelse, förtidspension, intagning på vårdinrättning m.m. Det skall vara fråga om ett faktiskt hinder som innebär att den registrerade i praktiken inte kan komma i fråga för de åtgärder som nämns. Om det är den enskilde som anser att hinder föreligger, t.ex. på grund av att han eller hon har en livsåskådning som enligt honom eller henne utesluter vapentjänst, kan en sådan uppgift inte antecknas med stöd av denna punkt (jfr dock punkt 13 nedan).

Tredje punkten avser de uppgifter som Pliktverket behöver för att fullgöra sina åligganden i enlighet med vad som framgår av denna punkt.

Fjärde punkten avser den registrerades kompetens och intressen såvitt dessa har betydelse för bedömningen av hans eller hennes användbarhet inom totalförsvaret. Uppgift om anställning motiveras främst av behovet av att kunna föra en ”inventarieförteckning” över landets hälso- och sjukvårdspersonal.

Femte punkten avser de undersökningar som görs vid mönstringen (motsv.). Med ”de uppgifter som ligger till grund för bedömningen i denna del” avses t.ex. uppgifter om rök- och alkoholvanor, hemför- hållanden m.fl. omständigheter som kan påverka den medicinska och psykiska hälsan och förmågan.

Sjätte punkten medger anteckning om medborgarskapet är svenskt eller inte. (Om utländskt medborgarskap föreligger får anteckning inte göras om vilket land den registrerade är medborgare i.) Uppgiften behövs för att fastställa omfattningen av totalförsvarsplikten.

Sjunde punkten avser anteckningar om brott mot lagen om totalför- svarsplikt.

Åttonde punkten avser uppgifter om att den registrerade dömts till påföljd för vissa brott. Dessa uppgifter kan lämnas ut till Pliktverket från polisregister enligt polisregisterkungörelsen. Anteckning får inte göras om vilka brott eller vilken påföljd det är frågan om. (Anteck- ning om att den registrerade är intagen på kriminalvårdsanstalt kan göras enligt p. 2 om intagningen utgör hinder t.ex. för inställelse till mönstring).

Nionde punkten avser anteckning om att säkerhetsprövning för viss säkerhetsklass har gjorts och om resultatet av prövningen. Med resultatet av prövningen avses en kortfattad uppgift om huruvida den registrerade är godkänd ur säkerhetssynpunkt eller inte.

Tionde till tolfte punkterna avser beslut m.m. som rör den registre- rades tjänstgöring inom totalförsvaret.

Trettonde punkten innefattar allt som den registrerade själv åberopar förutsatt att vad han eller hon anför rör tjänstgöringen inom totalför- svaret. Härunder faller t.ex. uppgifter om religiös åskådning som åberopas som skäl för befrielse från tjänstgöring. Med stöd av denna punkt kan även känsliga personuppgifter registreras utan den enskildes samtycke, liksom uppgifter om andra personer än den totalförsvars- pliktige själv (se kommentarerna till 5 och 7 55). Begränsningen av vad som kan registreras ligger i att den enskilde frivilligt måste ha åberopat uppgifterna.

Av andra stycket framgår att övriga beslut som rör totalförsvarsplik- ten, tidpunkter och tidsperioder för registrerade förhållanden samt

erforderliga administrativa och tekniska uppgifter får antecknas. Beslut som rör totalförsvarsplikten kan t.ex. vara beslut om att förelägga en totalförsvarspliktig att vid vite lämna föreskrivna uppgifter eller om hämtning till en mönstringsförrättning. Administrativa uppgifter kan vara anteckningar om vilket lokalkontor hos Pliktverket som handlagt ett visst ärende eller om att vissa uppgifter begärts in från en registrerad. Som exempel på en teknisk uppgift kan nämnas en anteckning om att ytterligare uppgifter om en person finns att hämta i ett annat register eller i ett arkiv.

Av tredje och fjärde styckena följer att det endast är vissa be- gränsade uppgifter som får antecknas om närstående, beslutsfattare, handläggare och om dem som fört journalanteckningar beträffande en registrerad.

Beträffande personer som nämns bland uppgifter som åberopats av den registrerade, dvs. som antecknats med stöd av p. 13 i denna paragraf, får självfallet inga andra uppgifter antecknas än dem som sålunda åberopats.

9ä Regeringen får till skydd för de registrerades personliga integritet föreskriva ytterligare begränsningar av vad som får antecknas i ADB-register över totalförsvar-

spliktiga.

Om ytterligare begränsningar bör göras av vad som får förekomma i ADB-register över totalförsvarspliktiga av hänsyn till den enskildes behov av skydd för den personliga integriteten, kan regeringen med stöd av denna paragraf ge sådana bestämmelser i förordning. Rege- ringen kan härvid föreskriva begränsningar såväl av personkretsen beträffande vilken anteckningar får göras i registret (7 5) som av vilka personuppgifter som får antecknas (8 5).

Terminalåtkomst

10 & Totalförsvarets pliktverk har terminalåtkomst till ADB-register över totalförsvars- pliktiga. Regeringen får föreskriva att även annan får ha sådan åtkomst samt i vilken omfattning.

Pliktverket skall naturligtvis ha tillgång till samtliga uppgifter i ADB- registret över totalförsvarspliktiga. Vilka ur Pliktverkets personal som skall ha tillgång till uppgifterna och i vilken omfattning, är i stor utsträckning en intern fråga för verket. Det ligger i Pliktverkets ansvar för säkerheten att skydda uppgifterna så inte fler personer än nöd- vändigt får tillgång till dem. Detta gäller särskilt beträffande person- uppgifter av känslig karaktär. Vid hanteringen av personuppgifter inom Pliktverket skall det emellertid också beaktas att sekretesslagen

kan ställa hinder för ett fritt flöde av uppgifter inom myndigheten eftersom ett förbud att röja uppgifter också i vissa fall gäller i förhållandet mellan olika verksamhetsgrenar inom samma myndighet (1 kap. 3 5 andra stycket sekretesslagen).

Andra meningen i paragrafen ger regeringen möjlighet att ge organ utanför Pliktverket rätt till terminalåtkomst till registret. Med stöd av denna bestämmelse kan regeringen föreskriva vem som skall ha sådan åtkomst och vidare vilka uppgifter åtkomsten skall gälla.

Registrering av uppgifter

11 & Regeringen får föreskriva att även annan än Totalförsvarets pliktverk får föra in och och rätta personuppgifter i ADB-register över totalförsvarspliktiga samt i vilken omfattning.

Om regeringen med stöd av denna paragraf så föreskriver får myndigheter och andra organ som skall lämna uppgifter till Pliktverket göra detta genom att föra in uppgifterna direkt i registret från egen terminal. Regeringen kan också bestämma att dessa organ själva skall kunna rätta uppgifter i registret. En förutsättning för att någon skall kunna påverka innehållet i registret är självfallet att han eller hon har terminalåtkomst till detsamma (se 10 5).

Denna bestämmelse bryter inte eller påverkar på annat sätt eventuell sekretess som kan gälla för uppgifterna.

Sökbegrepp

12 & Personuppgifter som avses i 8 5 första stycket 2 och 3 och 5—9 får inte användas som sökbegrepp annat än om det behövs för tillsyn, uppföljning eller utvärdering av Totalförsvarets pliktverks verksamhet eller för framtagande av material för forskning eller statistik. Detsamma gäller uppgifter om resultat från kunskapsprov och anlagstester som utförts vid sådan utredning som avses i 2 5 andra stycket.

För åtkomst av personuppgifter om närstående till en totalförsvarspliktig, om den som handlagt ärende, fattat beslut eller gjort journalanteckning får endast den totalförsvars- pliktiges personnummer användas som sökbegrepp. Detsamma gäller för åtkomst av personuppgifter som antecknats med stöd av 8 5 första stycket 13.

Utan hinder av vad som sägs i första och andra styckena får nödvändigt sökbegrepp användas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.

Regeringen får föreskriva ytterligare begränsningar av sökbegrepp.

Begränsningar av sökbegrepp innebär dels att den registerförande myndigheten inte får söka i registret eller göra sammanställningar efter eget godtycke, dels att sammanställningar grundade på de förbjudna sökbegreppen inte anses förvarade hos myndigheten och därmed inte

utgör allmänna handlingar även om det är tekniskt möjligt att ta fram dem.

Genom bestämmelserna i första stycket i denna paragraf förbjuds som sökbegrepp uppgifter om hinder för genomförande av utredning och krigsplacering m.m., boende- och familjeförhållanden samt försörjning, fysisk och psykisk hälsa och förmåga, medborgarskap, domar i brottmål och säkerhetsprövning. Uppgifterna får dock användas vid sökningar i registret om det behövs för tillsyn, upp- följning eller utvärdering av Pliktverkets verksamhet, framtagande av material för forskning eller statistik. Detsamma gäller resultaten från kunskapsprov och anlagstester som utförs vid mönstring eller motsvarande utredning. Uppgifter om kunskaper och anlag kan behövas som sökbegrepp vid uttagning av registrerade till olika befattningar. Själva provresultaten ingår dock inte i vad Pliktverket behöver kunna söka på i registret för att lösa sina uppgifter. De sammanställningar som gjorts och som resulterat i skattningar av den enskildes allmänna ”duglighet” jämte konkreta uppgifter om vissa specialkunskaper är tillräckliga. Skulle det vara nödvändigt att ta fram resultat från vissa enskilda prov kan detta göras via personnummer på de registrerade sedan en första sökning gett ett urval av personer att välja bland.

Det saknas behov att ta fram uppgifter om dem som antecknats som närstående till en registrerad eller därför att de fattat beslut, handlagt ärende eller gjort journalanteckning, annat än som uppgifter knutna till en viss registrerad totalförsvarspliktig. Detsamma gäller uppgifter som registrerats enbart därför att de åberopats av den totalförsvarspliktige. Därför föreskrivs det i andra stycket att dessa uppgifter endast får tas fram med den totalförsvarspliktiges personnummer som sökbegrepp.

I tredje stycket anges undantag från förbudet att använda vissa sökbegrepp. Alla nödvändiga sökbegrepp får användas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.

I sista stycket ges regeringen möjlighet att föreskriva ytterligare begränsningar av sökbegrepp. Begränsningarna kan ges generellt eller för ett visst organ som har terminalåtkomst enligt föreskrifter som meddelats med stöd av 10 5.

Gallring

13 5 En personuppgift i ett ADB-register över totalförsvarspliktiga skall gallras så snart uppgiften inte längre behövs för de ändamål som anges i I & första stycket. Personupp- gifter beträffande dem som avses i 7 5 första stycket 1—3 skall gallras senast vid utgången av det kalenderår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Uppgifter om närstående,

beslutsfattare, handläggare, den som gjort journalanteckning samt om personer som nämns bland vad som antecknats med stöd av 8 & första stycket 13 skall härvid anses som uppgifter om den totalförsvarspliktige. Regeringen får föreskriva kortare tid för gallring än vad som följer av detta stycke.

Regeringen får föreskriva undantag från skyldigheten att gallra personuppgifter i fråga om bevarande av material för forskningens behov. Sådana uppgifter skall dock avföras från registret vid den tidpunkt de annars skulle ha gallrats enligt första stycket.

En skyldighet att gallra innebär att personuppgiftema skall förstöras när tidpunkten för gallring är inne. Som förstöring avses enligt Riksarkivets föreskrifter även ett överförande av uppgifterna till annan databärare, om överföringen innebär inforrnationsförlust eller att sökmöjligheter går förlorade i och med överföringen. Ett överförande av uppgifter från ett ADB-register till pappershandlingar innebär därmed i praktiken att uppgifterna gallrats. Även om uppgifter enligt bestämmelser i författning skall gallras ur Pliktverkets ADB—register över totalförsvarspliktiga kan de därför sparas på annan databärare t.ex. för tillgodoseende av patientjournallagens bestämmelser om bevarande av joumalhandlingar. En redogörelse för gallringsbe- greppets innebörd ges i kap. 13.

I denna paragraf ges inledningsvis en bestämmelse som i princip redan gäller enligt persondatalagen; en personuppgift i registret skall gallras så snart den inte längre behövs för de ändamål för vilka den insamlats. För uppgifter om registrerade totalförsvarspliktiga sätts som huvudregel en yttersta gräns vid utgången av det kalenderår vederbörande fyller sjuttio år. Då upphör totalförsvarsplikten och senast vid denna tidpunkt måste det i normalfallet anses onödigt att ha uppgiften i registret. Undantag föreskrivs för dem som även efter denna tidpunkt har uppgifter att utföra vid höjd beredskap. Som exempel kan nämnas medlemmar i frivilligorganisationer som kvarstår i organisationen och har beredskapsuppgifter även efter det att de fyllt sjuttio år. Ett annat exempel är personer i samma ålder vars egendom är uttagen för totalförsvarets behov, t.ex. vissa hundägare vars hundar ingår i Försvarsmaktens krigsorganisation. De sist nämnda personerna skall enligt vad som följer av 1 & fjärde stycket jämställas med totalförsvarspliktiga vid tillämpningen av denna lag. Ytterligare undantag från sjuttioårsgränsen ges beträffande närstående, besluts- fattare m.fl. personer som förekommer i registret på annan grund än att de är totalförsvarspliktiga (eller därmed jämställda enligt denna lag). Uppgifter om sådana personer är egentligen uppgifter om de totalförsvarspliktiga och skall gallras när de inte längre behövs beträffande dessa. En yttersta gräns för dessa anteckningar är sålunda utgången av det kalenderår den totalförsvarspliktige fyller sjuttio år.

Genom andra stycket ges regeringen möjlighet att föreskriva kortare tid för gallring. Särskilda gallringsbestämmelser för olika typer av personuppgifter skall ges i förordningsform.

I tredje stycket ges regeringen möjlighet att föreskriva undantag från skyldigheten att gallra personuppgifter i fråga om material för forskningens behov. Regeringen kan — utan att detta föreskrivs särskilt delegera denna kompetens till en annan myndighet, t.ex. Riksarkivet (se kap. 13 ovan samt 8 kap. 13 & RF). Att uppgifterna inte behöver gallras innebär att de kan föras över till ett annat ADB- register utan att möjligheter att söka bland uppgifterna går förlorad. Personuppgifter som bevaras för forskningsändamål skall inte ligga kvar i ADB-register över totalförsvarspliktiga utan avföras därifrån när tidpunkten för gallring annars är inne enligt första stycket i paragra— fen. Det saknas anledning att tynga registret med uppgifter som inte behövs för de ändamål för vilka de en gång antecknats där.

Sekretess

14 5 För utlämnande av personuppgifter om totalförsvarspliktiga gäller de begränsningar som följer av sekretesslagen(1980:100).

Bestämmelsen utgör en erinran om att sekretesslagen är tillämplig vid utlämnande av personuppgifter om totalförsvarspliktiga. Vad som än föreskrivs om terminalåtkomst och möjligheter för andra att lägga in uppgifter direkt i Pliktverkets ADB-register i denna lag så skall eventuella sekretessbestämmelser beaktas, dvs. beträffande varje uppgift som skall överlämnas via datanätet (eller på annat sätt) måste det först undersökas om den får lämnas ut med hänsyn till vad sekretesslagen föreskriver.

Inskränkning i tillsynsmyndighetens befogenheter

155 Tillsynsmyndigheten får inte förbjuda Totalförsvarets pliktverk att behandla personuppgifter om totalförsvarspliktiga.

Om tillsynsmyndigheten (Datainspektionen) konstaterar att personupp— gifter behandlas eller kan komma att behandlas på ett olagligt sätt kan myndigheten, om inte rättelse går att få på annat sätt eller om det är riskfyllt att vänta, vid vite förbjuda den persondataansvarige att behandla uppgifterna på annat sätt än genom att lagra dem (47 & persondatalagen).

Genom denna paragraf undantas Pliktverkets behandling av person- uppgifter om totalförsvarspliktiga från Datainspektionens befogenheter

i denna del. I övrigt gäller persondatalagens bestämmelser om Data- inspektionens tillsyn och befogenheter.

Korrigering av uppgifter 16 & Persondatalagens bestämmelser om den persondataansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, om sådana åtgärder skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som utfärdats med stöd av denna lag.

Denna bestämmelse medför att persondatalagens motsvarande regel (28 5) blir tillämplig även då personuppgifter behandlats i strid med denna lag eller föreskrifter som meddelats med stöd härav. Bestäm- melsen i persondatalagen gäller annars endast då uppgifterna inte behandlats i enlighet med den lagen eller föreskrifter som meddelats med stöd av den lagen.

Skadestånd 17 & Persondatalagens bestämmelser om skadestånd skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som meddelats med stöd av denna lag.

Persondatalagens skadeståndsbestämmelse är utformad så att den gäller vid överträdelser av den lagen eller föreskrifter som meddelats med stöd av den lagen.

Genom förevarade paragraf görs persondatalagens bestämmelser om skadestånd tillämpliga även då personuppgifter behandlats i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av denna lag.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 1999. Vid sådan behandling av personuppgifter för vilken lagen gäller och som redan pågår vid ikraftträdandet skall persondatalagens bestämmelser tillämpas utan hinder av vad som sägs i 2 p i övergångsbestämmelsema till den lagen. Bestämmelsen i 5 & andra stycket i denna lag skall emellertid inte börja tillämpas förrän den 1 oktober 2001.

Lagen om behandling av personuppgifter om totalförsvarspliktiga är utformad för att tillämpas tillsammans med persondatalagen, i princip på samma sätt som befintliga registerförfattningar korresponderar med den nu gällande datalagen (se 3 & i förslaget till lag om behandling av

personuppgifter om totalförsvarspliktiga). Ikraftträdandedatum kan därför inte sättas tidigare än för persondatalagen, som enligt före— liggande förslag skall träda i kraft den 1 januari 1999. Om dagen för ikraftträdandet av persondatalagen skulle bli en annan än vad som föreslagits, skall naturligtvis lagen om behandling av personuppgifter om totalförsvarspliktiga följa efter i vartfall om ikraftträdandet för persondatalagen senareläggs.

Enligt förslaget till persondatalag (p. 2 i övergångsbestämmelsema till persondatalagen) skall den lagen inte tillämpas på sådan behandling som redan pågår vid ikraftträdandet (dvs. som pågår den 1 januari 1999) förrän den 1 oktober 2001. Lagen om behandling av personupp— gifter om totalförsvarspliktiga skall tillämpas i Pliktverkets verksamhet från den 1 januari 1999 även beträffande sådan behandling som pågår vid den tidpunkten. Därför föreskrivs ett undantag från persondatala— gens övergångsbestämmelse i denna del. Såväl lagen om behandling av personuppgifter om totalförsvarspliktiga som persondatalagen blir tillämplig vid Pliktverkets behandling av personuppgifter om totalför— svarspliktiga från och med den 1 januari 1999 (eller annat datum som kan komma att bestämmas för ikraftträdandet av persondatalagen).

Bestämmelsen i 5 5 andra stycket som ger vissa myndigheter rätt att behandla känsliga personuppgifter undantas dock från vad som nu sagts. I den mån behandling av känsliga personuppgifter redan pågår vid ikraftträdandet bör äldre bestämmelser gälla fram till den 1 oktober 2001. Berörda myndigheter kan annars få en komplicerad situation med olika regelverk för de personuppgifter de hanterar.

Bortsett från 2 p. skall övergångsbestämmelsema till persondatala- gen tillämpas även vid behandling av personuppgifter om totalförsvar- spliktiga. Detta innebär bl.a. att bestämmelserna i9, 10, 13 och 21 åå persondatalagen inte skall börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behandling som pågår vid ikraftträdandet (se 3 p. övergångsbestämmelsema till persondatalagen). Vidare skall persondatalagens bestämmelser om skadestånd bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträ- dandet (se 8 p. övergångsbestärmnelserna till persondatalagen).

'2. De personer, som vid lagens ikraftträdande har varit föremål för sådan utredning som avses i 2 & andra stycket men som inte tagits i anspråk för totalförsvarets räkning genom avtal, beslut om krigsplacering eller på annat sätt, får utan hinder av vad som sägs i 7 5 antecknas i ett ADB-register över totalförsvarspliktiga.

Andra punkten i övergångsbestämmelsema gör att de som vid ikraft- trädandet hamnar mellan punkterna 1 och 2 i 7 5 t.ex. de som har

mönstrat men ännu ej krigsplacerats —— också kan registreras i Pliktverkets ADB-register över totalförsvarspliktiga.

Förslag till lag om ändring i sekretesslagen(1980:100)

7 kap 12 & Sekretess gäller i ärende om utredning om totalförsvarspliktigas personliga förhållanden, i ärende om antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar samt i ärende om inskrivning och krigsplacering av totalförsvarspliktiga för uppgift om enskilds personliga förhållanden. om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Motsvaran- de sekretess gäller i ärende som angår antagning till utbildning vid Försvarsmakten, skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen gäller dock inte beslut i ärende som avses i detta stycke.

Sekretess gäller inom personalvård med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersölming och för uppgift om enskilds personliga förhållanden hos konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.

Sekretess gäller inom verksamhet som avser utbildning för totalförsvarsändamål med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos befattningshavare som har till uppgift att utbilda den totalförsvarspliktige, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.

Den föreslagna ändringen i första stycket syftar i första hand till att de journalanteckningar som görs beträffande den totalförsvarspliktige vid utbildningsenheterna under utbildningstiden och som sedan lämnas till Pliktverket skall vara belagda med sekretess även hos Pliktverket (se förslaget till ändring i förordningen [19951238] om totalförsvarsplikt). Pliktverket behöver dessa uppgifter som underlag vid beslut om krigs- placering och för bedömning av om och hur den totalförsvarspliktige skall vidareutbildas inom totalförsvaret. Ändringen består i denna del i att krigsplacering lagts till i första meningen. Av den nuvarande lydelsen av andra meningen i första stycket framgår att sekretessen redan omfattar ärende som angår skyldighet att tjänstgöra med totalförsvarsplikt.

Vidare föreslås att utredning om totalförsvarspliktigas personliga förhållanden läggs till de ärendetyper för vilka sekretessen skall gälla. Skälet härtill är att undanröja eventuella oklarheter som enligt vår uppfattning annars kan uppstå. Det är t.ex. inte självklart att en mindre omfattande utredning om en totalförsvarspliktigs personliga

förhållanden som utförs av en annan myndighet än Pliktverket skall anses som ett inskrivningsärende. En fullständig uppräkning där utredning, antagning av kvinnor och inskrivning (av såväl kvinnor som män) tas med undanröjer eventuella tvivel. Med utredning om totalför- svarspliktigas personliga förhållanden avses sådan utredning som kan utföras enligt 2 kap. lagen om totalförsvarsplikt dvs. mönstring eller annan mindre omfattande utredning.

Tredje stycket är nytt och avser att skydda de personuppgifter som Pliktverket lämnar till befattningshavare vid totalförsvarets utbildnings- enheter (se förslaget till ändringen i förordningen [1995z648] med instruktion för totalförsvarets pliktverk). Dessa uppgifter är av mycket känslig natur eftersom de graderar den totalförsvarspliktiges psykiska funktionsförmåga, allmänna begåvning m.m. Formuleringen av tredje stycket följer uppbyggnaden av andra stycket i paragrafen.

Förslag till förordning om ändring i förordningen (1995:238) om totalförsvarsplikt

3 kap. 15 5 De organisatoriska enheter där grundutbildning genomförs för vämplikt eller civilplikt med längre grundutbildning än 60 dagar skall, senast då den totalförsvarspliktige rycker ut, lämna joumalhandlingar som upprättats under utbildningen till Totalförsvarets pliktverk.

Ändringen består i en ny paragraf som ålägger utbildningsenheterna att tillställa Pliktverket joumalhandlingar som upprättats under grundutbildningen beträffande de totalförsvarspliktiga. Journal- handlingama utgör underlag då Pliktverket skall ta beslut om krigsplacering och bedöma hur den enskilde på bästa sätt fortsättnings- vis skall utbildas inom totalförsvaret. Utan denna bestämmelse omfat- tas joumalhandlingama av sekretess enligt 7 kap. 1 & sekretesslagen även gentemot Pliktverket.

Förslag till förordning om ändring i förordningen (1995:648) med instruktion för Totalförsvarets pliktverk

3 & Totalförsvarets pliktverk skall i samband med att en totalförsvarspliktig rycker in för värnplikt eller civilplikt med längre grundutbildning än 60 dagar lämna de joumal- handlingar som upprättats vid mönstring eller särskild antagningsprövning enligt lagen ( 1994:1810 ) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos

en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbild- ningen skall genomföras.

Totalförsvarets pliktverk skall vid samma tidpunkt och till samma enheter som anges i första stycket länma uppgifter om den totalförsvarspliktiges psykiska funktionäönnåga, fysiska arbetsförmåga, allmänna begåvning och hälsotillstånd till befattningshavare som har till uppgift att utbilda honom eller henne. Uppgifterna skall anges karJattat.

I första stycket föreslås en ändring som består i att särskild an- tagningsprövning läggs till mönstring. Hälso— och sjukvårdspersonalen bör få del även av de journalanteckningar som rör kvinnor som rycker in för grundutbildning som är längre än 60 dagar.

Andra stycket är nytt och ålägger Pliktverket att tillställa be- fattningshavare vid utbildningsenheterna som har till uppgift att utbilda de totalförsvarspliktiga vissa personuppgifter som behövs för bedöm- ningen av de enskildas olika kapacitet och förutsättningar i övrigt. Uppgifterna återfinns i dag på det grundutbildningskort som Pliktver- ket översänder till utbildningsenheterna i samband med inryckningen. Denna bestämmelse bryter —— gentemot befattningshavama vid utbild- ningsenheterna den sekretess som annars gäller för uppgifterna.

Uppgifterna bör — liksom på grundutbildningskortet i dag — anges kortfattat.

Det skall påpekas att de sekretessbrytande bestämmelser som denna paragraf innehåller — såväl i nuvarande skick som enligt de föreslagna ändringarna inte bryter sekretess gentemot utbildningsenheter som inte är myndigheter. För det fall det skulle anses nödvändigt att lämna ut uppgifter till utbildningsenheter inom totalförsvaret som utgörs av andra än myndigheter torde utlämnande av uppgifterna kunna ske efter skadeprövning och med förbehåll enligt 14 kap. 9 & sekretesslagen.

Kommittedirektiv ww &

Utredning om författningsreglering av Dir. personregister över totalförsvarspliktiga 1996; 14

Beslut vid regeringssammanträde den l5 februari 1996

Sammanfattning av uppdraget

En särskild utredare skall utreda och lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas av

Totalförsvarets pliktverk.

Utredaren skall lämna förslag till lagreglering av följande frågor som direkt hänger samman med den personliga integriteten:

- registerändamål - registerinnehåll

- registeransvar och förfoganderätt

- tenninalåtkomst

- uppgiftslämnande på ADB-medium - bevarande och gallring - begränsningar av bearbetningsmöjligheter krav på krypteringssystem eller andra skyddsmekanismer för viss användning.

Totalförsvarsplikt Totalförsvarets personalförsörjning tryggas genom en

totalförsvarsplikt som gäller för varje svensk medborgare från början av det kalenderar när han eller hon fyller sexton år till

2

slutet av det kalenderår när han eller hon fyller sjuttio år. Totalförsvarsplikten gäller också under motsvarande tid för var och en som utan att vara svensk medborgare är bosatt i Sverige. En totalförsvarspliktig är skyldig att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskrafter och hälsotillstånd tillåter. Denna tjänstgöring fullgörs genom värnplikt, civilplikt eller allmän tjänsteplikt. Skyldigheten att fullgöra värnplikt omfattar dock endast män som är svenska medborgare och gäller från början av det kalenderår när den totalförsvarspliktige fyller nitton år till slutet av det kalenderår när han fyller fyrtiosju år. En kvinna kan efter antagningsprövning skrivas in för vämplikt eller civilplikt med längre utbildning och är därefter skyldig att fullgöra värnplikten eller civilplikten. För att en totalförsvarspliktigs förutsättningar för att fullgöra vämplikt eller civilplikt skall kunna utredas och bedömas är han eller hon skyldig att skriftligen eller muntligen eller. om det behövs. vid personlig inställelse lämna nödvändiga uppgifter om hälsotillstånd, utbildning, arbete och personliga förhållanden i övrigt till bland annat Totalförsvarets pliktverk. Varje svensk man som är totalförsvarspliktig är för denna utredning skyldig att vid Totalförsvarets pliktverk genomgå mönstring. Om resultatet av mönstringen visar att den totalförsvarspliktige har förutsättningar att fullgöra värnplikt eller civilplikt, skall Totalförsvarets pliktverk placera honom i en eller flera befattningsgrupper samt skriva in honom för utbildning till befattning med värnplikt eller civilplikt eller i en utbildningsreserv.

Informationen om de totalförs 'arspliktiga ger integritets- problem

För att få bästa möjliga underlag till mönstringen för varje person har Totalförsvarets pliktverk genom lagstiftning getts möjlighet att ta emot en mängd information som rör den enskilde. Folkbokföringsm_vndigheterna och vårdinrättningar är

3

skyldiga att löpande lämna uppgifter om totalförsvarspliktiga. En mängd andra myndigheter är skyldiga att lämna uppgifter om en totalförsvarspliktig på begäran av Totalförsvarets pliktverk. För att hantera och bearbeta all denna information har Totalförsvarets pliktverk ett omfattande datorstöd. Infonnation om den enskilde samlas in både före och under själva mönstringen. Under mönstringens gång finns således en mängd information om den enskilde registrerad och tillgänglig med datorteknik. Efter själva mönstringen finns behov att spara en del av den infomiation som samlats in. I dag arbetar Totalförsvarets pliktverk med flera register. Efter en datateknisk översyn som pågår för närvarande skall det dock endast finnas ett register.

På grund av att totalförsvarsplikten omfattar i stort sett hela befolkningen och av att alla svenska män i åldern arton till och med tjugofyra års ålder är skyldiga att mönstra är Totalförsvarets pliktverks register ett av landets största befolkningsregister. Registrets storlek är således betydande både till följd av antalet personer som omfattas och på grund av den mängd och variation av uppgifter som finns beträffande varje enskild individ. Integritetsproblematiken är uppenbar.

Med dagens tekniska möjligheter finns i princip inte några gränser för hur mycket infonnation man kan samla in och ställa samman om en enskild person. Det är lätt att lockas till att utnyttja hela systemets tekniska kapacitet, varvid uppgifter av mer perifer natur kan komma att bli inhämtade, bearbetade och lagrade. En avvägning måste ske mellan den verkliga nyttan av uppgifterna, var för sig och sammanställda. och integriteten.

Redan i samband med att lagen (1994:1809) om totalförsvars- plikt arbetades fram diskuterades frågan om att i lag reglera det dataregister som behövs för Totalförsvarets pliktverks verksam- het. Regeringen valde då att avvakta tills det stod klart vilka uppgifter som i framtiden bör finnas med i registret. För tiden fram till dess att den nya myndigheten hade hunnit bygga upp

4

sin verksamhet och det i övrigt syntes lämpligt att ta itu med denna lagstiftningsfråga var avsikten att verket - på samma sätt som Vämpliktsverket hade på sin tid - skulle ha tillstånd av Datainspektionen för sina register.

Bestämmelser om skydd för den enskildes personliga integritet

Grundläggande bestämmelser om skyddet för den enskildes personliga integritet finns i 1 kap. 2 & tredje stycket regerings- formen, där det sägs bland annat att det allmänna skall värna den enskildes privatliv och familjeliv. Vidare föreskrivs i 2 kap. 3 5 andra stycket regeringsfonnen att varje medborgare i den utsträckning som närmare anges i lag skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

Av betydelse på integritetsskyddsområdet är vidare bestäm mel- serna i sekretesslagen(1980:10()) och de bestämmelser till skydd för den personliga integriteten som finns i datalagen(1973:289).

Regler om insyn och kontroll när det gäller allmänna handlingar finns i tryckfrihetsförordningen . Vidare finns bestämmelser om myndigheternas arkiv i arkivlagen (1990:782) .

Bland Sveriges internationella åtaganden bör särskilt det så kallade dataskyddsdirektivet (95/46/EG) uppmärksammas. Direktivet, som antogs den 24 oktober 1995, innebär att alla medlemsstater inom EU skall anta lagar om behandling av personregister som ger en enhetlig nivå på integritetsskyddet. Regeringen tillsatte i juni 1995 en kommitté med uppgift att bland annat analysera på vilket sätt dataskyddsdirektivet skall genomföras i svensk lagstiftning samt lägga fram förslag till en ny datalag (dir. l995z9l). Denna utrednings arbete skall vara avslutat senast den 3] mars l997.

5

Sverige har även gjort vissa internationella åtaganden på data- området utöver vad som följer av Sveriges medlemskap i Europeiska unionen. Sverige har tillträtt Europarådets konven- tion om skydd för enskilda vid automatisk databehandling av personuppgifter och åtagit sig att följa OECD:s riktlinjeri fråga om integritetsskyddet för persondataflödet över gränsema.

Uppdraget

Behovet av författningsreglering av Totalförsvarets pliktverks personregister har som ovan nämnts uppmärksammats redan i samband med arbetet med den nya pliktlagstiftningen. Tiden är nu mogen för att lagreglera ett av landets största befolknings- register. Datorstödet är av stor betydelse för effektiviteten i Totalförsvarets pliktverks arbete. De uppgifter som registreras om de totalförsvarspliktiga kan emellertid vara av mycket känslig karaktär, vilket ställer särskilda krav på integritets- skydd. Ju mer infonnation som behövs och kan bearbetas och lagras desto större blir risken för intrång i den enskildes integritet. Det bör därför uppdras åt en särskild utredare att utarbeta förslag till de författningsregler som behövs.

Utgångspunkten för utredarens arbete skall vara att den enskilde skall tillförsäkras ett fullgott integritetsskydd samt att register som innehåller ett stort antal registrerade personer och har ett integritetskänsligt innehåll skall var författningsreglerade. Intresset av ett starkt integritetsskydd får inte hämma användningen av ny teknik och möjligheterna för Totalförsvarets pliktverk att så effektivt och ändamålsenligt som möjligt bedriva sin verksamhet. Pcrsonregistreringen får dock inte medföra en otillbörlig kränkning av den enskildes personliga integritet. Konsekvensema för andra intressen som insynsbehov, rättssäkerhet, forskning och totalförsvarets behov måste också beaktas. Här är det viktigt att analysera gallrings- frågoma och överväga om de olika urvalsmetoder som anges i propositionen 1989/90:72 om arkiv m.m. bör tillämpas.

6

Den utveckling som skett främst inom det civila försvaret när det gäller ansvaret för beredskapsförberedclser och verksamhet under höjd beredskap medför behov av ökat infonnationsutbyte mellan å ena sidan Totalförsvarets pliktverk och å andra sidan andra myndigheter och organ. Det är därför angeläget att utredaren behandlar frågor som rör avvägningen mellan behovet av informationsutbyte och skyddet för den enskildes integritet.

Utredaren bör främst lämna förslag till reglering av följande frågor som direkt hänger samman med den personliga integriteten:

- registerändamål - registerinnehåll - registeransvar och förfoganderätt - terminalåtkomst

- uppgiftslämnande på ADB-medium - bevarande och gallring - begränsningar av bearbetningsmöjligheter - krav på krypteringssystem eller andra skyddsmekanismer för viss användning. '

Utredaren skall i de förslag som lämnas också beakta att skydd för uppgifter som omfattas av sekretess enligt 2 kap. 2 & sekretesslagen (l980:l00) kan förekomma i aktuellt personregister.

Utredaren skall i sitt arbete utgå ifrån den erfarenhet som Totalförsvarets pliktverk och dess föregångare Vämpliktsverket har byggt upp.

Övrigt

Utredningsarbetet bör bedrivas i samverkan med Datainspektionen, Försvarsmakten, Överstyrelsen för civil beredskap, Totalförsvarets pliktverk, Socialstyrelsen och Riksarkivet (Krigsarkivet).

7

Utredaren bör hålla sig informerad om resultatet av den ovan nämnda kommitté som regeringen tillsatt med uppgift att bland annat analysera på vilket sätt EG:s dataskyddsdircktiv skall genomföras i svensk lagstiftning och att ta fram förslag till en ny datalag. Vid behov skall utredaren samverka med kommittén.

Utredaren bör också hålla sig infonnerad om intentionerna i det lagstiftningsarbete som bedrivs i Försvarsdepartementet utifrån propositionen 1995/96:12 Totalförsvar i förnyelse och det lagstiftningsarbete som bedrivs med anledning av Hot- och riskutredningens betänkande Ett säkrare samhälle SOU 1995: 19.

Vidare bör utredaren hålla sig underrättad om de överväganden som Registerutredningen gör till följd av regeringens direktiv om registrering av påföljder m.m. (dir.l995:38).

För utredningsarbetet gäller regeringens direktiv till samtliga kommitteer och särskilda utredare angacndc redovisning av regionalpolitiska konsekvenser (dir. l992150), om att pröva offentliga åtaganden (dir. 1994123) och om att beakta jämställdheten mellan könen (dir. l9941l24). Förslag som lämnas av den särskilda utredaren skall belysas även ur ett samhällsekonomiskt och statsfinansiellt perspektiv. Förslag som leder till ökade utgifter eller minskade inkomster för staten skall åtföljas av förslag till omprioriteringar eller andra finansieringsvägar.

Utredningsarbetet skall vara avslutat senast den 30 april 1997.

SOU 1997:101

FÖRFATTNINGSFÖRSLAG

Förslag till

Persondatalag (1998:000)

Härmed föreskrivsl följande.

Inledande bestämmelser

Syftet med lagen

] & Syftet med denna lag är att skydda människor mot otillbörligt intrång i den personliga integriteten vid behandling av personuppgifter.

Avvikande bestämmelser i annan lagstiftning

2 5 Om det i en annan lag eller i en förordning finns bestämmelser som av— viker från denna lag, skall dessa bestämmelser gälla.

Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.l l.l995, s. 3l, Celex 39.51.0046).

Definitioner

3 5 I denna lag används följande beteckningar med nedan angiven bety- delse.

Beteckning Betydelse Behandling (av per- Varje åtgärd som vidtas beträffande personuppgif-

sonuppgifter) ter. Blockering (av per— Varje åtgärd som kan vidtas för att personuppgif- sonuppgifter) tema i alla sammanhang skall vara förknippade med tydlig information om att de är spånade och om anledningen till spärren och för att personupp- giftema inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen. Den registrerade Den som en personuppgift avser. Känsliga personupp- Sådana personuppgifter som avses i 13 &.

gifter

Mottagare Den till vilken personuppgifter lämnas ut. När per- sonuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som åligger den, anses dock inte myndigheten som mottagare. Persondataansvarig Den som ensam eller tillsammans med andra be- stämmer ändamålen med och medlen för behand- lingen av personuppgifter. Persondatabiträde Den som behandlar personuppgifter för den per— sondataansvariges räkning. Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Samtycke Varje slag av frivillig, särskild och informerad

viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.

Tillsynsmyndigheten Den myndighet som regeringen utser. Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsom- rådet.

Beteckning Betydelse

Tredje man Någon annan än den registrerade, den persondata- ansvarige, persondatabiträdet och sådana personer som under den persondataansvariges eller person- databiträdets direkta ansvar har befogenhet att be- handla personuppgifter. Ett sådant persondataom- bud som avses i 37 & anses inte som tredje man.

Tillämpningsområdet

Det territoriella tillämpningsområdet

4 5 Denna lag gäller för sådana persondataansvariga som är etablerade i Sverige.

Lagen tillämpas också när den persondataansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.

I det fall som avses i andra stycket skall den persondataansvarige utse en företrädare för sig som är etablerad i Sverige. Den persondataansvarige skall, innan utrustningen börjar användas, till tillsynsmyndigheten skriftli- gen anmäla vem som har utsetts och därvid bifoga ett skriftligt medgi- vande från den utsedde. Vad som anges i denna lag om den persondata- ansvarige skall också gälla den företrädare som har anmälts på detta sätt.

Vilken behandling av personuppgifter omfattas av lagen

5 5 Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatisk.

Lagen gäller även för annan behandling av personuppgifter, om uppgif- terna ingår i eller är avsedda att ingå i ett register. Med register avses varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Undantag för privat användning av personuppgifter

6 5 Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.

Undantag med hänsyn till yttrandefriheten

7 & Bestämmelserna i 9—29 och 33—46 åå samt 47 5 första stycket och 49 5 skall inte tillämpas på

a) sådana förfaranden som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen ,

b) spridningen av sådana yttranden som är skyddade enligt tryckfrihets- förordningen eller yttrandefrihetsgrundlagen , eller

c) sådan behandling av personuppgifter som annars sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.

Förhållandet till ojentlighetsprincipen

8 & Bestämmelserna i denna lag skall inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförord- ningen att lämna ut personuppgifter.

Bestämmelserna hindrar inte heller att en myndighet arkiverar och be- varar sina allmänna uppgifter eller att arkivmaterial tas om hand av en ar— kivmyndighet. Bestämmelserna i 95 tredje stycket gäller inte för person- uppgifter i en myndighets arkiv.

Grundläggande krav på behandlingen av personuppgifter

9 5 Den persondataansvarige skall se till

a) att personuppgifter behandlas bara när det är lagligt, särskilt att sam- tycke inhämtas när så krävs,

b) att personuppgifter alltid behandlas på ett korrekt sätt,

e) att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

d) att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

e) att de personuppgifter som behandlas är adekvata och relevanta i för- hållande till ändamålen med behandlingen,

f) att inte fler personuppgifter behandlas än som är nödvändigt med hän— syn till ändamålen med behandlingen,

g) att de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella,

h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utpliina sii- dana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i) att personuppgifter inte bevaras under en längre tid än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen.

Beträffande första stycket d) gäller att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I fråga om första stycket i) gäller att personuppgifter får bevaras under längre tid än som sagts där för historiska, statistiska eller vetenskapliga ändamål.

Personuppgifter som behandlas för historiska, statistiska eller veten- skapliga ändamål får användas för att vidta åtgärder beträffande den regist- rerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skål med hänsyn till den registrerades eller någon annans vitala intressen.

När behandling av personuppgifter är tillåten

Allmänt

10 & Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig

a) för att fullgöra ett avtal med den registrerade,

b) för att på den registrerades begäran vidta åtgärder innan ett avtal träffas,

c) för att den persondataansvarige skall kunna fullgöra en rättslig skyl— dighet,

d) för att skydda vitala intressen för den registrerade,

e) för att utföra en arbetsuppgift av allmänt intresse,

f) för att den persondataansvarige eller en tredje man till vilken person uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

g) för ändamål som rör ett berättigat intresse hos den persondataansvat'igt' eller hos sådana tredje män till vilka personuppgiftema lämnas ut när detta intresse väger tyngre än den registrerades intresse.

Direkt marknadsföring

11 & Personuppgifter får inte behandlas för ändamål som rör direkt mark- nadsföring, om den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

Samtycke återkallas

12 5 I de fall där behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 5 har den regist- rerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare per- sonuppgifter om den registrerade får därefter inte behandlas.

En registrerad har utöver vad som följer av första stycket och 11 5 inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

Förbud mot behandling av känsliga personuppgifter

13 5 Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung,

b) politiska åsikter,

c) religiös eller filosofisk övertygelse, eller

d) medlemskap i fackförening.

Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Undantag från förbudet mot behandling av känsliga personuppgifter

Allmänt

14 5 Utan hinder av 13 & är det tillåtet att behandla känsliga personuppgif- ter i de fall som anges i ]5—19 55.

I 10 5 finns det bestämmelser om i vilka fall behandling av personupp- gifter över huvud taget är tillåten.

Samtycke eller ofentliggörande

155 Känsliga personuppgifter får behandlas, om den registrerade har samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgif- tema.

Behandlingen är nödvändig i vissa fall

16 & Känsliga personuppgifter får behandlas när behandlingen är nödvän- dig för att

a) den persondataansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,

b) skydda vitala intressen för den registrerade eller någon annan och den registrerade inte kan lämna samtycke, eller

c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.

Uppgifter som behandlas med stöd av första stycket a) får lämnas ut till tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för den persondataansvarige att göra det eller den registrerade har samtyckt till utlämnandet.

Ideella organisationer

17 & Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med denna. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade har samtyckt till det.

Hälso- och sjukvård

l8ä Känsliga personuppgifter får behandlas, om behandlingen är nöd- Vändig för

a) förebyggande hälso- och sjukvård,

b) medicinska diagnoser,

c) vård eller behandling, eller

d) administration av hälso- och sjukvård.

Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får alltid behandla känsliga personuppgifter som omfattas av tystnadsplikten.

Forskning och statistik

195 Känsliga personuppgifter får behandlas för forsknings- och statistik- ändamål, om behandlingen är nödvändig och om samhällsintresset av det forsknings— eller statistikprojekt vari behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som be— handlingen kan innebära. Har projektet godkänts av en forskningsetisk kommitté, skall förutsätt- ningarna enligt första stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan in- stans som i mera betydande omfattning finansierar forskning.

Personuppgifter får lämnas ut för att användas i sådana projekt som av- ses i första stycket, om inte något annat följer av sekretesslagen (1980:100) .

Bemyndigande att föreskriva ytterligare undantag

205 Regeringen eller den myndighet som regeringen bestämmer får före- skriva ytterligare undantag från förbudet i 13 5, om det behövs med hänsyn till ett viktigt allmänt intresse.

Uppgifter om lagöverträdelser

21 & Det är förbjudet för andra än myndigheter att behandla personuppgif- ter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål.

Regeringen eller den myndighet som regeringen bestämmer får före- skriva undantag från förbudet i första stycket.

Användning av personnummer

22 5 Uppgift om personnummer får behandlas bara när det är klart motive- rat med hänsyn till

a) ändamålet med behandlingen,

b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl.

Information till den registrerade

Information skall lämnas självmant när uppgifterna samlas in

23 5 När uppgifter om en person samlas in från denne själv, skall den per- sondataansvarige självmant lämna den registrerade information rörande behandlingen.

24 5 Om personuppgiftema har samlats in från annan källa än den registre- rade, skall den persondataansvarige självmant lämna den registrerade in- formation rörande behandlingen när uppgifterna noteras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock lämnas först när uppgifterna lämnas ut för första gången.

Information enligt första stycket behöver inte lämnas, om det finns be- stämmelser om registrerandet eller utlämnandet av personuppgiftema i en lag eller någon annan författning.

Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar- betsinsats. Om uppgifterna används för att vidta åtgärder beträffande den registrerade, skall dock information alltid lämnas senast i samband med att så sker.

Vilken information skall lämnas självmant

25 & Information enligt 23 5 eller 24 %$ första stycket skall omfatta 3) uppgift om den persondataansvariges identitet,

b) uppgift om ändamålen med behandlingen, och

c) all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgif- terna, skyldighet att lämna uppgifter och rätten att ansöka om informa- tion.

Uppgifter behöver dock inte lämnas om sådant som den registrerade redan känner till.

Information skall också lämnas efter ansökan

26 5 Den persondataansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna information, om personuppgifter som rör sökanden behandlas eller inte. Behandlas sådana uppgifter skall ' skriftlig information lämnas också om

a) vilka uppgifter om sökanden som behandlas,

b) varifrån dessa uppgifter har hämtats,

c) ändamålen med behandlingen, och

d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm- nas ut.

En ansökan enligt första stycket skall göras skriftligen hos den persondata- ansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Det är dock tillåtet att lämna information bara vid tre över året jämnt för— delade tillfällen, om det finns särskilda skäl för det.

Information enligt första stycket behöver inte lämnas beträffande per- sonuppgifter i löpande text som inte fått sin slutliga utformning när ansö- kan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas bara för historiska, statistiska eller vetenskapliga ändamål eller, såvitt gäller löpande text som inte fått sin slutliga utform- ning, om uppgifterna har behandlats under längre tid än ett år.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

27 5 I den utsträckning det är särskilt föreskrivet i lag eller annan författ- ning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23— 26 åå.

Regeringen eller den myndighet som regeringen bestämmer får medge undantag från bestämmelserna i 23—26 åå, om det behövs för att skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott.

Rättelse

28 5 Den persondataansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behand- lats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den persondataansvarige skall också underrätta de tredje män till vilka uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Någon sådan underrättelse behöver dock inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Automatiserade beslut

29 5 Ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för denne får grundas enbart på automatisk be- handling av personuppgifter, vilka är avsedda att bedöma egenskaper hos den berörda personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat på manuell väg.

Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den persondataansvarige om vilka regler som har styrt den automatiska behandling som har lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna-i 26 &.

Säkerheten vid behandling

De personer som arbetar med personuppgifter

30 5 Ett persondatabiträde och den eller de personer som' arbetar under dennes eller den persondataansvariges ledning får behandla personuppgif- ter bara i enlighet med instruktioner från den persondataansvarige. I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas i stället bestämmelserna i sekretesslagen (1980:100) .

Det skall finnas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I det avtalet skall det särskilt föreskrivas att persondatabiträdet får behandla personuppgif- tema bara i enlighet med instruktioner från den persondataansvarige och

att persondatabiträdet är skyldigt att vidta de åtgärder som avses i 31 5 första stycket.

Skyddsåtgärder

31 5 Den persondataansvarige skall vidta lämpliga tekniska och organisa- toriska åtgärder för att skydda de personuppgifter som behandlas. Åtgär- derna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande

av

a) de tekniska möjligheter som finns,

b) vad det skulle kosta att genomföra åtgärderna,

e) de särskilda risker som finns med behandlingen av personuppgiftema, och

d) hur pass känsliga de behandlade personuppgiftema är.

När den persondataansvarige anlitar ett persondatabiträde, skall den per- sondataansvarige förvissa sig om att persondatabiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att persondatabiträdet verk- ligen vidtar åtgärderna.

Tillsynsmyndigheten får besluta om skyddsåtgärder

325 Tillsynsmyndigheten får besluta om vilka skyddsåtgärder som den persondataansvarige skall vidta enligt 31 &. I 47 5 finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite.

Överföring av personuppgifter till tredje land

Förbud mot överföring

33 & Det är förbjudet att till tredje land föra över personuppgifter som be- handlas. Förbudet gäller också överföring av personuppgifter för behand- ling i tredje land.

Undantag från förbudet

345 Utan hinder av 33 Q är det tillåtet att föra över personuppgifter till tredje land, om den registrerade har samtyckt till överföringen eller när överföringen är nödvändig för att

a) fullgöra ett avtal mellan den registrerade och den persondataansvarige,

b) på den registrerades begäran vidta åtgärder innan ett avtal träffas,

c) ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och tredje man som är i den registrerades intresse,

d) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller

e) skydda vitala intressen för den registrerade.

Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för en- skilda vid automatisk databehandling av personuppgifter.

35 & Regeringen får för överföring av personuppgifter till vissa stater före- skriva undantag från förbudet i 33 g. Regeringen får också föreskriva att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som innehåller vissa bestämmelser till skydd för de registrerades rättigheter.

Regeringen eller den myndighet som regeringen bestämmer får vidare medge undantag från förbudet i 33 &, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

Anmälan till tillsynsmyndigheten

A nmälningsskyldighet

36 & Behandling av personuppgifter som är helt eller delvis automatisk omfattas av anmälningsskyldighet. Den persondataansvarige skall innan en sådan behandling eller en serie av sådana behandlingar, som har samma eller liknande ändamål, genomförs göra en skriftlig anmälan till tillsyns- myndigheten.

Regeringen eller den myndighet som regeringen bestämmer får före- skriva undantag från anmälningsskyldigheten för sådana typer av behand- lingar som sannolikt inte kommer att leda till otillbörligt intrång i den per— sonliga integriteten.

Anmälan behöver inte göras om det finns ett persondataombud

37 5 När den persondataansvarige har offentliggjort en uppgift om att ett persondataombud utsetts och vem det är, behöver anmälan enligt 36 & inte göras.

Persondataombudets uppgifter

38 & Persondataombudet skall ha till uppgift att självständigt se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne.

Har persondataombudet anledning att misstänka att den persondataan- svarige bryter mot de bestämmelser som gäller för behandlingen av per- sonuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall persondataombudet anmäla förhållandet till tillsynsmyndigheten.

Persondataombudet skall även i övrigt samråda med tillsynsmyndighe- ten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.

395 Persondataombudet skall föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle ha omfattats av an- mälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 365 skulle ha innehållit.

405 Persondataombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga, missvisande eller ofullständiga.

Obligatorisk anmälan för särskilt integritetskänsliga behandlingar

41 & Regeringen får föreskriva att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten en- ligt 36 5 tre veckor i förväg. Om regeringen har meddelat sådana föreskrif- ter, gäller inte undantagct från anmälningsskyldigheten enligt 37 &.

Upplysningar till allmänheten om behandlingar som inte anmälts

42 5 Den persondataansvarige skall till var och en som begär det skynd- samt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar av personuppgifter som inte har anmälts till tillsyns- myndigheten. Upplysningama skall omfatta det som en anmälan enligt 36 & skulle ha omfattat. Den persondataansvarige är dock inte skyldig att lämna ut uppgifter om vilka säkerhetsåtgärder som har vidtagits.

Skadestånd

43 5 Den persondataansvarige skall ersätta den registrerade för den skada som en behandling av personuppgifter i strid med denna lag eller föreskrif- ter som har meddelats med stöd av lagen har fört med sig. Ersättning skall också betalas för ren förmögenhetsskada och för den kränkning av den per- sonliga integriteten som behandlingen har inneburit.

Ersättningsskyldigheten enligt första stycket kan i den utsträckning det är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar att felet inte berodde på honom eller henne.

Straff för osanna uppgifter

44 & Till böter eller fängelse högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet lämnar osann uppgift

a) i information till registrerade som föreskrivs i denna lag,

b) i anmälan till tillsynsmyndigheten enligt 36 &, eller 0) till tillsynsmyndigheten när myndigheten begär information enligt 45 &.

Tillsynsmyndighetens befogenheter

45 & Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få &) tillgång till de personuppgifter som behandlas,

b) upplysningar och dokumentation rörande behandlingen av personupp- gifter och säkerheten vid denna, och

c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

46 5 Om tillsynsmyndigheten inte efter begäran enligt 45 5 kan få tillräck- ligt underlag för att konstatera att behandlingen av personuppgifter är lag— lig, får myndigheten vid vite förbjuda den persondataansvarige att be- handla personuppgifter på annat sätt än genom att lagra dem.

475 Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge— nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, får myndigheten vid vite förbjuda den persondataansvarige att fortsätta att be- handla personuppgiftema på annat sätt än genom att lagra dem. Om den persondataansvarige inte frivilligt följer ett beslut om skyddsåtgärder enligt 32 5, som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite för att beslutet skall genomföras.

48 5 Innan tillsynsmyndigheten beslutar om vite enligt 46 eller 47 5, skall den persondataansvarige ha fått tillfälle att yttra sig. Om det är riskfyllt att vänta, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall prövas om, när yttrandetiden har gått ut.

Ett vitesföreläggande skall delges den persondataansvarige. Delgivning enligt 12 5 delgivningslagen (l970:428) får dock användas bara om det finns skäl att anta att den persondataansvarige har avvikit eller håller sig undan på något annat sätt.

495 Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Beslut om utplånande får inte meddelas om det är oskäligt.

Överklagande

505 Tillsynsmyndighetens beslut enligt denna lag om annat än generella föreskrifter får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas.

Närmare föreskrifter

51 5 Regeringen eller den myndighet som regeringen bestämmer får med- dela närmare föreskrifter om

a) b)

C) d) e)

f)

i vilka fall behandling av personuppgifter är tillåten, vilka krav som ställs på den persondataansvarige vid behandling av personuppgifter, i vilka fall användning av personnummer är tillåten, innehållet i en anmälan eller ansökan till en persondataansvarig, vilken information som skall lämnas till registrerade och hur lämnan- det av information skall gå till, och anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 1999, datalagen(1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före den 1 januari 1999. . Beträffande sådan behandling av personuppgifter som pågår vid ikraft- trädandet skall till utgången av september månad 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande. . Bestämmelserna i 9, 10, 13 och 21 55 i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behand- ling av personuppgifter som pågår vid ikraftträdandet. . Beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 55 i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Dessförinnan skall motsvarande bestämmelser i den äldre lagen tilläm- pas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av punkt 2 eller 3 ovan. . Anmälan enligt 36 5 i den nya lagen får göras före ikraftträdandet. . Ett samtycke som har lämnats före ikraftträdandet skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen. . Har en begäran om registerutdrag enligt 10 5 i den äldre lagen kommit in före ikraftträdandet men har utdraget inte expedierats före ikraftträ-

dandet skall framställningen anses som en ansökan enligt 26 5 i den nya lagen.

8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraft- trädandet. I annat fall tillämpas de äldre bestämmelserna.

Kronologisk förteckning

xIOx

10. 11. 12.

13. 14. 15.

16. 17.

18. 19. 20. 21.

22. 23.

24. 25. 26.

27. 28.

29.

30.

31.

Den nya gymnasieskolan steg för steg. U. lnkomstskattelag, del l-III. Fi. . Fastighetsdataregister. Ju. . Förbättrad miljöinformation. M. . Aktivt lönebidrag. Ett effektivare stöd för

arbetshandikappade. A. . Länsstyrelsernas roll i trafik- och fordonsfrågor. K. . Byråkratin i backspegeln. Femtio år av förändring

på sex förvaltningsområden. Fi. Röster om barns och ungdomars psykiska hälsa. S. . Flexibel förvaltning. Förändring och verksam-

hetsanpassning av statsförvaltningens struktur. Fi. Ansvaret för valutapolitiken. Fi. Skatter, miljö och sysselsättning. Fi. lT-problem inför 2000-skiftet. Referat och slutsatser från en hearing anordnad av lT-kommissionen den 18 december. lT-kommissionens rapport 1/97. K. Regionpolitik för hela Sverige. N. IT i kulturens tjänst. Ku. Det svåra samspelet. Resultatstymingens framväxt och problematik. Fi. Att utveckla industriforskningsinstituten. N. Skatter, tjänster och sysselsättning. + Bilagor. Fi. Granskning av granskning. Den statliga revisionen i Sverige och Danmark. Fi. Bättre information om konsumentpriser. ln. Konkurrenslagen 1993-1996. N. Växa i lärande. Förslag till läroplan för barn och unga 6-16 år. U. Aktiebolagets kapital. Ju. Digital demokr©ti. Ett seminarium om Teknik, demokrati och delaktighet den 8 november 1996 anordnat av Folkomröstrringsutredningen, ITQ kommissionen och Kommunikationsforsknings- beredningen. IT-kommissionens rapport 2/97. K. Välfärd i verkligheten Pengar räcker inte. S. Svensk mat på EU-fat. Jo. EU:s jordbrukspolitik och den globala livsmedels- försörjningen. Jo. Kontroll Reavinst Värdepapper. Fi. 1 demokratins tjänst. Statstjänstemannens roll och vårt offentliga etos. Fi.

Bampomografifrågan.

lnnehavskriminalisering m.m. .lu. Europa och staten. Europeiseringens betydelse för svensk statsförvaltning. Fi.

Kristallkulan — tretton röster om framtiden. lT—kommissionens rapport 3/97. K.

32. 33.

34. 35, 36. 37. 38. 39. 40. 41.

42.

43.

44. 45. 46. 47. 48.

49. 50.

51. 52.

53. 54.

55. 56. 57. 58. 59. 60.

Följdlagstittning till miljöbalken. M. Att lära över gränser. En studie av OECD:s förvaltningspolitiska samarbete. Fi. Övervakning av miljön. M. Ny kurs i trafikpolitiken + bilagor. K. Bekämpande av penningtvätt. Fi. En tekniskt forskningsinstitut i Göteborg. U. Myndighet eller marknad. Statsförvaltningens olika verksamhetsforrner. Fi. Integritet Offentlighet Inforrnationsteknik. Ju. Unga och arbete. In. Staten och trossamfunden Rättslig reglering

Grundlag Lag om trossamfund — Lag om Svenska kyrkan. Ku.

Staten och trossamfunden Begravningsverksamheten. Ku. Staten och trossamfunden Den kulturhistoriskt värdefulla kyrkliga egendomen och de kyrkliga arkiven. Ku. Staten och trossamfunden Svenska kyrkans personal. Ku. Staten och trossamfunden Stöd, skatter och finansiering. Ku. Staten och trossamfunden Statlig medverkan vid avgiftsbetalning. Ku. Staten och trossamfunden Den kyrkliga egendomen. Ku. Arbetsgivarpolitik i staten. För kompetens och resultat. Fi. Grundlagsskydd för nya medier. Ju. Alternativa utvecklingsvägar för EU:s gemensamma jordbmkspolitik. Jo. Brister i omsorg — en fråga om bemötande av äldre. S. Omsorg med kunskap och inlevelse en fråga om bemötande av äldre. S. Avskaffa reklamskatten! Fi. Ministern och makten. Hur fungerar ministerstyre i praktiken? Fi. Staten och trossamfunden. Sammanfattningama av förslagen från de statliga utredningama. Ku. Folket som rådgivare och beslutsfattare. + Bilaga 1 och 2. Ju. 1 medborgarnas tjänst. En samlad förvaltningspolitik för staten. Fi. Personaluthyming. A. Svenskhemmet Voksenåsens förvaltningsfonn. Ku. Betal-TV inom Sveriges Television. Ku.

___—___—

Kronologisk förteckning

61.

62.

63. 64. 65. 66. 67. 68. 69. 70. 71.

72. 73.

74. 75. 76. 77. 78. 79.

80. 81.

82. 83.

84. 85.

86.

87.

88. 89.

Att växa bland betong och kojor. Ett delbetänkande om barns och ungdomars uppväxtvillkor i storstädernas utsatta områden från Storstadskommittén. S. Rosor av betong. En antologi till delbetänkandet Att växa bland betong och kojor från Storstadskommittén. 5. Sverige inför epokskiftet. IT-kommissionens rapport 5/97. K. Samhall. En arbetsmarknadspolitisk åtgärd + Bilagedel. A Polisens register. .lu. Statsskuldspolitiken. Fi. Återkallelse av uppehållstillstånd. UD. Grannlands-TV i kabelnät. Ku. Besparingar i stort och smått. U. Totalförsvaret och frivilligorganisationerna uppdrag, stöd och ersättning. Fö. Politik för unga. + 2 st bilagor. In. En lag om socialförsäkringar. S. Inför en svensk policy om säker elektronisk kommunikation. Referat från ett seminarium anordnat av IT-kommissionen, Närings- och handelsdepartementet och SEIS den I I december 1996. IT-kommissionens rapport 6/97. K. EU:sjordbrukspolitik, miljön och regional utveckling. Jo.

Bosättningsbegreppet. Skatterättsliga regler för fysiska personer. Fi.

Invandrare i vård och omsorg

en fråga om bemötande av äldre. S. Uppföljning av inkomstskattelagen. Fi. Medelsförvaltning i kommuner och landsting. In. Försäkringsmäklare. En lagöversyn av Försäkringsmäklarutredningen. Fi. Reformerad stabsorganisation. Fi. Allmännyttiga bostadsföretag.

+ Bilaga. ln. Lika möjligheter. In. Om makt och kön — i spåren av offentliga organisationers omvandling. A. En hållbar kemikaliepolitik. M. Förmån efter inkomst — Samordnat inkomstbegrepp för bostadsstöden och nya kvalifikationsregler för rätt till sjukpenninggrundande inkomst. S. Punktskattekontroll av alkohol, tobak och mineralolja, m.m. Fi. Kvinnor, män och inkomster. Jämställdhet och oberoende. A.

Upphandling för utveckling. N.

Handeln med skrot och begagnade varor. N.

90.

91.

92.

93.

94. 95.

96.

97. 98.

99. 100.

101.

Ändrad organisation för det statliga plan-, bygg- och bostadsväsendet. In.

Jaktens villkor en utredning om vissa jaktfrågor. Jo.

Medieföretag i Sverige Ägande och strukturförändringar i press, radio och TV. Ku. Hantering av fel i utjämningssystemet för kommuner och landsting. ln. Konkurrensneutralt transportbidrag. N. Forum för världskultur

— en rapport om ett rikare kulturliv. Ku. Lokalförsörjning och fastighetsägande. En utvärdering av statens fastighetsorganisation. Fi. Skydd av skogsmark. Behov och kostnader. M. Skydd av skogsmark. Behov och kostnader. Bilagor. M. En ny vattenadministration. Vatten är livet. M. Nya samverkansformer inom den sjöhistoriska museiverksamheten. Ku. Behandling av personuppgifter om totalförsvarspliktiga. Fö.

Systematisk förteckning

J ustitiedepartementet Fastighetsdataregister. [3]

Aktiebolagets kapital. [22] Bampomografifrågan. Innehavskriminalisering m.m. [29] Integritet Offentlighet Inforrnationsteknik. [39] Grundlagsskydd för nya medier. [49]

Folket som rådgivare och beslutsfattare. + Bilaga 1 och 2. [56]

Polisens register. [65]

Utrikesdepartementet Återkallelse av uppehållstillstånd. [67]

Försva rsdepartementet

Totalförsvaret och frivilligorganisationerna uppdrag, stöd och ersättning. [70] Behandling av personuppgifter om totalförsvarspliktiga. [101]

Socialdepa rtementet

Röster om barns och ungdomars psykiska hälsa. [8] Välfärd i verkligheten Pengar räcker inte. [24] Brister i omsorg en fråga om bemötande av äldre. [51] Omsorg med kunskap och inlevelse en fråga om bemötande av äldre. [52] Att växa bland betong och kojor. Ett delbetänkande om barns och ungdomars uppväxtvillkor i storstädernas utsatta områden från Storstadskommittén. [61] Rosor av betong. En antologi till delbetänkandet Att växa bland betong och kojor från Storstadskommittén. [62] En lag om socialförsäkringar. [72] Invandrare i vård och omsorg - en fråga om bemötande av äldre. [76] Förmån efter inkomst — Samordnat inkomstbegrepp för bostadsstöden och nya kvaliftkationsregler för rätt till sjukpenninggrundande inkomst. [85]

Kommunikationsdepartementet

Länsstyrelsernas roll itrafik- och fordonsfrågor. [6] lT—problem inför 2000-skiltet. Referat och slutsatser från en hearing anordnad av IT-kommissionen den 18 december. IT-kommissionens rapport 1/97. [12] Digital demokr©ti. Ett seminarium om Teknik, demokrati och delaktighet den 8 november 1996 anordnat av Folkomröstningsutredningen, IT- kommissionen och Kommunikationsforsknings- beredningen. IT-kommissionens rapport 2/97. [23]

Kristallkulan - tretton röster om framtiden. IT-kommissionens rapport 3/97. [31]

Ny kurs i trafikpolitiken + bilagor. [35] Sverige inför epokskiftet. IT-kommissionens rapport 5/97. [63]

Inför en svensk policy om säker elektronisk kommunikation. Referat från ett seminarium anordnat av lT—kommissionen, Närings- och handelsdepartementet och SEIS den 11 december 1996.

IT-kommissionens rapport 6/97. [73]

Finansdepa rtementet

Inkomstskattelag, del H”. [2] Byråkratin i backspegeln. Femtio år av förändring på sex förvaltningsområden. [7] Flexibel förvaltning. Förändring och verksam- hetsanpassning av statsförvaltningens struktur. [9] Ansvaret för valutapolitiken. [IO] Skatter, miljö och sysselsättning. [1 1] Det svåra samspelet. Resultatstymingens framväxt och problematik. [15] Skatter, tjänster och sysselsättning. + Bilagor. [17] Granskning av granskning. Den statliga revisionen i Sverige och Danmark. [18] Kontroll Reavinst Värdepapper. [27] 1 demokratins tjänst. Statstjänstemannens roll och vårt offentliga etos. [28] Europa och staten. Europeiseringens betydelse för svensk statsförvaltning. [30] Att lära över gränser. En studie av OECD:s förvaltnings— politiska samarbete. [33] Bekämpande av penningtvätt. [36] Myndighet eller marknad. Statsförvaltningens olika verksamhetsfonner. [3 8] Arbetsgivarpolitik i staten. För kompetens och resultat. [48] Avskaffa reklamskatten! [53] Ministern och makten. Hur fungerar ministerstyre i praktiken? [54] 1 medborgarnas tjänst. En samlad förvaltningspolitik för staten. [57] Statsskuldspolitiken. [66] Bosättningsbegreppet. Skatterättsliga regler för fysiska personer. [75] Uppföljning av inkomstskattelagen . [77] Försäkringsmäklare. En lagöversyn av Försäkringsmäklarutredningen. [79] Reformerad stabsorganisation. [80] Punktskattekontroll av alkohol, tobak och mineralolja, m.m. [86]

___—___—

Systematisk förteckning

Lokalförsörjning och fastighetsägande. En utvärdering av statens fastighetsorganisation. [96]

Utbildningsdepartementet

Den nya gymnasieskolan — steg för steg. [1] Växa i lärande. Förslag till läroplan för barn och unga 6-16 år. [21] Ett tekniskt forskningsinstitut i Göteborg. [37] Besparingar i stort och smått. [69]

Jordbruksdepartementet

Svensk mat — på EU-fat. [25]

EU:s jordbrukspolitik och den globala livsmedels- försörjningen. [26] Alternativa utvecklingsvägar för EU:s gemensamma jordbrukspolitik. [50] EU:s jordbrukspolitik, miljön och regional utveckling. [74] Jaktens villkor — en utredning om vissa jaktfrågor. [91]

Arbetsmarknadsdepartementet

Aktivt lönebidrag. Ett effektivare stöd för arbetshandikappade. [5] Personaluthyming. [58] Samhall. En arbetsmarknadspolitisk åtgärd + Bilagedel. [64]

Om makt och kön i spåren av offentliga organisationers omvandling. [83] Kvinnor, män och inkomster.

Jämställdhet och oberoende. [87]

Kulturdepa rtementet

IT i kulturens tjänst. [14] Staten och trossamfunden Rättslig reglering

Grundlag Lag om trossamfund — Lag om Svenska kyrkan. [41]

Staten och trossamfunden Begravningsverksamheten. [42] Staten och trossamfunden Den kulturhistoriskt värdefulla kyrkliga egendomen och de kyrkliga arkiven. [43] Staten och trossamfunden Svenska kyrkans personal. [44] Staten och trossamfunden Stöd, skatter och finansiering. [45] Staten och trossamfunden Statlig medverkan vid avgiftsbetalning. [46] Staten och trossamfunden Den kyrkliga egendomen. [47]

Staten och trossamfunden. Sammanfattningama av förslagen från de statliga utredningarna. [55] Svenskhemmet Voksenåsens förvaltningsfonn. [59] Betal-TV inom Sveriges Television. [60] Grannlands-TV i kabelnät. [68] Medieföretag i Sverige Ägande och strukturförändringar i press, radio och TV. [92] Forum för världskultur

en rapport om ett rikare kulturliv. [95] Nya samverkansformer inom den sjöhistoriska museiverksamheten. [100]

Närings- och handelsdepartementet

Regionpolitik för hela Sverige. [13] Att utveckla industriforskningsinstituten. [16] Konkurrenslagen 1993- I 996. [20] Upphandling för utveckling. [88]

Handeln med skrot och begagnade varor. [89] Konkurrensneutralt transportbidrag. [94]

Inrikesdepartementet

Bättre information om konsumentpriser. [19] Unga och arbete. [40] Politik för unga. + 2 st bilagor. [71] Medelsförvaltning i kommuner och landsting. [78] Allmännyttiga bostadsföretag. + Bilaga. [81]

Lika möjligheter. [82] Ändrad organisation för det statliga plan-, bygg- och bostadsväsendet. [90]

Hantering av fel i utjämningssystemet för kommuner och landsting. [93]

Mil jödepartementet

Förbättrad miljöinformation. [4] Följdlagstiftning till miljöbalken . [32] Övervakning av miljön. [34] En hållbar kemikaliepolitik. [84] Skydd av skogsmark. Behov och kostnader. [97] Skydd av skogsmark. Behov och kostnader. Bilagor. [98] En ny vattenadministration. Vatten är livet. [99]