SOU 1997:39
Integritet ´ Offentlighet ´ Informationsteknik
Till statsrådet och chefen för Justitiedepartementet
Vid sitt sammanträde torsdagen den 15 juni 1995 beslutade regeringen att tillkalla en parlamentariskt sammansatt kommitté med uppgift att lägga fram förslag till en ny lag om skydd för personuppgifter och förslag till ändringar i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet (dir. 1995:91).
Den 7 december 1995 förordnade chefen för Justitiedepartementet, statsrådet Laila Freivalds, justitierådet Staffan Vängby till ordförande i kommittén. Den 20 december 1995 förordnades som ledamöter i kommittén N advokaten Anders Christner (kd), N universitetslektorn Bo Edvardsson (mp), N riksdagsledamoten Helena Frisk (s), N riksdagsledamoten Tomas Eneroth (s), N riksdagsledamoten Birgitta Hambraeus (c), N riksdagsledamoten Barbro Hietala Nordlund (s), N utredningsledaren Ulrika Landergren (fp), N riksdagsledamoten Inger René (m), N riksdagsledamoten Per Rosengren (v), N riksdagsledamoten Majléne Westerlund Panke (s) och N riksdagsledamoten Sven-Erik Österberg (s).
Ulrika Landergren har den 12 november 1996 ersatts av fil.lic. Tomas Ohlin (fp).
Som experter har arbetat ombudsmannen Christer Arvsten, advokaten Tom Ekelund, universitetslektorn Jan Evers, verkställande direktören Barbro Fischerström, departementssekreteraren Anders S Forsberg, generaldirektören Jan Freese, hovrättsassessorn Per Furberg, överdirektören Claes Gränström, departementsrådet Martin Holmgren, professorn Rolf Nygren, bolagsjuristen Kerstin Osterman, chefsjuristen Per Samuelson,
professorn Björn Pehrson, kanslirådet Thomas Rolén, professorn Peter Seipel och datarådet Margareta Åberg.
Per Furberg har under tiden den 1 juli–31 augusti 1996 arbetat på heltid för kommittén med ett underlag avseende allmänna handlingars offentlighet.
Till sekreterare förordnades den 15 december 1995 hovrättsassessorerna Charlotte Brokelind, Jönköping, och Sören Öman, Stockholm.
Kommittén (Ju 1995:08) har antagit namnet Datalagskommittén. Bitr. professorn Göran Collste, Centrum för tillämpad etik, Universitetet i Linköping, och doktoranden Johan Åhlfeldt, Institutionen för socialmedicin, Uppsala universitet, har anlitats som konsulter i fråga om begreppet personlig integritet respektive allmänhetens inställning till behandling av personuppgifter. Deras rapporter finns fogade som bilagor till betänkandet.
Härmed får kommittén överlämna betänkandet Integritet • Offentlighet
- Informationsteknik (SOU 1997:39).
Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp) och Inger René (m) gemensamt samt av Bo Edvardsson (mp).
Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan
Evers, med instämmande av Rolf Nygren, av Barbro Fischerström, Anders S Forsberg, Jan Freese samt av Margareta Åberg.
Utredningsarbetet är härmed avslutat.
Stockholm den 5 mars 1997
Staffan Vängby
Anders Christner Bo Edvardsson
Helena Frisk Tomas Eneroth
Birgitta Hambraeus Barbro Hietala Nordlund
Tomas Ohlin Inger René
Per Rosengren Majléne Westerlund Panke
Sven-Erik Österberg
/Charlotte Brokelind Sören Öman
INNEHÅLLSFÖRTECKNING H UVUDRUBRIKER :
FÖRKORTNINGAR ........................................................................................................ 1 SAMMANFATTNING..................................................................................................... 3 FÖRFATTNINGSFÖRSLAG......................................................................................... 11 UTREDNINGSARBETET ............................................................................................. 75
EN NY PERSONDATALAG....................................................................83
1 Gällande rätt i huvuddrag ........................................................................................ 85 2 Datalagsutredningens förslag och utvecklingen därefter ......................................... 91 3 EG-direktivet om personuppgifter ......................................................................... 107 4 Övriga internationella regler .................................................................................. 165 5 Teknikens möjligheter ........................................................................................... 175 6 Reglering av bruk eller missbruk........................................................................... 177 7 En teknikoberoende och generell persondatalag.................................................... 195 8 Förhållandet till särskilda registerförfattningar ..................................................... 203 9 Förhållandet till offentlighetsprincipen ................................................................. 213 10 Förhållandet till yttrandefriheten ........................................................................... 221 11 Forskning och statistik ........................................................................................... 267 12 Innehållet i den nya persondatalagen ..................................................................... 319 13 Regler i datalagen som bör flyttas till andra lagar ................................................. 461
D ETALJERAD INNEHÅLLSFÖRTECKNING :
FÖRKORTNINGAR...................................................................................1
SAMMANFATTNING................................................................................3
FÖRFATTNINGSFÖRSLAG ..................................................................11 a)
Förslag till Persondatalag (1998:000) ............................................11
b) Förslag till Lag om ändring i Tryckfrihetsförordningen ................29 c) Förslag till Lag om ändring i Regeringsformen .............................47 d) Förslag till Lag om ändring i Yttrandefrihetsgrundlagen (1991:1469).....................................................................................51 e) Förslag till Lag om ändring i Sekretesslagen (1980:100) ..............53 f) Förslag till Lag om ändring i Arkivlagen (1990:782) ....................71
UTREDNINGSARBETET .......................................................................75
Utredningsuppdraget ...................................................................................75 Hur utredningen har bedrivits .....................................................................75 Dispositionen av betänkandet .....................................................................78
EN NY PERSONDATALAG....................................................................83
1 Gällande rätt i huvuddrag ...........................................................85
2 Datalagsutredningens förslag och utvecklingen därefter .........91 2.1 Inledning .........................................................................................91 2.2
Sammanfattning av Datalagsutredningens förslag .........................92 2.2.1 Lagens tillämpningsområde........................................92 2.2.2 Förhållandet till offentlighetsprincipen......................93 2.2.3 Förhållandet till yttrandefriheten................................93 2.2.4 Tillstånd eller tillsyn...................................................94 2.2.5 Den materiella regleringen i datalagen.......................95
2.2.5.1 Regler för de olika momenten i behandlingen .......................... 95 2.2.5.2 Personuppgift ............................................................................ 95 2.2.5.3 Persondataansvarig .................................................................. 96 2.2.5.4 Ändamålsanknytningen ............................................................. 96 2.2.5.5 Förutsättningarna för att få behandla personuppgifter............ 97 2.2.5.6 Känsliga personuppgifter.......................................................... 97 2.2.5.7 Gallring av personuppgifter...................................................... 98
2.2.6 Bemyndigande att meddela föreskrifter .....................99
2.3 Sammanfattning av remissutfallet ..................................................99 2.4 Genomförda förändringar .............................................................101 2.4.1 Sammanfattning ........................................................101 2.4.2 Normgivningen på dataskyddsområdet ....................101
2.4.2.1 Bakgrund ................................................................................. 101 2.4.2.2 Datainspektionens normgivning.............................................. 102
2.4.3 Yttranden från Datainspektionen .............................103 2.4.4 Vite............................................................................104 2.4.5 Överklagande............................................................104
3 EG-direktivet om personuppgifter............................................107 3.1 Bakgrund .......................................................................................107 3.1.1 Inledning ...................................................................107 3.1.2
Genomförandet av EG-direktiv ................................107
3.1.3 Bakgrunden till direktivet.........................................110 3.2 Tillämpningsområdet ....................................................................112 3.2.1 Inledning ...................................................................112 3.2.2 Definitioner...............................................................112
3.2.2.1 Inledning ................................................................................. 112 3.2.2.2 Personuppgifter och den registrerade .................................... 113 3.2.2.3 Behandling .............................................................................. 114 3.2.2.4 Register ................................................................................... 114 3.2.2.5 Registeransvarig ..................................................................... 115 3.2.2.6 Registerförare ......................................................................... 116 3.2.2.7 Tredje man .............................................................................. 116 3.2.2.8 Mottagare................................................................................ 116 3.2.2.9 Samtycke.................................................................................. 116
3.2.3 Sådant som faller utanför gemenskapsrätten............118 3.2.4 Privat användning av personuppgifter .....................118 3.2.5 Det territoriella tillämpningsområdet .......................119
3.3 Förhållandet till yttrandefriheten ..................................................121 3.4 Grundläggande krav på uppgiftsbehandlingen.............................122 3.4.1 Inledning ...................................................................122 3.4.2 Korrekt och laglig behandling..................................123 3.4.3 Ändamålet med behandlingen ..................................123 3.4.4 Personuppgifterna skall vara adekvata, relevanta och inte för omfattande.............................124 3.4.5 Personuppgifterna skall vara riktiga och aktuella......................................................................124 3.4.6 Personuppgifterna får inte förvaras längre än nödvändigt ................................................................125 3.5 Förutsättningar för att uppgiftsbehandling skall kunna tillåtas ............................................................................................125 3.5.1 Inledning ...................................................................125 3.5.2 Samtycke...................................................................126 3.5.3 I samband med avtal .................................................126 3.5.4 Rättslig förpliktelse ..................................................126 3.5.5 För att skydda vitala intressen ..................................127
3.5.6 Myndighetsutövning eller allmänt intresse ..............128 3.5.7 Efter en intresseavvägning .......................................128
3.6 Behandling av särskilt känsliga uppgifter ....................................129 3.6.1 Ett principiellt förbud mot behandling av uppgifter om ras eller etniskt ursprung, religiösa, filosofiska eller politiska åsikter, fackföreningsmedlemskap, hälsa och sexualliv .......129 3.6.2 Undantag från förbudet.............................................130
3.6.2.1 Samtycke.................................................................................. 130 3.6.2.2 Inom arbetsrätten .................................................................... 130 3.6.2.3 För att skydda vitala intressen ................................................ 130 3.6.2.4 Politiska, filosofiska, religiösa och fackliga organisationer ......................................................................... 131 3.6.2.5 Den registrerades offentliggörande ........................................ 131 3.6.2.6 Nödvändig med hänsyn till rättsliga anspråk ......................... 131 3.6.2.7 Hälso- och sjukvård ................................................................ 132 3.6.2.8 Viktigt allmänt intresse ........................................................... 132
3.6.3 Uppgifter om brott m.m. ...........................................134 3.6.4 Användning av personnummer.................................134
3.7 Rätten att motsätta sig uppgiftsbehandling ..................................135 3.7.1 Inledning ...................................................................135 3.7.2 I vissa fall vid avgörande och berättigade skäl ........135 3.7.3 Direkt marknadsföring..............................................136 3.8 Rätten att slippa automatiserade beslut ........................................136 3.9 Information till den registrerade ...................................................137 3.10 Rätten att på begäran få tillgång till uppgifterna och rättelse ......139 3.10.1 Inledning ...................................................................139 3.10.2 Information om uppgifterna .....................................140 3.10.3 Rättelse......................................................................141 3.10.4 Underrättelse till tredje man om rättelse ..................141 3.10.5 Undantag...................................................................141 3.11 Möjlighet till undantag och begränsningar...................................142 3.12 Sekretess och säkerhet vid behandlingen .....................................144 3.13 Anmälan till tillsynsmyndigheten.................................................146 3.13.1 Inledning ...................................................................146 3.13.2 Anmälningsplikt för alla automatiska behandlingar .............................................................146 3.13.3 Möjlighet till undantag från och förenklingar av anmälningsproceduren.........................................147
3.13.3.1 Inledning ................................................................................. 147 3.13.3.2 Om det inte är sannolikt att rättigheter kränks ....................... 148 3.13.3.3 När ett uppgiftsskyddsombud har utsetts ................................ 149 3.13.3.4 Författningsreglerat register för allmänheten ........................ 149
3.13.3.5 Icke vinstdrivande organs behandling av känsliga personuppgifter ....................................................................... 149
3.13.4 Förhandskontroll av särskilt riskfyllda behandlingar .............................................................150 3.13.5 Offentliggörande av behandlingar............................151
3.13.5.1 Inledning ................................................................................. 151 3.13.5.2 Offentligt register över anmälda behandlingar ...................... 151 3.13.5.3 Skyldighet att på begäran lämna information om icke anmälda behandlingar ............................................................ 151
3.14 Överföring av uppgifter utanför EG .............................................152 3.14.1 Överföring är tillåten till länder som säkerställer en adekvat skyddsnivå ..........................152 3.14.2 Överföring till länder med sämre skydd...................154
3.14.2.1 Fall där överföring måste tillåtas ........................................... 154 3.14.2.2 Överföring får tillåtas om den registeransvarige kan garantera skydd....................................................................... 155
3.15 Sanktioner .....................................................................................155 3.15.1 Rätt till domstolsprövning ........................................155 3.15.2 Rätt till skadestånd ...................................................156 3.15.3 Andra sanktioner.......................................................156 3.16 Uppförandekodexar.......................................................................157 3.16.1 Inledning ...................................................................157 3.16.2 Nationella kodexar....................................................157 3.16.3 Kodexar på gemenskapsnivå ....................................157 3.17 Tillsynsmyndighetens ställning ....................................................158 3.18 Tillsynsmyndigheterna inom EG bildar en arbetsgrupp...............159 3.19 Medlemsstaterna ingår i en kommitté med kommissionen ..........160 3.20 Ikraftträdande och övergångsbestämmelser .................................160 3.21 Den fortsatta utvecklingen inom EG ............................................162
4 Övriga internationella regler .....................................................165 4.1 Inledning .......................................................................................165 4.2 OECD:s riktlinjer ..........................................................................168 4.3 Europarådets konvention ..............................................................170 4.4 Utländsk rätt ..................................................................................172
5 Teknikens möjligheter ................................................................175
6 Reglering av bruk eller missbruk..............................................177 6.1
Integritet och effektivitet ..............................................................177
6.2 Olika modeller för regleringen .....................................................179 6.2.1 Hanteringsmodellen och missbruksmodellen ..........179 6.2.2 Valet på lång sikt av modell för regleringen............181 6.2.3 Valet nu av modell för regleringen...........................189
6.3 Den lagstiftningsstruktur som EG-direktivet anvisar...................191
7 En teknikoberoende och generell persondatalag.....................195 7.1 Förutsättningar ..............................................................................195 7.2 Överväganden ...............................................................................196 7.2.1
Olika typer av behandlingar .....................................196
7.2.2 Uppgifter om juridiska personer...............................198 7.2.3 Den nya lagen bör liksom hittills vara generell .......198 7.2.4 Privat användning av personuppgifter .....................199 7.2.5 Lagens namn .............................................................201
8 Förhållandet till särskilda registerförfattningar .....................203 8.1 Bakgrund .......................................................................................203 8.2 Överväganden ...............................................................................207 8.2.1
De särskilda registerförfattningarna omfattas inte av vårt uppdrag ..................................................207
8.2.2 Undantag från den generella lagstiftningen för särskilda registerförfattningar ..................................207 8.2.3 Datainspektionen skall höras när registerförfattningar beslutas....................................210
9 Förhållandet till offentlighetsprincipen....................................213 9.1 Inledning .......................................................................................213 9.2
Utlämnande av personuppgifter enligt offentlighetsprincipen ...................................................................214
9.3 Rättelse av uppgifter hos myndigheter .........................................217 9.4 Myndigheternas arkiv ...................................................................219
10 Förhållandet till yttrandefriheten .............................................221 10.1 Inledning .......................................................................................221 10.2 Yttrandefriheten ............................................................................222 10.2.1 Allmänt .....................................................................222 10.2.2
Vad innebär grundlagsskyddet? ...............................222
10.2.3 Vilka skrifter omfattas av grundlagsskyddet?..........223 10.2.4 Vilka övriga yttranden omfattas av grundlagsskyddet? ....................................................224 10.2.5 Vilka personer omfattas av grundlagsskyddet? .......225 10.2.6 Skyddet mot myndighetsingripanden.......................227
10.2.6.1 Censurförbudet........................................................................ 227 10.2.6.2 Anonymitetsskyddet ................................................................. 228
10.3 Hur beaktas den personliga integriteten? .....................................229 10.3.1 Allmänt .....................................................................229 10.3.2 Straffbara förfaranden...............................................230
10.3.3 Beriktigande och genmäle ........................................231
10.3.3.1 Allmänt .................................................................................... 231 10.3.3.2 Pressen .................................................................................... 231 10.3.3.3 Radio och TV........................................................................... 231 10.3.3.4 Förslag till lagreglering.......................................................... 232
10.3.4 Privatlivets fred.........................................................234
10.3.4.1 Självsanering........................................................................... 234 10.3.4.2 Förslag till lagreglering.......................................................... 235
10.4 Yttrandefriheten i nya massmedier ...............................................236 10.5 Internationella förhållanden..........................................................236 10.5.1 EG-direktivet ............................................................236 10.5.2 Europarådsbestämmelser ..........................................237 10.5.3 En internationell jämförelse .....................................238 10.6 Närmare om normkonflikten.........................................................242 10.6.1 Allmänt .....................................................................242 10.6.2 Datalagsutredningens förslag och remissutfallet.............................................................243 10.6.3 Några regeringsavgöranden......................................246 10.7 Överväganden ...............................................................................247 10.7.1 Allmänt om konflikten mellan persondatalagstiftningen och yttrandefriheten .........247 10.7.2 Skall undantaget vara generellt? ..............................251 10.7.3 Hur skall undantaget utformas?................................252 10.7.4 Vilka behandlingar omfattas av undantaget? ...........254
10.7.4.1 Allmänt .................................................................................... 254 10.7.4.2 Behandlingar som syftar till att framställa yttranden............. 254 10.7.4.3 Behandlingar som syftar till att anskaffa och meddela uppgifter .................................................................................. 256 10.7.4.4 Lagring och spridning av uppgifter ........................................ 257 10.7.4.5 Behandling för flera ändamål ................................................. 258 10.7.4.6 Överflödiga uppgifter.............................................................. 259 10.7.4.7 Falska invändningar om grundlagsskydd ............................... 260 10.7.4.8 Prövning av undantagsregeln ................................................. 260
10.7.5 Förhållandet till EG-direktivet .................................261
11 Forskning och statistik................................................................267 11.1 Inledning .......................................................................................267 11.2 Statistik..........................................................................................268 11.2.1 Inledning ...................................................................268 11.2.2
Den statliga statistiken..............................................269
11.2.2.1 Inledning ................................................................................. 269 11.2.2.2 Officiell statistik ...................................................................... 269 11.2.2.3 Övrig statistik .......................................................................... 271
11.2.3 Privat och kommunal statistik ..................................271 11.2.4 Tillämpningen av datalagen .....................................272
11.2.5 Registerutdrag...........................................................274 11.2.6 Sekretess ...................................................................275 11.3 Forskning ......................................................................................277 11.3.1 Inledning ...................................................................277 11.3.2 Tillämpningen av datalagen .....................................278 11.3.3 Granskning av forskningsetiska kommittéer............281 11.3.4 Forskningsetiska utredningen...................................288 11.4 Internationella regler.....................................................................291 11.4.1 Europarådets rekommendation på området..............291 11.4.2 EG-direktivet ............................................................293 11.5 Datalagsutredningen .....................................................................295 11.5.1 Förslagen...................................................................295 11.5.2 Remissutfallet ...........................................................296 11.6 Överväganden ...............................................................................296 11.6.1 Inledning ...................................................................296 11.6.2 Huvudprincipen bör vara samtycke vid behandling av känsliga personuppgifter ..................297 11.6.3 Behandling av känsliga personuppgifter utan samtycke ...................................................................298
11.6.3.1 Det måste ske en avvägning i varje enskilt fall ....................... 298 11.6.3.2 Vem bör göra avvägningen ..................................................... 299 11.6.3.3 De forskningsetiska kommittéerna .......................................... 300 11.6.3.4 En avvägningsnorm i lagtexten ............................................... 303 11.6.3.5 Förhållandet till internationella regler................................... 306
11.6.4 Behandling av icke känsliga personuppgifter ..........307 11.6.5 Betydelsen av det ändamål för vilket uppgifterna samlats in...............................................308
11.6.5.1 Inledning ................................................................................. 308 11.6.5.2 Personuppgifter för forskning och statistik används för att vidta åtgärder beträffande enskilda................................... 309 11.6.5.3 Verksamhetsstatistik................................................................ 310 11.6.5.4 Personuppgifter för administrativa ändamål lämnas ut för forskning och statistik........................................................ 311 11.6.5.5 Personuppgifter för forskning och statistik återanvänds i ett annat projekt .................................................................... 311
11.6.6 Strykningsrätt............................................................313 11.6.7 Registerutdrag och rättelse .......................................316
12 Innehållet i den nya persondatalagen .......................................319 12.1 Lagstiftningstekniken....................................................................319 12.1.1 Allmänt .....................................................................319 12.1.2
Regeringen eller Datainspektionen kan precisera lagreglerna.................................................321
12.2 Begrepp som används ...................................................................329 12.2.1 Inledning ...................................................................329 12.2.2 Behandling av personuppgifter ................................334 12.2.3 Blockering.................................................................334 12.2.4 Känsliga personuppgifter .........................................335 12.2.5 Mottagare och tredje man .........................................335 12.2.6 Persondataansvarig och persondatabiträde ..............336 12.2.7 Personuppgifter och den registrerade.......................340 12.2.8 Register .....................................................................341 12.2.9 Samtycke...................................................................343 12.2.10 Tillsynsmyndigheten ................................................345 12.2.11 Tredje land ................................................................346 12.2.12 Automatisk respektive icke automatisk behandling.................................................................346 12.2.13 Skriftligen respektive undertecknad.........................348 12.3 Det territoriella tillämpningsområdet ...........................................349 12.4 Grundläggande krav på all behandling av personuppgifter .........352 12.4.1 Inledning ...................................................................352 12.4.2 Korrekt och laglig behandling..................................352 12.4.3 Ändamålet med behandlingen ..................................353 12.4.4 Personuppgifternas kvalitet och omfattning ............354 12.4.5 Personuppgifterna får inte sparas längre än nödvändigt ................................................................356 12.4.6 Behandling för historiska, statistiska och vetenskapliga ändamål..............................................356
12.4.6.1 Inledning ................................................................................. 356 12.4.6.2 Särskilt om arkiv ..................................................................... 356 12.4.6.3 Lämpliga skyddsåtgärder........................................................ 359
12.5 När behandling av personuppgifter skall vara tillåten .................360 12.5.1 Allmänna förutsättningar för när personuppgifter får behandlas ..................................360
12.5.1.1 Inledning ................................................................................. 360 12.5.1.2 Samtycke.................................................................................. 361 12.5.1.3 Nödvändighetskravet............................................................... 361 12.5.1.4 I samband med avtal ............................................................... 362 12.5.1.5 Rättslig skyldighet ................................................................... 363 12.5.1.6 För att skydda vitala intressen ................................................ 364 12.5.1.7 Myndighetsutövning eller allmänt intresse ............................. 364 12.5.1.8 Efter en intresseavvägning ...................................................... 365
12.5.2 När den registrerade motsätter sig behandling av personuppgifter ....................................................366
12.5.2.1 Inledning ................................................................................. 366 12.5.2.2 Samtycke återkallas................................................................. 367 12.5.2.3 Direkt marknadsföring ............................................................ 368
12.5.3 Ett principiellt förbud mot behandling av känsliga personuppgifter ..........................................369
12.5.3.1 Inledning ................................................................................. 369 12.5.3.2 Definitionen av känsliga personuppgifter ............................... 371 12.5.3.3 Undantag från förbudet........................................................... 372 12.5.3.4 Uppgifter om brott................................................................... 381
12.6 Användning av personnummer .....................................................384 12.7 Information till den registrerade ...................................................386 12.7.1 Inledning ...................................................................386 12.7.2 När uppgifterna samlas in.........................................386
12.7.2.1 Inledning ................................................................................. 386 12.7.2.2 När skall informationen lämnas.............................................. 387 12.7.2.3 Vilken information skall lämnas.............................................. 388 12.7.2.4 Undantag från informationsskyldigheten................................ 389
12.7.3 På ansökan av den registrerade ................................391 12.7.4 Förhållandet till bestämmelser om sekretess och tystnadsplikt .......................................................397 12.8 Rättelse ..........................................................................................399 12.8.1 Inledning ...................................................................399 12.8.2 Korrigeringsregeln....................................................400
12.8.2.1 Inledning ................................................................................. 400 12.8.2.2 På begäran av den registrerade.............................................. 401 12.8.2.3 Valet av korrigeringsmetod..................................................... 401 12.8.2.4 Rättelse.................................................................................... 402 12.8.2.5 Utplånande.............................................................................. 402 12.8.2.6 Blockering ............................................................................... 403
12.8.3 Underrättelse till tredje man om korrigeringen ........403 12.9 Automatiserade beslut...................................................................406 12.9.1 EG-direktivet ............................................................406 12.9.2 Vårt förslag ...............................................................407 12.10 Säkerhet och sekretess vid behandlingen .....................................410 12.10.1 Inledning ...................................................................410 12.10.2 Behandling får bara utföras enligt instruktion från den persondataansvarige ...................................410 12.10.3 Säkerhetsåtgärder......................................................412 12.10.4 När den persondataansvarige anlitar ett persondatabiträde......................................................414 12.11 Överföring av personuppgifter utanför EU ..................................415 12.11.1 Inledning ...................................................................415 12.11.2 Ett principiellt förbud mot överföring......................416 12.11.3 Undantag i persondatalagen från förbudet ...............417 12.11.4 Behörighet att medge ytterligare undantag ..............418 12.12 Anmälningsbyråkrati eller tillsyn .................................................421 12.12.1 Våra utgångspunkter.................................................421
12.12.2 Genomförandet av EG-direktivet .............................423
12.12.2.1 EG-direktivet i korthet............................................................. 423 12.12.2.2 En principiell anmälningsskyldighet måste införas ................ 424 12.12.2.3 Undantag från anmälningsskyldigheten ................................. 425 12.12.2.4 Särskilt om persondataombud................................................. 427 12.12.2.5 Förhandskontroll av särskilt integritetskänsliga behandlingar ........................................................................... 430 12.12.2.6 Upplysningar skall på begäran lämnas om behandlingar som inte anmälts ............................................... 431 12.12.2.7 Datainspektionens register över anmälda behandlingar ........ 431
12.13 Sanktioner .....................................................................................432 12.13.1 Inledning ...................................................................432
12.13.1.1 EG-direktivet ........................................................................... 432 12.13.1.2 Datalagen ................................................................................ 433 12.13.1.3 Datalagsutredningens förslag................................................. 434 12.13.1.4 Skrivelse från Landstingsförbundet......................................... 434
12.13.2 Vår bedömning .........................................................435
12.13.2.1 Omfattningen av skadeståndsskyldigheten.............................. 435 12.13.2.2 Jämkning ................................................................................. 436 12.13.2.3 Förhållandet till andra skadeståndsbestämmelser ................. 439 12.13.2.4 Övriga sanktioner.................................................................... 440
12.14 Datainspektionens uppgifter och finansiering..............................443 12.14.1 Datainspektionens uppgifter och befogenheter........443
12.14.1.1 EG-direktivet ........................................................................... 443 12.14.1.2 Datainspektionens befogenheter enligt datalagen .................. 445 12.14.1.3 Våra överväganden ................................................................. 445
12.14.2 Överklagande............................................................449 12.14.3 Datainspektionens finansiering och organisation ..............................................................450
12.14.3.1 Finansieringen i dag ............................................................... 450 12.14.3.2 Våra överväganden ................................................................. 451
12.15 Ikraftträdande och övergångsbestämmelser .................................454 12.15.1 EG-direktivet ............................................................454 12.15.2 Våra överväganden ...................................................455
12.15.2.1 Dagen för ikraftträdandet ....................................................... 455 12.15.2.2 Behandling som pågår vid ikraftträdandet ............................. 456 12.15.2.3 Manuell behandling som pågår vid ikraftträdandet ............... 457 12.15.2.4 Personuppgifter som lagras för historisk forskning ............... 457 12.15.2.5 Vissa övriga övergångsfrågor................................................. 458
13 Regler i datalagen som bör flyttas till andra lagar..................461 13.1 Inledning .......................................................................................461 13.2 Dokumentationsskyldighet ...........................................................461 13.3
Straff för dataintrång.....................................................................462
13.4 Det statliga person- och adressregistret ........................................462
FÖRKORTNINGAR
A. Anförd/anförda ArkivlagenArkivlagen (1990:782) Arkivförordningen Arkivförordningen (1991:446) BrB Brottsbalken Dataförordningen Dataförordningen (1982:480) Datalagen Datalagen (1973:289) Datalagsutredningens
slutbetänkande
En ny datalag (SOU 1993:10)
DIFS Datainspektionens författningssamling Dir. Direktiv Dnr Diarienummer Ds Departementsserien EES Europeiska ekonomiska samarbetsområdet EG Europeiska gemenskapen (tidigare Europeiska
ekonomiska gemenskapen, EEG)
EG-direktivet (ibland
bara direktivet)
Europaparlamentets och rådets direktiv
95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
EG-domstolen Europeiska gemenskapernas domstol EG-fördraget Fördraget om upprättandet av Europeiska ge-
menskapen
EGT Europeiska gemenskapernas officiella tidning EU Europeiska unionen FJFT Tidskrift utgiven av juridiska föreningen i
Finland
FörvaltningslagenFörvaltningslagen (1986:223) ILO International Labour Organization IT Informationsteknik (tidigare: Informationstek-
nologi)
JT Juridisk Tidskrift vid Stockholms universitet Kommissionen Europeiska gemenskapernas kommission KU Konstitutionsutskottets betänkande
NJA Nytt juridiskt arkiv, avdelning 1 OECD Organisation for Economic Co-operation and
Development
Prop. Proposition RA-FS Riksarkivets författningssamling RF Regeringsformen RB Rättegångsbalken RÅ Regeringsrättens årsbok Rådet Europeiska unionens råd SekretesslagenSekretesslagen (1980:100) SFS Svensk författningssamling SOU Statens offentliga utredningar SPAR Det statliga person- och adressregistret SvJT Svensk Juristtidning TF Tryckfrihetsförordningen UfR Ugeskrift for retsvæsen URL Lagen (1960:729) om upphovsrätt till litterära
och konstnärliga verk
Utredningsdirektiven Dir. 1995:91 (direktiven till Datalags-
kommittén)
Verksförordningen Verksförordningen (1995:1322) YGL Yttrandefrihetsgrundlagen
SAMMANFATTNING
En ny persondatalag
Vi har haft i uppdrag att göra en översyn av datalagen, som kom till redan år 1973. Syftet har varit att åstadkomma en modern och teknikoberoende lagstiftning om skydd för den personliga integriteten vid behandling av personuppgifter.
Vi lämnar förslag till en helt ny persondatalag som till största delen bygger på ett färskt EG-direktiv på området. En förutsättning för att vi skulle kunna lämna ett sådant förslag har varit att direktivet går att förena med det som i Sverige är grundlagsskyddat eller annars särskilt betydelsefullt från svenska utgångspunkter. Den nya lagstiftningen får inte inkräkta på offentlighetsprincipen eller tryck- och yttrandefriheten. Denna förutsättning är uppfylld. Genom att Sverige deltog i de slutliga förhandlingarna om direktivet har de svenska synpunkterna kommit att beaktas i det. Vi föreslår tydliga bestämmelser i persondatalagen som klargör att lagen inte skall tillämpas i den utsträckning det skulle inskränka grundlagsskyddade rättigheter. Den föreslagna lagen berör och förändrar således inte dessa rättigheter.
Den föreslagna lagstiftningen bygger liksom EG-direktivet på att själva hanteringen av personuppgifter regleras. Ett alternativ skulle vara att lämna hanteringen av personuppgifter i stort sett fri och i stället hindra bara det som kan betecknas som ett missbruk. Med hänsyn till den oro som många människor alltjämt känner för samlingar av elektroniska uppgifter om dem har vi dock inte ansett tiden mogen att i princip släppa hanteringen av databaserade personuppgifter fri. Sverige skulle inte heller fullgöra sina internationella åtaganden om vi valde en helt annan modell än EGdirektivets. Vi anser dock att man i ett längre perspektiv bör inrikta sig mera på att stävja och beivra missbruk än på att reglera en hantering som snart sagt alla kan hålla på med.
Den föreslagna persondatalagen kan ses som en ramlag som ger generella riktlinjer för all behandling av personuppgifter. Avsikten är att rege-
ringen och Datainspektionen skall inom den ram som lagen drar upp närmare precisera regleringen. De särskilda registerförfattningarna, som innehåller regler för bl.a. många viktiga myndighetsregister, omfattas inte av vårt uppdrag. Vi påpekar att dessa författningar inom de närmaste åren måste ses över och anpassas till den nya persondatalagen.
Rent privat användning av personuppgifter undantas från den föreslagna lagen. Som exempel kan nämnas e-post mellan privatpersoner.
Med behandling av personuppgifter avses i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter. Behandling av personuppgifter som är helt eller delvis automatisk – dvs. i första hand datoriserad – omfattas av den föreslagna lagen. Manuell behandling av sådana uppgifter (på papper) omfattas bara om uppgifterna skall ingå i ett regelrätt register.
I den föreslagna lagen slås fast vissa grundläggande krav på all behandling av personuppgifter. Den persondataansvarige skall se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna ursprungligen samlades in. Fler uppgifter än nödvändigt får inte behandlas, och de behandlade uppgifterna skall vara adekvata och relevanta. Felaktiga, missvisande eller ofullständiga uppgifter skall korrigeras. Uppgifterna får sparas bara så länge det är nödvändigt med hänsyn till ändamålen med behandlingen. För uppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål finns särskilda regler.
Den föreslagna lagen innehåller en uttömmande uppräkning av de fall då personuppgifter får behandlas. Personuppgifter får alltid behandlas om den registrerade har lämnat sitt samtycke. I annat fall krävs att behandlingen är nödvändig för vissa angivna ändamål. De situationer då behandling är tillåten utan samtycke kan sammanfattas enligt följande. N I samband med avtal N För att fullgöra en rättslig skyldighet N För att skydda vitala intressen för den registrerade N För att utföra en arbetsuppgift av allmänt intresse eller i samband med
myndighetsutövning N Efter en intresseavvägning där den registrerades intressen vägs mot in-
tressen på den persondataansvariges sida
För behandling av känsliga personuppgifter gäller enligt den föreslagna lagen särskilda regler. Som känsliga uppgifter anses sådana uppgifter som
rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Sådana uppgifter får behandlas bara i de fall som räknas upp i lagen. Regeringen eller Datainspektionen kan dock tillåta att känsliga personuppgifter behandlas också i andra fall, under förutsättning att det behövs med hänsyn till ett viktigt allmänt intresse.
Känsliga personuppgifter får behandlas när den registrerade har lämnat sitt samtycke eller när han eller hon på ett tydligt sätt har offentliggjort uppgifterna. De fall där sådana för ändamålet relevanta uppgifter annars får behandlas kan sammanfattas enligt följande. N För att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten N För att skydda vitala intressen när den registrerade inte kan lämna sam-
tycke N För att rättsliga anspråk skall kunna fastställas, göras gällande eller för-
svaras N Inom ideella organisationer får känsliga uppgifter om medlemmar och
t.ex. sympatisörer behandlas, men inte lämnas ut till någon utomstående N Inom hälso- och sjukvård N För forskning och statistik när en forskningsetisk kommitté har godkänt
projektet eller när samhällsintresset av behandlingen annars klart överväger integritetsriskerna
Uppgifter om lagöverträdelser m.m. får enligt huvudregeln behandlas bara av myndigheter. Personnummer skall liksom i dag få användas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
De som registreras skall få kännedom om behandlingen av uppgifterna. Enligt förslaget skall den persondataansvarige i samband med insamlingen av uppgifter självmant lämna de registrerade information om behandlingen. När uppgifterna hämtas in från någon annan källa än den registrerade, behöver information dock inte lämnas, om registreringen eller utlämnandet av uppgifterna är författningsreglerat eller om det skulle innebära en oproportionerligt stor arbetsinsats att informera.
Den registrerade skall enligt förslaget ha rätt att på begäran en gång per kalenderår gratis få information om de uppgifter som behandlas, dvs. ett registerutdrag. Den persondataansvarige skall vidare på begäran korrigera personuppgifter som är felaktiga, missvisande eller ofullständiga eller annars inte har behandlats enligt de bestämmelser som gäller.
För överföring av personuppgifter utanför EU och EES föreslås vissa restriktioner.
Den föreslagna lagen innehåller bestämmelser om säkerheten vid behandling av personuppgifter.
Den nuvarande skyldigheten att i förväg anmäla behandlingar till Datainspektionen bör begränsas till ett minimum. Inspektionens verksamhet skall i stället koncentreras till tillsyn, information och rådgivning. Datainspektionen skall också genom föreskrifter precisera lagens regler på olika områden.
Om någon bryter mot den föreslagna lagen skall Datainspektionen söka åstadkomma rättelse. Inspektionen får enligt förslaget förelägga vite och föra talan om att personuppgifter skall utplånas.
I övrigt är påföljden för brott mot den föreslagna lagen i första hand skadestånd till de registrerade som har drabbats av skada. De skall utom annan ersättning liksom hittills ha rätt till ideellt skadestånd för kränkning. Skadeståndsansvaret bör vara i princip rent strikt, dvs. skadestånd skall betalas så snart reglerna inte har följts, men vi föreslår en möjlighet att efter skälighet sätta ned skadeståndet för det fall att den persondataansvarige kan bevisa att den felaktiga behandlingen inte berodde på honom eller henne.
Den föreslagna lagen bör träda i kraft den 1 januari 1999 och tillämpas fullt ut på behandlingar som påbörjas därefter. För behandlingar som redan pågår vid ikraftträdandet, bör den gamla datalagen få gälla ända till den 1 oktober 2001.
Offentlighetsprincipen i IT-samhället
Den andra delen av vårt uppdrag har varit att se över reglerna i 2 kap. tryckfrihetsförordningen om medborgarnas rätt att ta del av allmänna handlingar – offentlighetsprincipen. Syftet har inte varit att förändra denna princip utan att undersöka hur den kan tillämpas i en modern IT-miljö. Vi har satt upp två utgångspunkter för detta arbete: N Offentligheten skall vara så vid som möjligt N Reglerna måste vara tydliga och lätta att tillämpa
En vidsträckt offentlighetsinsyn medger en kontroll av makten och stärker på så sätt demokratin. Våra förslag syftar också till att på sikt vidga allmänhetens möjligheter att dra nytta av det enorma uppgiftsmaterial som finns samlat hos de offentliga myndigheterna.
Vi föreslår att det centrala begreppet i offentlighetsprincipen skall vara ”allmän uppgift” i stället för ”allmän handling”. Begreppet uppgift är teknikneutralt och sekretesslagen bygger redan nu på det. Förslaget innebär i denna del ingen större saklig förändring; har man kunnat få ut en handling skall man kunna få ut en uppgift som finns i en handling. En fördel är att man inte behöver använda fiktioner som uttrycket ”potentiella handlingar” för att föra in elektroniska register under offentlighetsprincipen.
Begreppet handling finns enligt vårt förslag kvar i lagen som en ”förvaringsplats” för uppgifter. En handling har ett bestämt innehåll, nämligen det innehåll som den som en gång skrev handlingen gav den. Det har ingen betydelse om handlingen har formen av ett papper eller om den finns i digital form.
Sådana förvaringsplatser som inte är handlingar kallar vi databaser. Det som är typiskt för en databas är att uppgifterna är ordnade på ett sådant sätt att det går att söka bland dem och att man kan kombinera uppgifterna på olika sätt. Register är typiska exempel på databaser. Manuella databaser och sådana som förs med hjälp av digital teknik är likställda.
Uppgifter kan alltså finnas antingen i handlingar eller i databaser. En förutsättning för att en uppgift skall vara allmän hos en myndighet är att den förvaras hos myndigheten. På 1970-talet infördes en bestämmelse som innebär att allt som är tekniskt tillgängligt för en myndighet anses förvarat hos denna. I den tidens stordatormiljö var en sådan regel rimlig. Vi konstaterar emellertid att en sådan regel inte går att tillämpa i en modern IT-miljö där snart sagt allt är ”tekniskt tillgängligt” t.ex. via Internet. En förutsättning för att offentlighetsprincipen skall fungera i praktiken är att gränserna mellan myndigheterna upprätthålls. Myndigheterna har annars sämre möjligheter att hålla ordning på sina uppgifter, och därmed försämras förutsättningarna för att allmänheten skall kunna finna dem.
Vi föreslår att begreppet förvar återfår sin egentliga betydelse, men att det får innefatta även elektroniska förvar. Myndighetens skyldighet att lämna ut allmänna uppgifter skall alltså omfatta sådana uppgifter som den förvarar, antingen rent fysiskt (på papper eller på en cd-romskiva, diskett eller hårddisk) eller logiskt (i ett elektroniskt arkiv som tillhör myndigheten).
Sådant som tillhör myndighetens bibliotek omfattas inte av offentlighetsprincipen. Det nya sättet att se på förvar innebär att den bestämmelsen kan förenklas. En bok i biblioteket bör behandlas på samma sätt oavsett om den är tryckt på papper eller om den finns på en cd-romskiva.
I dag anser man att myndigheterna har en viss skyldighet att när allmänheten vill ha ut uppgifter göra extra sökningar och sammanställningar utöver det som myndigheten själv normalt gör. Det brukar uttryckas så att det som kan tas fram med ”rutinbetonade åtgärder” anses vara en allmän handling. Detta bör gälla även i framtiden men bör relateras till kostnaden. Det extra arbete som myndigheten kan utföra utan nämnvärda kostnader skall den vara skyldig att göra. Eftersom tekniken kommer att ge allt vidare och billigare möjligheter att söka och sammanställa uppgifter kommer också allmänhetens möjligheter att få insyn i myndigheternas verksamhet och del av deras kunskaper att öka i framtiden.
När det gäller själva utlämnandet av allmänna uppgifter till allmänheten föreslår vi en utvidgning av offentlighetsprincipen. Den bör, enligt vårt förslag, även omfatta en rätt att få ut allmänna uppgifter i elektronisk form. Vi är medvetna om att en sådan rätt inte kan införas generellt och omedelbart. Enligt den föreslagna regeln skall allmänhetens rätt att få allmänna uppgifter t.ex. på en diskett eller via e-post vara anpassad efter myndighetens tekniska möjligheter. Eftersom dessa fortlöpande förbättras kommer också insynen att bli mer effektiv. Det kan finnas särskilda bestämmelser som förbjuder myndigheter att lämna ut uppgifter i digital form och i vissa fall kan sådant utlämnande falla under sekretess, men principen bör vara att man har samma rätt att få uppgifter i elektronisk form som på papper. Detta bör, åtminstone på sikt, vara positivt även för myndigheterna som slipper dyrbar pappershantering.
Rätten att få uppgifter i elektronisk form bör inte omfatta datorprogram, eftersom detta skulle kunna inkräkta på upphovsrätten. Vi anser däremot att det finns ett allmänt intresse av att få reda på hur myndigheternas datorprogram fungerar; detta gäller särskilt när myndighetens beslut fattas automatiskt genom datorprogram. För att förstärka offentlighetsinsynen föreslår vi därför att myndigheterna, när det gäller sådana program, skall vara skyldiga att tillhandahålla beskrivningar (systemdokumentation) över hur programmen fungerar.
Vårt förslag till ny begreppsapparat i tryckfrihetsförordningen kräver följdändringar i andra lagar. Vi lämnar förslag till sådana ändringar i sekretesslagen och arkivlagen.
Tryckfrihetsförordningen anger inte i dag vad som skall hända med de allmänna handlingarna när de inte längre är aktuella. Eftersom det är av stor praktisk betydelse för offentlighetsinsynen att allmänna uppgifter bevaras föreslår vi att det införs en bestämmelse i tryckfrihetsförordningen som hänvisar till arkivlagen.
___________________
Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp) och
Inger René (m) gemensamt samt av Bo Edvardsson (mp).
Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan
Evers, med instämmande av Rolf Nygren, av Barbro Fischerström, Anders S Forsberg, Jan Freese samt av Margareta Åberg.
FÖRFATTNINGSFÖRSLAG
a) Förslag till
Persondatalag ( 1998:000 )
Härmed föreskrivs1 följande.
Inledande bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot otillbörligt intrång i den personliga integriteten vid behandling av personuppgifter.
Avvikande bestämmelser i annan lagstiftning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall dessa bestämmelser gälla.
1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven betydelse.
Beteckning Betydelse Behandling (av personuppgifter)
Varje åtgärd som vidtas beträffande personuppgifter.
Blockering (av personuppgifter)
Varje åtgärd som kan vidtas för att personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.
Den registrerade
Den som en personuppgift avser.
Känsliga personuppgifter
Sådana personuppgifter som avses i 13 §.
Mottagare
Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som åligger den, anses dock inte myndigheten som mottagare.
Persondataansvarig
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Persondatabiträde
Den som behandlar personuppgifter för den persondataansvariges räkning.
Personuppgifter
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Samtycke
Varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.
Tillsynsmyndigheten Den myndighet som regeringen utser. Tredje land
En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
Tredje man
Någon annan än den registrerade, den persondataansvarige, persondatabiträdet och sådana personer som under den persondataansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla personuppgifter. Ett sådant persondataombud som avses i 37 § anses inte som tredje man.
Tillämpningsområdet
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana persondataansvariga som är etablerade i
Sverige.
Lagen tillämpas också när den persondataansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.
I det fall som avses i andra stycket skall den persondataansvarige utse en företrädare för sig som är etablerad i Sverige. Den persondataansvarige skall, innan utrustningen börjar användas, till tillsynsmyndigheten skriftligen anmäla vem som har utsetts och därvid bifoga ett skriftligt medgivande från den utsedde. Vad som anges i denna lag om den persondataansvarige skall också gälla den företrädare som har anmälts på detta sätt.
Vilken behandling av personuppgifter omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatisk.
Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Med register avses varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Undantag för privat användning av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.
Undantag med hänsyn till yttrandefriheten
7 § Bestämmelserna i 9–29 och 33–46 §§ samt 47 § första stycket och 49 § skall inte tillämpas på
a) sådana förfaranden som är skyddade enligt tryckfrihetsförordningen
eller yttrandefrihetsgrundlagen,
b) spridningen av sådana yttranden som är skyddade enligt tryckfrihets-
förordningen eller yttrandefrihetsgrundlagen, eller
c) sådan behandling av personuppgifter som annars sker uteslutande för
journalistiska ändamål eller konstnärligt eller litterärt skapande.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna i denna lag skall inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar sina allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelserna i 9 § tredje stycket gäller inte för personuppgifter i en myndighets arkiv.
Grundläggande krav på behandlingen av personuppgifter
9 § Den persondataansvarige skall se till
a) att personuppgifter behandlas bara när det är lagligt, särskilt att sam-
tycke inhämtas när så krävs,
b) att personuppgifter alltid behandlas på ett korrekt sätt,
c) att personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) att personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) att de personuppgifter som behandlas är adekvata och relevanta i för-
hållande till ändamålen med behandlingen,
f) att inte fler personuppgifter behandlas än som är nödvändigt med hän-
syn till ändamålen med behandlingen,
g) att de personuppgifter som behandlas är riktiga och, om det är nöd-
vändigt, aktuella,
h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna så-
dana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen, och
i) att personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen.
Beträffande första stycket d) gäller att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I fråga om första stycket i) gäller att personuppgifter får bevaras under längre tid än som sagts där för historiska, statistiska eller vetenskapliga ändamål.
Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder beträffande den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades eller någon annans vitala intressen.
När behandling av personuppgifter är tillåten
Allmänt
10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig
a) för att fullgöra ett avtal med den registrerade,
b) för att på den registrerades begäran vidta åtgärder innan ett avtal
träffas,
c) för att den persondataansvarige skall kunna fullgöra en rättslig skyl-
dighet,
d) för att skydda vitala intressen för den registrerade,
e) för att utföra en arbetsuppgift av allmänt intresse,
f) för att den persondataansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
g) för ändamål som rör ett berättigat intresse hos den persondataansvarige
eller hos sådana tredje män till vilka personuppgifterna lämnas ut när detta intresse väger tyngre än den registrerades intresse.
Direkt marknadsföring
11 § Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.
Samtycke återkallas
12 § I de fall där behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a) ras eller etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening.
Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.
Undantag från förbudet mot behandling av känsliga personuppgifter
Allmänt
14 § Utan hinder av 13 § är det tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.
Samtycke eller offentliggörande
15 § Känsliga personuppgifter får behandlas, om den registrerade har samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.
Behandlingen är nödvändig i vissa fall
16 § Känsliga personuppgifter får behandlas när behandlingen är nödvändig för att
a) den persondataansvarige skall kunna fullgöra sina skyldigheter eller
utöva sina rättigheter inom arbetsrätten,
b) skydda vitala intressen för den registrerade eller någon annan och den
registrerade inte kan lämna samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
Uppgifter som behandlas med stöd av första stycket a) får lämnas ut till tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för den persondataansvarige att göra det eller den registrerade har samtyckt till utlämnandet.
Ideella organisationer
17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med denna. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade har samtyckt till det.
Hälso- och sjukvård
18 § Känsliga personuppgifter får behandlas, om behandlingen är nödvändig för
a) förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får alltid behandla känsliga personuppgifter som omfattas av tystnadsplikten.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forsknings- och statistikändamål, om behandlingen är nödvändig och om samhällsintresset av det forsknings- eller statistikprojekt vari behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Har projektet godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt första stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.
Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av sekretesslagen (1980:100).
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.
Uppgifter om lagöverträdelser
21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål.
Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från förbudet i första stycket.
Användning av personnummer
22 § Uppgift om personnummer får behandlas bara när det är klart motiverat med hänsyn till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Information till den registrerade
Information skall lämnas självmant när uppgifterna samlas in
23 § När uppgifter om en person samlas in från denne själv, skall den persondataansvarige självmant lämna den registrerade information rörande behandlingen.
24 § Om personuppgifterna har samlats in från annan källa än den registrerade, skall den persondataansvarige självmant lämna den registrerade information rörande behandlingen när uppgifterna noteras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock lämnas först när uppgifterna lämnas ut för första gången.
Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.
Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-
betsinsats. Om uppgifterna används för att vidta åtgärder beträffande den registrerade, skall dock information alltid lämnas senast i samband med att så sker.
Vilken information skall lämnas självmant
25 § Information enligt 23 § eller 24 § första stycket skall omfatta
a) uppgift om den persondataansvariges identitet,
b) uppgift om ändamålen med behandlingen, och
c) all övrig information som behövs för att den registrerade skall kunna ta
till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information.
Uppgifter behöver dock inte lämnas om sådant som den registrerade redan känner till.
Information skall också lämnas efter ansökan
26 § Den persondataansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna information, om personuppgifter som rör sökanden behandlas eller inte. Behandlas sådana uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om sökanden som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-
nas ut.
En ansökan enligt första stycket skall göras skriftligen hos den persondataansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Det är dock tillåtet att lämna information bara vid tre över året jämnt fördelade tillfällen, om det finns särskilda skäl för det.
Information enligt första stycket behöver inte lämnas beträffande personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas bara för historiska, statistiska eller vetenskapliga ändamål eller, såvitt gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23– 26 §§.
Regeringen eller den myndighet som regeringen bestämmer får medge undantag från bestämmelserna i 23–26 §§, om det behövs för att skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott.
Rättelse
28 § Den persondataansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den persondataansvarige skall också underrätta de tredje män till vilka uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Någon sådan underrättelse behöver dock inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Automatiserade beslut
29 § Ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för denne får grundas enbart på automatisk behandling av personuppgifter, vilka är avsedda att bedöma egenskaper hos den berörda personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat på manuell väg.
Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den persondataansvarige om vilka regler som har styrt den automatiska behandling som har lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §.
Säkerheten vid behandling
De personer som arbetar med personuppgifter
30 § Ett persondatabiträde och den eller de personer som arbetar under dennes eller den persondataansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den persondataansvarige. I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas i stället bestämmelserna i sekretesslagen (1980:100).
Det skall finnas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I det avtalet skall det särskilt föreskrivas att persondatabiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den persondataansvarige och att persondatabiträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket.
Skyddsåtgärder
31 § Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
d) hur pass känsliga de behandlade personuppgifterna är.
När den persondataansvarige anlitar ett persondatabiträde, skall den persondataansvarige förvissa sig om att persondatabiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att persondatabiträdet verkligen vidtar åtgärderna.
Tillsynsmyndigheten får besluta om skyddsåtgärder
32 § Tillsynsmyndigheten får besluta om vilka skyddsåtgärder som den persondataansvarige skall vidta enligt 31 §.
I 47 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite.
Överföring av personuppgifter till tredje land
Förbud mot överföring
33 § Det är förbjudet att till tredje land föra över personuppgifter som behandlas. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.
Undantag från förbudet
34 § Utan hinder av 33 § är det tillåtet att föra över personuppgifter till tredje land, om den registrerade har samtyckt till överföringen eller när överföringen är nödvändig för att
a) fullgöra ett avtal mellan den registrerade och den persondataansvarige,
b) på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c) ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och
tredje man som är i den registrerades intresse,
d) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,
eller
e) skydda vitala intressen för den registrerade.
Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.
35 § Regeringen får för överföring av personuppgifter till vissa stater föreskriva undantag från förbudet i 33 §. Regeringen får också föreskriva att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som innehåller vissa bestämmelser till skydd för de registrerades rättigheter.
Regeringen eller den myndighet som regeringen bestämmer får vidare medge undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.
Anmälan till tillsynsmyndigheten
Anmälningsskyldighet
36 § Behandling av personuppgifter som är helt eller delvis automatisk omfattas av anmälningsskyldighet. Den persondataansvarige skall innan en sådan behandling eller en serie av sådana behandlingar, som har samma eller liknande ändamål, genomförs göra en skriftlig anmälan till tillsynsmyndigheten.
Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.
Anmälan behöver inte göras om det finns ett persondataombud
37 § När den persondataansvarige har offentliggjort en uppgift om att ett persondataombud utsetts och vem det är, behöver anmälan enligt 36 § inte göras.
Persondataombudets uppgifter
38 § Persondataombudet skall ha till uppgift att självständigt se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne.
Har persondataombudet anledning att misstänka att den persondataansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall persondataombudet anmäla förhållandet till tillsynsmyndigheten.
Persondataombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.
39 § Persondataombudet skall föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit.
40 § Persondataombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga, missvisande eller ofullständiga.
Obligatorisk anmälan för särskilt integritetskänsliga behandlingar
41 § Regeringen får föreskriva att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §.
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den persondataansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 36 § skulle ha omfattat. Den persondataansvarige är dock inte skyldig att lämna ut uppgifter om vilka säkerhetsåtgärder som har vidtagits.
Skadestånd
43 § Den persondataansvarige skall ersätta den registrerade för den skada som en behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats med stöd av lagen har fört med sig. Ersättning skall också betalas för ren förmögenhetsskada och för den kränkning av den personliga integriteten som behandlingen har inneburit.
Ersättningsskyldigheten enligt första stycket kan i den utsträckning det är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar att felet inte berodde på honom eller henne.
Straff för osanna uppgifter
44 § Till böter eller fängelse högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet lämnar osann uppgift
a) i information till registrerade som föreskrivs i denna lag,
b) i anmälan till tillsynsmyndigheten enligt 36 §, eller
c) till tillsynsmyndigheten när myndigheten begär information enligt 45 §.
Tillsynsmyndighetens befogenheter
45 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar och dokumentation rörande behandlingen av personupp-
gifter och säkerheten vid denna, och
c) tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
46 § Om tillsynsmyndigheten inte efter begäran enligt 45 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten vid vite förbjuda den persondataansvarige att behandla personuppgifter på annat sätt än genom att lagra dem.
47 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.
Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, får myndigheten vid vite förbjuda den persondataansvarige att fortsätta att behandla personuppgifterna på annat sätt än genom att lagra dem.
Om den persondataansvarige inte frivilligt följer ett beslut om skyddsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite för att beslutet skall genomföras.
48 § Innan tillsynsmyndigheten beslutar om vite enligt 46 eller 47 §, skall den persondataansvarige ha fått tillfälle att yttra sig. Om det är riskfyllt att vänta, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall prövas om, när yttrandetiden har gått ut.
Ett vitesföreläggande skall delges den persondataansvarige. Delgivning enligt 12 § delgivningslagen (1970:428) får dock användas bara om det
finns skäl att anta att den persondataansvarige har avvikit eller håller sig undan på något annat sätt.
49 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas.
Beslut om utplånande får inte meddelas om det är oskäligt.
Överklagande
50 § Tillsynsmyndighetens beslut enligt denna lag om annat än generella föreskrifter får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas.
Närmare föreskrifter
51 § Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den persondataansvarige vid behandling av
personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) innehållet i en anmälan eller ansökan till en persondataansvarig,
e) vilken information som skall lämnas till registrerade och hur lämnandet
av information skall gå till, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter
har ändrats.
Övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 1999, då datalagen (1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före den 1 januari 1999.
2. Beträffande sådan behandling av personuppgifter som pågår vid ikraftträdandet skall till utgången av september månad 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande.
3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behandling av personuppgifter som pågår vid ikraftträdandet.
4. Beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Dessförinnan skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av punkt 2 eller 3 ovan.
5. Anmälan enligt 36 § i den nya lagen får göras före ikraftträdandet.
6. Ett samtycke som har lämnats före ikraftträdandet skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen.
7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in före ikraftträdandet men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen.
8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträdandet. I annat fall tillämpas de äldre bestämmelserna.
b) Förslag till
Lag om ändring i
Härigenom föreskrivs i fråga om tryckfrihetsförordningen (1949:105)
dels att 1 kap. 1 §, 2 kap. 1–19 §§, 7 kap. 3 och 5 §§ samt rubriken till
2 kap. skall ha följande lydelse,
dels att det skall införas en ny paragraf, 2 kap. 20 §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
1 §
Med tryckfrihet förstås varje svensk medborgares rätt att, utan några av myndighet eller annat allmänt organ i förväg lagda hinder, utgiva skrifter, att sedermera endast inför laglig domstol kunna tilltalas för deras innehåll, och att icke i annat fall kunna straffas därför, än om detta innehåll strider mot tydlig lag, given att bevara allmänt lugn, utan att återhålla allmän upplysning.
I överensstämmelse med de i första stycket angivna grunderna för en allmän tryckfrihet och till säkerställande av ett fritt meningsutbyte och en allsidig upplysning skall det stå varje svensk medborgare fritt att, med iakttagande av de bestämmelser som äro i denna förordning meddelade till skydd för enskild rätt och allmän säkerhet, i tryckt skrift yttra sina tankar och åsikter, offentliggöra allmänna handlingar samt meddela uppgifter och underrättelser i vad ämne som helst.
I överensstämmelse med de i första stycket angivna grunderna för en allmän tryckfrihet och till säkerställande av ett fritt meningsutbyte och en allsidig upplysning skall det stå varje svensk medborgare fritt att, med iakttagande av de bestämmelser som äro i denna förordning meddelade till skydd för enskild rätt och allmän säkerhet, i tryckt skrift yttra sina tankar och åsikter, offentliggöra handlingar som innehåller allmänna uppgifter samt meddela uppgifter och underrättelser i vad ämne som helst.
Det skall ock stå envar fritt att, i alla de fall då ej annat är i denna förordning föreskrivet, meddela uppgifter och underrättelser i vad ämne som helst för offentliggörande i tryckt skrift till författare eller annan som är att anse som upphovsman till framställning i skriften, till skriftens utgivare eller, om för skriften finnes särskild redaktion, till denna eller till företag för yrkesmässig förmedling av nyheter eller andra meddelanden till periodiska skrifter.
Vidare skall envar äga rätt att, om ej annat följer av denna förordning, anskaffa uppgifter och underrättelser i vad ämne som helst för att offentliggöra dem i tryckt skrift eller för att lämna meddelande som avses i föregående stycke.
2 kap.
Om allmänna handlingars offentlighet
Om allmänna uppgifters offentlighet
1 § 1 §
Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att taga del av allmänna handlingar.
Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att ta del av allmänna uppgifter.
3 § 2 §
Med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handling är allmän om den förvaras hos myndighet och enligt 6 eller 7 § är att anse som inkommen till eller upprättad hos myndighet.
En uppgift är allmän om den finns i myndighetens förvar
a) i en handling som enligt 7 eller
8 § är att anse som inkommen till eller upprättad hos myndigheten eller
b) i ett register eller någon annan
samling av uppgifter som har färdigställts för införing, sökning eller sammanställning av uppgifter (databas).
Upptagning som avses i första stycket anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Detta gäller dock ej upptagning som ingår i personregister, om myndigheten enligt lag eller förordning eller särskilt beslut, som grundar sig på lag, saknar befogenhet att göra överföringen. Med personregister förstås register, förteckning eller andra anteckningar som innehålla uppgift som avser enskild person och som kan hänföras till denne.
Uppgifter är allmänna oavsett om de finns i skrift eller bild eller i en form som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniska hjälpmedel som myndigheten har.
Med handling avses en framställning som har ett bestämt innehåll.
2 § 3 §
Rätten att taga del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till
Rätten att ta del av allmänna uppgifter får begränsas endast om det är påkallat med hänsyn till
1. rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig
organisation,
2. rikets centrala finanspolitik, penningpolitik eller valutapolitik,
3. myndighets verksamhet för inspektion, kontroll eller annan tillsyn,
4. intresset att förebygga eller beivra brott,
5. det allmännas ekonomiska intresse,
6. skyddet för enskilds personliga eller ekonomiska förhållanden,
7. intresset att bevara djur- eller växtart.
Begränsning av rätten att taga del av allmänna handlingar skall angivas noga i bestämmelse i en särskild lag eller, om så i visst fall befinnes lämpligare, i annan lag vartill den särskilda lagen hänvisar.
Efter bemyndigande i sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens til??lämplighet.
Begränsningar av rätten att ta del av allmänna uppgifter skall anges noga i bestämmelser i en särskild lag eller, om det är lämpligare i ett visst fall, i en annan lag till vilken den särskilda lagen hänvisar. Efter bemyndigande i en sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens til??lämplighet.
Utan hinder av andra stycket får i bestämmelse som där avses riksdagen eller regeringen tilläggas befogenhet att efter omständigheterna medgiva att viss handling lämnas ut.
Utan hinder av andra stycket får i en bestämmelse som där avses riksdagen eller regeringen ges befogenhet att efter omständigheterna medge att en viss uppgift lämnas ut.
4 §
Om en myndighets rätt att själv söka efter eller sammanställa uppgifter av hänsyn till enskildas personliga integritet har begränsats genom lag eller annan författning, gäller den begränsningen även för den som vill ta del av allmänna uppgifter.
4 § 5 §
Brev eller annat meddelande som är ställt personligen till den som innehar befattning vid myndighet anses som allmän handling, om handlingen gäller ärende eller annan fråga som ankommer på myndigheten och ej är avsedd för mottagaren endast som innehavare av annan ställning.
En uppgift i ett brev eller annat meddelande som är ställt personligen till den som innehar en befattning vid en myndighet anses som allmän, om uppgiften gäller ett ärende eller en annan fråga som ankommer på myndigheten och inte är avsedd för mottagaren endast som innehavare av annan ställning.
5 § 6 §
Med myndighet likställas i detta kapitel riksdagen, kyrkomötet och beslutande kommunal församling.
Med myndighet likställs i detta kapitel riksdagen, kyrkomötet och beslutande kommunal församling.
6 § 7 §
Handling anses inkommen till myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om upptagning som avses i 3 § första stycket gäller i stället att den anses inkommen till myndighet när annan har gjort den tillgänglig för myndigheten på sätt som angives i 3 § andra stycket.
En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa.
Tävlingsskrift, anbud eller annan sådan handling som enligt tillkännagivande skall avlämnas i förseglat omslag anses ej inkommen före den tidpunkt som har bestämts för öppnandet.
Tävlingsskrift, anbud eller annan sådan handling som enligt tillkännagivande skall avlämnas i förseglat omslag anses inte inkommen före den tidpunkt som har bestämts för öppnandet.
Åtgärd som någon vidtager endast som led i teknisk bearbetning eller teknisk lagring av handling, som myndighet har tillhandahållit, skall ej anses leda till att handling är inkommen till den myndigheten.
7 § 8 §
Handling anses upprättad hos myndighet, när den har expedierats. Handling som ej har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats hos myndigheten eller, om handlingen ej hänför sig till visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts.
En handling anses upprättad hos en myndighet, när den har expedierats.
Handling som inte har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats av myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts.
I stället för vad som föreskrives i första stycket gäller att handling anses upprättad,
Följande undantag gäller från vad som föreskrivs i första stycket.
1. diarium, journal samt sådant
register eller annan förteckning som föres fortlöpande, när handlingen har färdigställts för anteckning eller införing,
2. dom och annat beslut, som enligt
vad därom är föreskrivet skall avkunnas eller expedieras, samt protokoll och annan handling i vad den hänför sig till sådant beslut, när beslutet har avkunnats eller expedierats,
1. Domar och andra beslut, som enligt föreskrift skall avkunnas eller expedieras, samt protokoll och andra handlingar i vad de hänför sig till sådana beslut, anses upprättade när beslutet har avkunnats eller expedierats.
3. annat myndighets protokoll och
därmed jämförliga anteckningar, när handlingen har justerats av myndigheten eller på annat sätt färdigställts, dock ej protokoll hos riksdagens eller kyrkomötets utskott, riksdagens eller kommuns revisorer eller statliga kommittéer eller hos kommunal myndighet i ärende som denna endast bereder till avgörande.
2. Andra protokoll och därmed jämförliga anteckningar anses upprättade, när handlingen har justerats av myndigheten eller färdigställts på annat sätt, dock inte protokoll hos riksdagens eller kyrkomötets utskott, riksdagens eller kommuns revisorer eller statliga kommittéer eller hos kommunal myndighet i ärende som denna endast bereder till avgörande.
8 § 9 §
Har organ som ingår i eller är knutet till ett verk eller liknande myndighetsorganisation överlämnat handling till annat organ inom samma myndighetsorganisation eller framställt handling för sådant överlämnande, skall handlingen ej anses som därigenom inkommen eller upprättad i annat fall än då organen uppträda som självständiga i förhållande till varandra.
Har ett organ som ingår i eller är knutet till ett verk eller en liknande myndighetsorganisation överlämnat en handling till ett annat organ inom samma myndighetsorganisation eller framställt en handling för ett sådant överlämnande, skall handlingen inte anses som därigenom inkommen eller upprättad i annat fall än då organen uppträder som självständiga i förhållande till varandra.
9 § 10 §
Hos myndighet tillkommen minnesanteckning som ej har expedierats skall ej heller efter den tidpunkt då den enligt 7 § är att anse som upprättad anses som allmän handling hos myndigheten, om den icke tages om hand för arkivering. Med minnesanteckning förstås promemoria och annan uppteckning eller upptagning som har kommit till endast för ärendes föredragning eller beredning, dock ej till den del den har tillfört ärendet sakuppgift.
Uppgifter som har antecknats eller införts endast för ett ärendes föredragning eller beredning är inte allmänna om de inte har tillfört ärendet något i sak. Inte heller uppgifter i utkast eller koncept till en myndighets beslut eller skrivelse eller uppgifter i någon annan därmed jämställd handling är allmänna.
Utkast eller koncept till myndighets beslut eller skrivelse och annan därmed jämställd handling som ej har expedierats anses ej som allmän handling, såvida den icke tages om hand för arkivering.
Uppgifter som har tagits om hand för arkivering eller som förekommer i handlingar som har expedierats är dock alltid allmänna.
10 § 11 §
Handling som förvaras hos myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning anses ej som allmän handling hos den myndigheten.
Uppgifter som finns i en myndighets förvar endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning är inte allmänna hos den myndigheten. Uppgifterna blir inte heller att anse som allmänna hos den myndighet som har tillhandahållit dem endast på grund av att de i samband med eller efter åtgärden återlämnas till den myndigheten.
11 § 12 §
Som allmän handling anses ej Sådana uppgifter är inte allmänna som ingår i
1. brev, telegram eller annan sådan
handling som har inlämnats till eller upprättats hos myndighet endast för befordran av meddelande,
1. brev, telegram eller någon
annan sådan handling som har inlämnats till eller upprättats hos en myndighet endast för befordran av meddelande,
2. meddelande eller annan handling
som har inlämnats till eller upprättats hos myndighet endast för offentliggörande i periodisk skrift som utgives genom myndigheten,
2. meddelande eller någon annan
handling som har inlämnats till eller upprättats hos en myndighet endast för offentliggörande i en periodisk skrift som utges genom myndigheten,
3. tryckt skrift, ljud- eller bildupp-
tagning eller annan handling som ingår i bibliotek eller som från enskild har tillförts allmänt arkiv uteslutande för förvaring och vård eller forsknings- och studieändamål eller privata brev, skrifter eller upptagningar som eljest ha överlämnats till myndighet uteslutande för ändamål som nu angivits,
3. tryckta skrifter, ljud- eller
bildupptagningar samt andra handlingar och databaser som ingår i bibliotek,
4. upptagning av innehållet i hand-
ling som avses i 3, om upptagningen förvaras hos myndighet där den ursprungliga handlingen ej skulle vara att anse som allmän.
4. handlingar och databaser som
från en enskild har tillförts en myndighet uteslutande för förvaring och vård eller forsknings- och studieändamål eller privata brev, skrifter eller uppgifter som annars har överlämnats till en myndighet uteslutande för ett sådant ändamål.
Det som föreskrivs i första stycket 3 om handling som ingår i bibliotek tillämpas inte på upptagning för automatisk databehandling i sådant register som myndighet har tillgång till enligt avtal med annan myndighet.
13 §
Den som begär att få ta del av allmänna uppgifter skall precisera sin begäran så att det är möjligt att finna den handling där uppgifterna ingår eller utföra den sökning eller sammanställning som annars krävs för att uppgifterna skall kunna tas fram.
12 § 14 §
Allmän handling som får lämnas ut skall på begäran genast eller så snart det är möjligt på stället utan avgift tillhandahållas den, som önskar taga del därav, så att handlingen kan läsas, avlyssnas eller på annat sätt uppfattas. Handling får även skrivas av, avbildas eller tagas i anspråk för ljudöverföring. Kan handling ej tillhandahållas utan att sådan del därav som icke får lämnas ut röjes, skall den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia.
Om någon begär att få ta del av allmänna uppgifter som får lämnas ut, skall myndigheten genast, eller så snart det är möjligt, utan avgift på stället
1. tillhandahålla den handling där
uppgifterna ingår så att den kan läsas, avlyssnas eller uppfattas på annat sätt, eller
2. ta fram de begärda uppgifterna
ur en databas, om det kan ske med användning av de tekniska hjälpmedel som myndigheten har eller annars utan nämnvärda kostnader.
Handlingar och uppgifter som tillhandahålls på stället får även skrivas av, avbildas eller tas i anspråk för ljudöverföring. Kan en handling inte tillhandahållas utan att uppgifter som inte får lämnas ut röjs, skall handlingen i övriga delar göras tillgänglig för sökanden i utskrift eller kopia. Motsvarande gäller om uppgifter ur databaser.
Myndighet är icke skyldig att tillhandahålla handling på stället, om betydande hinder möter. I fråga om upptagning som avses i 3 § första stycket föreligger ej heller sådan skyldighet, om sökanden utan beaktansvärd olägenhet kan taga del av upptagningen hos närbelägen myndighet.
En myndighet är inte skyldig att tillhandahålla en handling på stället eller ta fram uppgifter ur en databas, om det möter betydande hinder.
13 § 15 §
Den som önskar taga del av allmän handling har även rätt att mot fastställd avgift få avskrift eller kopia av handlingen till den del den får lämnas ut. Myndighet är dock ej skyldig att lämna ut upptagning för automatisk databehandling i annan form än utskrift. Ej heller föreligger skyldighet att framställa kopia av karta, ritning, bild eller annan i 3 § första stycket avsedd upptagning än som nyss har angivits, om svårighet möter och handlingen kan tillhandahållas på stället.
Den som begär det har även rätt att mot en fastställd avgift i utskrift, kopia eller elektronisk form få ut en handling eller uppgifter ur en databas, allt till den del uppgifterna får lämnas ut.
Myndigheten är dock inte skyldig att framställa kopior av kartor, ritningar, bilder eller andra liknande handlingar om det möter svårigheter och handlingen kan tillhandahållas på stället.
En myndighet är inte skyldig att tillhandahålla uppgifter i elektronisk form om det finns en särskild bestämmelse i lag eller annan författning som förbjuder detta eller om det möter betydande hinder. Datorprogram behöver aldrig tillhandahållas i elektronisk form.
Begäran att få avskrift eller kopia av allmän handling skall behandlas skyndsamt.
En begäran att få ut en allmän uppgift i någon av de angivna formerna skall behandlas skyndsamt.
14 § 16 §
Begäran att få taga del av allmän handling göres hos myndighet som förvarar handlingen.
En begäran att få ta del av en allmän uppgift skall göras hos den myndighet som har uppgiften i sitt förvar.
Begäran prövas av myndighet som angives i första stycket. Om särskilda skäl föranleda det, får dock i bestämmelse som avses i 2 § andra stycket föreskrivas att prövningen vid tillämpningen av bestämmelsen skall ankomma på annan myndighet. I fråga om handling som är av synnerlig betydelse för rikets säkerhet kan även genom förordning föreskrivas att endast viss myndighet får pröva frågan om utlämnande. I de nu nämnda fallen skall begäran om utlämnande genast hänskjutas till behörig myndighet.
Begäran skall prövas av den myndighet som anges i första stycket. Om det finns särskilda skäl får det dock föreskrivas i en bestämmelse som avses i 3 § andra stycket att prövningen vid tillämpningen av bestämmelsen skall ankomma på en annan myndighet. I fråga om en handling eller en databas som är av synnerlig betydelse för rikets säkerhet kan även genom förordning föreskrivas att endast en viss myndighet får pröva frågan om utlämnande. I de nu nämnda fallen skall en begäran om utlämnande genast hänskjutas till behörig myndighet.
Myndighet får inte på grund av att någon begär att få taga del av allmän handling efterforska vem han är eller vilket syfte han har med sin begäran i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att handlingen lämnas ut.
En myndighet får inte på grund av att någon begär att få ta del av en allmän uppgift efterforska vem han är eller vilket syfte han har med sin begäran i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att uppgiften lämnas ut.
15 § 17 §
Om annan än riksdagen eller regeringen avslår begäran att få taga del av handling eller lämnar ut allmän handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller eljest förfoga över den, får sökanden föra talan mot beslutet. Talan mot beslut av statsråd skall föras hos regeringen och talan mot beslut av annan myndighet hos domstol.
Om någon annan än riksdagen eller regeringen avslår en begäran att få ta del av en allmän uppgift eller lämnar ut den med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, får sökanden föra talan mot beslutet. Detsamma gäller om en begäran att få ut uppgifter i en viss form avslås. Talan mot beslut av statsråd skall föras hos regeringen och talan mot beslut av en annan myndighet hos domstol.
I den i 2 § omnämnda lagen skall närmare angivas hur talan mot beslut som avses i första stycket skall föras. Sådan talan skall alltid prövas skyndsamt.
I den i 3 § omnämnda lagen skall närmare anges hur talan mot beslut som avses i första stycket skall föras. Sådan talan skall alltid prövas skyndsamt.
Angående rätt att föra talan mot beslut av myndighet som lyder under riksdagen är särskilt föreskrivet.
Angående rätt att föra talan mot beslut av en myndighet som lyder under riksdagen är särskilt föreskrivet.
16 § 18 §
Anteckning om hinder att lämna ut allmän handling får göras endast på handling som omfattas av bestämmelse som avses i 2 § andra stycket. Härvid skall tillämplig bestämmelse angivas.
En markering om att det finns hinder att lämna ut en allmän uppgift får göras endast i anslutning till en sådan uppgift i en handling eller databas som omfattas av en bestämmelse som avses i 3 § andra stycket. Härvid skall tillämplig bestämmelse anges.
17 § 19 §
I lag får föreskrivas att regeringen eller beslutande kommunal församling får besluta att allmänna handlingar som hänför sig till myndighets verksamhet, vilken skall övertas av enskilt organ, får överlämnas till det organet för förvaring, om detta behöver handlingarna i verksamheten, utan att handlingarna därigenom upphör att vara allmänna. Ett sådant organ skall i fråga om överlämnade handlingar jämställas med myndighet vid tillämpningen av 12–16 §§.
I lag får föreskrivas att regeringen eller beslutande kommunal församling får besluta att allmänna uppgifter som hänför sig till en myndighets verksamhet, som skall övertas av ett enskilt organ, får överlämnas till det organet för förvaring, om detta behöver uppgifterna i verksamheten, utan att dessa därigenom upphör att vara allmänna. Ett sådant organ skall i fråga om överlämnade uppgifter jämställas med en myndighet vid tillämpningen av 13– 18 §§.
20 §
Grundläggande bestämmelser om bevarande och gallring av allmänna uppgifter och om överlämnande av handlingar och databaser till arkivmyndighet eller annan myndighet finns i lag.
7 kap.
3 §
Om någon lämnar meddelande, som avses i 1 kap. 1 § tredje stycket, eller, utan att svara enligt 8 kap., medverkar till framställning, som är avsedd att införas i tryckt skrift, såsom författare eller annan upphovsman eller såsom utgivare och därigenom gör sig skyldig till
1. högförräderi, spioneri, grovt spioneri, grov obehörig befattning med
hemlig uppgift, uppror, landsförräderi, landssvek eller försök, förberedelse eller stämpling till sådant brott;
2. oriktigt utlämnande av allmän
handling som ej är tillgänglig för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnade, när gärningen är uppsåtlig; eller
2. oriktigt utlämnande av handling
som innehåller allmänna uppgifter som ej är tillgängliga för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnade, när gärningen är uppsåtlig; eller
3. uppsåtligt åsidosättande av tystnadsplikt i de fall som angivas i särskild
lag, gäller om ansvar för sådant brott vad i lag är stadgat.
Om någon anskaffar uppgift eller underrättelse i sådant syfte som avses i 1 kap. 1 § fjärde stycket och därigenom gör sig skyldig till brott som angives i förevarande paragrafs första stycke 1, gäller om ansvar härför vad i lag är stadgat.
Det som sägs i 2 kap. 12 § tredje stycket regeringsformen skall gälla också i fråga om förslag till föreskrifter som avses i första stycket 3.
5 §
Som tryckfrihetsbrott skall anses också sådana gärningar, begångna genom tryckt skrift och straffbara enligt lag, som innebär att någon
1. uppsåtligen offentliggör allmän
handling som ej är tillgänglig för envar, om han fått tillgång till handlingen i allmän tjänst, under utövande av tjänsteplikt eller i därmed jämförbart förhållande;
1. uppsåtligen offentliggör hand-
ling som innehåller allmänna uppgifter som ej är tillgängliga för envar, om han fått tillgång till handlingen i allmän tjänst, under utövande av tjänsteplikt eller i därmed jämförbart förhållande;
2. offentliggör uppgift och därvid uppsåtligen åsidosätter tystnadsplikt
som avses i den i 3 § första stycket angivna särskilda lagen;
3. när riket är i krig eller omedelbar krigsfara offentliggör uppgift om
förhållanden vilkas röjande enligt lag innefattar annat brott mot rikets säkerhet än som anges i 4 §. ___________________
1. Denna lag träder i kraft den 1 januari 1999.
2. Bestämmelsen i 2 kap. 4 § nya lydelsen tillämpas även när myndighetens rätt att söka efter eller sammanställa uppgifter begränsats genom ett beslut som avses i 2 kap. 3 § andra stycket andra meningen äldre lydelsen och som meddelats före ikraftträdandet, dock längst till utgången av september 2001.
c) Förslag till
Lag om ändring i
Regeringsformen
Härigenom föreskrivs att 2 kap. 1 § samt 8 kap.7 och 18 §§regeringsformen skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
1 §
Varje medborgare är gentemot den allmänna tillförsäkrad
1. yttrandefrihet: frihet att i tal, skrift eller bild eller på annat sätt meddela
upplysningar samt uttrycka tankar, åsikter och känslor,
2. informationsfrihet: frihet att inhämta och mottaga upplysningar samt
att i övrigt taga del av andras yttranden,
3. mötesfrihet: frihet att anordna och bevista sammankomst för upplys-
ning, meningsyttring eller annat liknande syfte eller för framförande av konstnärligt verk,
4. demonstrationsfrihet: frihet att anordna och deltaga i demonstration på
allmän plats,
5. föreningsfrihet: frihet att sammansluta sig med andra för allmänna eller
enskilda syften,
6. religionsfrihet: frihet att ensam eller tillsammans med andra utöva sin
religion.
Beträffande tryckfriheten och motsvarande frihet att yttra sig i ljudradio, television och vissa liknande överföringar, filmer, videogram och andra upptagningar av rörliga bilder samt ljudupptagningar gäller vad som är föreskrivet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
I tryckfrihetsförordningen finns också bestämmelser om rätt att taga del av allmänna handlingar.
I tryckfrihetsförordningen finns också bestämmelser om rätt att taga del av allmänna uppgifter.
8 kap.
7 §
Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag genom förordning meddela föreskrifter om annat än skatt, om föreskrifterna avser något av följande ämnen:
1. skydd för liv, personlig säkerhet eller hälsa,
2. utlännings vistelse i riket,
3. in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverk-
ning, kommunikationer, kreditgivning, näringsverksamhet, ransonering, återanvändning och återvinning av material, utformning av byggnader, anläggningar eller tillståndsplikt i fråga om åtgärder med byggnader och anläggningar,
4. jakt, fiske, djurskydd eller natur- och miljövård,
5. trafik eller ordningen på allmän plats,
6. undervisning och utbildning,
7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under
utövande av tjänsteplikt,
8. skydd för personlig integritet vid
registrering av uppgifter med hjälp av automatisk databehandling.
8. skydd för personlig integritet
vid behandling av personuppgifter.
Bemyndigande som avses i första stycket medför ej rätt att meddela föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag, som innehåller bemyndigande med stöd av första stycket, föreskriva även annan rättsverkan än böter för överträdelse av föreskrift som regeringen meddelar med stöd av bemyndigandet.
18 §
För att avge yttrande över lagförslag skall finnas ett lagråd, vari ingår domare i Högsta domstolen och Regeringsrätten. Yttrande från Lagrådet inhämtas av regeringen eller, enligt vad som närmare angives i riksdagsordningen, av riksdagsutskott.
Yttrande av Lagrådet bör inhämtas innan riksdagen beslutar grundlag om tryckfriheten, eller om motsvarande frihet att yttra sig i ljudradio, television och vissa liknande överföringar, filmer, videogram och andra upptagningar av rörliga bilder samt ljudupptagningar, lag om begränsning av rätten att taga del av allmänna handlingar, lag som avses i 2 kap. 3 § andra stycket, 12 § första stycket, 17–19 §§ eller 22 § andra stycket eller lag som ändrar eller upphäver sådan lag, lag om kommunal beskattning, lag som avses i 2 eller 3 § eller lag som avses i 11 kap., om lagen är viktig för enskilda eller från allmän synpunkt. Vad nu har sagts gäller dock icke, om Lagrådets hörande skulle sakna betydelse på grund av frågans beskaffenhet eller skulle fördröja lagstiftningsfrågans behandling så att avsevärt men skulle uppkomma. Föreslår regeringen riksdagen att stifta lag i något av de ämnen som avses i första meningen och har Lagrådets yttrande dessförinnan inte inhämtats, skall regeringen samtidigt för riksdagen redovisa skälen härtill. Att Lagrådet icke har hörts över ett lagförslag utgör aldrig hinder mot lagens til??lämpning.
Yttrande av Lagrådet bör inhämtas innan riksdagen beslutar grundlag om tryckfriheten, eller om motsvarande frihet att yttra sig i ljudradio, television och vissa liknande överföringar, filmer, videogram och andra upptagningar av rörliga bilder samt ljudupptagningar, lag om begränsning av rätten att taga del av allmänna uppgifter, lag som avses i 2 kap. 3 § andra stycket, 12 § första stycket, 17–19 §§ eller 22 § andra stycket eller lag som ändrar eller upphäver sådan lag, lag om kommunal beskattning, lag som avses i 2 eller
3 § eller lag som avses i 11 kap., om lagen är viktig för enskilda eller från allmän synpunkt. Vad nu har sagts gäller dock icke, om Lagrådets hörande skulle sakna betydelse på grund av frågans beskaffenhet eller skulle fördröja lagstiftningsfrågans behandling så att avsevärt men skulle uppkomma. Föreslår regeringen riksdagen att stifta lag i något av de ämnen som avses i första meningen och har Lagrådets yttrande dessförinnan inte inhämtats, skall regeringen samtidigt för riksdagen redovisa skälen härtill. Att Lagrådet icke har hörts över ett lagförslag utgör aldrig hinder mot lagens tillämpning.
Lagrådets granskning skall avse
1. hur förslaget förhåller sig till grundlagarna och rättsordningen i övrigt,
2. hur förslagets föreskrifter förhåller sig till varandra,
3. hur förslaget förhåller sig till rättssäkerhetens krav,
4. om förslaget är så utformat att lagen kan antagas tillgodose angivna
syften,
5. vilka problem som kan uppstå vid tillämpningen.
Närmare bestämmelser om lagrådets sammansättning och tjänstgöring meddelas i lag. ___________________
Denna lag träder i kraft den 1 januari 1999.
d) Förslag till
Lag om ändring i
( 1991:1469 )
Härigenom föreskrivs att 5 kap. 3 § yttrandefrihetsgrundlagen skall ha följande lydelse.
5 kap.
3 §
Om någon lämnar ett meddelande, som avses i 1 kap. 2 §, eller, utan att svara enligt 6 kap., medverkar till en framställning som är avsedd att offentliggöras i ett radioprogram, en film eller en ljudupptagning, som författare eller annan upphovsman eller genom att framträda i radioprogrammet och därigenom gör sig skyldig till
1. högförräderi, spioneri, grovt spioneri, grov obehörig befattning med
hemlig uppgift, uppror, landsförräderi, landssvek eller försök, förberedelse eller stämpling till sådant brott;
2. oriktigt utlämnande av allmän
handling som ej är tillgänglig för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnande, när gärningen är uppsåtlig; eller
2. oriktigt utlämnande av handling
som innehåller allmänna uppgifter som ej är tillgängliga för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnande, när gärningen är uppsåtlig; eller
3. uppsåtligt åsidosättande av tystnadsplikt i de fall som anges i särskild
lag, gäller vad som föreskrivs i lag om ansvar för sådant brott.
Om någon anskaffar en uppgift eller underrättelse i sådant syfte som avses i 1 kap. 2 § och därigenom gör sig skyldig till brott som anges i första stycket 1, gäller vad som föreskrivs i lag om ansvar för brottet.
Det som sägs i 2 kap. 12 § tredje stycket regeringsformen om särskilt lagstiftningsförfarande skall gälla också i fråga om förslag till föreskrifter som avses i första stycket 3. ___________________
Denna lag träder i kraft den 1 januari 1999.
e) Förslag till
Lag om ändring i
Härigenom föreskrivs i fråga om sekretesslagen (1980:100)
dels att 15 kap. 13 § skall upphöra att gälla,
dels att i 2 kap. 1 och 2 §§, 3 kap. 1 §, 5 kap. 1 §, 6 kap. 1–7 §§, 7 kap. 1 §,
4 §, 6–15 §§ och 19–36 §§, 8 kap. 1–3 §§, 5–19 §§, 21 §, 23 § och 24 § samt 9 kap. 1–5 §§, 8 §, 10–17 §§ och 19–24 §§ orden ”uppgift i allmän handling” skall bytas ut mot ”allmän uppgift”,
dels att 1 kap. 1 § och 8–10 §§, 2 kap. 3 §, 5 kap. 2 §, 7 kap. 16 §, 9 kap.
6 §, 15 kap. 1–4 §§ och 6–12 §§, rubriken till 15 kap. samt rubrikerna närmast före 15 kap. 1 och 9 §§ skall ha följande lydelse,
dels att det i lagen skall införas närmast före 15 kap. 3 §, 4 §, 6 §, 7 §, 11 §
och 12 § nya rubriker av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
1 §
Denna lag innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. I sistnämnda hänseende innefattar bestämmelserna begränsning i den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar.
Denna lag innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna uppgifter. I sistnämnda hänseende innefattar bestämmelserna begränsning i den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna uppgifter.
Bestämmelserna avser förbud att röja uppgift, vare sig det sker muntligen eller genom att allmän handling lämnas ut eller det sker på annat sätt (sekretess).
Bestämmelserna avser förbud att röja en uppgift, vare sig det sker muntligen eller på annat sätt (sekretess).
Lagen innehåller även andra föreskrifter om allmänna handlingar.
Lagen innehåller även andra föreskrifter om allmänna uppgifter.
I denna lag finns också bestämmelser om begränsning av den rätt att lämna meddelande för offentliggörande i tryckt skrift eller därmed jämställd skrift eller i radioprogram, film, ljudupptagningar eller därmed jämställt medium varom grundläggande bestämmelser ges i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
8 §
Vid tillämpningen av denna lag skall med myndighet jämställas riksdagen, kyrkomötet och beslutande kommunal församling.
Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos en myndighet skall i tillämpliga delar gälla också handlingar hos de organ som anges i bilagan till denna lag, i den mån handlingarna hör till den verksamhet som nämns där. De i bilagan angivna organen skall vid tillämpningen av denna lag jämställas med myndighet. Detsamma gäller ett enskilt organ som med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring förvarar sådana handlingar såvitt avser befattningen med dessa handlingar.
Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna uppgifter hos en myndighet skall i tillämpliga delar gälla också uppgifter hos de organ som anges i bilagan till denna lag, i den mån uppgifterna hör till den verksamhet som nämns där. De i bilagan angivna organen skall vid til??lämpningen av denna lag jämställas med myndighet. Detsamma gäller ett enskilt organ som med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring har sådana uppgifter i sitt förvar såvitt avser befattningen med dessa uppgifter.
9 §
Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos myndighet skall i tillämpliga delar också gälla handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser skall vid tillämpningen av denna lag jämställas med myndighet.
Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna uppgifter hos myndighet skall i tillämpliga delar också gälla uppgifter hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser skall vid tillämpningen av denna lag jämställas med myndighet.
Kommuner och landsting skall anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans
1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med
mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen,
2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för
ett aktiebolag, en ekonomisk förening eller en stiftelse,
3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag. Vid
tillämpningen av 1–3 skall inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
Första stycket gäller också beträffande handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting har utövat ett rättsligt inflytande.
Första stycket gäller också beträffande uppgifter som efter medgivande av en kommun eller ett landsting för viss bestämd tid finns i förvar hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting har utövat ett rättsligt inflytande.
Vad som sägs om kommuner och landsting i första–tredje styckena til??lämpas också på kommunförbund.
10 §
Har i denna lag föreskrivits att sekretessen i fråga om uppgift i allmän handling är begränsad till viss tid, räknas tiden från handlingens tillkomst, om inte annat anges. I fråga om diarium, journal samt sådant register eller annan förteckning som förs fortlöpande räknas tiden från det uppgiften fördes in i handlingen.
Har i denna lag föreskrivits att sekretessen i fråga om allmän uppgift är begränsad till viss tid, räknas tiden från tillkomsten av den handling i vilken uppgiften finns, om inte annat anges. I fråga om allmän uppgift i en databas räknas tiden från det uppgiften fördes in i databasen.
2 kap.
3 §
Av 2 kap. 14 § andra stycket tryckfrihetsförordningen framgår att det genom förordning kan föreskrivas, att endast viss myndighet får pröva fråga om utlämnande till enskild av allmän handling som är av synnerlig betydelse för rikets säkerhet.
Av 2 kap. 16 § andra stycket tryckfrihetsförordningen framgår att det genom förordning kan föreskrivas, att endast viss myndighet får pröva fråga om utlämnande till enskild av allmän uppgift som är av synnerlig betydelse för rikets säkerhet.
5 kap.
2 §
Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd med avseende på
1. byggnader eller andra anläggningar, lokaler eller inventarier,
2. tillverkning, förvaring, utlämning eller transport av pengar eller andra
värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktivt avfall,
3. telekommunikation, 4. behörighet att få tillgång till upptagning för automatisk databehandling eller annan handling,
4. behörighet att få tillgång till
handlingar eller databaser,
om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.
7 kap.
16 §
Sekretess gäller för personuppgift i personregister som avses i datalagen (1973:289), om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen.
Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med persondatalagen (1998:000).
Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlandet och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgiften skall användas för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter.
9 kap.
6 §
Sekretess gäller hos datainspektionen i ärende om tillstånd eller tillsyn, som enligt lag ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till regeringen eller justitiekanslern, gäller sekretessen också där.
Sekretess gäller hos Datainspektionen i ärende om tillstånd eller tillsyn, som enligt lag eller annan författning ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till
Justitiekanslern, gäller sekretessen också där.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.
I fråga om allmän uppgift gäller sekretessen i högst sjuttio år.
15 kap.
Bestämmelser om registrering och utlämnande av allmänna
handlingar m.m.
Bestämmelser om registrering och utlämnande av allmänna
uppgifter m.m.
Allmänna bestämmelser Registrering av handlingar med allmänna uppgifter
1 §
När allmän handling har kommit in till eller upprättats hos myndighet skall handlingen registreras utan dröjsmål, om det inte är uppenbart att den är av ringa betydelse för myndighetens verksamhet. I fråga om allmänna handlingar, för vilka sekretess inte gäller, får dock registrering underlåtas om handlingarna hålls så ordnade att det utan svårighet kan fastställas om handling har kommit in eller upprättats.
När en handling med allmänna uppgifter har kommit in till eller upprättats hos en myndighet skall handlingen registreras utan dröjsmål, om det inte är uppenbart att den är av ringa betydelse för myndighetens verksamhet. I fråga om handlingar med allmänna uppgifter, för vilka sekretess inte gäller, får dock registrering underlåtas om handlingarna hålls så ordnade att det utan svårighet kan fastställas om handling har kommit in eller upprättats.
Om särskilda skäl föreligger får regeringen föreskriva undantag från registreringsskyldighet enligt första stycket i fråga om handlingar av visst slag som hos myndighet förekommer i betydande omfattning.
I 13 § finns bestämmelser om undantag från registreringsskyldigheten i fråga om vissa upptagningar för automatisk databehandling.
2 §
Beträffande handling som registrerats enligt 1 § skall av registret framgå
1. datum, då handlingen kom in eller upprättades,
2. diarienummer eller annan beteckning som har åsatts handlingen,
3. i förekommande fall från vem handlingen har kommit in eller till vem
den har expedierats,
4. i korthet vad handlingen rör.
Vid registrering skall dock uppgift enligt första stycket 3 eller 4 utelämnas eller särskiljas om det behövs för att registret i övriga delar skall kunna företes för allmänheten.
Vid registrering skall dock uppgift enligt första stycket 3 eller 4 utelämnas eller särskiljas om det behövs för att registret i övriga delar skall kunna visas för allmänheten.
Regeringen får beträffande visst register föreskriva att föreskriften i andra stycket inte skall tillämpas, om denna annars skulle omfatta flertalet i registret upptagna handlingar.
Hemligstämpling
3 §
Kan det antas att hinder mot utlämnande av uppgift i allmän handling föreligger enligt sekretessbestämmelse i denna lag eller annan författning, får myndighet utmärka detta genom särskild anteckning. Sådan anteckning skall innehålla beteckningen hemlig samt ange tillämplig bestämmelse, dagen för anteckningen och den myndighet, som har låtit göra den.
Kan det antas att hinder mot utlämnande av allmän uppgift föreligger enligt någon sekretessbestämmelse i denna lag eller annan författning, får myndigheten markera detta särskilt. En sådan markering skall innehålla beteckningen hemlig samt ange tillämplig bestämmelse, dagen för markeringen och den myndighet, som har låtit göra den.
Har genom förordning meddelats föreskrift att fråga om utlämnande till enskild av allmän handling, som är av synnerlig betydelse för rikets säkerhet, får prövas endast av viss myndighet, skall handling som avses med sådan föreskrift så snart det kan ske förses med anteckning enligt första stycket. Anteckningen skall innehålla uppgift om vilken myndighet som är behörig att pröva fråga om utlämnande.
Har genom förordning meddelats föreskrift att fråga om utlämnande till enskild av allmän uppgift, som är av synnerlig betydelse för rikets säkerhet, får prövas endast av en viss myndighet, skall handling eller databas som innehåller sådana uppgifter så snart det kan ske förses med markering enligt första stycket. Markeringen skall innehålla uppgift om vilken myndighet som är behörig att pröva frågan om utlämnande.
Myndigheternas serviceskyldighet
4 §
Myndighet skall på begäran av enskild lämna uppgift ur allmän handling som förvaras hos myndigheten i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.
En myndighet skall, utöver vad som följer av 2 kap. 14 och 15 §§ tryckfrihetsförordningen, på begäran av enskild lämna allmänna uppgifter ur handlingar och databaser hos myndigheten i den mån hinder inte möter på grund av någon sekretessbestämmelse eller av hänsyn till arbetets behöriga gång.
Bestämmelser om tillhandahållande av allmän handling finns i 2 kap. 12 §tryckfrihetsförordningen.
Om en enskild begär att få allmänna uppgifter i elektronisk form skall myndigheten lämna de upplysningar och den hjälp som den enskilde behöver, under förutsättning att det kan ske utan olägenhet.
En myndighet som med tekniska hjälpmedel kan tillhandahålla allmänna uppgifter som finns i en annan myndighets förvar skall hjälpa den enskilde att ta del av dessa uppgifter. Detta gäller inte om uppgifterna är tillgängliga för allmänheten via allmänt nät eller liknande, eller om det skulle orsaka myndigheten påtagliga olägenheter att tillgodose en sådan begäran.
5 §
Myndighet skall på begäran av annan myndighet lämna uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.
Prövning av begäran om utlämnande
6 §
Av 2 kap. 14 § andra stycket tryckfrihetsförordningen framgår att fråga om utlämnande av allmän handling till enskild prövas av den myndighet som förvarar handlingen, om det inte är föreskrivet att prövningen skall ankomma på annan myndighet.
Av 2 kap. 16 § andra stycket tryckfrihetsförordningen framgår att fråga om utlämnande av allmän uppgift till enskild prövas av den myndighet som har uppgiften i sitt förvar, om det inte är föreskrivet att prövningen skall ankomma på annan myndighet.
Svarar viss befattningshavare vid myndighet enligt arbetsordning eller särskilt beslut för vården av handling, ankommer det på honom att i första hand pröva fråga om handlingens utlämnande till enskild. I tveksamma fall skall han hänskjuta frågan till myndigheten, om det kan ske utan omgång. Vägrar han att lämna ut handling eller lämnar han ut handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, skall han, om sökanden begär det, hänskjuta frågan till myndigheten. Sökanden skall underrättas om att han kan begära detta och att beslut av myndigheten krävs för att ett avgörande skall kunna överklagas.
Svarar viss befattningshavare vid myndighet enligt arbetsordning eller särskilt beslut för vården av handling eller databas där uppgiften finns, ankommer det på honom att i första hand pröva fråga om uppgiftens utlämnande till enskild. I tveksamma fall skall han hänskjuta frågan till myndigheten, om det kan ske utan omgång. Vägrar han att lämna ut en uppgift eller lämnar han ut en uppgift med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, skall han, om sökanden begär det, hänskjuta frågan till myndigheten. Sökanden skall underrättas om att han kan begära detta och att beslut av myndigheten krävs för att ett avgörande skall kunna överklagas.
Överklagande
7 §
Beslut varigenom myndighet har avslagit enskilds begäran att få ta del av handling eller lämnat ut allmän handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, får överklagas av sökanden. Om inte annat följer av andra–fjärde styckena, överklagas beslutet hos kammarrätten eller, såvitt gäller kammarrätts beslut i där väckt ärende, hos Regeringsrätten. Har beslutet meddelats av organ som avses i 1 kap. 8 § andra stycket eller 9 § tillämpas bestämmelserna i 23–25 §§ och 30 § första meningen förvaltningslagen (1986:223) om överklagande.
Beslut som avses i 2 kap. 17 § tryckfrihetsförordningen överklagas, om inte annat följer av andra– fjärde styckena, hos kammarrätten eller, såvitt gäller kammarrätts beslut i där väckt ärende, hos Regeringsrätten. Har beslutet meddelats av organ som avses i 1 kap. 8 § andra stycket eller 9 § tillämpas bestämmelserna i 23–25 §§ och 30 § första meningen förvaltningslagen (1986:223) om överklagande.
Har beslut som avses i första stycket meddelats av tingsrätt och rör det handling i domstols rättskipande eller rättsvårdande verksamhet, överklagas det hos hovrätten. Motsvarande beslut av hovrätt i där väckt eller dit överklagat ärende överklagas hos Högsta domstolen. Vid överklagande av tingsrätts eller hovrätts beslut til??lämpas i övrigt bestämmelserna i rättegångsbalken om överklagande av beslut.
Har beslut som avses i första stycket meddelats av tingsrätt och rör det uppgift i domstols rättskipande eller rättsvårdande verksamhet, överklagas det hos hovrätten. Motsvarande beslut av hovrätt i där väckt eller dit överklagat ärende överklagas hos Högsta domstolen. Vid överklagande av tingsrätts eller hovrätts beslut tillämpas i övrigt bestämmelserna i rättegångsbalken om överklagande av beslut.
Första och andra styckena gäller inte för beslut av riksdagen, regeringen, Högsta domstolen eller Regeringsrätten.
Att beslut av statsråd skall överklagas hos regeringen föreskrivs i 2 kap. 15 §tryckfrihetsförordningen.
Att beslut av statsråd skall överklagas hos regeringen föreskrivs i 2 kap. 17 §tryckfrihetsförordningen.
Angående rätt att överklaga beslut av myndighet som lyder under riksdagen är särskilt föreskrivet.
8 §
Beslut varigenom myndighet har avslagit annan myndighets begäran att få ta del av handling eller på annat sätt få del av uppgift får överklagas i samma ordning som gäller i fråga om överklagande enligt 7 §. Överklagandet görs hos regeringen, om beslutet har meddelats av en statlig myndighet och överklagas av en annan statlig myndighet.
Beslut varigenom myndighet har avslagit en annan myndighets begäran att få ta del av uppgift får överklagas i samma ordning som gäller i fråga om överklagande enligt 7 §. Överklagandet görs hos regeringen, om beslutet har meddelats av en statlig myndighet och överklagas av en annan statlig myndighet.
Första stycket gäller inte för beslut av riksdagen, regeringen, Högsta domstolen eller Regeringsrätten.
Har i lag eller förordning meddelats bestämmelse som avviker från föreskrifterna i första stycket, gäller den bestämmelsen.
I fråga om beslut som har meddelats av myndighet som lyder under riksdagen är särskilt föreskrivet.
Särskilda bestämmelser om upptagningar för automatisk databehandling
En god offentlighetsstruktur
9 §
Myndighet som i sin verksamhet använder automatisk databehandling skall ordna denna med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar. Därvid skall myndigheten särskilt beakta
När en myndighet använder automatisk databehandling i sin verksamhet skall det ske med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna uppgifter. Därvid skall myndigheten särskilt beakta
1. att allmänna handlingar bör
hållas åtskilda från andra handlingar,
1. att allmänna uppgifter bör hållas
åtskilda från andra uppgifter,
2. att skyddet av sekretessbelagda
uppgifter i upptagningar som är allmänna handlingar bör vara sådant att insynen enligt tryckfrihetsförordningen inte försvåras,
2. att skyddet av allmänna uppgif-
ter som är sekretessbelagda bör vara sådant att insynen enligt tryckfrihetsförordningen inte försvåras,
3. att uppgifter i upptagningar som
är allmänna handlingar inte bör innehålla förkortningar, koder och liknande som kan försvåra för den enskilde att ta del av handlingen,
3. att allmänna uppgifter bör pre-
senteras i klartext,
4. att det bör framgå när uppgifter
tillförts en upptagning som är allmän handling och, om de ändrats eller gallrats, vid vilken tidpunkt detta skett.
4. att det bör framgå när allmänna
uppgifter har tillförts en databas och, om de har ändrats eller gallrats, vid vilken tidpunkt detta skett.
Myndigheten skall vidare ordna databehandlingen med beaktande av det intresse som enskilda kan ha att själva utnyttja terminal eller annat tekniskt hjälpmedel hos myndigheten för att ta del av allmänna handlingar.
Myndigheten skall vidare ordna databehandlingen med beaktande av det intresse som enskilda kan ha att själva utnyttja tekniska hjälpmedel för att ta del av allmänna uppgifter.
10 §
Myndighet skall på begäran bereda enskild tillfälle att själv använda terminal eller annat tekniskt hjälpmedel som myndigheten förfogar över för att ta del av upptagning för automatisk databehandling. Sådan skyldighet föreligger dock inte, om sökanden därigenom får tillgång till upptagning som inte anses som allmän handling hos myndigheten eller om hinder möter på grund av bestämmelse om sekretess, på grund av fara för förvanskning eller förstöring eller av hänsyn till arbetets behöriga gång.
Myndighet skall på begäran bereda enskild tillfälle att själv använda tekniska hjälpmedel som myndigheten förfogar över för att ta del av allmänna uppgifter. Myndigheten skall därvid lämna nödvändiga upplysningar om användningen. Sådan skyldighet föreligger dock inte, om sökanden därigenom får tillgång till uppgifter som inte är allmänna hos myndigheten eller om hinder möter på grund av bestämmelse om sekretess, på grund av fara för förvanskning eller förstöring eller av hänsyn till arbetets behöriga gång.
I fråga om beslut, varigenom myndighet har avslagit enskilds begäran enligt första stycket, tillämpas vad som är föreskrivet om överklagande av beslut som avses i 7 § första stycket.
Dokumentationsskyldighet
11 §
Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av de register, förteckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling (ADB-register). Sådan skyldighet föreligger dock inte i fråga om ADB-register som inte till någon del anses som allmän handling hos myndigheten. Myndigheten är inte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar hos myndigheten.
Om en myndighet för handläggningen av ett mål eller ärende använder en uppgift i en databas skall uppgiften på lämpligt sätt tillföras målet eller ärendet.
Beskrivning som avses i första stycket skall ge upplysning om
1. ADB-registrets benämning,
2. ADB-registrets ändamål,
3. vilka typer av uppgifter i ADB-
registret som myndigheten har tillgång till och på vilket sätt dessa uppgifter normalt inhämtas,
4. hos vilka andra myndigheter
ADB-registret är tillgängligt för överföring till läsbar form,
5. vilka terminaler eller andra
tekniska hjälpmedel som enskild själv kan få utnyttja hos myndigheten,
6. vilka bestämmelser om sekre-
tess som myndigheten vanligen skall tillämpa på uppgifter i ADB-registret,
7. vem som hos myndigheten kan
lämna närmare upplysningar om ADB-registret och dess användning i myndighetens verksamhet,
8. rätt till försäljning av person-
uppgifter i personregister som avses i datalagen (1973:289) .
I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om det behövs för att beskrivningen i övriga delar skall kunna företes för allmänheten.
Systemdokumentation
12 §
Myndighet skall på begäran av enskild lämna de särskilda upplysningar som den enskilde behöver för att kunna ta del av upptagningar för automatisk databehandling som anses som allmänna handlingar hos myndigheten. Sådan skyldighet föreligger dock inte i den mån hinder möter av hänsyn till arbetets behöriga gång.
En myndighet som i sin myndighetsutövning använder tekniska hjälpmedel för att fatta automatiserade beslut skall hålla systemdokumentation tillgänglig för allmänheten. Av dokumentationen skall framgå
1. ändamålet med systemet,
2. vilka uppgifter som används i
systemet,
3. varifrån och hur de uppgifter
som används i systemet hämtas,
4. hur aktuella rättsregler har om-
vandlats till logiska regler i systemet,
5. vem som hos myndigheten kan
lämna närmare upplysningar om hur systemet fungerar.
Dokumentationen får dock inte innehålla upplysningar som kan leda till att sekretessbelagda uppgifter om systemet röjs.
13 §
Om upptagning för automatisk databehandling förs in i ett ADB-register som är tillgängligt för flera myndigheter för överföring i läsbar form, är endast den myndighet som gör införingen registreringsskyldig enligt 1 §. ___________________
1. Denna lag träder i kraft den 1 januari 1999.
2. Beträffande uppgift i ärende som avgjorts genom beslut av Datainspektionen före den 1 januari 1999 gäller dock fortfarande 9 kap. 6 § i den äldre lydelsen.
f) Förslag till
Lag om ändring i
Härigenom föreskrivs att 1, 3, 5, 6, 10, 12, och 15 §§arkivlagen (1990:782) skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §
I denna lag ges bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna.
Bestämmelserna i 3–6 och 10 §§ skall tillämpas också på statliga, kommunala och kyrkokommunala beslutande församlingar.
Bestämmelserna i 3–6 samt 9 och 10 §§ skall i tillämpliga delar gälla också sådana enskilda organ hos vilka allmänna handlingar förvaras med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring.
Bestämmelserna i 3–6 samt 9 och 10 §§ skall i tillämpliga delar gälla också sådana enskilda organ som har allmänna uppgifter i sitt förvar med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring.
3 §
En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, skall dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen.
En myndighets arkiv bildas av de handlingar och databaser med allmänna uppgifter som finns i myndighetens förvar.
Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser
1. rätten att ta del av allmänna
handlingar,
1. rätten att ta del av allmänna
uppgifter,
2. behovet av information för rättskipningen och förvaltningen, och
3. forskningens behov.
5 §
Som grund för arkivvården skall myndigheterna
1. vid registreringen av allmänna
handlingar ta vederbörlig hänsyn till dess betydelse för en ändamålsenlig arkivvård, och
1. vid registreringen av handlingar
med allmänna uppgifter ta vederbörlig hänsyn till dess betydelse för en ändamålsenlig arkivvård, och
2. vid framställningen av handlingar använda materiel och metoder som är lämpliga med hänsyn till behovet av arkivbeständighet.
2. vid framställningen av hand-
lingar och databaser använda materiel och metoder som är lämpliga med hänsyn till behovet av arkivbeständighet.
6 §
I arkivvården ingår att myndigheten skall
1. organisera arkivet på ett sådant
sätt att rätten att ta del av allmänna handlingar underlättas,
1. organisera arkivet på ett sådant
sätt att rätten att ta del av allmänna uppgifter underlättas,
2. upprätta dels en arkivbeskriv-
ning som ger information om vilka slag av handlingar som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning,
2. upprätta dels en arkivbeskriv-
ning som ger information om vilka slag av handlingar och databaser som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning,
3. skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst,
4. avgränsa arkivet genom att fast-
ställa vilka handlingar som skall vara arkivhandlingar, och
4. avgränsa arkivet genom att fast-
ställa vilka uppgifter enligt 2 kap. 10 § tryckfrihetsförordningen som skall höra till arkivet, och
5. verkställa föreskriven gallring i arkivet.
10 §
Allmänna handlingar får gallras. Allmänna uppgifter får gallras.
Vid gallring skall dock alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår skall kunna tillgodose de ändamål som anges i 3 § tredje stycket.
Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser, dock med undantag för bestämmelserna i 12 § datalagen (1973:289).
Om det finns avvikande bestämmelser om gallring av vissa allmänna uppgifter i annan lag eller i förordning gäller dessa bestämmelser.
12 §
Utöver vad som följer av bestämmelserna i 9, 10 och 11 §§ får en statlig myndighet avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av
Utöver vad som följer av bestämmelserna i 9, 10 och 11 §§ får en statlig myndighet avhända sig handlingar och databaser med allmänna uppgifter endast genom sådant återlämnande eller överlämnande som sker med stöd av
1. lag eller föreskrift som meddelas av regeringen eller den myndighet som
regeringen bestämmer, eller
2. särskilt beslut av regeringen.
Första stycket gäller inte handlingar som en myndighet har fått som lån.
15 §
Utöver vad som följer av bestämmelserna i 9, 10 och 14 §§ får en kommunal myndighet avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av
Utöver vad som följer av bestämmelserna i 9, 10 och 14 §§ får en kommunal myndighet avhända sig handlingar och databaser med allmänna uppgifter endast genom sådant återlämnande eller överlämnande som sker med stöd av
1. lag, eller
2. särskilt beslut av kommunfullmäktige eller landstingsfullmäktige.
Första stycket gäller inte handlingar som en myndighet har fått som lån. ___________________
Denna lag träder i kraft den 1 januari 1999.
UTREDNINGSARBETET
Utrednin
gs
uppdraget
Regeringen beslöt den 15 juni 1995 direktiv för utredningen (dir. 1995:91). Direktiven finns fogade till detta betänkande som bilaga 1. Dessutom har vi, liksom alla andra kommittéer, att beakta direktiven den 10 juni 1996 från regeringen om att redovisa konsekvenser för brottsligheten och det brottsförebyggande arbetet (dir. 1996:49).
Sammanfattningsvis kan sägas att vi har haft två huvuduppgifter: N Göra en total revision av datalagen och analysera på vilket sätt EG-di-
rektivet om personuppgifter skall införlivas i svensk rätt. N Anpassa grundlagsreglerna om allmänna handlingars offentlighet till
den nya tekniken.
Vi har också, enligt direktiven, haft stor frihet att ta upp de ytterligare frågor som behöver övervägas inom ramen för uppdraget.
Hur utredningen har bedrivits
Utredningstiden har varit knapp. Kommittén i sin helhet har haft sammanträde ungefär en gång per månad. Dessutom har en s.k. redaktionskommitté, bestående av ordföranden och experterna, haft sammanträde ungefär en gång per månad. Kommittéledamöterna har vidare haft ett internatsammanträde under två dagar.
Regeringen har enligt beslut vid sitt sammanträde torsdagen den 7 mars 19961 till oss lämnat över en skrivelse från Landstingsförbundet om en översyn av 23 § datalagen.
För att hämta in synpunkter från aktörer på arbetsmarknaden har vi haft en s.k. hearing till vilken inbjudits representanter för Arbetsgivarverket, Landsorganisationen i Sverige, Landstingsförbundet, SACO, Sveriges akademikers centralorganisation, Svenska Arbetsgivareföreningen, Svenska Kommunförbundet och Tjänstemännens centralorganisation.
Kommittén har varit representerad, genom ordförande eller sekreterare, vid olika konferenser och seminarier av intresse för utredningsuppdraget. Som exempel kan nämnas konferenser eller liknande ordnade av N Förvaltningspolitiska kommissionen (Fi 1995:13), N IT-kommissionen (SB 1995:01), N Folkomröstningsutredningen (Ju 1996:01), N Kommunikationsforskningsberedningen, N Europarådet, N Europeiska kommissionen, N Svenska föreningen för ADB och juridik, N Riksarkivet, N Astra, N Datainspektionen, N Statskontoret, N Institutet för rättsinformatik vid universitetet i Hannover, Tyskland, N Det nordiska juristmötet, N Europeiska Rättsakademien i Trier, N Telia Infomedia och N Centre de Recherches Informatique et Droit (CRID) vid universitetet i
Namur, Belgien.
Ordföranden och sekreterarna har deltagit i ett seminarium i Norge med representanter för de utredningar i Norden som har till uppdrag att lämna förslag till hur EG-direktivet om personuppgifter skall genomföras.
En av sekreterarna har deltagit i ett internationellt akademiskt seminarium om genomförandet av EG-direktivet arrangerat av Institutet för rättsinformatik vid universitet i Hannover.
1 Dnr Ju 95/4244.
Sekreterarna har haft ett möte angående bl.a. tolkningen av EG-direktivet med dr Ulf Brühann, Chef de l’Unité Libre circulation de l’information, protection des données et les aspects internationaux s’y référant vid generaldirektorat XV vid Europeiska gemenskapernas kommission.
Sekreterarna har därutöver haft olika kontakter med personer som medverkat vid andra länders genomförande av EG-direktivet, bl.a. kontakter med N professorn Jos Dumortier, Interdisciplinary Centre for Law & IT vid det
katolska universitetet i Leuven, Belgien, som för den belgiska regeringen har utarbetat ett förslag till genomförande av EG-direktivet, och dennes assistent, N olika representanter i den finländska kommissionen för att genomföra
direktivet, bl.a. professorn Ahti Saarenpää, universitetet i Lappland, och dataskyddsombudsmannen Jorma Kuopus, N direktøren Henrik Waaben, Registertilsynet i Danmark, och professorn
Peter Blume, Københavns universitet samt N Frau Valtraut Kotschy, Bundeskanzleramt i Österrike.
Vi har vidare under utredningsarbetets gång haft kontakter med bl.a. N Socialvetenskapliga forskningsrådet och dess etiska kommitté, N Humanistisk-samhällsvetenskapliga forskningsrådet och dess etiska
kommitté, N Nämnden för forskningsetik inom den medicinska forskningen, N Justitiekanslern, N Patent- och registreringsverket, N Socialstyrelsen, N Datatilsynet i Norge, N Commission de la protection de la vie privée i Belgien, N Föreningen Svenska Marknadsinformationsföretag och N USA:s ambassad i Stockholm.
Vi har vidare haft samråd och andra kontakter – ofta på sekretariatsnivå – med flera statliga utredningar, bl.a. N IT-kommissionen (SB 1995:01), N Ungdomens IT-råd (SB 1995:02), N IT-utredningen (Ju 1994:05), N Mediekommittén (Ju 1994:13), N Registerutredningen (Ju 1995:01), N Katalogutredningen (K 1995:06), N Utredningen om register för forskning inom rättspsykiatrin (S 1995:07),
N Utredningen om fastighetsdatasystemets författningsreglering
(Ju 1995:09), N Penningtvättutredningen (Fi 1995:18), N Pliktregisterutredningen (Fö 1996:03), N utredningen Kulturnät Sverige (Ku 1995:03), N Skatteflyktskommittén (Fi 1995:04), N Förvaltningspolitiska kommissionen (Fi 1995:13), N Utredningen om trossamfundens rättsliga reglering (C 1995:11), N Grunddatabasutredningen (Fi 1996:06) och N Utredningen för översyn av inkomstbegreppet inom bidrags- och social-
försäkringssystemen (S 1996:06).
Kommittén har spritt kunskap om utredningsuppdraget och sin verksamhet genom en s.k. hemsida på Internet.
Jur.kand. Per Hammarstedt har kontrollerat de hänvisningar betänkandet innehåller.
Dispositionen av betänkandet
Inledning
Utredningsuppdraget har innefattat två huvuduppgifter, dels göra en total översyn av 1973 års datalag och lämna förslag till hur EG-direktivet om personuppgifter kan införlivas i svensk rätt, dels anpassa grundlagsreglerna om offentlighetsprincipen till den nya tekniken.
Redovisningen av de båda huvuduppgifterna sker i två skilda delar i betänkandet. Den första delen kallas E
N NY PERSONDATALAG
och den andra
kallas
OFFENTLIGHETSPRINCIPEN I IT-SAMHÄLLET. Avsnitten i de båda delarna har
en löpande numrering. Därutöver finns avsnitt som är gemensamma för de två delarna och som inte har numrerats. Det gäller förteckningen över använda förkortningar, sammanfattningen, författningsförslagen och detta inledande avsnitt om utredningsarbetet och dispositionen av betänkandet samt de avslutande avsnitten med konsekvensredovisning och författningskommentarer. I bilaga 6 finns en gemensam litteraturförteckning och i bilaga 1 finns, som nämnts, våra utredningsdirektiv. Bilaga 7 innehåller en gemensam sammanfattning på engelska.
Sist i betänkandet – men före bilagorna – kommer de reservationer och särskilda yttranden som har avgetts.
Till varje avsnitt med överväganden – och till vissa underavsnitt – finns en ruta som innehåller en kort sammanfattning.
E N NY PERSONDATALAG
Denna del av betänkandet inleds med en kortfattad redovisning av gällande rätt i huvuddrag, dvs. en beskrivning av den föråldrade datalagen från år 1973 (avsnitt 1). Därefter följer en redovisning av tidigare försök att revidera datalagen i form av de förslag som fördes fram år 1993 av Datalagsutredningen och som i huvudsak inte följts (avsnitt 2). Även remissinstansernas synpunkter och de smärre författningsjusteringar som förslagen medfört redovisas här.
Efter denna redovisning av var vi i Sverige står i dag kommer en ganska omfattande formell analys av det nya EG-direktiv om personuppgifter som Sverige har att genomföra (avsnitt 3). Själva direktivtexten på svenska finns i bilaga 2. Även övriga internationella regler – inom OECD och Europarådet – berörs kortfattat i ett särskilt avsnitt (avsnitt 4).
Utöver information om det som redan nämnts – läget i dag i Sverige, inklusive tidigare förslag som inte kunnat godtas, och Sveriges skyldigheter i förhållande till andra stater – har vi ansett att det som utgångspunkt för våra överväganden behövs även information om det som lagstiftningen skall skydda, nämligen den personliga integriteten, om vad svenska män och kvinnor i allmänhet tycker i dessa frågor och om vad som är möjligt att göra med den nya tekniken. Våra egna undersökningar om teknikens möjligheter i dag och i framtiden har emellertid gett vid handen att det knappast finns några bestående tekniska begränsningar som bör beaktas vid utformningen av den nya persondataskyddslagstiftningen; det mesta i fråga om automatiserad behandling av personuppgifter är eller kommer att bli tekniskt möjligt. Detta redogör vi för kortfattat i ett särskilt avsnitt (avsnitt 5), och bilaga 3 innehåller en rapport med tekniska synpunkter på innehållet i betänkandet. Frågorna om innebörden av begreppet personlig integritet och om allmänhetens inställning till behandling av personuppgifter behandlas av anlitade experter vilkas rapporter finns i bilaga 4 och 5. För åsikterna i dessa rapporter svarar naturligtvis experterna själva.
Den första fråga som vi har ansett oss böra överväga är vilken allmän inriktning en ny lagstiftning för att skydda den personliga integriteten bör ha. Bör lagstiftningen reglera själva hanteringen av personuppgifter eller
bara sådan användning av uppgifter som kan karakteriseras som ett missbruk? Denna fråga, liksom frågan om hur man bör se på saken i ett längre perspektiv, berörs i det inledande avsnittet med överväganden (avsnitt 6). Den slutsats som vi kommer till i detta avsnitt kan sägas innebära att det enda sättet för oss att uppfylla uppdraget att lämna förslag till genomförande av EG-direktivet är att i enlighet med direktivet reglera hanteringen av personuppgifter och därvid nära följa direktivets uppbyggnad och struktur; i ett något längre perspektiv bör man dock försöka koncentrera sig mera på att stävja och beivra missbruk än att reglera en hantering som snart sagt alla kan hålla på med.
Mot bakgrund av den redovisade slutsatsen innehåller de följande avsnitten närmast en redogörelse för hur EG-direktivets bestämmelser lämpligen bör överföras till svensk lagstiftning och hur man bör utnyttja det spelrum som EG-direktivet medger vid genomförandet. Därvid berörs först vilka typer av behandling av personuppgifter som bör omfattas av en ny persondatalag och huruvida lagen i princip bör vara generellt tillämplig på alla behandlingstyper som bör omfattas (avsnitt 7).
Mycket av den behandling som äger rum inom främst den allmänna sektorn regleras i dag i särskilda registerförfattningar. Frågan om systemet med särskilda registerförfattningar och förhållandet mellan den nya persondatalagen och dessa författningar berörs i nästa avsnitt (avsnitt 8).
Därefter kommer två avsnitt om den betydelsefulla frågan hur EG-direktivet och den nya persondatalagen förhåller sig till den offentlighetsprincip och den yttrandefrihet som i Sverige är grundlagsfäst (avsnitt 9 och 10).
Frågan om när personuppgifter bör få utnyttjas för att forska eller framställa statistik har diskuterats mycket genom åren. Den frågan berörs i ett särskilt avsnitt (avsnitt 11). Därefter kommer ett omfattande avsnitt om det materiella innehållet (i övrigt) i den nya persondatalagen (avsnitt 12). Det avsnittet innehåller såväl allmänna överväganden som kommentarer av närmast detaljkaraktär till de föreslagna bestämmelserna.
Avslutningsvis i denna del av betänkandet finns ett avsnitt om sådana regler i den nuvarande datalagen som inte passar in i en ny persondatalag utan bör flyttas till annan lagstiftning (avsnitt 13).
Eftersom de föreslagna bestämmelserna i persondatalagen har berörts i detalj redan i den allmänna motiveringen i huvudavsnitten, innehåller det särskilda avsnittet med författningskommentarer till den föreslagna persondatalagen bara ett slags ”nyckel” med hänvisningar till de avsnitt där respektive paragraf berörs.
O FFENTLIGHETSPRINCIPEN I IT- SAMHÄLLET
I den andra delen av betänkandet föreslår vi hur bestämmelserna i 2 kap. TF om offentlighetsprincipen kan anpassas till den nya tekniken. Den innehåller till att börja med en kort beskrivning av offentlighetsprincipens grundläggande syften och dess nuvarande reglering (avsnitt 14).
Vi försöker därefter beskriva hur de tekniska förutsättningarna har ändrats sedan begreppet allmän handling fick en ny innebörd 1976 och vilka problem den då införda regleringen vållar i den nuvarande tekniska miljön (avsnitt 15). Vidare gör vi ett försök att blicka framåt när det gäller den tekniska utvecklingen och anger två utgångspunkter för våra överväganden: Offentlighetsprincipen skall vara så vid som möjligt. Reglerna skall vara så tydliga och enkla som möjligt.
I den gällande lagen är det främst begreppet handling (som omfattar varje uppgiftssammanställning som kan göras med rutinbetonade åtgärder) och förvaringsrekvisitet (som omfattar allt som är tillgängligt för myndigheten) som vållar problem. I syfte att åstadkomma en mera lättillämpad ordning föreslår vi en delvis ny begreppsapparat där begreppet allmän uppgift är centralt och där förvaringsrekvisitet återfår sin egentliga betydelse (avsnitt 16).
Rätten att använda sökverktyg för att söka eller sammanställa uppgifter är svagt utvecklad i den gällande lagen. I en modern teknisk miljö är emellertid sådana funktioner avgörande för rätten att ta del av allmänna uppgifter. Vi lämnar därför förslag till en uttrycklig bestämmelse om detta i lagen (avsnitt 17).
En fråga som är i hög grad aktuell är allmänhetens möjligheter att ta del av allmänna uppgifter på elektronisk väg. Även om frågan inte finns uttryckligen nämnd i vårt uppdrag är det oundvikligt, anser vi, att ta upp den (avsnitt 18). Vårt förslag innebär att det införs en sådan rätt, om än inte undantagslös, för allmänheten att få ut allmänna uppgifter i elektronisk form. Vi berör också något frågan om sekretessprövning av uppgifter som läggs ut allmänt tillgängliga t.ex. via en presentationsterminal eller allmänna nätverk.
Såsom vårt uppdrag anger överväger vi den s.k. biblioteksregeln särskilt (avsnitt 19). Vårt förslag till ny begreppsapparat i 2 kap. TF innebär emellertid att specialbestämmelsen i 11 § andra stycket som syftar till att bl.a. avskära kommersiella databaser från offentlighetsprincipen blir överflödig.
Enligt gällande rätt är även myndigheternas datorprogram allmänna handlingar som omfattas av offentlighetsprincipen. En rätt för allmänheten att få ut sådana i elektronisk form – i enlighet med vad vi föreslår – skulle emellertid kollidera med upphovsrätten till sådana program. Vi lämnar därför förslag till hur denna konflikt skall lösas (avsnitt 20).
Myndigheternas skyldighet att dels dokumentera de uppgifter de använder dels registrera allmänna handlingar är av grundläggande betydelse för offentlighetsprincipen, även om bestämmelserna om detta inte finns i grundlagen. Vi överväger därför dessa frågor särskilt (avsnitt 21).
Slutligen redogör vi för vilka följdändringar som den nya begreppsapparaten i 2 kap. TF bör medföra i sekretesslagen, främst i 15 kap., och i arkivlagen (avsnitt 22). Vi passar i sammanhanget också på att lämna vissa förslag till ändringar i dessa regelverk.
I författningskommentaren till 2 kap. TF, 15 kap. sekretesslagen och arkivlagen kommenteras våra förslag ytterligare. Här finns också hänvisningar till aktuella avsnitt i den allmänna motiveringen.
EN NY
PERSONDATALAG
1. Gällande rätt i huvuddrag
Datalagen var modern när den antogs år 1973. Den har ändrats ett antal gånger under årens lopp, men den är i dag ändå föråldrad, såväl innehållsmässigt som lagtekniskt. Vi har på olika sätt tagit del av erfarenheterna av lagens tillämpning. Vi har däremot inte ansett det nödvändigt att här lämna en ingående redovisning av den föråldrade lagen.2 Här ges därför bara en kortfattad och översiktlig beskrivning av regelsystemet.3
Datalagen inleds med en definition av begreppen personuppgift, personregister, registrerad och registeransvarig (1 §).
Med personuppgift avses upplysning som avser enskild person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas som personuppgifter. Enligt lagmotiven4 avses även uppgifter om en persons bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav och upplysningar i övrigt om en persons ekonomiska ställning.
Med personregister förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Bara register som förs med hjälp av ADB omfattas således av datalagen. Register som förs med hjälp av annan teknik än ADB faller i dag utanför lagens tillämpningsområde.
En personuppgift kan hänföras till en viss person antingen direkt genom själva uppgiften eller med hjälp av en identitetsuppgift som också ingår i registret. Även register som innehåller identitetsuppgifter av sådan art att bara den invigde kan utläsa vilka personer som finns registrerade omfattas av datalagen. Likaså omfattas statistiska uppgifter där beteckningar
2 Det finns en lagkommentar till lagen: Claes Kring & Sten Wahlqvist, Datalagen med kommentarer, 1989. 3 Beskrivningen bygger på Datalagsutredningens motsvarande redovisning. 4 Prop. 1973:33 s. 117.
som också återfinns på dokument gör det möjligt att knyta uppgifterna till en viss person.
Med begreppet registrerad avses en enskild person om vilken det förekommer en personuppgift i ett personregister.
Registeransvarig är den för vars verksamhet personregister förs, om han eller hon förfogar över registret. Såväl fysiska som juridiska personer och myndigheter kan vara registeransvariga.
Bara den som har anmält sig till Datainspektionen och fått licens får inrätta och föra personregister (2 §). Datainspektionen granskar inte anmälan i sak utan ger bara den registeransvarige ett bevis (licens) om att anmälan har gjorts samt ett särskilt licensnummer (10 § dataförordningen). En licens berättigar den registeransvarige att föra ett eller flera personregister. Licens behövs inte för personregister som en enskild person inrättar eller för uteslutande för personligt bruk (2 § 3 st.).
Den som fått licens skall betala en årlig avgift till Datainspektionen.5Inspektionen får, om det finns särskilda skäl, sätta ned eller efterskänka avgiften. Avgifterna finansierar inspektionens verksamhet.
Med hjälp av ADB för Datainspektionen ett register över licensanmälningar, licensregistret (3 § dataförordningen). Licensregistret får Datainspektionen använda för sin tillsyns- och informationsverksamhet samt som underlag för uppbörd av licensavgifter.
För vissa typer av register med känsliga uppgifter krävs utöver licens även ett särskilt tillstånd från Datainspektionen (2 § 2 st. datalagen). Sådant tillstånd behövs i regel för att inrätta och föra register som innehåller
a) i sig känsliga personuppgifter,
b) omdömen om den registrerade,
c) uppgifter om personer som saknar sådan anknytning till den registeran-
svarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande samt
d) personuppgifter som hämtas in från något annat personregister (s.k.
samkörning), om inte registreringen av uppgifterna eller utlämnandet av dessa sker med stöd av författning, Datainspektionens beslut eller den registrerades medgivande.
Tillstånd behövs inte för personregister som någon inrättar eller för uteslutande för personligt bruk (2 § 3 st.). Tillstånd behövs inte heller för register
5 1 och 3 §§ förordningen (1982:481) om avgifter för Datainspektionens verksamhet.
vars inrättande beslutats av riksdagen eller regeringen (s.k. statsmaktsregister) eller för register som har tagits emot för förvaring av en arkivmyndighet (2 a § 1 st. 1 och 3). För sådana personregister som ofta förekommer inom en viss verksamhet för ett visst ändamål kan det meddelas särskilda föreskrifter (19 §). Följer den registeransvarige sådana föreskrifter, behövs inte något tillstånd (2 a § 1 st. 2).
Sammanslutningar får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sammanslutningen (2 a § 2 st. 1).
Myndigheter inom hälso- och sjukvården får utan tillstånd för vård- eller behandlingsändamål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt (2 a § 2 st. 2). Likaså får myndigheter inom socialtjänsten utan tillstånd inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten (2 a § 2 st. 3).
Läkare och tandläkare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har fått reda på i sin yrkesverksamhet (2 a § 2 st. 4).
Arbetsgivare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren skall kunna avgöra om han eller hon skall påbörja en rehabiliteringsutredning enligt 22 kap. 3 § andra stycket lagen (1962:381) om allmän försäkring (2 a § 2 st. 5).
Vid sin tillståndsprövning skall Datainspektionen ta ställning till om det finns anledning att anta att registreringen medför ett otillbörligt intrång i den registrerades personliga integritet. Om så anses vara fallet, skall tillstånd inte meddelas. Vid prövningen skall inspektionen särskilt beakta N arten och mängden av de personuppgifter som skall ingå i registret, N hur och från vem uppgifterna skall hämtas in, N vilken inställning de som kan komma att registreras har eller kan antas
ha till saken och N att inte andra uppgifter eller andra personer registreras än som står i
överensstämmelse med ändamålet med registret (3 §).
Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande och förande av personregister som omfattar andra än medlemmar, anställda
eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning (3 a §).
Det krävs synnerliga skäl för att andra än myndigheter som enligt lag eller annan författning har att föra förteckning över sådana uppgifter skall kunna få tillstånd att inrätta och föra personregister som innehåller vissa angivna typer av känsliga uppgifter, såsom exempelvis uppgift om att någon misstänks eller har dömts för brott eller varit föremål för vissa tvångsingripanden (4 § 1 st.).
Tillstånd att inrätta och föra personregister som i övrigt innehåller uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen får bara om det finns särskilda skäl meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter. Särskilda skäl krävs även för registrering av uppgifter om någons ras eller politiska uppfattning eller religiösa övertygelse (4 § 2–3 st.).
När Datainspektionen meddelar tillstånd att inrätta och föra personregister, skall inspektionen samtidigt meddela beslut om ändamålet med registret (5 §). I den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet skall inspektionen i samband med tillståndsgivningen även meddela särskilda villkor (6 §). Sådana villkor får meddelas beträffande exempelvis inhämtande av uppgifter, vilka personuppgifter som får ingå i registret, utlämnande, bevaring och gallring.
Personregister skall inrättas och föras så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. I 7 § anges närmare vad som skall iakttas för att nå upp till vad som brukar kallas ”god registersed”. Den registeransvarige är också skyldig att förteckna de personregister som han eller hon är ansvarig för (7 a §). Förteckningen skall vara aktuell och hållas tillgänglig för Datainspektionen.
I datalagen finns också särskilda bestämmelser om ADB-användningen som är avsedda att garantera att personuppgifter är riktiga och fullständiga. Dessa bestämmelser, som återfinns i 8 och 9 §§, behandlar bl.a. rättelse av oriktiga och missvisande uppgifter.
En central bestämmelse är vidare 10 §. Den ger den enskilde en rätt till insyn i personregister. Där stadgas att den registeransvarige på skriftlig begäran av den enskilde skall underrätta denne om innehållet i registret, såvitt gäller honom eller henne. Ett sådant registerutdrag, s.k. § 10-utdrag, har den enskilde rätt att kostnadsfritt få en gång per år.
I datalagen finns allmänna bestämmelser om gallring av personuppgifter och om vad som skall iakttas då en registeransvarig upphör att föra ett personregister för vilket Datainspektionen har meddelat tillstånd (12 §). Vissa bestämmelser om tystnadsplikt finns i 13 §.
En särskild bestämmelse om dokumentationsskyldighet avser att göra det möjligt att i efterhand fastställa vilka uppgifter i en ADB-upptagning som har legat till grund för avgörandet av ett mål eller ärende hos en myndighet. Sådan ADB-upptagning skall tillföras handlingarna i målet eller ärendet i läsbar form. Undantag gäller bara om det finns särskilda skäl (14 §).
Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i registrerads personliga integritet (15–18 §§).
Inspektionen har möjlighet att meddela villkor eller, om rättelse inte kan åstadkommas på annat sätt, förbjuda förandet av personregister eller återkalla meddelade tillstånd.
Datainspektionens beslut enligt datalagen kan överklagas till länsrätten i Stockholm eller, när en statlig myndighet är registeransvarig, regeringen. Justitiekanslern får föra talan för att ta till vara allmänna intressen. (25 §.)
Bestämmelser om straff och skadestånd finns i 20–21 och 23 §§. Ett personregister kan förklaras förverkat, om det inrättas eller förs utan nödvändig licens eller tillstånd (22 §).
I datalagen regleras även det statliga person- och adressregistret (SPAR), 26–28 §§.
Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan, handläggningen hos Datainspektionen, verkställighetsföreskrifter och bistånd till personer som är registrerade utomlands finns i dataförordningen.
2. Datalagsutredningens förslag och utvecklingen därefter
2.1. Inledning
Datalagsutredningen presenterade sitt slutbetänkande, En ny datalag (SOU 1993:10), i februari 1993. I sitt arbete hade utredningen beaktat bl.a. det då föreliggande förslaget till EG-direktiv om skydd för enskilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter. Utredningens förslag hade till stora delar anpassats till direktivförslaget. Vissa avvikelser förekom emellertid. Sådana bestämmelser i direktivförslaget som inkräktade på den svenska offentlighetsprincipen skulle enligt utredningen inte införas. Utredningen ansåg inte heller att direktivförslagets bestämmelser om anmälningsskyldighet för automatisk databehandling av personuppgifter skulle genomföras fullt ut.
Utredningen var inte enig i alla frågor. Till betänkandet fanns fogat skiljaktiga meningar och särskilda yttranden.
Utredningens förslag har remissbehandlats. Regeringen lämnade i prop. 1993/94:116 förslag till ändringar i regeringsformen (RF) som bl.a. innebar att regeringen skulle kunna delegera viss normgivningskompetens till Datainspektionen avseende skyddet för den personliga integriteten vid automatisk databehandling av personuppgifter. Vidare anförde regeringen att beslut om en ny datalag borde anstå till dess slutlig ställning hade tagits till EG-direktivet. Vissa angelägna ändringar i datalagen borde enligt regeringen dock vidtas innan dess, och förslag till sådana lämnades i prop. 1993/94:217. Riksdagen beslutade om ändringar i enlighet med de båda förslagen och de nya bestämmelserna trädde i kraft den 1 januari 1995.6
6 SFS 1994:1480 respektive 1994:1485.
Nedan lämnas först en kort sammanfattning av Datalagsutredningens förslag med noteringar om huvuddragen i remissvaren. Därefter följer en presentation av den lagstiftning som beslutats till följd av förslaget.
2.2. Sammanfattning av Datalagsutredningens förslag
2.2.1. Lagens tillämpningsområde
Datalagens tillämpningsområde är knutet till begreppet personregister. Datalagsutredningen föreslog att tillämpningsområdet i stället skulle definieras så att lagen var tillämplig på varje behandling av personuppgifter med hjälp av automatisk databehandling, även t.ex. lagring och utlämnande. En sådan definition skulle emellertid leda till att lagens tillämpningsområde blev mycket omfattande. Utredningen konstaterade att vissa undantag måste göras. Undantag skulle enligt förslaget bl.a. göras för sådan behandling som sker uteslutande för personligt bruk eller som avser personuppgifter som ingår i uppslagsverk, ordböcker eller liknande referensmaterial. Vidare skulle inte heller sådana personuppgifter som förekommer i löpande text (ord- och textbehandling) omfattas av lagen.
Remissinstanserna var positiva till att begreppet ”personregister” ersattes med ”behandling av personuppgifter”. Flera instanser pekade dock på de gränsdragningsproblem som kan tänkas uppkomma mellan sådan ord- och textbehandling som faller utanför lagens tillämpningsområde och sådana behandlingar av texten, t.ex. sökningar i den, som omfattas av lagen.
Liksom tidigare skulle datalagen enligt utredningens förslag gälla enbart sådan behandling som sker med hjälp av automatisk databehandling. Detta begrepp borde enligt utredningen inte definieras, bl.a. eftersom en sådan definition snabbt skulle bli inaktuell. I den föreslagna lagen har emellertid klargjorts att i vissa fall även manuella hanteringar av personuppgifter kan omfattas av lagen. Begreppet behandling skulle nämligen innefatta även insamling av personuppgifter som avses bli föremål för automatisk databehandling. Helt manuella behandlingar skulle däremot falla utanför lagens tillämpningsområde.
Remissinstanserna var oeniga i frågan om även helt manuella register skulle omfattas av lagen. Några pekade på fördelarna med att göra lagen
helt teknikoberoende, medan andra var av den åsikten att det är just den omständigheten att uppgifterna behandlas automatiskt som gör förfarandet riskfyllt från integritetssynpunkt.
2.2.2. Förhållandet till offentlighetsprincipen
Utredningen hade som utgångspunkt att inga inskränkningar skulle göras i offentlighetsprincipen, som bl.a. innebär att alla medborgare har rätt att ta del av myndigheternas handlingar (2 kap. 1 § TF). Förslaget till EG-direktiv innehöll, enligt utredningens bedömning, inget formellt hinder mot utlämnande av personuppgifter med stöd av offentlighetsprincipen. I förslaget till ny datalag togs i några bestämmelser dock in en erinran om myndighets skyldighet att lämna ut uppgifter enligt TF. Offentlighetsprincipen innefattar också en rätt för den enskilde att i samband med utfående av sådana uppgifter vara anonym (2 kap. 14 § 3 st. TF). Här måste enligt utredningen göras en avvikelse från direktivförslaget, som innebar att när uppgifter om någon person lämnas ut skall personen underrättas om detta och om vem som har fått del av uppgifterna.
Remissinstanserna uttryckte stöd för att offentlighetsprincipen skall behållas i nuvarande omfattning.
2.2.3. Förhållandet till yttrandefriheten
Datalagsutredningen konstaterade att konflikter kunde uppstå mellan å ena sidan datalagen och å andra sidan de bestämmelser i tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL) som gäller förbud mot censur och annan förhandsgranskning samt rätten för meddelare m.fl. att vara anonyma. Utredningen utgick från att grundlagsbestämmelserna även i fortsättningen skulle tillämpas framför datalagstiftningen vid en konflikt mellan dem, även om skyddet mot otillbörligt intrång i den personliga integriteten i samband med personregistrering med hjälp av automatisk databehandling också har visst grundlagsskydd (2 kap. 3 § 2 st. RF). Någon saklig förändring borde därför enligt utredningen inte göras. Däremot borde det framgå av datalagen att vissa datasamlingar till följd härav inte faller under datalagens tillämpningsområde.
Undantag från lagens tillämpning borde enligt utredningen göras för produktionsregister, dvs. personregister som används som ett direkt tekniskt hjälpmedel i samband med framställning av ett grundlagsskyddat yttrande. Datainspektionens tillsynsverksamhet enligt datalagen skulle näm-
ligen, enligt utredningen, till stora delar strida mot förbudet att granska eller i övrigt vidta någon hindrande åtgärd i samband med framställning av yttrande (1 kap. 2 § TF och 1 kap. 3 § YGL). Vidare borde undantag göras för sådana register som används direkt i den journalistiska verksamheten och som innehåller uppgifter om personer som omfattas av anonymitetsskyddet i 3 kap. 1 § TF. Utredningen pekade på risken att sådana uppgifter kan avslöjas t.ex. i samband med tillsyn av Datainspektionen. Detta skulle i så fall kollidera med anonymitetsskyddet. För övrigt ansåg utredningen att just anonymitetsskyddet i detta sammanhang är det bästa skyddet för den personliga integriteten. Utredningen föreslog slutligen att även klipparkiven skulle undantas, dvs. arkiv som innehåller tidigare publicerade artiklar samt bevarade radio- och TV-inslag. I det sammanhanget gjorde utredningen följande bedömning. Det skulle vara olämpligt om Datainspektionen kunde meddela villkor som t.ex. innebar att tidningarnas egen tillgång till tidigare publicerat material begränsades. Sådana villkor skulle vidare kunna innebära restriktioner i fråga om tryckfriheten. Man ansåg slutligen att allmänheten inte genom datalagen borde hindras från att ta del av sådant material, eftersom det tidigare varit publicerat.
Remissinstanserna gav starkt stöd åt utredningens uttalanden om att bestämmelserna i TF och YGL skall gälla framför datalagen. Flera remissinstanser ansåg dock inte att klipparkiven generellt borde undantas från lagen. Till den del klipparkiven inte kan anses utgöra produktionsregister skulle de, enligt dessa instanser, vara underkastade lagens tillämpning eftersom de inte sällan innehåller känsliga personuppgifter. Å andra sidan förordade många instanser att all behandling av personuppgifter som används i publicistiskt syfte borde undantas från lagen, alltså även uppgifter som använts av journalister, författare m.fl. men som inte blivit publicerade.
2.2.4. Tillstånd eller tillsyn
Tillståndsförfarandet enligt datalagen borde enligt utredningen avskaffas. En alltför stor del av Datainspektionens resurser måste läggas på tillståndsärendena på bekostnad av tillsynsverksamheten menade man. Utredningen gjorde den bedömningen att om mera tid kunde ägnas åt tillsyn, t.ex. inspektioner, skulle detta leda till en bättre efterlevnad av bestämmelserna på området. Vidare upptar många tillståndsansökningar behandling av både känsliga och icke-känsliga uppgifter. I sådana fall får Datainspektionen ägna tid åt granskning av uppgiftsbehandling som inte är känslig.
Dessa resurser borde enligt utredningen i stället läggas på tillsynsverksamheten.
En klar majoritet av remissinstanserna ställde sig positiva till en övergång från en ordning som bygger på tillstånd till ett tillsynssystem.
Enligt förslaget skulle det i stället för tillstånd krävas en anmälan till Datainspektionen för behandling av känsliga personuppgifter. Anmälningarna skulle ligga till grund för inspektionens tillsynsverksamhet. Anmälningsavgifter skulle dessutom finansiera inspektionens verksamhet.
Av de remissinstanser som yttrat sig i frågan avstyrkte de flesta ett införande av en anmälningsplikt för vissa typer av register. Många uttalade farhågor för att anmälningsförfarandet skulle ta stora resurser i anspråk utan att anmälningarna skulle komma att utgöra någon bra grund för tillsynen. En del remissinstanser menade att Datainspektionens verksamhet borde skattefinansieras.
2.2.5. Den materiella regleringen i datalagen
2.2.5.1 Regler för de olika momenten i behandlingen
Eftersom kravet på tillstånd enligt förslaget skulle försvinna helt, var det enligt utredningen nödvändigt att direkt i lagen ta in tydliga och utförliga bestämmelser som reglerar behandlingen av personuppgifter. Flera allmänt hållna begrepp t.ex. ”otillbörligt intrång i personlig integritet” måste därför ersättas med klarare regler, så att det blir möjligt för en enskild att avgöra om den behandling av personuppgifter som planeras eller utförs uppfyller lagens krav eller ej. Begreppet ”otillbörligt intrång” borde därför enligt utredningen ersättas med regler för de olika momenten i behandlingen. Det skulle med andra ord framgå direkt av lagen i vilka fall det är tillåtet att behandla personuppgifter utan att någon integritetsbedömning först behöver göras.
Remissinstanserna tillstyrkte i huvudsak den metod som utredningen hade valt.
2.2.5.2 Personuppgift
Definitionen av begreppet personuppgift skulle enligt förslaget anpassas bättre till internationella regler. Detta skulle innebära att fler uppgifter än nu omfattas, nämligen alla uppgifter som direkt eller indirekt går att här-
leda till en individ. I syfte att begränsa de uppgifter som behandlas skulle endast sådana uppgifter som behövs för angivna ändamål få behandlas.
Remissinstanserna lämnade förslaget i stort sett utan erinran.
2.2.5.3 Persondataansvarig
Bestämmelserna om vem som är persondataansvarig (tidigare registeransvarig) borde enligt utredningen utformas på ett sådant sätt att det blev lättare att avgöra hos vem ansvaret låg, särskilt beträffande data som används av flera olika rättssubjekt. Enligt förslaget skulle den vara ansvarig som bestämmer ändamålet med behandlingen, vilka personuppgifter som skall behandlas och hur de skall behandlas. Detta skulle bl.a. medföra att ansvaret läggs på den som har möjlighet att faktiskt påverka innehållet i uppgifterna.
Flera av remissinstanserna ställde sig positiva till förslaget att koncentrera ansvaret för en viss databehandling till ett rättssubjekt. Samtidigt pekade många på svårigheterna att åstadkomma detta i en situation där alltfler system används av flera olika myndigheter och flödet av uppgifter mellan olika rättssubjekt ökar. Många instanser ansåg därför att den aktuella bestämmelsen borde bli föremål för förnyade överväganden.
2.2.5.4 Ändamålsanknytningen
All behandling av personuppgifter skulle, liksom tidigare, ha anknytning till ett visst ändamål för att vara tillåten. Bestämmelsen borde enligt utredningen dock preciseras, så att det framgick att ändamålet skall vara uttryckligt angivet och definieras så snävt som möjligt. Ändamålet skulle bestämmas av den som ansvarar för behandlingen av personuppgifterna (den persondataansvarige). Ändamålsanknytningen skulle enligt utredningen vidare fungera som avgränsning mellan olika persondatasamlingar sedan registerbegreppet lämnats. Ytterst skulle det angivna ändamålet också bestämma i vilken omfattning datorlagrade uppgifter hos en myndighet utgör allmän handling och därmed faller under offentlighetsprincipen.
Remissinstanserna var i huvudsak positiva till utredningens ställningstaganden. Några ansåg dock att det borde uppställas ytterligare krav i lagen på att ändamålsbestämningarna är noggrant preciserade. Några instanser ifrågasatte om de ändamål som bestämts av den persondataansvarige själv verkligen bör få avgöra i vilken omfattning uppgifterna skall betraktas som
allmän handling, oavsett vilka uppgiftssammanställningar som i och för sig är tekniskt möjliga att göra.
2.2.5.5 Förutsättningarna för att få behandla personuppgifter
Vidare borde förutsättningarna för att få behandla personuppgifter framgå direkt av lagen, i stället för som nu – oftast indirekt – som undantag från tillståndsplikten. Personuppgifter skulle enligt förslaget få behandlas endast N om den enskilde hade samtyckt till behandlingen, eller om behandlingen behövdes för att N fullgöra ett avtal med den enskilde eller för att på den enskildes begäran
vidta förberedande åtgärder inför ett avtal, N fullgöra åligganden som följer av lag eller annan författning, N skydda enskilda intressen som är av väsentlig betydelse för den en-
skilde, N utföra en uppgift i det allmännas intresse eller i myndighetsutövning av
den persondataansvarige eller någon till vilken uppgifterna lämnas ut, eller N tillgodose ett allmänintresse eller ett intresse hos den persondataansva-
rige eller någon till vilken uppgifterna lämnas ut, under förutsättning att detta intresse får anses väga tyngre än den enskildes intresse av att uppgifterna om honom inte behandlas.
Dessa bestämmelser skulle också reglera i vilka fall sambearbetningar av uppgifter från olika datasamlingar är tillåten. Särskilda regler skulle gälla för behandling av känsliga personuppgifter.
Remissinstanserna hade i huvudsak inte några invändningar mot den föreslagna konstruktionen. Några menade dock att bestämmelserna till viss del borde förtydligas så att det klarare framgick vad som var tillåtet respektive otil??låtet, detta särskilt mot bakgrund av att ett otillåtet förfarande föreslogs bli straffbelagt.
2.2.5.6 Känsliga personuppgifter
För att få behandla känsliga personuppgifter föreslog Datalagsutredningen att det skulle krävas författningsstöd, om inte den registrerade hade lämnat skriftligt samtycke till behandlingen. Enligt förslaget till EG-direktiv skulle för behandling av sådana uppgifter krävas antingen en särskild författningsreglering eller ett tillståndsförfarande. Eftersom tillståndsförfa-
randet enligt utredningens förslag skulle upphöra, återstod möjligheten att reglera sådan behandling i författning (s.k. statsmaktsregister).
Sambearbetning av känsliga personuppgifter skulle enligt utredningsförslaget kräva särskilt stöd i den författning som reglerar bearbetningen, om inte samtycke föreligger.
De remissinstanser som yttrade sig i frågan var huvudsakligen positiva till att behandling av känsliga personuppgifter författningsregleras. Flera ansåg att det skulle vara praktiskt taget omöjligt att i stället tillämpa ett förfarande där samtycke krävs i varje enskilt fall för behandlingen. Några instanser, särskilt inom den kommunala och landstingskommunala sektorn, pekade på det kommande behovet av ett tämligen omfattande författningsarbete.
Utredningen föreslog vidare att två typer av sådana register som innehåller känsliga personuppgifter skulle regleras direkt i datalagen. Behandling av känsliga personuppgifter för forsknings- eller statistikändamål och vissa typer av känsliga personuppgifter för anställningsändamål skulle under särskilda i lagen uppräknade fall kunna ske utan samtycke av de registrerade. Den allmänna bestämmelsen om att uppgifter inte får behandlas för andra ändamål än de som ursprungligen angetts skulle gälla även på forskningsområdet.
En klar majoritet av remissinstanserna tillstyrkte förslaget att nämnda typer av behandlingar som huvudregel skulle kräva samtycke av dem vars uppgifter behandlas. Några instanser, företrädesvis inom forskningssektorn, ansåg att förslaget skulle leda till inskränkningar i forskningsverksamheten. Det är ofta svårt, menade man, att i förväg ange uttömmande vad uppgifterna kommer att användas till, t.ex. inom den medicinska forskningen. Andra instanser menade att undantagen från huvudregeln om samtycke för behandling av personuppgifter på forskningsområdet var alltför långtgående. När det gäller behandlingen av personuppgifter i samband med anställningsförhållanden ansåg vissa att undantag från kravet på samtycke endast skulle göras för löneberäkningar eller liknande.
2.2.5.7 Gallring av personuppgifter
Utredningen föreslog att integritetsintressena skulle beaktas i större omfattning än tidigare i gallringssammanhang utan att det för den skull gjordes några avsteg från offentlighetsprincipen. I en särskild bestämmelse angavs därför hur avvägningen skall göras mellan intresset att bevara uppgifterna för framtiden och intresset hos den enskilde att uppgifterna gallras.
Flera remissinstanser var kritiska mot den föreslagna bestämmelsen, som man ansåg vara oklar. Det måste, menade dessa instanser, klart framgå vem – Datainspektionen eller arkivmyndigheten – som har den slutliga bestämmanderätten i fråga om gallring.
2.2.6. Bemyndigande att meddela föreskrifter
Utredningen konstaterade att datalagen även i fortsättningen måste kunna kompletteras med bestämmelser på lägre nivå. Datainspektionen kan meddela sådana föreskrifter t.ex. i tillståndsärenden. Eftersom tillståndsförfarandet skulle slopas, föreslog utredningen att det i stället skulle tas in en bestämmelse i datalagen, som gav regeringen möjlighet att delegera till Datainspektionen att meddela närmare föreskrifter om tillämpningen av datalagen inom olika branscher eller sektorer. En sådan bestämmelse förutsatte emellertid även en ändring i 8 kap. 7 § RF.
Ändringar av det slag som utredningen föreslog har införts och trätt i kraft den 1 januari 1995.7
2.3. Sammanfattning av remissutfallet
Det rådde stor enighet bland remissinstanserna om att det behövs en ny datalag och att den bör vara anpassad till den internationella regleringen, bl.a. det kommande EG-direktivet. Huvuddelen av instanserna ansåg att en ny lag bör avvakta EG-direktivet, men några menade att det är så angeläget att en ny datalag kommer till stånd att man inte skall vänta på direktivet.
Vidare uttalade en klar majoritet av instanserna att den svenska offentlighetsprincipen skall behållas i sin nuvarande omfattning och att – om det skulle behövas – EG-direktivet får stå tillbaka på den punkten. Vissa pekade på den intressekonflikt som kan finnas mellan offentlighet och effektivitet i förvaltningen å ena sidan och personlig integritet å den andra. Det rådde mellan instanserna delade meningar om vilket intresse som skall väga tyngst. Några ansåg att det borde analyseras ytterligare vilka konsekvenser den nya lagen skulle få för offentlighetsprincipen.
Huvuddelen av instanserna ansåg att det skall göras undantag från datalagen för att skydda yttrandefriheten enligt TF och YGL. Däremot var de
7 SFS 1994:1480 och 1994:1485.
inte överens om hur ett sådant undantag i praktiken skulle utformas. Vissa menade att utredningens förslag skulle innebära att alltför stor del av den behandling av personuppgifter som förekommer inom detta område undantogs från lagens tillämpning. Dessa instanser ansåg att ett alltför omfattande undantag kan medföra intrång i den personliga integriteten. Andra menade att undantaget var för snävt och ansåg att den omständigheten att man reglerar användningen av datorer inte får inskränka den grundlagsfästa yttrandefriheten.
Det rådde stor enighet bland remissinstanserna om att tillståndssystemet borde avskaffas till förmån för ett renodlat tillsynsförfarande. Många påpekade att detta förutsätter klara och precisa regler i datalagen som kan förstås av var och en, och många ansåg att lagförslaget inte uppfyller detta krav. Den föreslagna lagen lämnar, enligt vissa, åt den enskilde att efter avvägningar mellan skilda intressen själv avgöra om en behandling av personuppgifter är tillåten eller inte. Några instanser ansåg att en sådan reglering är otillfredsställande, särskilt eftersom den som inte följer bestämmelserna kan straffas.
Många var kritiska till det föreslagna anmälningsförfarandet som enligt dessa instanser skulle vålla onödig och kostsam byråkrati. Datainspektionens verksamhet borde, enligt vissa, i stället för att betalas genom anmälningsavgifter finansieras via statsbudgeten. En del uttalade också kritik mot de föreslagna bestämmelserna om information och underrättelser till de registrerade. Även dessa regler ansågs av vissa vålla alltför stora kostnader.
Remissinstanserna var generellt sett positiva till en övergång från ”personregister” till ”personuppgifter”. Vissa menade att även manuella register bör omfattas av lagen.
Flera instanser ifrågasatte utredningens tolkning av bestämmelserna om ändamålsanknytning. Enligt denna skulle de ändamål för behandlingen av personuppgifter som bestämts av den persondataansvarige själv få avgöra vilka uppgifter som är offentliga. Dessa instanser ansåg att en sådan ordning i praktiken skulle innebära en inskränkning av offentlighetsprincipen. En sådan inskränkning välkomnades emellertid av några andra.
De flesta var i huvudsak positiva till förslaget att behandling av känsliga personuppgifter författningsregleras. Det andra alternativet – att kräva samtycke i varje enskilt fall av den registrerade – avvisades. När det gällde de föreslagna reglerna om behandling av känsliga uppgifter för forsknings- eller statistikändamål rådde delade meningar. De flesta tillstyrkte förslaget att sådana behandlingar som huvudregel skulle kräva samtycke. Andra
menade att förslaget skulle leda till inskränkningar för forskningen medan andra åter menade att undantagen för forskning var alltför långtgående.
Några remissinstanser var kritiska mot att förslaget inte innehöll en – som de ansåg nödvändig – kostnadsanalys.
2.4. Genomförda förändringar
2.4.1. Sammanfattning
Datalagsutredningens förslag har legat till grund för vissa ändringar i bl.a. datalagen. Genom en ändring i 8 kap. 7 § RF öppnades en möjlighet för regeringen att efter bemyndigande i lag delegera normgivningskompetens till Datainspektionen i fråga om automatisk databehandling av personuppgifter.8 Grundlagsändringen har följts upp med ändringar i datalagen.9Ändringarna trädde i kraft den 1 januari 1995.
I samma lagstiftningsärende vidtogs ytterligare, som det bedömdes, angelägna förändringar. Skyldigheten att inhämta särskilt yttrande från Datainspektionen inför inrättande av s.k. statsmaktsregister togs bort. Datainspektionen fick vidare möjlighet att förena föreskrifter och förbud med vite. Slutligen infördes nya regler om överklagande. Datainspektionens beslut skall inte längre överklagas till regeringen utan till allmän förvaltningsdomstol. Endast i de fall den registeransvarige är en myndighet skall regeringen även i fortsättningen pröva överklagandet.
2.4.2. Normgivningen på dataskyddsområdet
2.4.2.1 Bakgrund
Datalagen innehöll från början ett generellt krav på tillstånd från Datainspektionen för alla typer av automatiskt förda personregister. Endast sådana register som var beslutade av riksdag eller regering var undantagna från tillståndsplikten. Vissa inskränkningar i tillståndskravet genomfördes den 1 juli 1979.10 Härigenom undantogs register som fördes med viss
8 SFS 1994:1480. 9 SFS 1994:1485. 10 SFS 1979:334.
teknisk utrustning och där det framstod som uppenbart att otillbörligt intrång i de registrerades personliga integritet inte skulle uppkomma (t.ex. sådan behandling som utfördes i s.k. hemdatorer). Tillståndshanteringen blev emellertid med tiden alltmer omfattande. I syfte att begränsa Datainspektionens tillståndsverksamhet ytterligare togs det generella tillståndskravet bort den 1 juli 1982.11 Endast sådana personregister som är särskilt känsliga från integritetssynpunkt har därefter varit underkastade ett tillståndskrav.
2.4.2.2 Datainspektionens normgivning
Datainspektionen saknade tidigare formell möjlighet att meddela generella föreskrifter för behandling av personuppgifter. Föreskrifter kunde endast meddelas i varje enskilt tillståndsärende. I övrigt kunde inspektionen genom sin informations- och rådgivningsverksamhet påverka de registeransvariga. Datainspektionen hade emellertid redan under 1970-talet börjat tillämpa ett förenklat tillståndsförfarande som i praktiken innebar att inspektionen för vissa verksamhetsområden utfärdade generella föreskrifter. Inspektionen kunde sedan i det enskilda tillståndsärendet, genom att hänvisa till sådana föreskrifter, efter en mer summarisk kontroll låta föreskrifterna bli gällande i det individuella fallet. Det förenklade tillståndsförfarandet fyllde det behov som fanns av generella föreskrifter på olika områden.
Med Datalagsutredningens förslag som grund infördes den 1 januari 1995 bestämmelser i datalagstiftningen som öppnade möjlighet för Datainspektionen att meddela generella föreskrifter för personregister som ofta förekommer inom en viss verksamhet.12 Samtidigt infördes ett undantag från tillståndsplikten för sådana register som inrättas och förs i enlighet med sådana av Datainspektionen meddelade föreskrifter. Tanken på att införa krav på en speciell anmälningsskyldighet för sådana register avvisades i motiven.13 Ändringen syftade till att minska Datainspektionens tillståndshantering och därigenom lämna mer utrymme för tillsynsverksamheten.14
11 SFS 1982:446. 12 19 § datalagen och 14 § dataförordningen, SFS 1994:1485 respektive SFS 1994:1487. 13 Prop. 1993/94:217 s. 20 14 A. prop. s. 15 f.
Datainspektionens normgivningskompetens avser endast en regelutfyllnad av datalagens bestämmelser. Tanken är att föreskrifterna skall vara tämligen detaljerade och i sak ligga nära enskilda tillståndsbeslut. Möjligheten till delegerad normgivningskompetens skall inte påverka strävandena att reglera särskilt integritetskänsliga personregister genom speciella registerförfattningar, något som särskilt poängterades vid utskottsbehandlingen.15 Normgivningskompetensen avser vidare endast personregister som ofta förekommer inom en viss verksamhet (branscher och sektorer) och för ett visst ändamål. Normgivningsrätten innefattar inte någon rätt för Datainspektionen att utfärda generella föreskrifter om gallring av allmänna handlingar. Datainspektionens kompetens omfattar såväl privat som statlig och kommunal verksamhet.16
Datainspektionen har hittills meddelat generella föreskrifter för N församlingsregister och ministerialböcker i Svenska kyrkans verksamhet
(DIFS 1995:3), N vissa personregister i kommunal verksamhet (DIFS 1995:5), N vissa direktreklamregister (DIFS 1995:6), N vissa tillståndspliktiga personregister i försäkringsrörelse
(DIFS 1996:2), N protokollsregister hos kommuner och landsting (DIFS 1996:3), N uppdragsregister i advokatverksamhet (DIFS 1996:5), N personregister över nämndemän, särskilda ledamöter och jurymän
(DIFS 1996:6) och N domstolars personregister över tolkar (DIFS 1996:7).
2.4.3. Yttranden från Datainspektionen
Tidigare skulle yttrande inhämtas från Datainspektionen innan riksdagen eller regeringen fattade beslut om personregister (statsmaktsregister). Tanken var bl.a. att otillbörlighetsbedömningen skulle ske enhetligt oavsett om det gällde ett tillståndspliktigt register eller ett register som inrättades direkt av statsmakterna.17 I syfte att minska inspektionens arbetsbörda togs denna skyldighet enligt 2 a § datalagen bort den 1 januari 1995.18 I moti-
15 KU 1994/95:10 s. 6 16 Prop. 1993/94:217 17 Prop. 1973:33 s. 120 18 Prop. 1993/94:217 s. 23
ven uttalades att Datainspektionen ändå får tillfälle att avge synpunkter, bl.a. mot bakgrund av den skyldighet som regeringen har enligt 7 kap. 2 § RF att inhämta vissa upplysningar och yttranden från myndigheter under beredningen av regeringsärendena. Vidare anfördes att det är vanligt att inspektionen deltar i beredningsarbetet inför inrättandet av statsmaktsregister samt att inspektionen regelmässigt är remissorgan i sådana lagstiftningsärenden.
2.4.4. Vite
Om förandet av ett personregister har lett till otillbörligt intrång i personlig integritet, kan Datainspektionen meddela föreskrifter för att förhindra fortsatt sådant intrång (18 § datalagen). När det gäller statsmaktsregister får sådana föreskrifter inte stå i strid med beslut av regeringen eller riksdagen. Om intrånget inte kan hindras på något annat sätt, får Datainspektionen förbjuda fortsatt förande av registret eller återkalla ett meddelat tillstånd. Detta gäller inte statsmaktsregister. För överträdelse av sådana föreskrifter eller förbud är föreskrivet straff (20 § 1 st. 2 p.). Någon möjlighet för Datainspektionen att ingripa mot förfaranden som stred mot sådana förelägganden eller förbud fanns inte tidigare. Genom lagändringen infördes en möjlighet för Datainspektionen att förena sådana med vite (18 § 3 st.). Vitesmöjligheten ansågs skapa bättre förutsättningar för att sätta stopp för otillbörliga intrång i personlig integritet.19 Enligt allmänna principer får inte samma gärning föranleda både vite och straff. En särskild erinran togs därför in i lagen om att den som har överträtt ett vitesföreläggande inte får dömas för en gärning som omfattas av vitesföreläggandet (20 § 2 st.).
2.4.5. Överklagande
Datainspektionens beslut skall efter lagändringen överklagas till allmän förvaltningsdomstol (i praktiken länsrätten i Stockholms län) i stället för regeringen. Undantag gäller för det fallet att en statlig myndighet är registeransvarig. Överklagande skall då även i fortsättningen ske till regeringen. Ändringen är ett led i det arbete som sedan flera år pågår inom regeringskansliet för att minska regeringens befattning med förvaltningsärenden.20
19 Prop. 1993/94:217 s. 24 20 Prop. 1993/94:116 s. 12
Den innebär vidare en samordning med EG-direktivets artikel 22 enligt vilken enskilda skall ha rätt till domstolsprövning vid brott mot de rättigheter som tillförsäkras dem genom direktivet.
Enligt regeringens förslag skulle i samtliga fall överklagande ske till domstol. Regeringen angav som grundsats i det sammanhanget att överklaganden av förvaltningsbeslut som rör en rättsfråga skall gå till domstol medan ärenden där lämplighetsbedömningar dominerar bör prövas i administrativ ordning. Vidare angav regeringen att det var en bestämd målsättning att myndighetsregister med känsligt innehåll skall ha stöd i författning. Den politiska styrningen av utvecklingen inom området för automatisk databehandling skulle med andra ord uteslutande ske författningsvägen. Eftersom utrymmet för lämplighetsbedömningar i enskilda fall på detta sätt inskränktes, borde enligt regeringen överprövningen av Datainspektionens beslut flyttas till domstol.21 Konstitutionsutskottet uttalade emellertid att det, särskilt på det statliga området, inte kunde uteslutas att det fortfarande kan förekomma fall där de bedömningar som måste göras rymmer politiska inslag. Som exempel nämndes ett uppmärksammat fall av samkörning av personuppgifter från vissa arbetslöshetskassor med uppgifter från allmänna försäkringskassor i syfte att upptäcka bidragsfusk.22 Enligt utskottets mening borde därför överklaganden av beslut som rör statliga myndigheter även i fortsättningen avgöras av regeringen.23Riksdagen beslutade i enlighet med utskottets förslag.
21 Prop. 1993/94:217 s. 27 22 Regeringsbeslut 1994-09-15, Ju 94/3280 23 KU 1994/95:10 s. 11
3. EG-direktivet om personuppgifter
3.1. Bakgrund
3.1.1. Inledning
Vi har enligt utredningsdirektiven till uppgift att analysera på vilket sätt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter24, i det följande kallat direktivet, skall införlivas i svensk lagstiftning. Direktivet finns bifogat som bilaga 2.
Här skall inte lämnas någon allmän beskrivning av EU eller Sveriges åtaganden i det sammanhanget; sådana översiktliga beskrivningar finns i flera betänkanden från senare år och i diverse läroböcker och andra skrifter. Som en bakgrund till vår analys av innebörden av direktivet och hur det bör införlivas i svensk rätt finns det emellertid anledning att kort dels erinra om vad som gäller i fråga om genomförandet av EG-direktiv (avsnitt 3.1.2), dels beröra bakgrunden till det aktuella direktivet (avsnitt 3.1.3).
3.1.2. Genomförandet av EG-direktiv
Bestämmelserna i ett EG-direktiv måste införlivas i varje medlemsstats rättsordning för att bli gällande rätt i den staten. EG-direktivet är dock för medlemsstaterna bindande i fråga om det resultat som skall uppnås, men
24 EGT nr L 281, 23.11.95, s. 31.
det är de nationella myndigheterna som bestämmer formen och tillvägagångssättet för genomförandet.25
Ibland kan EG-direktiv – särskilt på det sociala området – innehålla bara minimibestämmelser. Medlemsstaterna måste då kunna garantera att minimiskyddet enligt EG-direktivet alltid uppfylls, men det är tillåtet att ha längre gående nationella bestämmelser för att skydda de aktuella intressena. Är det inte fråga om ett sådant minimidirektiv, måste medlemsstaterna emellertid kunna garantera att varken strängare eller mildare bestämmelser gäller än vad som följer av EG-direktivet. En annan sak är att bestämmelserna i ett EG-direktiv i sig kan tillåta medlemsstaterna ett visst spelrum vid genomförandet.
Det aktuella direktivet om behandling av personuppgifter är inte ett minimidirektiv. Det är alltså inte tillåtet att föreskriva – eller behålla – ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av direktivet.
En anknytande frågeställning är huruvida de uttryck och begrepp som används i ett EG-direktiv har en för hela EG gemensam innebörd eller om avsikten bara är en partiell harmonisering på det sättet att varje medlemsstat i enlighet med nationell lagstiftning och praxis får bestämma innebörden av använda uttryck och begrepp. Om det i ett EG-direktiv anges att ”fysiska personer” skall ha ett visst skydd, är det då tillåtet för varje medlemsstat att i enlighet med nationell lagstiftning och praxis bestämma om t.ex. ofödda och avlidna skall ha det föreskrivna skyddet?
Även om det inte framgår uttryckligen av ett EG-direktiv, måste medlemsstaterna vidta alla nödvändiga åtgärder för att kunna garantera en effektiv tillämpning av bestämmelserna i EG-direktivet. Medlemsstaterna måste därför föreskriva sanktioner mot dem som bryter mot det som följer av EG-direktivet, och dessa sanktioner måste vara effektiva, proportionella i förhållande till brottet och avskräckande.26
Ett EG-direktiv kan, liksom varje annan rättslig text, behöva tolkas. Det är ytterst EG-domstolen som beslutar i fråga om tolkningen, t.ex. efter det att en nationell domstol i ett aktuellt mål har begärt ett s.k. förhandsavgörande om tolkningen.27
25 Artikel 189 a i EG-fördraget. 26 Detta följer av artikel 5 i EG-fördraget och av EG-domstolens praxis. 27 Artikel 177 i EG-fördraget.
Till ledning för tolkningen av ett EG-direktiv finns det inte förarbeten av det slag som vi är vana vid i Sverige. I varje EG-direktiv brukar det emellertid finnas en ingress i vilken det redogörs för bakgrunden till och syftet med direktivet28, och det finns flera exempel på att EG-domstolen för tolkningen har hämtat ledning från vad som anges i ingressen.
En tolkningsprincip som EG-domstolen har använt är vidare att bestämmelser som medger avvikelser eller undantag från individuella rättigheter skall tolkas restriktivt.
Ett annat problem vid tolkningen av EG-direktiv är att alla officiella språkversioner av direktivet har samma giltighet.29 Det kan därför finnas anledning att jämföra flera olika språkversioner för att fastställa innebörden.
Det anses vidare att de nationella domstolarna har att om möjligt tolka den nationella lagstiftningen på ett sådant sätt att den går att förena med bestämmelserna i EG-direktiv.
Sverige har genom sitt medlemskap i Europeiska unionen åtagit sig att genomföra direktivet. Uppfyller en medlemsstat inte sitt åtagande att på ett riktigt och fullständigt sätt genomföra ett EG-direktiv, kan någon annan medlemsstat eller kommissionen föra talan om saken vid EG-domstolen.30I vissa fall kan bestämmelser i ett EG-direktiv få genomslag på nationell nivå, trots att staten har låtit bli att i rätt tid införliva bestämmelserna i den nationella rättsordningen. Den enskilde som i förhållande till staten – eller något statsorgan – på grund av underlåtenheten inte har fått den rätt som EG-direktivet tillförsäkrar honom eller henne, kan då föra talan mot staten vid de nationella domstolarna (t.ex. om skadestånd för det att en myndighet på ett otillåtet sätt har behandlat personuppgifter). Det är också möjligt att staten på grund av sin underlåtenhet kan bli skadeståndsskyldig gentemot en enskild för det att denne inte har kunnat göra gällande sin rätt mot någon annan enskild (t.ex. ett privat företag som har behandlat personuppgifterna på ett otillåtet sätt).31
28 Jämför artikel 190 i EG-fördraget. 29 Se t.ex. artikel 176 i Anslutningsfördraget för Sverige. 30 Artikel 169–171 i EG-fördraget. 31 Det har nyligen tillsatts en utredning (Ju 1996:04) för att klarlägga hur svensk nationell skadeståndsrätt förhåller sig till EG-rättens principer om statens skadeståndsansvar mot den som lidit skada på grund av statens överträdelse av EGrätten, se dir. 1996:31.
3.1.3. Bakgrunden till direktivet
Direktivet har en lång förhistoria. Redan år 1990 lämnade kommissionen ett första förslag till direktiv.32 År 1991 yttrade sig Ekonomiska och sociala kommittén över förslaget33, och i ett yttrande år 1992 föreslog Europaparlamentet en rad förändringar i det ursprungliga förslaget.34Kommissionen omarbetade därefter förslaget och avlämnade i oktober 1992 ett reviderat förslag.35 Det reviderade förslaget, jämte kommissionens förklarande anmärkningar (i det följande kallade kommissionens förklaring), finns fogat till Datalagsutredningens slutbetänkande som bilaga
3. Först i februari 1995 kom rådet fram till en gemensam ståndpunkt36 och senare samma år kunde direktivet antas. I protokollet över det möte då rådet antog den gemensamma ståndpunkten intogs vissa förklaringar av rådet, kommissionen och olika enskilda medlemsstater. Något justerat eller på annat sätt färdigställt protokoll finns dock enligt uppgift inte hos Justitiedepartementet. Däremot finns hos departementet en till svenska språket översatt handling37 som upptar de förklaringar som skall tas in i protokollet. Handlingen har enligt beslut av Justitiedepartementet den 16 juni 199538 med stöd av den svenska offentlighetsprincipen lämnats ut till en journalist i Danmark, dock att uppgifter om vilka andra medlemsstater än Sverige som avgett förklaringar strukits. Handlingen med förklaringarna kallas i det följande mötesprotokollet. Direktivet inleds med en längre ingress omfattande 72 punkter där bakgrunden till och syftet med bestämmelserna i direktivet berörs (i det följande kallad ingressen). Det fria flödet av personuppgifter inom gemenskapen skall underlättas till gagn för den inre marknaden med fri rörlighet för varor, personer, tjänster och kapital. Detta skall ske genom att det i samtliga medlemsstater skapas en likvärdig, hög skyddsnivå när det gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv. Efter en
32 COM(90) 314 final – SYN 287 och EGT nr C 277, 5.11.1990, s. 3. 33 EGT nr C 159, 17.6.1991, s. 38. 34 EGT nr C 94, 13.4.1992, s. 198. 35 COM(92) 422 final – SYN 287 och EGT nr C 311, 27.11.1992, s. 30. 36 EGT nr C 93, 13.4.1995, s. 1. 37 Handlingen har EU:s beteckning 4730/95 ECO 20 och är daterad den 8 februari 1995. Protokollsförklaringarna översatta till danska finns intagna i Peter Blume, Personregistrering, 3. rev. udgave, 1996, s. 430 ff.
38 § 255, dnr Ju 95/2444.
sådan tillnärmning av medlemsstaternas lagstiftning, kan staterna inte längre hindra det fria flödet av personuppgifter inom gemenskapen med hänvisning till skyddet för enskilda personers fri- och rättigheter.
Det betonas vidare i ingressen att medlemsstaterna kommer att få ett handlingsutrymme i samband med genomförandet av direktivet och att staterna skall sträva efter att förbättra det skydd som deras nuvarande lagstiftning ger; tillnärmningen skall syfta till att garantera en hög skyddsnivå inom gemenskapen. Inom ramen för detta handlingsutrymme kan det alltså uppkomma skillnader vid genomförandet av direktivet.
Direktivets syfte kommer också till uttryck i själva direktivtexten (artikel 1). Medlemsstaterna skall i enlighet med direktivet skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.39 Och staterna får varken begränsa eller inskränka det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med detta skydd.
Vad medlemsstaterna får göra är att inom de begränsningar som de materiella bestämmelserna i (kapitel II i) direktivet innebär precisera på vilka villkor behandling av personuppgifter är tillåten (artikel 5). Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom gemenskapen. Medlemsstaterna kan närmare ange de allmänna villkoren för att tillåta behandling, liksom ange särskilda villkor för behandling inom vissa sektorer eller avseende vissa kategorier av personuppgifter. Staterna kan använda såväl generell lagstiftning som särskild lagstiftning, t.ex. avseende statistiska institut. (Se punkt 22 och 23 i ingressen, jämför punkt 68.)
I fråga om ingressen är det för svenskt vidkommande vidare viktigt att notera att det i punkt 72 anges att direktivet gör det möjligt att vid genomförandet av bestämmelserna ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar.40
I samtliga medlemsstater torde det för närvarande pågå arbete med att se över lagstiftningen för att genomföra direktivet. Våren 1996 offentlig-
39 I mötesprotokollet har rådet och kommissionen i anslutning till artikel 1.1 konstaterat att skyddet för grundläggande fri- och rättigheter, särskilt rätten till privatliv, innefattar skyddet av den personliga identiteten. 40 På engelska ”the principle of public access to official documents”, på franska ”le principe du droit d’accès du public aux documents administratifs”, på tyska ”der Grundsatz des öffentlichen Zugangs zu amtlichen Dokumenten”, på danska ”princippet om aktindsigt i offentlige dokumenter”.
gjorde den brittiska regeringen ett remissunderlag (Consultation Paper) som bl.a. innehåller vissa tolkningar av direktivets bestämmelser. I det följande kallas denna handling det brittiska remissunderlaget.
3.2. Tillämpningsområdet
3.2.1. Inledning
Direktivet gäller för behandling av personuppgifter som helt eller delvis företas på automatisk väg oavsett om personuppgifterna ingår i ett register. Direktivet omfattar emellertid även icke automatisk behandling av personuppgifter, om dessa ingår i eller är avsedda att ingå i ett register.41 (Artikel 3.1.) Det finns definitioner i direktivet av vad som avses med behandling, personuppgifter respektive register, se avsnitt 3.2.2.
I mötesprotokollet finns i anslutning till definitionen av register (artikel 2 c) följande: ”Rådet och kommissionen erkänner att de dokument på papper som tryckts på faxapparat eller persondator omfattas av de regler som är tillämpliga för manuella uppgifter och att de följaktligen endast ingår i tillämpningsområdet för detta direktiv om de är avsedda för ett register.”
Av kommissionens förklaring framgår att med uttryckssättet att behandlingen skall företas helt eller delvis på automatisk väg avses att en behandling utgör en enda enhet, även om bara en del av behandlingen, såsom ett index, är datoriserad.
3.2.2. Definitioner
3.2.2.1 Inledning
I artikel 2 finns det definitioner av en rad begrepp som förekommer i direktivet. Dessa definitioner av centrala begrepp kan sägas avgränsa tillämpningsområdet för bestämmelserna i direktivet.
41 I den svenska språkversionen av direktivet talas det om uppgifter som ”kommer att ingå i ett register”, medan det i den engelska språkversionen heter ”personal data which […] are intended to form part of a filing system”.
3.2.2.2 Personuppgifter och den registrerade
Med personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En person är identifierbar om han eller hon kan identifieras direkt eller indirekt, t.ex. genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans eller hennes fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Av punkt 14 i ingressen – och artikel 33 andra stycket – framgår att bild- och ljuduppgifter som rör fysiska personer omfattas av direktivet, jämför också punkt 15–17 i ingressen.
Uppgifter om juridiska personer omfattas inte av direktivet.42Det verkar inte krävas att den registrerade skall vara medborgare eller bosatt i en medlemsstat.
Det framgår inte av direktivtexten huruvida uppgifter om personer som ännu inte är födda eller som – i enlighet med svensk lagstiftning43 – betraktas som döda omfattas. I mötesprotokollet har emellertid rådet och kommissionen bekräftat att medlemsstaterna får bestämma om och i vilken utsträckning direktivet kan tillämpas på avlidna personer.44
I punkt 26 i ingressen betonas att man, för att avgöra om en person är identifierbar, skall beakta alla hjälpmedel som kan komma att användas för att identifiera personen. Däremot gäller inte direktivet för uppgifter som har gjorts anonyma på ett sådant sätt att personen inte längre är identifierbar. Uppförandekodexar kan användas för att ge vägledning om hur uppgifter kan göras anonyma och behållas i en form som gör det omöjligt att identifiera personen.
I kommissionens förklaring anges som exempel på direkt identifiering att personen kan identifieras genom namnet. Indirekt identifiering kan vara när personen kan identifieras genom ett telefonnummer, ett bilregistreringsnummer, ett socialförsäkringsnummer eller ett passnummer. Ett annat exempel är när identifieringen av en person sker genom en kombination av särskiljande kriterier (ålder, yrke, bostadsort etc.), vilka gör att personen kan kännas igen genom att den grupp han eller hon tillhör omfattar färre och färre andra personer. Det framgår vidare av kommissionens förklaring
42 Jämför punkt 24 i ingressen. 43 Jämför lagen (1987:269) om kriterier för bestämmande av människans död och bestämmelserna om dödförklaring i 25 kap. ärvdabalken. 44 Se också punkt 2.2 i det brittiska remissunderlaget.
att frågan om en person är identifierbar är oberoende av kostnaden för att fastställa personens identitet. Definitionen omfattar även uppgifter om utseende, röst, fingeravtryck och genetiska karakteristika.
I artikel 6.1 e finns bestämmelser om att personuppgifter skall förvaras på ett sätt som förhindrar identifiering under en längre tid än vad som är nödvändigt (se avsnitt 3.4.6). Och i artikel 8.7 finns bestämmelser rörande identifikationsnummer, dvs. personnummer (se avsnitt 3.6.4).
3.2.2.3 Behandling
Begreppet behandling av personuppgifter omfattar varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, oavsett om det sker på automatisk väg eller inte. Till exempel omfattas N insamling, N registrering, N organisering, N lagring, N bearbetning eller ändring, N återvinning, N inhämtande, N användning, N utlämnande genom översändande, spridning eller annat tillhandahållan-
de av uppgifter, N sammanställning eller samkörning, N blockering och N utplåning eller förstöring.
Det bör här erinras om att direktivet gäller för helt icke automatisk behandling av personuppgifter bara om dessa ingår i eller är avsedda att ingå i ett register (artikel 3.1, se avsnitt 3.2.1).
3.2.2.4 Register
Med register med personuppgifter avses varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. Det måste alltså vara fråga om en samling av personuppgifter, men det saknar betydelse om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Samlingen måste vidare vara strukturerad, och personuppgifterna måste vara tillgängliga enligt särskilda kriterier.
I punkt 27 i ingressen framhålls att innehållet i ett register måste vara strukturerat enligt särskilda kriterier, som avser enskilda personer, för att lätt ge tillgång till personuppgifterna. De olika kriterier som gör det möjligt att fastställa de enskilda delarna av en strukturerad samling personuppgifter kan, liksom de olika kriterier som gör det möjligt att få tillgång till en sådan samling, utformas av varje medlemsstat. Akter eller grupper av akter liksom deras omslag, vilka inte är strukturerade enligt särskilda kriterier, faller inte under några omständigheter inom direktivets tillämpningsområde.
3.2.2.5 Registeransvarig
Med registeransvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Den registeransvarige kan vara en fysisk eller juridisk person, en myndighet, en institution eller något annat organ.
I punkt 47 i ingressen berörs den situationen att ett meddelande som innehåller personuppgifter överförs genom förmedling av en organisation för telekommunikation eller elektronisk post, vars enda ändamål är att överföra sådana meddelanden. I sådana fall blir det normalt den från vilken meddelandet härrör – och inte den som tillhandahåller överföringstjänsten – som anses som registeransvarige i förhållande till de personuppgifter som meddelandet innehåller. Den som tillhandahåller överföringstjänsten blir däremot normalt att anse som registeransvarig i förhållande till behandlingen av de ytterligare personuppgifter som behövs för att kunna utföra tjänsten.
I artikel 18.2 andra strecksatsen – och i artikel 20.2 – finns det bestämmelser om uppgiftsskyddsombud som den registeransvarige utser (se avsnitt 3.13.3.3). I artikel 2 e finns det en definition av sådana registerförare som behandlar personuppgifter för den registeransvariges räkning (se avsnitt 3.2.2.6). Vidare finns det i artikel 4.2 bestämmelser som innebär att den registeransvarige i vissa fall måste utse en företrädare (se avsnitt 3.2.5). Också i artikel 10 och 11 talas det om den registeransvariges företrädare (se avsnitt 3.9), liksom i artikel 18.1 (se avsnitt 3.13.2). I artikel 8.3 berörs det fallet att en person som är ålagd tystnadsplikt, t.ex. inom hälso- och sjukvården, behandlar känsliga personuppgifter (se avsnitt 3.6.2.7).
3.2.2.6 Registerförare
Med registerförare avses den som behandlar personuppgifter för den registeransvariges räkning. Den registeransvarige kan vara en fysisk eller juridisk person, en myndighet, en institution eller något annat organ.
I artikel 17.2–4 finns det bestämmelser rörande förhållandet mellan den registeransvarige och registerföraren och om det avtal som måste finnas mellan dem (se avsnitt 3.12).
3.2.2.7 Tredje man
Med tredje man avses någon annan än den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna. En fysisk eller juridisk person, en myndighet, en institution eller något annat organ kan vara tredje man.
I kommissionens förklaring framhålls att den som arbetar för en annan organisation normalt är tredje man, även om organisationen tillhör samma företagsgrupp eller koncern. Å andra sidan kan ett lokalkontor hos en bank som behandlar kundkonton under huvudkontorets direkta ansvar inte anses som tredje man. Detsamma gäller anställda i ett försäkringsbolag. När det i stället gäller försäkringsmäklare kan deras ställning variera från fall till fall.
3.2.2.8 Mottagare
Med mottagare avses den till vilken uppgifterna lämnas ut oavsett om han eller hon är tredje man eller inte. Mottagaren kan vara en fysisk eller juridisk person, en myndighet, en institution eller något annat organ. Myndigheter som kan komma att ta emot uppgifter inom ramen för ett särskilt uppdrag45 skall dock inte betraktas som mottagare.
3.2.2.9 Samtycke
Med den registrerades samtycke avses varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.
45 På engelska ”particular inquiry”, på franska ”une mission d’enquête particulière”, på tyska ”ein einzeln Untersuchungsauftrag”.
I artikel 7 a (förutsättningar för att behandling av uppgifter skall vara tillåten) och artikel 26.1 a (överförande av uppgifter till tredje land) talas det om att den registrerade otvetydigt har lämnat sitt samtycke, och i artikel 8.2 a (förutsättningar för att behandling av känsliga uppgifter skall vara tillåten) talas det om att den registrerade har lämnat sitt uttryckliga samtycke.
I kommissionens förklaring till det reviderade direktivförslaget, som på denna punkt hade en något annan utformning än det antagna direktivet, anges att viljeyttringen kan vara muntlig eller skriftlig. Samtycket måste vara frivilligt i sådana fall där påtryckningar kan påverka den registrerade, t.ex. i en arbetsgivar–arbetstagarrelation. Samtycket måste vidare vara informerat så att den registrerade kan värdera för- och nackdelarna med att personuppgifter som rör honom eller henne behandlas och så att han eller hon kan utöva de rättigheter som direktivet ger honom eller henne. Den registeransvarige måste förse den registrerade med den information han eller hon behöver. Samtycket måste också vara särskilt46, vilket innebär att det måste avse en viss behandling som rör den registrerade och som utförs av en viss registeransvarig för vissa ändamål.
I artikel 10 finns det bestämmelser om information som skall lämnas till den registrerade när personuppgifter samlas in från honom eller henne (se avsnitt 3.9). Och i artikel 14 finns det bestämmelser om den registrerades rätt att motsätta sig viss behandling av personuppgifter (se avsnitt 3.7).
Punkt 70 i ingressen berör det fallet att ett avtal har slutits på grundval av ett frivilligt och informerat samtycke innan bestämmelserna i direktivet träder i kraft. Om en fortsatt behandling av känsliga uppgifter är nödvändig för att genomföra det avtalet, behöver den registrerade inte på nytt lämna sitt samtycke till denna behandling.
46 På engelska ”specific”, på franska ”spécifique”, på tyska ”für den konkreten Fall”.
3.2.3. Sådant som faller utanför gemenskapsrätten
Direktivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Som exempel anges sådan verksamhet som avses i avdelning V och VI i Fördraget om Europeiska unionen.47 Det anges vidare uttryckligen att direktivet inte under några omständigheter omfattar behandlingar som rör
a) allmän säkerhet,
b) försvar,
c) statens säkerhet (inbegripet statens ekonomiska välstånd när behand-
lingen har samband med frågor om statens säkerhet), och
d) statens verksamhet på straffrättens område.48 (Artikel 3.2 första streck-
satsen.)
I punkt 16 i ingressen pekas det särskilt på att behandling av ljud- och bilduppgifter, t.ex. i samband med videoövervakning, inte omfattas av direktivet om behandlingen utförs för att tillgodose den allmänna säkerheten, försvaret, statens säkerhet eller någon annan statens verksamhet på straffrättens område, jämför också punkt 13.
I kommissionens förklaring anges säkerhetstjänst49 som exempel på en aktivitet som faller utanför tillämpningsområdet.
3.2.4. Privat användning av personuppgifter
Direktivet gäller inte för sådan behandling av personuppgifter som en fysisk person bedriver som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll50 (artikel 3.2 andra strecksatsen).
Av mötesprotokollet framgår att rådet och kommissionen anser att det inte är tillåtet att med hänvisning till den bestämmelsen undanta behand-
47 Dessa avdelningar i fördraget innehåller bestämmelser om en gemensam utrikes- och säkerhetspolitik respektive bestämmelser om samarbete i rättsliga och inrikes frågor. 48 Punkten 21 i ingressen innehåller en erinran om att direktivet inte påverkar de territorialitetsregler som gäller på straffrättens område. 49 På engelska ”secret services”. 50 På engelska ”a purely personal or household activity”, på franska ”d’activités exclusivement personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familieärer Tätigkeiten”.
ling av personuppgifter som utförs av en enskild person när dessa uppgifter förmedlas inte bara till en eller flera personer utan till ett obestämt antal personer.
I punkt 12 i ingressen framhålls att en fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk51, såsom korrespondens eller förandet av adressregister, inte omfattas av direktivet.
I kommissionens förklaring ges som exempel förandet av en elektronisk dagbok.
Utöver undantagen för sådant som inte omfattas av gemenskapsrätten och privat användning av personuppgifter finns det inte några tillåtna generella undantag från direktivets tillämpning. Medlemsstaterna skall dock besluta om för yttrandefriheten nödvändiga undantag och avvikelser beträffande behandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (artikel 9, se avsnitt 3.3). I enlighet med vad som anges i artikel 13 är det också möjligt för medlemsstaterna att genom lagstiftning göra nödvändiga undantag och begränsningar i fråga om vissa bestämmelser i direktivet av hänsyn till statens säkerhet eller allmän säkerhet m.m. (se avsnitt 3.11). I det följande kommer att framgå att medlemsstaterna även i övrigt kan, under närmare angivna förutsättningar, besluta om vissa avvikelser m.m. från en del av bestämmelserna i direktivet.
3.2.5. Det territoriella tillämpningsområdet
I punkt 18 i ingressen framhålls att varje behandling av personuppgifter inom gemenskapen skall ske i enlighet med lagstiftningen i en av medlemsstaterna. Behandling som utförs på uppdrag av en registeransvarig som är etablerad i en medlemsstat skall regleras av den statens lagstiftning (tydligen även om själva behandlingen sker utanför gemenskapen). I punkt 19 i ingressen framhålls vidare att verksamhetens juridiska form inte har någon avgörande betydelse vid bedömningen av om en registeransvarig är etablerad i en viss stat; det kan vara fråga om såväl en filial som ett dotterbolag som är en juridisk person. Om en enda registeransvarig är etablerad i flera medlemsstater, t.ex. genom dotterbolag, måste han eller hon se till att
51 På engelska ”activities which are exclusively personal or domestic”, på franska ”d’activités exclusivement personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familieärer Tätigkeiten”.
varje verksamhet uppfyller bestämmelserna i den tillämpliga nationella lagstiftningen.
Punkten 21 i ingressen innehåller en erinran om att direktivet inte påverkar de territorialitetsregler som gäller på straffrättens område.
I själva direktivet finns i artikel 4 följande bestämmelser.52En medlemsstat skall tillämpa de nationella bestämmelser som antas för att genomföra direktivet när behandlingen av personuppgifter utförs som ett led i aktiviteter av en registeransvarig som är etablerad inom statens territorium. Om en registeransvarig är etablerad53 inom flera medlemsstaters territorier, skall han eller hon vidta nödvändiga åtgärder för att säkerställa att alla verksamheter54 uppfyller kraven enligt den tillämpliga nationella lagstiftningen. (Artikel 4.1 a.)
En medlemsstat skall också tillämpa sina nationella bestämmelser när den registeransvarige inte är etablerad inom någon medlemsstats territorium utan på en plats där statens lagstiftning gäller på grund av folkrätten (artikel 4.1 b).
Om en registeransvarig som inte är etablerad på gemenskapens territorium använder utrustning – automatiserad eller annan – som befinner sig på en medlemsstats territorium, skall den statens nationella bestämmelser tillämpas, och den registeransvarige måste då utse en företrädare för sig som är etablerad inom statens territorium. Detta gäller dock inte om utrustningen bara används för att låta uppgifter passera genom gemenskapen. (Artikel 4.1 c och 4.2, jämför punkt 20 i ingressen.)
I kommissionens förklaring anges terminaler och frågeformulär som exempel på utrustning eller hjälpmedel.55
I artikel 10–11 och 18 finns det bestämmelser som ålägger den registeransvariges företrädare skyldighet att informera den registrerade respektive att göra anmälan till tillsynsmyndigheten (se avsnitt 3.9 och 3.13.2).
52 Referatet av artikel 4 har, liksom referatet av innehållet i punkt 18–19 i ingressen, utformats med beaktande av flera språkversioner av direktivet, eftersom den svenska språkversionen kan betraktas som något tvetydig i vissa avseenden. 53 På engelska ”established”, på franska ”établi”. 54 På engelska ”each of these establishments”, på franska ”chacun de ses établissements”. 55 I kommissionens reviderade förslag till direktiv används den engelska termen ”means”. I det antagna direktivet används i stället på engelska termen ”equipment” (på franska ”moyens”, på tyska ”Mittel”), men i punkt 20 i ingressen finns termen ”means” fortfarande kvar.
Tillsynsmyndigheten i en stat skall ha behörighet att utöva sina befogenheter inom den statens territorium oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen (artikel 28.6, se avsnitt 3.17).
3.3. Förhållandet till yttrandefriheten
Medlemsstaterna skall besluta om undantag och avvikelser från de flesta materiella bestämmelser i direktivet56 för behandling av personuppgifter som sker uteslutande för N journalistiska ändamål, N konstnärligt skapande eller N litterärt skapande.
Sådana undantag och avvikelser får dock beslutas bara om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten. (Artikel 9.)
Sverige har i mötesprotokollet fått infört: ”Sverige anser att begreppet konstnärliga och litterära uttryck mer syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet.” En annan medlemsstat har vidare i protokollet förklarat sin avsikt att använda undantagen i artikel 9 för all den verksamhet inom den audiovisuella sektorn som omfattas av direktivet.
I punkt 37 i ingressen hänvisas i fråga om yttrandefriheten till den rätt att ta emot och lämna upplysningar som slås fast i artikel 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Det betonas att den avvägning mellan rätten till privatlivet och yttrandefriheten som medlemsstaterna skall göra inte får leda till beslut om undantag från åtgärder som vidtas för att säkerställa behandlingens säkerhet. Tillsynsmyndigheten bör utrustas med i vart fall vissa befogenheter som kan utövas efter behandlingens genomförande, exempelvis befogenhet att med jämna mellanrum offentliggöra en rapport eller att överlämna ärenden till rättsliga myndigheter. I fråga om konstnärligt och
56 Undantag och avvikelser får göras från de materiella bestämmelserna om behandling av personuppgifter (kapitel II), om överföring till tredje land (kapitel IV) och om tillsynsmyndighetens befogenheter (kapitel VI). Från bestämmelserna i kapitel I (allmänna bestämmelser), kapitel III (rättslig prövning, ansvar och sanktioner), kapitel V (uppförandekodex) och kapitel VII (gemenskapens åtgärder för genomförandet) får däremot avvikelser eller undantag inte göras.
litterärt skapande hänvisas särskilt till det audiovisuella området (se också punkt 17 i ingressen).
I kommissionens förklaring anges som exempel på faktorer som kan beaktas vid den intresseavvägning som skall ske N möjligheten till rättslig prövning eller rätten till replik, N förekomsten av en uppförandekodex, N de gränser som läggs fast i den europeiska människorättskonventionen
och N allmänna rättsprinciper.
I kommissionens reviderade direktivförslag avsågs uttrycket journalister inkludera såväl fotojournalister som skribenter, såsom biografer (levnadstecknare).
Den brittiska regeringen anser, enligt det brittiska remissunderlaget (punkt 4.19), att det står klart att ett generellt undantag för pressen inte är förenligt med direktivet.
Genom artikel 13.1 tillåts medlemsstaterna att göra nödvändiga avvikelser från vissa bestämmelser i direktivet med hänsyn till skyddet för den registrerades eller andras fri- och rättigheter (se avsnitt 3.11).
3.4. Grundläggande krav på uppgiftsbehandlingen
3.4.1. Inledning
I artikel 6.1 finns det – under rubriken Principer om uppgifternas kvalitet – vissa grundläggande krav som måste vara uppfyllda för att behandling av personuppgifter skall kunna tillåtas. Det åligger den registeransvarige att säkerställa att kraven efterlevs (artikel 6.2). Medlemsstaterna skall inom de begränsningar som bl.a. bestämmelserna i artikel 6 innebär närmare precisera på vilka villkor uppgiftsbehandling är tillåten (artikel 5).
I artikel 13.1 finns det bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 6.1 (se avsnitt 3.11).
3.4.2. Korrekt och laglig behandling
Personuppgifter skall behandlas på ett korrekt och lagligt sätt.57
I punkt 38 i ingressen anges att en korrekt behandling förutsätter att de registrerade får kännedom om behandlingen och att de – när uppgifterna samlas in hos dem – kan få korrekt och fullständig information med hänsyn till de närmare omständigheterna vid insamlingen (se artikel 10 och avsnitt 3.9).
I artikel 7 – se avsnitt 3.5 – anges det kriterier för när en behandling av personuppgifter kan anses laglig (se också punkt 30 och 31 i ingressen).
Enligt kommissionens förklaring innebär kravet på korrekt och laglig behandling att man inte får använda dolda anordningar för att i hemlighet samla in uppgifter utan att den registrerade känner till det, t.ex. telefonavlyssning och liknande. Kravet på korrekt och laglig behandling förhindrar också att de registeransvariga utvecklar och använder hemliga eller ljusskygga behandlingsmetoder för personuppgifter.
3.4.3. Ändamålet med behandlingen
Personuppgifter skall samlas in för särskilda, uttryckligt angivna ändamål. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Under förutsättning att medlemsstaterna beslutar om lämpliga skyddsåtgärder skall dock senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses oförenlig med de ursprungliga ändamålen.
Av punkt 28 i ingressen framgår att ändamålen med behandlingen skall vara bestämda redan när uppgifterna samlas in och att sådana ändamål som läggs fast först därefter inte får vara oförenliga med de ändamål som ursprungligen angavs. I punkt 29 i ingressen anges att de skyddsåtgärder som staterna beslutar om när det gäller senare behandling för historiska, statistiska eller vetenskapliga ändamål särskilt skall hindra att uppgifterna används för att vidta åtgärder mot en viss person eller för att fatta ett beslut som rör honom eller henne.
Av kommissionens förklaring framgår att kravet att insamlingen skall ske för ett särskilt ändamål innebär att avsikten med insamlandet och an-
57 På engelska ”fairly and lawfully”, på franska ”loyalement et licitement”, på tyska ”nach Treu und Glaube und auf rechtsmäßige Weise”.
vändningen av personuppgifterna skall definieras på ett så precist sätt som möjligt. En generell eller vag definition eller beskrivning av ändamålet med behandlingen – såsom ”för kommersiella ändamål” – uppfyller inte kravet. Det framhålls vidare att den registeransvarige är skyldig att bestämma ändamålet för lagring av personuppgifterna.
I artikel 10–11 finns det bestämmelser om att den registrerade skall informeras om ändamålen med behandlingen (se avsnitt 3.9).
3.4.4. Personuppgifterna skall vara adekvata, relevanta och inte för omfattande
Personuppgifterna skall vara adekvata och relevanta och de får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna har samlats in eller58 för vilka de senare behandlas.
Av kommissionens förklaring framgår att denna bestämmelse innebär att uppgifternas beskaffenhet måste korrespondera med det mål man vill uppnå med behandlingen.
3.4.5. Personuppgifterna skall vara riktiga och aktuella
Personuppgifterna skall vara riktiga och de skall också, om det är nödvändigt, vara aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att sådana personuppgifter, som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlats in eller för vilka de senare behandlas, utplånas eller rättas.
I artikel 12 b finns det bestämmelser om att den registrerade har rätt att få felaktiga och ofullständiga uppgifter rättade, utplånade eller blockerade (se avsnitt 3.10.3). I artikel 17 finns det bestämmelser om säkerheten vid behandling av personuppgifter (se avsnitt 3.12). I artikel 28.3 första stycket andra strecksatsen finns det bestämmelser om att tillsynsmyndigheten skall ha befogenhet att besluta om bl.a. blockering, utplåning eller förstöring av uppgifter (se avsnitt 3.17).
58 I den svenska språkversionen används här ”och”, medan den engelska och den tyska versionen använder ”and/or” respektive ”und/oder”. I den franska versionen används ”et”.
3.4.6. Personuppgifterna får inte förvaras längre än nödvändigt
Personuppgifter skall förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlats in eller för vilka de senare behandlas. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för sådana personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.
Personuppgifter, dvs. upplysningar om en identifierbar fysisk person, får alltså lagras bara så länge det är nödvändigt med hänsyn till ändamålen med behandlingen, inklusive historiska, statistiska eller vetenskapliga ändamål. Därefter måste uppgifterna avidentifieras (eller förstöras).
Av kommissionens förklaring framgår att medlemsstaterna genom skyddsåtgärder för sådana personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål kan förena – på den ena sidan – principen om att behandlingen skall ha ett lagligt ändamål och anspråket på att ens förflutna någon gång skall vara glömt med – på den andra sidan – de krav som forskningen ställer.
I artikel 17 finns det bestämmelser om säkerheten vid behandling av personuppgifter (se avsnitt 3.12).
3.5. Förutsättningar för att uppgiftsbehandling skall kunna tillåtas
3.5.1. Inledning
I artikel 7 anges det – under rubriken Principer som gör att uppgiftsbehandling kan tillåtas – att medlemsstaterna skall föreskriva att personuppgifter får behandlas bara i de sex fall som räknas upp i artikeln; uppgiftsbehandling i andra fall är inte laglig. Medlemsstaterna skall inom de begränsningar som bl.a. bestämmelserna i artikel 7 innebär närmare precisera på vilka villkor uppgiftsbehandling är tillåten (artikel 5).
I artikel 8 finns det bestämmelser om att behandling av vissa särskilt känsliga uppgifter är förbjuden (se avsnitt 3.6).
3.5.2. Samtycke
Behandling av personuppgifter är tillåten om den registrerade otvetydigt har lämnat sitt samtycke.
Av artikel 2 h framgår att med samtycke avses varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne (se avsnitt 3.2.2.9).
3.5.3. I samband med avtal
Personuppgifter får behandlas om det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part. Sådan behandling får också ske om det är nödvändigt för att – på begäran av den registrerade – vidta åtgärder innan ett avtal59 ingås.
3.5.4. Rättslig förpliktelse
Det är tillåtet att behandla personuppgifter om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse60 som åvilar den registeransvarige.
I kommissionens reviderade direktivförslag innebar bestämmelsen att uppgiftsbehandling var tillåten om den var nödvändig för att fullgöra en skyldighet som ålagts i nationell rätt eller i gemenskapsrätten.61
Att bestämmelsen omfattar t.ex. sådan uppgiftsbehandling som är nödvändig för att företag skall kunna fullgöra sina skyldigheter i fråga om skattelagstiftningen eller arbetsrätten torde vara klart. Det är mera osäkert om bestämmelsen också omfattar sådan uppgiftsbehandling som är nöd-
59 I den svenska språkversionen talas det om ett ”sådant” avtal, dvs. ett avtal i vilket den registrerade, dvs. en fysisk person, är part. Motsvarande bestämning av avtalet finns inte i den engelska, den franska eller den tyska språkversionen, vilket kan ha betydelse när en registrerad som företräder en juridisk person begär åtgärder innan avtal ingås med den juridiska personen. 60 På engelska ”legal obligation”, på franska ”obligation légale”, på tyska ”rechtliche Verplichtung”. 61 På engelska ”processing is necessary in order to comply with an obligation imposed by national law or by Community law”.
vändig för att fullgöra en rättslig förpliktelse enligt ett avtal som den registeransvarige frivilligt har ingått med någon annan än den registrerade.62
3.5.5. För att skydda vitala intressen
Behandling av personuppgifter får tillåtas om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade.
I den engelska språkversionen talas det om ”vital interests”.63 Ordet ”vital” har flera betydelser i engelskan och kan betyda såväl det som den svenska språkversionen anger som något som är livsviktigt.64 Och i punkt 31 i ingressen talas det just om att uppgiftsbehandlingen sker för att skydda ett intresse som är av avgörande betydelse för den registrerades liv. Också i kommissionens förklaring talas det om den situationen att den registrerade har ett ”vitalt” intresse att få sina uppgifter behandlade, men inte kan lämna sitt samtycke, t.ex. när det är fråga om ett allvarligt medicinskt fall.65
Det kan noteras att det är bara vitala intressen för den registrerade – och inte t.ex. sådana intressen hos hans eller hennes minderåriga barn – som kan göra uppgiftsbehandlingen tillåten enligt denna bestämmelse.66 I artikel 8.2 c finns det däremot bestämmelser om att behandling av särskilt känsliga uppgifter kan tillåtas också om den är nödvändig för att skydda någon annans vitala intressen (se avsnitt 3.6.2.3); uppgiftsbehandling måste då i sig vara tillåten enligt någon annan punkt i artikel 7, t.ex. enligt punkt e eller f (se avsnitt 3.5.6 och 3.5.7).
62 Uppgiftsbehandling för att fullgöra ett avtal med den registrerade omfattas av en annan bestämmelse (artikel 7 b), se avsnitt 3.5.3. 63 På franska ”intérêt vital”, på tyska ”lebenswichtige Interessen” 64 Se punkt 3.9 i det brittiska remissunderlaget. 65 Jan Evers anser att direktivet lämnar öppet om det finns andra vitala intressen än liv och hälsa som kan få skyddas enligt denna bestämmelse, se EG och behandling av personuppgifter, 1993, s. 17. 66 Jämför också artikel 26.1 e beträffande överföring av personuppgifter utanför gemenskapen.
3.5.6. Myndighetsutövning eller allmänt intresse
Behandling av personuppgifter är tillåten om den är nödvändig för att utföra en arbetsuppgift som är antingen N av allmänt intresse eller N ett led i myndighetsutövning som utförs av den registeransvarige eller
den tredje man till vilken uppgifterna har lämnats ut.
I punkt 32 i ingressen anges att det ankommer på den nationella lagstiftningen att avgöra om den registeransvarige som utför en behandling i allmänt intresse eller som ett led i myndighetsutövning skall vara en myndighet eller något annat offentligrättsligt eller civilrättsligt subjekt, t.ex. en yrkesorganisation.67 I artikel 8.5 finns det däremot bestämmelser om att behandling av personuppgifter om brott m.m. i vissa situationer måste utföras i vart fall under myndighetskontroll (se avsnitt 3.6.3).
3.5.7. Efter en intresseavvägning
Det är slutligen möjligt att tillåta behandling av personuppgifter efter en intresseavvägning. Behandlingen måste då vara nödvändig för ändamål som rör berättigade intressen hos den registeransvarige – eller hos den eller de tredje män till vilka uppgifterna har lämnats ut – och dessa intressen får inte uppvägas av den registrerades intressen eller sådana grundläggande fri- och rättigheter för honom eller henne som skall skyddas av direktivet (enligt artikel 1.1).68
I punkt 30 i ingressen framhålls det att medlemsstaterna – för att garantera en jämvikt mellan berörda intressen och för att samtidigt säkerställa en
67 Enligt punkt 30 i ingressen i den svenska språkversionen skulle behandlingen vara tillåten om den ”fordras enligt lagstiftning vid utförandet av något som är i det allmännas intresse eller är ett led i myndighetsutövning”. I de engelska, franska och tyska språkversionerna finns det inget motsvarande krav på lagstiftning vid allmänt intresse eller myndighetsutövning. Möjligen är det fråga om ett skrivfel i den svenska versionen; betydelsen blir en annan om ordet ”eller” sätts in efter ordet ”lagstiftning”, vilket är fallet i de engelska och franska versionerna. 68 I den engelska språkversionen talas det bara om den registrerades intresse av att få åtnjuta fri- och rättigheter (”interests for fundamental rights and freedoms of the data subject”), medan det i den franska och tyska språkversionen talas om detsamma som i den svenska, dvs. den registrerades intressen eller fri- och rättigheter. Det kan möjligen vara fråga om ett skrivfel i den engelska versionen; betydelsen blir en annan om ordet ”for” byts ut mot ”or”.
effektiv konkurrens – får närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som utövas av företag och andra organ i deras löpande verksamhet. Staterna får även närmare ange på vilka villkor personuppgifter får vidarebefordras till tredje man i marknadsföringssyfte. Detta gäller oavsett om vidarebefordrandet sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, t.ex. av politisk karaktär. En förutsättning är dock att de regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att uppgifter som rör honom eller henne behandlas (se artikel 14 1 st. b och avsnitt 3.7.3).
Av punkt 30 i ingressen framgår vidare att det kan vara fråga om berättigade intressen hos såväl en juridisk som en fysisk person.69
3.6. Behandling av särskilt känsliga uppgifter
3.6.1. Ett principiellt förbud mot behandling av uppgifter om ras eller etniskt ursprung, religiösa, filosofiska eller politiska åsikter, fackföreningsmedlemskap, hälsa och sexualliv
I artikel 8 föreskrivs att medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar N ras eller etniskt ursprung, N politiska åsikter, N religiös eller filosofisk övertygelse eller N medlemskap i fackförening
eller som rör N hälsa eller N sexualliv.70
I kommissionens förklaring anges att information om hudfärg innefattas i bestämmelsen om ras eller etniskt ursprung. När det gäller religiös eller filosofisk övertygelse omfattas en uppgift om att någon inte har någon reli-
69 Detta framgår också av punkt 45 i ingressen i den engelska språkversionen. 70 I den svenska, den franska och den danska språkversionen anges hälsa och sexualliv, medan det i den engelska och tyska språkversionen talas om hälsa eller sexualliv.
giös tro, liksom information om aktiviteter som hör samman med en sådan övertygelse. I fråga om uppgifter som rör hälsa omfattas uppgifter om den registrerades tidigare, nuvarande och framtida fysiska och psykiska hälsa samt uppgifter om missbruk av droger eller alkohol.
Av mötesprotokollet framgår att rådet och kommissionen anser att medlemsstaterna får, i enlighet med artikel 5, precisera de kategorier av känsliga uppgifter som anges i artikel 8.1 med hänsyn till landets juridiska och sociologiska särdrag, t.ex. vad beträffar uppgifter som rör genetisk identitet, partipolitisk tillhörighet, fysisk hälsa, personliga övertygelser eller vanor, osv.
3.6.2. Undantag från förbudet
3.6.2.1 Samtycke
Förbudet mot behandling av känsliga personuppgifter gäller inte om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. I medlemsstaternas lagstiftning kan det dock anges att förbudet mot behandling av känsliga personuppgifter inte kan upphävas ens med den registrerades samtycke.
3.6.2.2 Inom arbetsrätten
Känsliga personuppgifter får behandlas när behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten.71 Detta gäller i den omfattning behandlingen är tillåten enligt nationell lagstiftning där lämpliga skyddsåtgärder föreskrivs.
Av mötesprotokollet framgår att rådet och kommissionen anser att varje överenskommelse mellan arbetsmarknadens parter omfattas här.
3.6.2.3 För att skydda vitala intressen
Det är tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig för att skydda den registrerades eller någon annan persons
71 På engelska ”in the field of employment law”, på franska ”en matière de droit du travail”, på tyska ”auf dem Gebit des Arbeitsrechts”.
grundläggande intressen (”vital interests”) när den registrerade är fysiskt eller rättsligt förhindrad att lämna sitt samtycke.
Se rörande uttrycket grundläggande intressen (”vital interests”) avsnitt 3.5.5 ovan.
3.6.2.4 Politiska, filosofiska, religiösa och fackliga organisationer
Känsliga personuppgifter får behandlas om behandlingen utförs inom ramen för berättigad verksamhet hos ett icke vinstdrivande organ – t.ex. en stiftelse eller en förening – som har ett syfte som är N politiskt, N filosofiskt, N religiöst eller N fackligt.
För att sådan behandling skall vara tillåten förutsätts dock N att uppgifterna inte lämnas ut till tredje man utan den registrerades sam-
tycke och N att behandlingen endast rör
— sådana organs medlemmar eller — personer som på grund av organets ändamål har regelbunden kon-
takt med detta.
För sådan behandling som nu avses är det möjligt att föreskriva undantag från eller förenklingar av den anmälningsprocedur som annars skall iakttas innan en behandling genomförs (artikel 18.4, se avsnitt 3.13.3.5).
3.6.2.5 Den registrerades offentliggörande
Det är tillåtet att behandla känsliga personuppgifter som på ett tydligt sätt offentliggörs av den registrerade.
Ett exempel här skulle kunna vara uppgifter om politiska förhållanden som rör politiska representanter, t.ex. riksdagsledamöters partitillhörighet och åsikter som förts fram i riksdagen.
3.6.2.6 Nödvändig med hänsyn till rättsliga anspråk
Behandling av känsliga uppgifter får ske när behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.
En medlemsstat har i mötesprotokollet anfört att den utgår från att den princip som här slås fast också omfattar motsvarande användning av upp-
gifter i förfaranden inför andra statliga organ i den utsträckning som dessa förfaranden föregår förfaranden inför domstol.
3.6.2.7 Hälso- och sjukvård
Förbudet mot behandling av känsliga uppgifter gäller inte när behandlingen är nödvändig med hänsyn till N förebyggande hälso- och sjukvård, N medicinska diagnoser, N vård eller behandling eller N administration av hälso- eller sjukvård.
Förbudet gäller inte heller när sådana uppgifter behandlas antingen N av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet
och som är underkastad tystnadsplikt72 enligt nationell lagstiftning eller bestämmelser som har antagits av behöriga nationella organ eller N av någon annan person som är underkastad en liknande tystnadsplikt73.
Det verkar inte krävas att behandlingen är nödvändig för något visst ändamål, t.ex. inom hälso- och sjukvårdsområdet, i det fallet att den utförs av någon som är underkastad tystnadsplikt; däremot måste behandlingen givetvis falla under någon av de grundläggande förutsättningar som gör att behandlingen över huvud taget kan tillåtas (se artikel 7 och avsnitt 3.5).
Det verkar vidare inte krävas att den person med tystnadsplikt som behandlar de känsliga personuppgifterna skall vara registeransvarig (eller registerförare) eller ens att han eller hon är yrkesmässigt verksam på hälso- och sjukvårdsområdet.
3.6.2.8 Viktigt allmänt intresse
Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten göra även andra undantag än de som tidigare nämnts från förbudet mot behandling av känsliga personuppgifter. Detta får dock bara göras av hänsyn till ett viktigt allmänt intresse, och det är en ytterli-
72 På engelska ”subject to […] the obligation of professional secrecy”, på franska ”secret professionel”, på tyska ”Berufsgeheimnis”. 73 På engelska ”equivalent obligation of secrecy”, på franska ”obligation de secret équivalente”, på tyska ”entsprechenden Geheimhaltungsplicht”.
gare förutsättning att det finns lämpliga skyddsåtgärder. Sådana undantag som görs med stöd av denna bestämmelse skall anmälas till kommissionen.
I punkt 34 i ingressen anges följande. När det av hänsyn till viktiga allmänna intressen är nödvändigt måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på vissa områden. Som exempel på områden och fall där avvikelser kan ske nämns N folkhälsa, N socialskydd, särskilt för att säkerställa kvalitet och lönsamhet i samband
med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, N i samband med vetenskaplig forskning och N i samband med offentlig statistik.
Det betonas att det dock åligger medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.
I punkt 35 i ingressen klargörs att myndigheters behandling av personuppgifter för officiellt erkända religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga allmänna intressen. Punkt 36 i ingressen behandlar det fallet att de politiska partierna i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattning i samband med att allmänna val hålls. Om det är nödvändigt för att det demokratiska systemet skall fungera, får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen under förutsättning att lämpliga garantier föreskrivs.
Av kommissionens förklaring framgår att undantag skulle kunna göras för internationella människorättsorganisationer som behöver känsliga personuppgifter för sitt arbete, förutsatt att dessa kan erbjuda lämpliga skyddsåtgärder.
Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.
3.6.3. Uppgifter om brott m.m.
Det finns inte något principiellt förbud mot att behandla personuppgifter om brott eller liknande. Men i artikel 8.5 finns det särskilda regler rörande behandling av uppgifter om N lagöverträdelser, N brottmålsdomar eller N säkerhetsåtgärder.74
Behandling av sådana uppgifter får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de avvikelser som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.
Det är tillåtet för medlemsstaterna att föreskriva att uppgifter som rör administrativa sanktioner och avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.
I artikel 8.6 finns det en bestämmelse om att de avvikelser från artikel 8.1 som har tillåtits i enlighet med artikel 8.5 skall anmälas till kommissionen. Eftersom behandling av de uppgifter om brott m.m. som avses i artikel 8.5 inte i sig verkar omfattas av förbudet i artikel 8.1, är det svårt att säga vilken räckvidd denna anmälningsskyldighet har.
3.6.4. Användning av personnummer
Enligt artikel 8.7 skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.
74 På engelska ”offences, criminal convictions or security measures”, på franska ”aux infractions, aux condamnations pénales ou aux measures de sûreté”, på tyska ”Straftaten, strafrechtliche Verurteilungen oder Sicherungsmassregeln”.
3.7. Rätten att motsätta sig uppgiftsbehandling
3.7.1. Inledning
I artikel 14 finns det – under rubriken Den registrerades rätt att göra invändningar – bestämmelser om att medlemsstaterna skall tillförsäkra den registrerade rätt att motsätta sig att personuppgifter om honom eller henne behandlas. Det gäller i vissa fall när den registrerade har avgörande och berättigade skäl (artikel 14 1 st. a och avsnitt 3.7.2) och i samband med behandling som rör direkt marknadsföring (artikel 14 1 st. b och avsnitt 3.7.3). Medlemsstaterna skall vidare vidta nödvändiga åtgärder för att säkerställa att de registrerade känner till sina rättigheter i samband med behandling som rör direkt marknadsföring (artikel 14 2 st.).
3.7.2. I vissa fall vid avgörande och berättigade skäl
Den registrerade skall ha rätt att motsätta sig behandling av uppgifter som rör honom eller henne, om han eller hon har avgörande och berättigade skäl75 som rör hans eller hennes personliga situation. Detta skall gälla åtminstone i de fall som avses i artikel 7 e och f (se avsnitt 3.5.6 och 3.5.7), dvs. vid uppgiftsbehandling i allmänt intresse eller i samband med myndighetsutövning och vid sådan uppgiftsbehandling som är tillåten efter en intresseavvägning. Men det är tillåtet att i den nationella lagstiftningen föreskriva något annat, dvs. att den registrerade inte har någon sådan rätt att motsätta sig uppgiftsbehandling. När den registrerades invändning är berättigad76, får en behandling som har påbörjats av den registeransvarige inte längre avse uppgifter som rör den registrerade.
Av det brittiska remissunderlaget framgår att det – under förhandlingarna om direktivet – som exempel på giltigt skäl att motsätta sig behandling av personuppgifter angavs det fallet att uppgifterna, även om de behandlades i enlighet med bestämmelserna i direktivet, förmodligen skulle i praktiken komma att falla i händerna på någon som den registrerade kände.
75 På engelska ”compelling legitimate grounds”, på franska ”raisons prépondérantes et légitimes”, på tyska ”überwiegende, schutzwürdige […] Gründe”. 76 På engelska ”justified objection”, på franska ”opposition justifiée”, på tyska ”berechtigte Widerspruch”.
3.7.3. Direkt marknadsföring
Den registrerade skall ha rätt att efter anmodan och utan kostnader motsätta sig behandling av sådana
personuppgifter som rör honom eller henne och som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring
eller att få bli informerad innan personuppgifter för första gången lämnas ut till
tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring
och att uttryckligen få ett erbjudande om att utan kostnad motsätta sig ett
sådant utlämnande eller sådan användning.
I punkt 30 i ingressen talas det om kommersiell eller annan marknadsföring, se närmare under avsnitt 3.5.7. Av punkt 71 i ingressen framgår det att direktivet inte hindrar en medlemsstat från att anta bestämmelser om sådan marknadsföring som riktar sig till konsumenter som har hemvist inom dess territorium, förutsatt att dessa bestämmelser inte rör skyddet av enskilda personer med avseende på behandling av personuppgifter.
3.8. Rätten att slippa automatiserade beslut
Artikel 15 behandlar beslut som har rättsliga följder för en person eller som märkbart påverkar honom eller henne. Varje person skall ha rätt att inte bli föremål för ett sådant beslut som enbart grundas på automatisk databehandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom eller henne, t.ex. hans eller hennes arbetsprestationer, kreditvärdighet, pålitlighet eller uppträdande. (Artikel 15.1.)
Om inte något annat följer av övriga bestämmelser i direktivet, skall medlemsstaterna dock föreskriva att en person får bli föremål för ett sådant beslut i två fall (artikel 15.2).
Det första fallet avser den situationen att beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal. Som förutsättning gäller emellertid här antingen att den registrerades begäran om ingående eller fullgörande av avtalet har
bifallits
eller att det vidtas lämpliga åtgärder för att skydda hans eller hennes berätti-
gade intressen, exempelvis en möjlighet för honom eller henne att göra sin uppfattning gällande. (Artikel 15.2 a.)
Det andra fallet är när beslutet har tillåtits i en lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen.
I kommissionens förklaring framhålls att det skall vara fråga om ett beslut som grundar sig enbart på automatisk databehandling. Det som är förbjudet är att slaviskt följa det resultat som har producerats av ett system för automatisk databehandling. Den automatiska databehandlingen kan vara ett stöd vid beslutsfattandet, men behandlingen får inte utgöra slutresultatet utan det måste finnas utrymme för en mänsklig bedömning. Det skulle t.ex. strida mot denna princip, anför kommissionen, att en arbetsgivare avvisar en arbetssökande bara på grund av dennes resultat vid en datorbaserad psykologisk utvärdering eller att använda sådan programvara för utvärdering för att ta fram en lista där jobbsökande betygsätts och rangordnas enbart på grund av ett personlighetstest.
När det gäller undantaget i samband med avtal framhåller kommissionen att medlemsstaterna kan precisera vilka lämpliga åtgärder som kan vidtas för att skydda den registrerades intressen. Sådana skyddsåtgärder kan vara föreskrivna i lag, framgå av den underrättelseprocedur som skall tillämpas eller framgå av de interna åtgärder som har vidtagits inom den registeransvariges organisation.
I artikel 12 a tredje strecksatsen finns det en bestämmelse om att den registrerade har rätt att få kännedom om den logik som används vid automatiserade beslut (se avsnitt 3.10.2).
3.9. Information till den registrerade
I artikel 10–11 anges att medlemsstaterna skall föreskriva att den registeransvarige – eller dennes företrädare – skall lämna den registrerade viss information.
Skyldigheten att lämna information gäller inte i de fall den registrerade redan känner till uppgifterna.
I artikel 13.1 finns det bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 10 och 11.1 (se avsnitt 3.11).
När uppgifter om en viss person samlas in från den berörde själv, skall den berörde i vart fall få information om
a) den registeransvariges – och dennes eventuella företrädares – identitet,
b) ändamålen med den behandling för vilka uppgifterna är avsedda, och
c) all ytterligare information i den utsträckning informationen – med hän-
syn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
Som exempel på information enligt punkt c anges N mottagarna eller de kategorier som mottar uppgifterna, N huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt
eventuella följder av att inte svara och N förekomsten av rättigheter att få tillgång till och att få rättelse av upp-
gifter.
Om uppgifterna inte har samlats in från den registrerade, skall information lämnas vid tiden för registrering av personuppgifter eller, om ett utlämnande till tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut. Informationen skall åtminstone omfatta det som anges i punkt a–c ovan. Som exempel på information som i detta fall skall lämnas enligt punkt c anges, i stället för upplysning om det är frivilligt att svara, uppgift om de kategorier av uppgifter som behandlingen gäller.
Vad som nu sagts för det fallet att uppgifterna inte har samlats in från den registrerade skall dock inte gälla — när det – särskilt i samband med behandling för statistiska ändamål
eller historiska eller vetenskapliga forskningsändamål – visar sig omöjligt eller skulle innebära en oproportionerligt stor ansträngning att lämna information eller — när utlämnande uttryckligen föreskrivs i författning.
I sådana undantagsfall skall medlemsstaterna emellertid föreskriva lämpliga skyddsåtgärder.
I punkt 40 i ingressen anges att man vid bedömningen av om ett informationslämnande skulle innebära en oproportionerligt stor ansträngning kan beakta N antalet registrerade, N uppgifternas ålder och N de kompensatoriska åtgärder som kan vidtas.
Av mötesprotokollet framgår att rådet och kommissionen anser att man vid denna bedömning måste ta i beaktande vikten av det allmänna intresse för vilket uppgifterna behandlas.
I kommissionens förklaring anges att frågan om hur informationslämnandet skall gå till i praktiken får bero på de särskilda omständigheter under vilka informationen samlas in från de registrerade.
3.10. Rätten att på begäran få tillgång till uppgifterna och rättelse
3.10.1. Inledning
I artikel 12 finns det bestämmelser om att medlemsstaterna skall säkerställa att varje registrerad har vissa rättigheter gentemot den registeransvarige. Det gäller rätt till information rörande de uppgifter som behandlas, rätt att få felaktiga eller ofullständiga uppgifter rättade m.m. För den händelse uppgifterna rättats m.m. är den registeransvarige skyldig att underrätta de tredje män som redan har fått uppgifterna om den rättelse som har skett.
Från bestämmelserna i artikel 12 är det möjligt att göra vissa särskilda undantag rörande vetenskaplig forskning och statistikproduktion (artikel 13.2). I artikel 13.1 finns det vidare generella bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 12 (se avsnitt 3.11).
3.10.2. Information om uppgifterna
Den registrerade skall ha rätt att från den registeransvarige få viss information om uppgifterna. Den registrerade skall ha rätt att få informationen utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader. Den registrerade har rätt till följande information. N Bekräftelse på om uppgifter som rör den registrerade behandlas eller
inte. N Information om åtminstone
— ändamålen med behandlingen, — de berörda uppgiftskategorierna och — mottagarna eller de kategorier av mottagare till vilka uppgifterna
utlämnas.
N Begriplig information om vilka uppgifter som behandlas. N All tillgänglig information om varifrån de behandlade uppgifterna
kommer. N Kännedom om den logik som används när uppgifter som rör den regist-
rerade behandlas på automatisk väg, åtminstone såvitt avser sådana automatiserade beslut som avses i artikel 15.1 (se avsnitt 3.8).
I punkt 41 i ingressen framhålls det att rätten att få kännedom om den logik som används vid automatisk uppgiftsbehandling inte får negativt påverka affärshemligheter eller upphovsrätten, särskilt den upphovsrätt som skyddar programvaran. Detta bör dock inte få medföra att den registrerade nekas all information.
I kommissionens förklaring anges att det har överlämnats till medlemsstaterna att precisera hur informationen skall lämnas till den registrerade, t.ex. för att garantera att informationen lämnas till rätt person eller för att underlätta för såväl den registeransvarige som den registrerade när flera uppgiftsbehandlingar berörs, särskilt när det gäller manuella register. Genom den nationella lagstiftningen får också den närmare innebörden av ”rimliga intervall” bestämmas. I den nationella lagstiftningen får det vidare – med beaktande av såväl den registrerades som den registeransvariges intresse – finnas bestämmelser om att den registeransvarige har rätt att ta betalt av en registrerad som utnyttjar rätten att få information, men avgiften får inte överstiga den verkliga kostnaden; avgiften får inte vara ”större”77.
77 På engelska ”excessive”, på franska ”excessif”, på tyska ”übermässig”.
3.10.3. Rättelse
Den registrerade skall – i förekommande fall – ha rätt att få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet N rättade, N utplånade eller N blockerade.
Detta skall gälla särskilt om uppgifterna är ofullständiga eller felaktiga.
Av kommissionens förklaring verkar framgå att med blockering avses att den registeransvarige får fortsätta att lagra uppgifterna, men inte på annat sätt behandla eller använda dem, t.ex. lämna ut dem till tredje man. Uppgifterna måste markeras så att användarna får kännedom om att dessa är blockerade. Det verkar också framgå att avsikten med att använda ett uttryck som i förekommande fall har varit att överlåta till medlemsstaterna att närmare bestämma hur den registrerades rätt till rättelse, utplånande eller blockering skall användas i de olika situationer där uppgifter kan ha behandlats eller använts i strid med bestämmelserna i direktivet.
I artikel 6.1 d finns bestämmelser om att alla rimliga åtgärder måste vidtas för att säkerställa att sådana personuppgifter, som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlats in eller för vilka de senare behandlas, utplånas eller rättas, se avsnitt 3.4.5.
3.10.4. Underrättelse till tredje man om rättelse
När en registeransvarig har utfört rättelse, utplåning eller blockering av uppgifter i enlighet med vad som anges i närmast föregående avsnitt, har den registrerade rätt att få genomfört att de tredje män till vilka uppgifterna har lämnats ut underrättas om åtgärden. Detta gäller dock inte om en underrättelse är omöjlig eller skulle innebära en oproportionerligt stor ansträngning.
3.10.5. Undantag
I sådana fall där det uppenbarligen inte finns någon risk för att den berörda personens privatliv kränks – i synnerhet när uppgifterna inte används för åtgärder eller beslut som avser särskilda personer – får medlemsstaterna (enligt artikel 13.2), under förutsättning av lämpliga rättsliga garantier, genom lagstiftning begränsa de rättigheter i fråga om information om upp-
gifterna, rättelse och underrättelse till tredje man som anges i artikel 12. Detta gäller dock bara — när uppgifterna endast behandlas för ändamål som har med vetenskap-
lig forskning att göra
eller — när uppgifterna endast lagras i form av personuppgifter under en be-
gränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik.
I artikel 28.4 andra stycket finns det en bestämmelse om att var och en kan – i samband med tillämpningen av de nationella undantagsbestämmelser som har antagits med stöd av artikel 13 – hos tillsynsmyndigheten begära att få kontrollera om en behandling är tillåten. Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.
3.11. Möjlighet till undantag och begränsningar
I artikel 13.1 finns det bestämmelser om att medlemsstaterna får genom lagstiftning begränsa omfattningen av vissa skyldigheter och rättigheter som följer av direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs. N de grundläggande kraven på uppgiftsbehandlingen (artikel 6.1, se avsnitt
3.4), N skyldigheten att informera den registrerade (artikel 10 och 11.1, se av-
snitt 3.9), N rätten att på begäran få tillgång till uppgifterna och rättelse (artikel 12,
se avsnitt 3.10) och N reglerna om ett offentligt register över anmälda behandlingar och skyl-
digheten att hålla information om andra behandlingar tillgänglig (artikel 21, se avsnitt 3.13.5).
En sådan begränsning måste vidare vara en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning eller avslöjande av brott,
e) åtal för brott,
f) förebyggande, undersökning eller avslöjande av överträdelser av etiska
regler som gäller för lagreglerade yrken,
g) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller
hos Europeiska unionen (här inkluderas monetära frågor, budgetfrågor och skattefrågor),
h) en tillsyns-, inspektions- eller regleringsfunktion som – även om den är
av övergående karaktär – är förbunden med myndighetsutövning i de fall som nämnts under c, d, e, f och g, eller
i) skydd av den registrerades eller andras fri- och rättigheter.
Av mötesprotokollet framgår att rådet och kommissionen anser att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i punkten i ovan.
I punkt 44 i ingressen framhålls att medlemsstaterna för att uppfylla vissa av målsättningarna kan tvingas att avvika från vissa bestämmelser i direktivet på grund av bestämmelser i gemenskapsrätten. Som exempel på en begränsning med hänsyn till intresset hos den registrerade eller andras fri- och rättigheter (punkt i ovan) anges – i punkt 42 i ingressen – att det kan beslutas att den registrerade har rätt att få tillgång till uppgifter av medicinsk art bara genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården.
I kommissionens förklaring anges bestämmelser om övervakning av banker och om penningtvätt som exempel på fall då medlemsstaterna på grund av gemenskapsrätten kan vara tvungna att föreskriva begränsningar. Begreppet statens säkerhet omfattar skydd av den nationella suveräniteten mot såväl interna som externa hot. Bestämmelsen om ekonomiska eller finansiella intressen hänför sig till alla åtgärder inom den ekonomiska politiken och åtgärder för att finansiera medlemsstaternas eller den Europeiska unionens politik, såsom kontroll vid valutaväxling, kontroll av utrikeshandel och uppbörd av skatt. När det gäller skyddet av fri- och rättigheter talas det om företagshemligheter, reglerna om den sekretess under vilken advokater och utövare av sjukvård arbetar, rätten att förbereda sig inför en rättegång samt mänskliga rättigheter. Det talas vidare om begränsningar av rätten till tillgång till uppgifter som människorättsorganisationer innehar i de fall där en obegränsad tillgång skulle kunna utsätta andra för fara – t.ex. de personer som i förtroende har lämnat uppgifterna – eller riskera de överordnade intressen som finns hos sådana organisationer.
I artikel 28.4 andra stycket finns det en bestämmelse om att var och en kan – i samband med tillämpningen av de nationella undantagsbestämmelser som har antagits med stöd av artikel 13 – hos tillsynsmyndigheten be-
gära att få kontrollera om en behandling är tillåten (se avsnitt 3.17). I artikel 9 finns det bestämmelser om förhållandet till yttrandefriheten (se avsnitt 3.3), och artikel 13.2 innehåller särskilda bestämmelser om undantag från rätten att på begäran få tillgång till uppgifterna och rättelse (se avsnitt 3.10.5).
Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.
3.12. Sekretess och säkerhet vid behandlingen
I artikel 16 finns det – under rubriken Sekretess vid behandling – en bestämmelse om att registerföraren eller den som utför arbete under den registeransvarige eller registerföraren och som får tillgång till personuppgifter får behandla dessa bara enligt instruktion från den registeransvarige. Uppgifterna får dock behandlas även utan instruktion från den registeransvarige, om det enligt lag finns en skyldighet att göra det.
I kommissionens förklaring anges förundersökning (”criminal investigation”) som exempel på när det kan finnas en skyldighet enligt lag att behandla personuppgifter.
I artikel 28.7 finns det bestämmelser om tystnadsplikt för tillsynsmyndighetens ledamöter och personal.
Artikel 17.1 innehåller bestämmelser om säkerheten vid behandling av personuppgifter. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot varje slag av otillåten behandling. Personuppgifter skall dessutom skyddas i följande hänseenden. N Skydd mot förstöring av uppgifter genom olyckshändelse eller genom
otillåtna åtgärder. N Skydd mot förlust av uppgifter genom olyckshändelse. N Skydd mot ändringar av uppgifter. N Skydd mot otillåten spridning av uppgifter. N Skydd mot otillåten tillgång till uppgifter, särskilt när behandlingen
innefattar överföring av uppgifter i ett nätverk.
De säkerhetsåtgärder som skall genomföras skall – med beaktande av den nuvarande tekniska nivån78 och de kostnader som är förenade med åtgärdernas genomförande – åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas.
I punkt 46 i ingressen framhålls att skyddet för de registrerades fri- och rättigheter, såvitt avser behandling av personuppgifter, förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet utformas och när själva behandlingen sker, särskilt för att garantera säkerheten för att på så sätt hindra all otillåten behandling.
I artikel 17.2–4 finns det bestämmelser som rör relationen mellan den registeransvarige och registerföraren.
Medlemsstaterna skall föreskriva att den registeransvarige, när behandling utförs för dennes räkning, skall dels välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och organisatoriska åtgärder som måste vidtas, dels se till att dessa åtgärder vidtas.
När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling79 mellan registerföraren och den registeransvarige. Genom handlingen skall särskilt föreskrivas N att registerföraren bara får handla på instruktioner från den registeran-
svarige och N att de skyldigheter i fråga om säkerhet som anges i artikel 17.1, såsom
de definieras i lagstiftningen i den medlemsstat i vilken registerföraren är etablerad80, även skall åvila registerföraren.
Av direktivtexten framgår inte direkt huruvida vad som nu sagts skulle kunna föreskrivas genom en lagstiftningsåtgärd, t.ex. i en registerförfatt-
78 På engelska ”state of the art”. 79 På engelska ”legal binding act”, på franska ”acte juridique”, på tyska ”Rechtsakt”. 80 Det kan noteras att en registeransvarig som är etablerad i en medlemsstat måste – i fråga om t.ex. säkerheten vid behandling (jämför skyldigheten enligt artikel 17.2 att se till att registerföraren genomför säkerhetsåtgärder) – följa den nationella införandelagstiftningen i den staten (artikel 4.1) och inte den lagstiftning som finns i den stat där den anlitade registerföraren är etablerad. – Jämför punkt 3.31 i det brittiska remissunderlaget.
ning som anger att en myndighet skall ansvara för ett register som en annan myndighet åläggs att administrera i tekniskt avseende.
Det finns dock, för att säkra bevisning, ett skriftlighetskrav. Avtalet eller den rättsligt bindande handlingen skall nämligen finnas i skriftlig eller därmed jämförlig form i de delar som rör skyddet av uppgifter och de krav som rör sådana säkerhetsåtgärder som anges artikel 17.1.
3.13. Anmälan till tillsynsmyndigheten
3.13.1. Inledning
I artikel 18 finns det bestämmelser om att behandling av personuppgifter skall anmälas på förhand till tillsynsmyndigheten. Anmälan skall innehålla vissa uppgifter (artikel 19), och tillsynsmyndigheten skall föra in uppgifter om anmälda behandlingar i ett offentligt register (artikel 21.1–2). Den som vill skall kunna få uppgifter även om behandlingen inte har anmälts till tillsynsmyndigheten (artikel 21.3). Vissa särskilt riskfyllda behandlingar skall kontrolleras på förhand (artikel 20).
I punkt 48 i ingressen anges att anmälningsförfarandet är avsett att göra behandlingens ändamål och viktigaste egenskaper allmänt kända för att säkerställa att behandlingen sker i enlighet med de nationella åtgärder som vidtas för att genomföra direktivet.
3.13.2. Anmälningsplikt för alla automatiska behandlingar
Medlemsstaterna är tvungna att föreskriva att den registeransvarige – eller dennes företrädare – skall underrätta tillsynsmyndigheten före genomförandet av N en behandling som helt eller delvis genomförs på automatisk väg eller N en serie av sådana automatiska behandlingar som har samma eller flera
närbesläktade ändamål (artikel 18.1).
I kommissionens förklaring anges som ett exempel på fall där regeln om en serie av behandlingar kan användas att det kan räcka med en enda anmälan för alla behandlingar som rör handhavandet av lån vid ett kreditinstitut; anmälan kan då inkludera registrering av ansökan, undersökning av den, beviljandet av den, krav avseende förfallna skulder och övervakandet av vidtagna rättsliga åtgärder.
När det gäller icke automatiska behandlingar av personuppgifter är det til??låtet för medlemsstaterna att föreskriva att vissa eller alla sådana behandlingar skall anmälas eller att ett förenklat anmälningsförfarande skall gälla för dem (artikel 18.5).
Medlemsstaterna skall precisera vilka uppgifter som anmälan skall innehålla (artikel 19.1). Det sägs inte uttryckligen att anmälan skall vara skriftlig, men den skall innehålla åtminstone uppgifter i följande hänseenden. N Den registeransvariges eller dennes eventuella företrädares namn och
adress. N Ändamålen med behandlingen. N En beskrivning av den eller de kategorier av registrerade som berörs. N En beskrivning av de uppgifter eller kategorier av uppgifter som hänför
sig till de registrerade som berörs. N Mottagarna eller de kategorier av mottagare till vilka uppgifterna kan
komma att lämnas ut. N Föreslagna överföringar av uppgifter utanför gemenskapen. N En allmän beskrivning som gör det möjligt att preliminärt bedöma lämp-
ligheten av de åtgärder som i enlighet med artikel 17 har vidtagits för att trygga säkerheten i behandlingen.
Medlemsstaterna skall vidare ange villkoren för anmälan till tillsynsmyndigheten av förändringar som rör den nyss nämnda informationen (artikel 19.2).
I kommissionens förklaring anges, som exempel på uppgift om den eller de kategorier av registrerade som berörs, företagets kunder, företagets personal eller mottagarna av en viss social förmån.
3.13.3. Möjlighet till undantag från och förenklingar av anmälningsproceduren
3.13.3.1 Inledning
I artikel 18.2 räknas det upp i vilka två fall och på vilka villkor medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande. Andra undantag är inte tillåtna. Dock finns det i artikel 18.3–4 bestämmelser om möjlighet till särskilda undantag för vissa typer av behandlingar, nämligen förandet av ett författningsreglerat register för allmänheten och icke vinstdrivande organs behandling av känsliga personuppgifter.
I punkt 51 i ingressen betonas att det förhållandet att en registeransvarig omfattas av ett förenklat anmälningsförfarande eller är undantagen från anmälningsplikt inte befriar honom eller henne från de övriga förpliktelser som följer av direktivet.
Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.
3.13.3.2 Om det inte är sannolikt att rättigheter kränks
Den första möjligheten till undantag gäller de typer av behandling i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks. För att undantag skall få göras krävs att medlemsstaterna för dessa typer av behandling anger N behandlingens ändamål, N vilka uppgifter eller kategorier av uppgifter som behandlas, N vilka registrerade eller kategorier av registrerade som avses, N till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut
och N hur länge uppgifterna skall bevaras.
I kommissionens förklaring och reviderade direktivförslag angavs som exempel på typer av behandling som kan undantas N framställning av korrespondens, N framställning av promemorior (”papers”), N uppfyllandet av rättsliga förpliktelser eller skyldigheter avseende bokfö-
ring, skatt eller socialförsäkring, N beräkning av lön och andra förmåner för personalen vid ett offentligt or-
gan eller ett privat företag, N vissa typer av behandling för vetenskapliga forskningsändamål och N vissa behandlingar avseende patientjournaler som förs av sjukvårdsper-
sonal eller liknande.
3.13.3.3 När ett uppgiftsskyddsombud har utsetts
Den andra möjligheten till undantag gäller när den registeransvarige, i enlighet med den nationella lagstiftning som gäller för honom eller henne, har utsett ett uppgiftsskyddsombud. Uppgiftsskyddsombudet skall ha till uppgift N att på ett oberoende sätt säkerställa den interna tillämpningen av de na-
tionella bestämmelser som har antagits till följd av direktivet och N att föra ett register över de behandlingar som utförs av den registeran-
svarige, vilket register skall innehålla de obligatoriska uppgifter som en anmälan skall innehålla (se avsnitt 3.13.2), med undantag för beskrivning av de säkerhetsåtgärder som har vidtagits.81
Uppgiftsskyddsombudet skall på detta sätt säkerställa att de registrerades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av behandlingarna.
Uppgiftsskyddsombudet skall i tveksamma fall rådfråga tillsynsmyndigheten (artikel 20.2).
I punkt 49 i ingressen betonas att den person som utses till uppgiftsskyddsombud måste – vare sig han eller hon är anställd av den registeransvarige eller inte – ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt.
3.13.3.4 Författningsreglerat register för allmänheten
Medlemsstaterna får föreskriva att anmälningsplikten inte skall gälla för en sådan behandling vars enda syfte är att föra ett register N som enligt lagar eller andra författningar är avsett att förse allmänheten
med information och N som är tillgängligt antingen för allmänheten eller för var och en som kan
styrka ett berättigat intresse.
3.13.3.5 Icke vinstdrivande organs behandling av känsliga personuppgifter
Medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande för sådan behandling som avses i artikel
81 Av mötesprotokollet framgår att det är tillåtet att föreskriva att uppgiftsskyddsombudet inte är skyldigt att registrera sådana behandlingar som omfattas av det undantag som behandlats i avsnitt 3.13.3.2.
8.2 d, dvs. behandling av känsliga personuppgifter om medlemmar m.fl. som utförs inom ramen för berättigad verksamhet hos ett icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte (se närmare avsnitt 3.6.2.4).
3.13.4. Förhandskontroll av särskilt riskfyllda behandlingar
Medlemsstaterna är skyldiga att bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter. Medlemsstaterna är vidare skyldiga att säkerställa att sådana särskilt riskfyllda behandlingar kontrolleras innan de påbörjas. (Artikel 20.1.)
I punkt 53 i ingressen anges att vissa typer av behandling på grund av sin natur, sin omfattning eller sitt ändamål kan innebära särskilda risker för att de registrerades fri- och rättigheter kränks. Medlemsstaterna kan om de önskar det precisera dessa risker i sin lagstiftning. Som exempel på typer av behandling som kan innebära särskilda risker anges N behandling som har till ändamål att utesluta den berörde från möjlighe-
ten att utöva en rättighet, ta emot en förmån eller ingå ett avtal och N sådan behandling som innebär användning av ny teknik.
I punkt 54 i ingressen anges att det antal behandlingar som innebär särskilda risker torde vara mycket begränsat med tanke på omfattningen av den behandling av uppgifter som utförs i samhället.
Förhandskontrollen skall utföras av tillsynsmyndigheten. Kontrollen skall utföras när myndigheten har fått in en anmälan från den registeransvarige eller från uppgiftsskyddsombudet; uppgiftsskyddsombudet skall nämligen i tveksamma fall rådfråga tillsynsmyndigheten. (Artikel 20.2.) Av artikel 28.3 första stycket andra strecksatsen följer att tillsynsmyndigheten skall ha effektiva befogenheter att ingripa, t.ex. genom att yttra sig innan en behandling äger rum och att i lämplig omfattning offentliggöra yttrandet.
Medlemsstaterna kan emellertid också82 utföra sådana kontroller som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstif-
82 Ordet ”också” torde inte i detta sammanhang innebära att kontroll skall ske såväl av tillsynsmyndigheten som ”också” i samband med att lagstiftningsåtgärder vidtas; det torde vara fråga om alternativa förfaringssätt.
tande åtgärd, vilken definierar behandlingens art och anger lämpliga skyddsåtgärder (artikel 20.3).
Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar rörande behandling av personuppgifter utarbetas.
3.13.5. Offentliggörande av behandlingar
3.13.5.1 Inledning
I artikel 21 finns det bestämmelser som rör offentliggörande av behandlingar, både sådana som skall anmälas och sådana som inte skall det. Tillsynsmyndigheten skall föra ett offentligt register över anmälda behandlingar, och information om andra behandlingar skall man på begäran kunna få direkt från den registeransvarige.
I artikel 13.1 finns det generella bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 21 (se avsnitt 3.11).
3.13.5.2 Offentligt register över anmälda behandlingar
Medlemsstaterna skall vidta åtgärder för att se till att behandlingar offentliggörs (artikel 21.1). Staterna skall föreskriva att tillsynsmyndigheten skall föra ett register över sådana behandlingar som har anmälts till den. Detta register skall vara allmänt tillgängligt och innehålla åtminstone de obligatoriska uppgifter som en anmälan skall innehålla (se avsnitt 3.13.2), förutom beskrivning av de säkerhetsåtgärder som har vidtagits. (Artikel 21.2.)
3.13.5.3 Skyldighet att på begäran lämna information om icke anmälda behandlingar
För sådan behandling som inte omfattas av anmälningsplikt är medlemsstaterna skyldiga att föreskriva att de registeransvariga – eller något annat organ som medlemsstaten utser – skall på lämpligt sätt tillhandahålla den som begär det åtminstone de obligatoriska uppgifter som en anmälan skall innehålla (se avsnitt 3.13.2), förutom beskrivning av de säkerhetsåtgärder som har vidtagits. (Artikel 21.3 1 st.)
Det är dock tillåtet för medlemsstaterna att föreskriva att denna bestämmelse inte skall tillämpas på sådan behandling vars enda syfte är att föra ett register N som enligt lagar eller andra författningar är avsett att förse allmänheten
med information och N som är tillgängligt antingen för allmänheten eller för var och en som kan
styrka ett berättigat intresse. (Artikel 21.3 2 st.)
Sådana register kan enligt artikel 18.3 undantas från anmälningsplikten (se avsnitt 3.13.3.4).
I den utsträckning en medlemsstat väljer att inte föreskriva anmälningsplikt för manuella behandlingar eller att undanta automatiska behandlingar från anmälningsplikten kan således skyldigheten för de registeransvariga att lämna uppgifter komma att bli mera omfattande; uppgifter måste då lämnas varje gång någon begär det och inte bara en gång i en anmälan till tillsynsmyndigheten. Av mötesprotokollet framgår också att rådet och kommissionen anser att rättigheten enligt artikel 21.3 inte får missbrukas, t.ex. genom att en begäran om information görs trots att det är allmänt känt att behandlingen inte rör den som gör begäran.
3.14. Överföring av uppgifter utanför EG
3.14.1. Överföring är tillåten till länder som säkerställer en adekvat skyddsnivå
Medlemsstaterna skall föreskriva att överföring av personuppgifter, som behandlas eller som är avsedda att behandlas efter överföring till tredje land, bara får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå. Detta skall dock inte påverka tillämpningen av de nationella bestämmelser som har antagits till följd av andra bestämmelser i direktivet.83 (Artikel 25.1.)
83 I punkt 60 i ingressen pekas det särskilt på att behandlingen måste vara tillåten enligt artikel 8, som rör behandling av känsliga uppgifter.
Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas N uppgifternas art, N den eller de avsedda behandlingarnas ändamål, N den eller de avsedda behandlingarnas varaktighet, N ursprungslandet, N det slutliga bestämmelselandet, N de allmänna respektive särskilda rättsregler som gäller i ifrågavarande
tredje land och N de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande
tredje land. (Artikel 25.2.)
I kommissionens förklaring anges när det gäller lagstiftningen i tredje land att såväl generella bestämmelser som bestämmelser för olika sektorer måste beaktas, liksom huruvida bestämmelserna tillämpas i praktiken.
Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en sådan adekvat skyddsnivå (artikel 25.3). Om kommissionen – i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet (se avsnitt 3.19) – kommer fram till att ett tredje land inte erbjuder en sådan adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till detta land (artikel 25.4). Kommissionen skall i sådant fall vid lämpligt tillfälle inleda förhandlingar för att avhjälpa den situation som därvid har uppkommit (artikel 25.5).
Kommissionen kan vidare – i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet (se avsnitt 3.19) – konstatera att ett tredje land, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, har en sådan adekvat skyddsnivå. Medlemsstaterna skall då vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Som exempel på internationella förpliktelser som åligger tredje land nämns särskilt sådana förpliktelser som är en följd av de förhandlingar som kommissionen har inlett och som gäller skydd för privatliv och enskilda personers grundläggande fri- och rättigheter. (Artikel 25.6.)
3.14.2. Överföring till länder med sämre skydd
3.14.2.1 Fall där överföring måste tillåtas
Medlemsstaterna är dock skyldiga att – utom där något annat föreskrivs för särskilda fall i den nationella lagstiftningen84 – föreskriva att överföring av personuppgifter till ett tredje land, som inte har en sådan adekvat skyddsnivå, är tillåten i följande fall.
a) Den registrerade otvetydigt har samtyckt till den planerade överföring-
en.
b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registre-
rade och den registeransvarige eller för att på den registrerades begäran genomföra åtgärder innan avtalet ingås.
c) Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan
den registeransvarige och tredje man, där avtalet är i den registrerades intresse.
d) Överföringen är nödvändig eller bindande enligt författning av skäl
som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk85.
e) Överföringen är nödvändig för att skydda intressen som är av grund-
läggande betydelse för den registrerade86.
f) Överföringen görs från ett register som 1) enligt lagar eller andra för-
fattningar är avsett att förse allmänheten med information och som 2) är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för att få tillgång är uppfyllda. (Artikel 26.1.)
84 Formuleringen är anpassad efter vad som anges i den engelska, den franska och den tyska språkversionen. I den svenska språkversionen heter det: ”om det inte finns tvingande regler om detta i deras lagstiftning”, vilket betyder något annat. 85 Den närmare innebörden av denna bestämmelse, som återges i enlighet med den svenska språkversionen, är svår att fastslå även när man beaktar andra språkversioner. De engelska, franska och tyska språkversionerna tyder närmast på att här behandlas två skilda fall, dels att överföringen är nödvändig – eller krävs enligt tvingande rättsregler – för ett viktigt allmänt intresse, dels att överföringen är nödvändig (och kanske alternativt krävs enligt tvingande rättsregler) för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. Jämför också punkt 58 i ingressen, där det talas om att överföringen är nödvändig för ett rättsligt anspråk eller när skyddet av väsentliga samhällsintressen kräver det. 86 Se om sådana vitala intressen vad som anförs i avsnitt 3.5.5.
I punkt 58 i ingressen anges som exempel på viktiga allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tullmyndigheter eller socialförsäkringsmyndigheter. När det gäller överföring från ett sådant register som avses i punkten f ovan anges att överföringen inte bör omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret.
I kommissionens förklaring anges att undantaget i punkten c ovan kan vara särskilt användbart vid överföringar i samband med transaktioner som vidtas av banker och andra kreditinstitut. Undantaget rörande viktiga allmänna intressen avsåg att tillåta internationellt samarbete, t.ex. för att bekämpa penningtvätt eller för att övervaka finansiella institutioner.
3.14.2.2 Överföring får tillåtas om den registeransvarige kan garantera skydd
Det är vidare tillåtet för medlemsstaterna att tillåta överföring av personuppgifter till ett tredje land med en icke adekvat skyddsnivå om den registeransvarige ställer tillräckliga garantier för skyddet av privatliv och enskilda personers grundläggande fri- och rättigheter och för utövandet av sådana rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler. (Artikel 26.2.) Medlemsstaterna skall informera kommissionen om de överföringar som har tillåtits enligt denna bestämmelse. Om kommissionen eller en medlemsstat gör en invändning – på grunder som är berättigade med hänsyn till skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – skall kommissionen vidta lämpliga åtgärder i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet (se avsnitt 3.19). Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. (Artikel 26.3.) Om kommissionen å andra sidan – i enlighet med den särskilda beslutsprocedur som nyss nämnts – beslutar att vissa standardklausuler erbjuder tillräckliga garantier, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut.
3.15. Sanktioner
3.15.1. Rätt till domstolsprövning
Enligt artikel 22 skall medlemsstaterna föreskriva att var och en har rätt att föra talan inför domstol om kränkningar av sådana rättigheter som skyddas av den nationella lagstiftning som är tillämplig på den aktuella behand-
lingen. Detta skall inte påverka möjligheten att utnyttja eventuella administrativa förfaranden som kan användas innan ett ärende anhängiggörs hos en rättslig instans, t.ex. ett förfarande vid tillsynsmyndigheten.87
Enligt artikel 28.3 första stycket tredje strecksatsen skall vidare tillsynsmyndigheten ha befogenhet att inleda rättsliga förfaranden vid överträdelser av de nationella bestämmelser som antagits till följd av direktivet eller att uppmärksamma de rättsliga myndigheterna på sådana överträdelser.
3.15.2. Rätt till skadestånd
Medlemsstaterna skall föreskriva att den som har lidit skada till följd av en otillåten behandling – eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av direktivet – har rätt till ersättning av den registeransvarige för den skada som han eller hon har lidit. Den registeransvarige får emellertid, helt eller delvis, undantas från skadeståndsansvar, om han eller hon visar att han eller hon inte är ansvarig för den händelse som orsakade skadan. (Artikel 23.)
I punkt 55 i ingressen anges som exempel på fall där den registeransvarige inte är ansvarig för skadefallet att han eller hon kan påvisa att ett fel har begåtts av den registrerade eller att det är fråga om force majeure.
3.15.3. Andra sanktioner
Medlemsstaterna skall vidta lämpliga åtgärder för att säkerställa att direktivet genomförs fullständigt. Staterna skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som har antagits till följd av direktivet. (Artikel 24.)
I punkt 55 i ingressen framhålls att sanktioner skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt som överträder de nationella bestämmelser som har antagits till följd av direktivet. Punkten 21 i ingressen innehåller en erinran om att direktivet inte påverkar de territorialitetsregler som gäller på straffrättens område.
87 Jämför om anmälan till tillsynsmyndigheten artikel 28.4.
3.16. Uppförandekodexar
3.16.1. Inledning
I artikel 27 finns det bestämmelser rörande uppförandekodexar.88 Medlemsstaterna och kommissionen skall uppmuntra utarbetandet av uppförandekodexar som – med beaktande av de särskilda förhållandena på olika områden – skall bidra till att på ett riktigt sätt genomföra de nationella bestämmelser som medlemsstaterna har antagit till följd av direktivet.
3.16.2. Nationella kodexar
Medlemsstaterna skall föreskriva att branschorganisationer eller andra organ som företräder andra kategorier av registeransvariga som har upprättat förslag till nationella kodexar – eller som avser att ändra eller utöka redan existerande nationella kodexar – kan lägga fram dessa för bedömning av den nationella myndigheten. Staterna skall föreskriva att denna myndighet bl.a. skall kontrollera att de framlagda förslagen stämmer överens med de nationella bestämmelser som har antagits till följd av direktivet. Myndigheten skall, om den anser det lämpligt, inhämta synpunkter från de registrerade eller deras företrädare.
3.16.3. Kodexar på gemenskapsnivå
Förslag till kodexar på gemenskapsnivå – och förslag till ändring av eller tillägg till sådana kodexar – kan läggas fram för den särskilda arbetsgrupp som skall bildas enligt direktivet (se avsnitt 3.18). Arbetsgruppen skall bl.a. avgöra om de framlagda förslagen stämmer överens med de nationella bestämmelser som har antagits till följd av direktivet. Arbetsgruppen skall, om den anser det lämpligt, inhämta synpunkter från de registrerade eller deras företrädare. Kommissionen kan se till att de kodexar som har godkänts av arbetsgruppen offentliggörs på lämpligt sätt.
88 På engelska ”codes of conduct”, på franska ”codes de conduite”, på tyska ”Verhaltensregeln”. Alternativa svenska översättningar kan vara t.ex. branschregler, sektorsvisa förhållningsregler och branschöverenskommelser.
3.17. Tillsynsmyndighetens ställning
Varje medlemsstat skall se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som staterna antar till följd av direktivet. Myndigheterna skall fullständigt oberoende utöva de uppgifter som åläggs dem. (Artikel 28.1.) Den svenska regeringen har beslutat att utse Datainspektionen till tillsynsmyndighet enligt denna bestämmelse.89
Medlemsstaterna skall vidare se till att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter (artikel 28.2).
Enligt artikel 28.3 första stycket skall varje tillsynsmyndighet särskilt ha N undersökningsbefogenheter, såsom befogenhet
— att få tillgång till uppgifter som behandlas och — att hämta in alla uppgifter som är nödvändiga för att sköta tillsynen, N effektiva befogenheter att ingripa, såsom befogenhet t.ex.
— att avge yttranden, i enlighet med artikel 20 (se avsnitt 3.13.4), innan
en behandling äger rum, — att se till att sådana yttranden offentliggörs i lämplig omfattning, — att kunna besluta om blockering, utplåning eller förstöring av upp-
gifter, — att kunna besluta om tillfälligt eller slutligt förbud mot behandling, — att kunna ge den registeransvarige varning eller tillrättavisning och — att kunna hänvisa saken till det nationella parlamentet eller till andra
politiska institutioner samt
N befogenhet att inleda rättsliga förfaranden vid överträdelser av de natio-
nella bestämmelser som antagits till följd av direktivet eller att uppmärksamma de rättsliga myndigheterna på sådana överträdelser.
Varje tillsynsmyndighet har – oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen – behörighet att inom sin egen medlemsstats territorium utöva dessa befogenheter. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter. Tillsynsmyndigheterna skall samarbeta med varandra i den utsträckning som behövs, särskilt genom att utbyta användbar information. (Artikel 28.6.) I artikel 29–30 finns det bestämmelser om internationellt samarbete
89 Regeringsbeslut 1996-01-18, Dnr Ju 96/176.
inom en särskild arbetsgrupp som består av företrädare för de nationella tillsynsmyndigheterna och kommissionen (se avsnitt 3.18).
Sådana beslut av tillsynsmyndigheten som går någon emot kan överklagas till domstol (artikel 28.3 2 st.).
Varje tillsynsmyndighet skall behandla framställningar som någon – eller en organisation som företräder denne – gör rörande skyddet för sina fri- och rättigheter avseende behandling av personuppgifter. Anmälaren skall informeras om vilka följder hans eller hennes anmälan har fått. (Artikel 28.4.)
Varje tillsynsmyndighet skall vidare, särskilt, behandla framställningar om kontroll av lagligheten av en behandling av personuppgifter som faller under de nationella bestämmelserna om undantag och begränsningar enligt artikel 13 (se avsnitt 3.11 och 3.10.5). Anmälaren skall i vart fall informeras om att en kontroll har gjorts.
Varje tillsynsmyndighet skall också regelbundet upprätta en rapport om sin verksamhet. Rapporten skall offentliggöras. (Artikel 28.5.)
Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal skall ha tystnadsplikt avseende förtrolig information som de har tillgång till. Tystnadsplikten skall gälla även efter det att anställningen vid myndigheten har upphört. (Artikel 28.7.)
3.18. Tillsynsmyndigheterna inom EG bildar en arbetsgrupp
I artikel 29–30 finns det bestämmelser om en rådgivande och oberoende arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter. Arbetsgruppen skall bestå av företrädare för de nationella tillsynsmyndigheterna och en företrädare för den eller de myndigheter som har inrättats för gemenskapens institutioner samt en företrädare för kommissionen. Arbetsgruppen har vissa utredningsbefogenheter och kan utfärda rekommendationer på eget initiativ, men fungerar i övrigt främst som ett rådgivande organ till kommissionen.
Det finns inte anledning att här gå närmare in på detaljbestämmelserna om arbetsgruppens sammansättning och funktion, vilka bestämmelser inte torde kräva några lagstiftningsåtgärder på det nationella planet. Den intresserade hänvisas i stället till direktivtexten (se bilaga 2).
3.19. Medlemsstaterna ingår i en kommitté med kommissionen
Enligt artikel 31 skall det bildas en kommitté av företrädare för medlemsstaterna under ledning av en ordförande som företräder kommissionen. Kommittén skall biträda kommissionen genom att avge yttranden. Kommissionen har vidare fått rätt att besluta om åtgärder i enlighet med kommitténs yttrande i fråga om överföring av personuppgifter utanför EG (se artikel 25.4, 25.6, 26.3 2 st. och 26.4 samt avsnitt 3.14). I fråga om detaljer rörande beslutsproceduren m.m. hänvisas till direktivtexten (se bilaga 2).
3.20. Ikraftträdande och övergångsbestämmelser
Medlemsstaterna skall sätta i kraft de lagar och andra författningar som är nödvändiga för att följa direktivet senast tre år efter det att direktivet antogs, dvs. senast måndagen den 24 oktober 1998 (artikel 32.1 1 st.). Den arbetsgrupp som avses i artikel 29–30 har emellertid, enligt uppgift, redan börjat arbeta.
När sådana lagar och andra författningar för att genomföra direktivet offentliggörs skall de innehålla eller åtföljas av en hänvisning till direktivet. Närmare föreskrifter om hur den hänvisningen skall göras skall varje medlemsstat själv utfärda.90 (Artikel 32.1 2 st.) Medlemsstaterna skall vidare till kommissionen överlämna texten till de nationella bestämmelser som antas inom det område som omfattas av direktivet (artikel 32.4).
Medlemsstaterna skall se till att sådan behandling som redan pågår när de nationella bestämmelser som antas till följd av direktivet träder i kraft bringas i överensstämmelse med dessa bestämmelser inom tre år från denna tidpunkt, dvs. allra senast sex år efter antagandet av direktivet eller onsdagen den 24 oktober 2001.
Från denna bestämmelse finns två undantag. För det första får medlemsstaterna i fråga om behandling av personuppgifter som redan finns i manuella register när de nationella genomförandebestämmelserna träder i kraft föreskriva att behandlingen skall bringas i överensstämmelse med artikel 6–8 inom tolv år från dagen för
90 Se för svensk del 18 a § författningssamlingsförordningen (1976:725) samt jämför Statsrådsberedningens PM 1996:4 s. 22 ff.
antagandet av direktivet, dvs. senast onsdagen den 24 oktober 2007. Medlemsstaterna skall i detta fall emellertid ge den registrerade rätt att på begäran – särskilt när han eller hon utövar rätten att få tillgång till uppgifterna – få rättelse, utplåning eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den registeransvarige vill uppnå.
I punkt 69 i ingressen finns följande, något svårtolkade uttalande: ”För att möjliggöra ett kostnadseffektivt genomförande av [direktivet] skall medlemsstaterna tillåtas att under […] en tidsperiod, som löper ut tolv år efter dagen för antagandet av detta direktiv, vidta åtgärder för att säkerställa att […] befintliga manuella register bringas i överensstämmelse med vissa av direktivets bestämmelser. Uppgifter som ingår i dessa [manuella] register och som behandlas manuellt under denna förlängda övergångsperiod skall dock när de är föremål för en ytterligare sådan behandling bringas i överensstämmelse med dessa bestämmelser.”91
Till mötesprotokollet har vidare fogats en förklaring av rådet och kommissionen som verkar innebära att manuella register, som inte används aktivt, inte ens efter tolvårsperiodens utgång behöver anpassas till artiklarna 6–8, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ekonomisk insats.92 Förklaringen, som måste anses vara något svårtolkad, lyder: ”Med avseende på de särskilda omständigheter som gäller för sådana personuppgifter som finns i register och som inte faktiskt behandlas efter att de nationella bestämmelser som antagits för att genomföra detta direktiv trätt i kraft, men som på ett lagligt sätt förvaras med tanke på en eventuell framtida användning, anser rådet och kommissionen att artikel 32 i detta direktiv innehåller en skyldighet för den registeransvarige att vid utgången av den tolvårsperiod som där avses vidta alla åtgärder som rimligen kan krävas enligt vad som anges i artikel 6, 7 och 8 om detta inte visar sig vara omöjligt att genomföra eller innebära en oproportionellt stor ekonomisk insats. Härvid måste hänsyn tas både till nödvändigheten att garantera skyddet av enskilda personers fri- och rättigheter, och till tillsynsmyndighetens befogenheter som anges i artikel 28 i detta direktiv.”
Medlemsstaterna får – för det andra – också föreskriva att uppgifter som bara bevaras för historisk forskning inte behöver överensstämma med
91 Jämför punkt 8.6 i det brittiska remissunderlaget. 92 Se punkt 8.8–10 i det brittiska remissunderlaget.
artikel 6–8. Detta förutsätter emellertid att det finns lämpliga skyddsåtgärder. (Artikel 32.3.)
I punkt 70 i ingressen klargörs att det inte är nödvändigt att den registrerade på nytt lämnar sitt samtycke för att den registeransvarige skall, efter ikraftträdandet av genomförandebestämmelserna, få fortsätta att behandla känsliga uppgifter när behandlingen är nödvändig för att genomföra ett avtal som har slutits på grundval av ett frivilligt och informerat samtycke före ikraftträdandet.
I artikel 33 finns slutligen bestämmelser om att kommissionen regelbundet skall avge en rapport om genomförandet av direktivet, eventuellt med ändringsförslag. Kommissionen skall också särskilt undersöka til??lämpningen av direktivet på behandling av ljud- och bilduppgifter. Kommissionen skall lägga fram alla lämpliga förslag som med beaktande av informationsteknikens och informationssamhällets utveckling visar sig nödvändiga.
3.21. Den fortsatta utvecklingen inom EG
Rådet antog den 12 september 1996 en gemensam ståndpunkt (nr 57/96) inför antagandet av ett EG-direktiv ”om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet, särskilt när det gäller det digitala flertjänstnätet (ISDN) och allmänt tillgängliga digitala mobila nät”.93 Enligt uppgift är det troligt att ett direktiv i huvudsak i enlighet med den gemensamma ståndpunkten kommer att utfärdas någon gång under våren 1997. Avsikten är att direktivet skall träda i kraft samtidigt som EG-direktivet om behandling av personuppgifter, dvs. senast den 24 oktober 1998.
Ett EG-direktiv i enlighet med den gemensamma ståndpunkten kan sägas precisera och komplettera bestämmelserna i det generella EG-direktivet om behandling av personuppgifter såvitt avser telekommunikationsområdet. Det finns t.ex. bestämmelser om när och hur personuppgifter som utgör s.k. trafikdata får behandlas för olika ändamål, såsom fakturering, marknadsföring och nummerpresentation.
93 EGT nr C 315, 24.10.96, s. 30.
Enligt uppgift pågår vidare arbete inom kommissionen med att undersöka hur den personliga integriteten skall skyddas i samband med användningen av Internet.
4. Övriga internationella regler
4.1. Inledning
Även inom Europarådet och OECD har det förekommit visst arbete på persondataskyddsområdet.
Datalagsutredningen har i kapitel 4 i sitt slutbetänkande lämnat en redovisning av den internationella utvecklingen på dataskyddsområdet. Den redovisningen är – frånsett vad som anfördes om det då föreliggande förslaget till EG-direktiv – fortfarande aktuell och vi kan därför hänvisa till vad Datalagsutredningen anfört. En rekommendation från Europarådet, som bör nämnas i sammanhanget, har dock kommit till efter det betänkandet: Europarådets rekommendation av den 7 februari 1995 om persondataskydd vid telekommunikation.94
Som bilagor till Datalagsutredningens slutbetänkande finns vidare (i engelsk version) viktigare internationella grunddokument bifogade; OECD:s riktlinjer och Europarådets konvention95 och rekommendationer i fråga om anställning, forskning och statistik samt direktreklam. Däremot verkar själva rekommendationen från OECD inte ha bifogats (bara de bilagda riktlinjerna). OECD:s rekommendation lyder:
94 Recommendation No. R (95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services. 95 Europarådets konvention finns i engelsk, fransk och svensk version som bilaga 4 till prop. 1981/82:189 (s. 188 ff.).
RECOMMENDATION OF THE COUNCIL CONCERNING GUIDELINES
GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER
FLOWS OF PERSONAL DATA
Adopted by the Council 23rd September, 1980
The Council,
Having regard to articles 1(c), 3(a) and 5(b) of the Convention on the Organisation for Economic Co-operation and Development of 14th December, 1960;
Recognising: that, although national laws and policies may differ, Member countries have a common
interest in protecting privacy and individual liberties, and in reconciling fundamental but competing values such as privacy and the free flow of information;
that automatic processing and transborder flows of personal data create new forms of
relationships among countries and require the development of compatible rules and practices;
that transborder flows of personal data contribute to economic and social development; that domestic legislation concerning privacy protection and transborder flows of per-
sonal data may hinder such transborder flows;
Determined to advance the free flow of information between Member countries and to avoid the creation of unjustified obstacles to the development of economic and social relations among Member countries;
RECOMMENDS
1. That Member countries take into account in their domestic legislation the principles concerning the protection of privacy and individual liberties set forth in the Guidelines contained in the Annex to this Recommendation which is an integral part thereof;
2. That Member countries endeavour to remove or avoid creating, in the name of privacy protection, unjustified obstacles to transborder flows of personal data;
3. That Member countries co-operate in the implementation of the Guidelines set forth in the Annex;
4. That Member countries agree as soon as possible on specific procedures of consultation and co-operation for the application of these Guidelines.
Europarådets rekommendationer på särskilda områden redovisar vi i det följande i den mån det behövs i anslutning till att vi behandlar det område som rekommendationen rör. Följande rekommendationer bör nämnas i sammanhanget.
N Recommendation No. R (81) 1 on regulations for automated medical
data banks (medicinska databanker). N Recommendation No. R (83) 10 on the protection of personal data used
for scientific research and statistics (skydd för personuppgifter som används för vetenskaplig forskning eller statistik)96. N Recommendation No. R (85) 20 on the protection of personal data used
for the purposes of direct marketing (skydd för personuppgifter som används för direkt marknadsföring)97. N Recommendation No. R (86) 1 on the protection of personal data used
for social security purposes (skydd för personuppgifter som används inom socialförsäkringen). N Recommendation No. R (87) 15 regulating the use of personal data in
the police sector (användningen av personuppgifter inom polisens område)98. N Recommendation No. (89) 2 on the protection of personal data used for
employment purposes (skydd för personuppgifter som används för anställningsändamål)99. N Recommendation No. R (90) 19 on the protection of personal data used
for payment and other related operations (skydd för personuppgifter som används i samband med betalning eller liknande). N Recommendation No. R (91) 10 on the communication to third parties of
personal data held by public bodies (om utlämnande till tredje man av personuppgifter som finns hos offentliga organ). N Recommendation No. R (95) 4 on the protection of personal data in the
area of telecommunication services, with particular reference to telephone services (skydd för personuppgifter vid telekommunikation).
För att underlätta för läsarna har vi beträffande de allmänna reglerna i OECD:s riktlinjer och Europarådets konvention valt att i detta avsnitt ta in en samlad redovisning på svenska. Redovisningen har hämtats från Data-
96 Finns som bilaga 3 till SOU 1993:10. Se också avsnitt 11.4.1 i förevarande betänkande. 97 Finns som bilaga 3 till SOU 1993:10. 98 Finns som bilaga 3 till SOU 1996:35. 99 Finns som bilaga 3 till SOU 1993:10. Jämför den ”Code of practice on the protection of worker’s privacy” som antogs av ILO:s styrelse i november 1996.
lagsutredningens slutbetänkande.100 Avslutningsvis i detta avsnitt berör vi något frågan om utländska rättsordningar.
4.2. OECD:s riktlinjer
Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och därmed åtagit sig att följa denna. Ytterligare åtgärder som t.ex. ratifikation av medlemsländerna krävs inte varför riktlinjerna har trätt i kraft. Någon preciserad tidpunkt för när kraven enligt riktlinjerna skall vara genomförda finns inte. […]
Enligt rekommendationen skall medlemsländerna i sin nationella lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som har presenterats i de riktlinjer som fogats till rekommendationen. Medlemsländerna skall vidare försöka undanröja opåkallade hinder för internationell datakommunikation som gäller personuppgifter och undvika att nya sådana skapas under förevändning av behov av skydd för personlig integritet. Samarbete skall bedrivas vid verkställigheten av riktlinjerna och så snart som möjligt skall länderna avtala om särskilda procedurer för överläggningar och samarbete som gäller tillämpningen av riktlinjerna.
Syftet med riktlinjerna är att söka undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av det sammanhang i vilket de används. Riktlinjerna är tillämpliga på personuppgifter både inom den offentliga och den privata sektorn. De är tillämpliga både för uppgifter som lagras automatiskt och uppgifter som förs manuellt. Det finns inget hinder mot att man tillämpar olika skyddsåtgärder för olika slag av persondata, att man från riktlinjernas tillämpning undantar persondata som uppenbart inte innebär någon risk för personlig integritet eller att man tillämpar riktlinjerna endast på automatisk databehandling av personuppgifter. Undantagen från riktlinjernas grundläggande principer för nationell och internationell tillämpning skall vara så få som möjligt och göras kända för allmänheten. Riktlinjerna skall betraktas som minimiregler, varför ingenting hindrar att integritetsskyddet görs mer omfattande.
Riktlinjerna innehåller en särskild avdelning som behandlar åtta grundläggande principer rörande skyddet för personlig integritet på det nationella planet.
1. Insamlingen av personuppgifter skall vara begränsad och uppgifter skall inhämtas på ett lagligt och korrekt sätt samt, när det är skäligt, med den registrerades kännedom eller samtycke (”Collection Limitation Principle”).
2. Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och, i den utsträckning det behövs för dessa ändamål, vara riktiga och fullständiga samt hållas aktuella (”Data Quality Principle”).
100 Konventionen och riktlinjerna behandlas i prop. 1981/82:189 s. 42 ff.
3. De ändamål för vilka personuppgifterna samlas in skall vara preciserade senast vid insamlingen. Den efterföljande användningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålen och som preciseras vid varje förändring (”Purpose Specification Principle”).
4. Personuppgifter får inte röjas, göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade, om det inte sker med den registrerades medgivande eller med stöd av författning (”Use Limitation Principle”).
5. Personuppgifter skall genom rimliga säkerhetsåtgärder skyddas mot risker för förlust eller otillåten tillgång, förstörelse, användning, förändring eller otillåtet röjande (”Security Safeguards Principle”).
6. En öppenhet skall råda beträffande personuppgifter i fråga om utveckling, tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudändamålen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns (”Openness Principle”).
7. Den enskilde skall ha rätt att av den registeransvarige eller av annan få reda på om denne har personuppgifter om honom/henne, att få sig tillsänt eventuella personuppgifter inom rimlig tid, utan alltför stor kostnad, på rimligt sätt och i begriplig form. Vidare skall den enskilde ha rätt att vid avslag på en begäran om uppgifter få veta skälen härför och ha möjlighet att överklaga. Den enskilde skall även ha rätt att ifrågasätta uppgifter som gäller honom eller henne och, om så är nödvändigt, få dessa utraderade, rättade eller kompletterade (”Individual Participation Principle”).
8. Den registeransvarige skall ha ansvaret för att de lagstiftningsåtgärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs (”Accountability Principle”).
En avdelning av riktlinjerna innehåller principer för internationell tillämpning. Här föreskrivs bl.a. att medlemsländerna skall vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländerna avhålla sig från att göra inskränkningar i fråga om flödet av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land, om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås. Ett medlemsland får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritetslagstiftningen innehåller särskilda skyddsregler, om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet. Medlemsländerna skall undvika att – under åberopande av skydd för personlig integritet och individens friheter – i lag, tillämpning eller förfarande ställa upp hinder för flödet av personuppgifter över gränserna som går utöver vad som är nödvändigt för sådant skydd.
Regler om ömsesidigt bistånd mellan medlemsländerna m.m. finns i en särskild avdelning av riktlinjerna. Medlemsländerna skall införa legala, administrativa eller andra förfaranden eller vidta andra åtgärder för att beträffande personuppgifter ge skydd för personlig integritet och individens friheter. Medlemsländerna skall särskilt sträva efter att anta lämplig inhemsk lagstiftning, att främja och understödja självreglering i form av etiska regler eller på annat sätt, att införa lämpliga sanktioner och rättsmedel samt att se till att registrerade inte utsätts för orättvis särbehandling. På begäran skall medlemsländerna ge ett annat medlemsland upplysning om hur de principer iakttas som riktlinjerna innehåller. Medlemsländerna skall också se till att de förfaranden som til??lämpas för
flöden av personuppgifter över gränserna och för skyddet av personlig integritet och individens friheter är enkla och jämförbara med dem som andra medlemsländer tillämpar. Medlemsländerna skall vidare genom särskilda förfaranden underlätta utbyte av information rörande riktlinjerna och ömsesidigt bistånd i fråga om de förfaranden och utredningar som kan bli aktuella. Vidare skall medlemsländerna arbeta för att utveckla inhemska och internationella principer för vilket lands lag som blir tillämplig i fråga om flöden av personuppgifter över gränserna.
Internationella associationer och företag, som International Air Transport Association (IATA), Center for Financial Industry Information Systems i Japan, Canadian Bankers Association, American Bank och IBM har antagit egna regler om dataskydd som bl.a. bygger på OECD:s riktlinjer.
4.3. Europarådets konvention
Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Till konventionen har fogats en förklarande rapport av den expertgrupp inom Europarådet som utarbetat konventionstexten.
Konventionen trädde i kraft den 1 oktober 1985, då kravet var uppfyllt att fem medlemsländer tillträtt konventionen.101
Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Enligt expertgruppens förklarande rapport är utgångspunkten att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter.
Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Därutöver finns viss möjlighet till undantag från några enskilda bestämmelser (artikel 9). Reservationer mot bestämmelserna i övrigt får inte göras (artikel 25). Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).
Konventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla dessa grundläggande principer. Åtgärderna skall vara vidtagna senast vid den tidpunkt då konventionen träder i kraft för parten (artikel 4). Dessa grundläggande principer skall garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta skall göra
101 Numera har bl.a. samtliga EG-stater, utom Italien, ratificerat konventionen.
det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.
Kapitel II innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl.a. att uppgifterna skall inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.
Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning, dels att de är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet eller dylikt eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål. Den nationella lagen skall också innehålla lämpliga sanktioner och rättsmedel (artikel 10).
Kapitel III, som rör dataflödet över gränserna, syftar till att förena kraven på fritt informationsflöde och dataskydd. Det är enligt expertgruppen viktigt att man ser bestämmelserna i kapitel III i samband med de grundläggande principerna i kapitel II, som garanterar att databehandlingen av personuppgifter i alla berörda länder är föremål för samma grundläggande reglering. Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna (artikel 12). Bestämmelserna gäller, oavsett vilket medium som används, vid överföring över nationsgränser av personuppgifter som undergår eller skall undergå automatisk databehandling eller som samlas in för det ändamålet. Huvudregeln är att överföring mellan konventionsstater skall vara fri. Det är inte tillåtet att ställa upp vare sig förbud eller krav på särskilt medgivande uteslutande i syfte att skydda den personliga integriteten.
I två fall är det emellertid tillåtet att göra undantag från huvudregeln. Den ena grunden för undantag är att avsändarlandets lagstiftning innehåller särskilda bestämmelser för vissa kategorier av personuppgifter men mottagarlandets lagstiftning inte ger ett likvärdigt skydd. Den andra grunden är att det egentliga mottagarlandet står utanför konventionen men överföringen dit sker via en konventionsstat. I ett sådant fall är det möjligt för avsändarlandet att, för att undvika att dess lagstiftning kringgås, exempelvis kräva särskilt tillstånd för överföringen.
Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna. Konventionen har konstruerats på ett sätt som gjort det möjligt att begränsa innehållet till de grundläggande principerna och för övrigt lita till samarbete mellan konventionsstaterna, bl.a. inom ramen för en rådgivande kommitté, när det gäller att införa och harmonisera dessa principer i de olika staternas lagstiftning.
I kapitel IV finns bestämmelser om att varje konventionsstat skall utse en eller flera myndigheter för samarbetet mellan parterna och även ange varje myndighets behörighet (artikel 13). De myndigheter som utses i de olika länderna skall tillhandahålla upplysningar om lagstiftning och administrativt förfarande på dataskyddsområdet m.m. Vidare behandlas frågor om bistånd till registrerade personer som är bosatta utomlands (artikel
14). Den myndighet som utses i ett visst land skall hjälpa personer i utlandet med att utöva sina rättigheter till insyn och rättelse m.m. Sådant bistånd skall lämnas oavsett om den som begär hjälp är bosatt i en annan konventionsstat eller i ett land som står utanför konventionen.
I kapitel V finns bestämmelser om den rådgivande kommittén, dess sammansättning och uppgifter m.m. (artikel 18 och 19).
4.4. Utländsk rätt
I bilaga 4 till Datalagsutredningens slutbetänkande finns det en redogörelse för utländsk rätt land för land.102 Med hänsyn till att de länder vars rättstraditioner står oss närmast – medlemsstaterna i EU och EES – för närvarande håller på att se över den befintliga dataskyddslagstiftningen för att anpassa den till EG-direktivet har vi inte funnit det meningsfullt att här lämna en motsvarande redovisning; den som är intresserad av en samlad framställning av den delvis överspelade ordningen i utlandet hänvisas till Datalagsutredningens redogörelse.
Vi har dock, så långt möjligt, försökt att följa upp det översynsarbete som nu pågår i många länder och ta till vara erfarenheterna från utlandet, bl.a. genom sammanträffande med de övriga nordiska utredningarna och deltagande i internationella akademiska seminarier och konferenser samt besök vid utländska dataskyddsmyndigheter. Vad som kommer att föreslås i de olika länderna är dock ännu oklart i många delar, och vi har därför inte här kunnat ta in någon samlad redogörelse för förslagen till genomförande av EG-direktivet i andra länder; en sådan redogörelse skall för övrigt kommissionen lämna om några år (se artikel 33 1 st. i EG-direktivet).
En slutsats som kan dras av våra internationella kontakter är att det finns ganska betydande skillnader mellan medlemsstaterna i EU och EES i fråga om uppfattningen om hur den personliga integriteten lämpligen bör skyddas vid informationsbehandling, t.ex. när det gäller värdet av att behandlingar anmäls till en dataskyddsmyndighet. Genomförandet av EGdirektivet torde komma att innebära en viss harmonisering och samsyn på området, men det förefaller högst sannolikt att det även efter genomförandet kommer att finnas betydande skillnader mellan medlemsstaterna i synsätt och tillvägagångssätt på grund av det spelrum EG-direktivet medger vid genomförandet.
102 Se också t.ex. James Michael, Privacy and Human Rights, 1994.
Inom kommissionen verkar man dock se det generella EG-direktivet som bara ett första steg, vilket infört en gemensam men flexibel referensram som grund för fortsatt arbete på området. Det särskilda EG-direktivet för telekommunikationsområdet, om vilket en gemensam ståndpunkt nyligen antagits (se avsnitt 3.21), visar att man på särskilda områden är beredd att gå vidare med preciseringar på gemenskapsnivå inom den referensram som det generella EG-direktivet skapat. I den mån man inom EG fortsätter på den inslagna vägen med preciseringar på gemenskapsnivå kommer harmoniseringen att drivas allt längre, samtidigt som det nationella spelrum som det generella EG-direktivet medger gradvis krymper.
5. Teknikens möjligheter
Enligt utredningsdirektiven skall vi i vårt arbete beakta utvecklingen på IT-området. Vi skall även beakta den fortsatta utveckling som kan överblickas.
Den tekniska utvecklingen på detta område går med en rasande fart. Vi har under utredningsarbetets gång försökt att hålla oss underrättade om vilka tekniska möjligheter som finns i dag och om vad tekniken kan tänkas erbjuda i framtiden. Vi har också tagit del av olika framtidsvisioner eller scenarier. Däremot har vi inte funnit det meningsfullt att här lämna en redovisning av var tekniken står just i dag. En sådan redovisning skulle beroende på den snabba utvecklingstakten i vissa delar vara inaktuell redan innan remissyttrandena över betänkandet kommit in. Härtill kommer att tekniken i sig – i dag eller inom den framtid som kan överblickas – inte innebär några egentliga begränsningar som bör beaktas vid utarbetandet av en ny lagstiftning om persondataskyddet. Lagstiftningen blir vidare mera framåtsyftande om man vid utarbetandet utgår från att det mesta i fråga om informationsbehandling är – eller kommer att bli – tekniskt möjligt.
Förutsättningarna för vårt arbete med att reglera behandlingen av personuppgifter bör därför vara, att en sådan behandling i dag och inom den överblickbara framtiden inte hindras av några begränsningar i de tekniska möjligheterna att nå och bearbeta datorlagrad information överallt och på alla tänkbara sätt.
Den tekniska utrustningen blir bara kraftfullare, enklare att hantera och billigare. I dag kan i princip alla företag och löntagare i Sverige, som prioriterar detta, skaffa sig utrustning som gör det möjligt att bearbeta ett stort antal uppgifter om tiotusentals personer och att utbyta information med andra datoranvändare över hela världen.103 Möjligheterna finns för alla och inte bara för myndigheter eller andra stora organisationer.104
103 En undersökning år 1995 visade att ungefär 60 procent av den svenska befolkningen i åldern 16–64 år är eller har varit datoranvändare, se Statistiska centralby-
Utrustningen och sätten att lagra och representera information kommer förmodligen att bli alltmer standardiserade och kompatibla. Så snart information om t.ex. en person har lagrats i datorformat (binärt, dvs. såsom ettor och nollor) i en dator kommer den informationen tekniskt sett att kunna läsas och användas också av alla andra datorer (eventuellt efter s.k. konvertering). Utvecklingen gör att varje användare tekniskt sett lättare kan nå all information. Alltmer information av olika typ kan vidare användas samtidigt, t.ex. text, ljud och bild sammanställda, s.k. multimedia.
Alltfler datorer och informationsmängder kopplas samman. Det blir tekniskt allt enklare och billigare att dela datorlagrad information med allt fler i allt mer omfattande s.k. nätverk, t.ex. Internet. Samtidigt blir det allt enklare för den enskilde användaren att ta med sig datorkraften eller möjligheterna att koppla upp sig mot informationsmängderna. Det blir vidare allt enklare att sammanställa information från flera olika källor oberoende av de fysiska avstånden. Varje datoranvändare kan varhelst han eller hon befinner sig nå information överallt.
Att datorer blir kraftfullare, enklare att använda och billigare har redan nämnts. Det gör att var och en själv kan bearbeta information på alla tänkbara sätt. Grundinformationen kan hämtas från många olika källor i världen. Den bearbetade (manipulerade) informationen kan sedan – med eller utan källangivelse – spridas till datoranvändare över hela världen för vidare sammanställning och bearbetning av andra.
rån, Datorvanor 1995 – Undersökning gjord på uppdrag av IT-kommissionen, 1995.
104 En del brukar måla upp en vision om informationsteknikens A- och B-lag. Diskussionen om hur möjligheterna faktiskt skall kunna göras tillgängliga för alla är givetvis viktig, men hör egentligen inte hemma i detta sammanhang.
6. Reglering av bruk eller missbruk
Såväl den nuvarande datalagen som EG-direktivet, andra internationella överenskommelser och de flesta andra EU-staters dataskyddslagstiftning bygger på att själva hanteringen av personuppgifter regleras. Vi föreslår att en ny, svensk lagstiftning också skall reglera själva hanteringen av uppgifterna och inte bara vad som kan betecknas som ett missbruk av dem. Det förtjänar emellertid övervägas om det inte bör ske en övergång till en sådan missbruksmodell. Den struktur som EG-direktivet anvisar läggs till grund för vårt lagförslag, när det inte finns särskilda skäl för avvikelser.
6.1. Integritet och effektivitet
Utgångspunkten för vårt arbete skall – enligt utredningsdirektiven – vara att tillförsäkra den enskilde ett fullgott integritetsskydd i IT-samhället samtidigt som användningen av ny teknik i samhällsutvecklingen inte skall hämmas.
När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ibland till en av professorn Stig Strömholm upprättad ”kränkningskatalog”:105
a) tillträde till och genomsökande av privata lokaler eller annan egendom,
b) kroppsundersökning,
c) medicinska undersökningar, psykologiska test,
d) intrång i en persons privata sfär genom skuggning, spionerande, tele-
fonterror,
e) ofredande genom företrädare för massmedierna,
f) olovlig ljudupptagning, fotografering eller filmupptagning,
105 SvJT 1971 s. 698 f.
g) brytande av brevhemligheten,
h) telefonavlyssning,
i) utnyttjande av elektronisk avlyssningsapparatur,
j) spridande av förtroliga uppgifter,
k) avslöjande inför offentligheten av annans privata förhållanden,
l) olika former av utnyttjande av annans namn, bild eller liknande identi-
fieringsmedel,
m) missbruk av annans ord eller meddelanden, och
n) angrepp på annans heder och ära.
Framför allt förfaranden under j), k) och n) kan avse personuppgifter som behandlas i IT-miljö.
Att den personliga integriteten skyddas innebär i dessa sammanhang att användningen av personuppgifter regleras och begränsas. Det står alltså klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet.
Genom att integritetsskyddslagstiftningen görs teknikoberoende blir såväl manuell som automatisk användning av personuppgifter underkastad i princip samma reglering. Och beslutet att utnyttja eller inte utnyttja ny teknik blir därmed oberoende av den integritetsskyddslagstiftning som finns rörande användningen av personuppgifterna. Frågan om en teknikoberoende integritetsskyddslagstiftning berörs närmare i avsnitt 7.
Andra utredningar, t.ex. IT-kommissionen, arbetar eller har arbetat för att främja användningen av den nya informationstekniken. Det är givetvis angeläget att så effektiva och billiga verktyg som möjligt används för de arbetsuppgifter som behöver utföras i den offentliga sektorn och inom näringslivet. Vi har gjort en total översyn av den föråldrade datalagen och föreslår att den nya lagstiftningen görs teknikoberoende. I dessa hänseenden kan sägas att vårt arbete främjar användningen av ny teknik. I övrigt får vi nöja oss med att försöka utforma en integritetsskyddslagstiftning som inte mer är nödvändigt hämmar användningen av personuppgifter och därmed utnyttjandet av såväl ny som gammal teknik.
Vilken reglering och begränsning av användningen av personuppgifter är då nödvändig för att skydda den personliga integriteten? Det är till stora delar en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörliga intrång i annans personliga integritet skall så långt möjligt förebyggas.
När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället.
Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana direkt mätbara skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när i och för sig korrekta personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.
Även med denna utgångspunkt kan man på ett mera allmänt och lagtekniskt plan resonera kring vilken metod som bör användas för att reglera integritetsskyddet. Det är ett sådant principiellt resonemang som förs i detta avsnitt. Våra överväganden beträffande den närmare nivån på skyddet – dvs. i praktiken vilka begränsningar i användningen av personuppgifter som bör gälla – kommer att framgå av de följande avsnitten.
6.2. Olika modeller för regleringen
6.2.1. Hanteringsmodellen och missbruksmodellen
Man kan på ett principiellt plan tänka sig åtminstone två olika modeller för regleringen av skyddet för den personliga integriteten: N Reglering av själva hanteringen av personuppgifter (hanteringsmo-
dellen). N Reglering av sådant utnyttjande av personuppgifter som kan karakterise-
ras som ett missbruk (missbruksmodellen).
När man riktar in sig på att reglera själva hanteringen av personuppgifter, blir det viktigt med regler som avser t.ex. N att precisera godtagbara ändamål med hanteringen och hindra använd-
ning som inte stämmer överens med sådana ändamål, N att inte fler uppgifter än nödvändigt hanteras, N att de hanterade uppgifterna är korrekta och relevanta, N att de hanterade uppgifterna inte läcker ut från den som hanterar dem
och N att de registrerade kan få kännedom om av vem uppgifterna hanteras och
vilka uppgifter som hanteras.
Den nuvarande datalagen och EG-direktivet kan sägas bygga på en sådan modell för skyddet av den personliga integriteten. Också Europarådets
konvention och rekommendationer samt, på det globala planet, OECD:s riktlinjer verkar bygga på hanteringsmodellen. Även den svenska grundlagen106 kan sägas kräva att det skall finnas en lagstiftning baserad på hanteringsmodellen, innefattande skydd mot integritetskränkningar genom att personuppgifter registreras (oavsett om de i någon mening missbrukas eller inte).
De som förespråkar den modell som koncentrerar sig på reglering av det som kan karakteriseras som missbruk av personuppgifter, brukar utgå från att själva hanteringen av personuppgifterna skall vara i det närmaste fri. Det har t.ex. talats om ett slags allemansrätt till personuppgifter.107 Det viktiga med den modellen blir i stället att identifiera vilken användning av personuppgifter som utgör ett sådant missbruk att det bör förbjudas, dvs. i första hand kriminaliseras eller skadeståndsbeläggas.
Båda modellerna har fördelar. Även om en reglering i enlighet med hanteringsmodellen görs i princip teknikoberoende, är det inte praktiskt möjligt att låta den omfatta all hantering av personuppgifter; hanteringen av sådana personuppgifter som någon har memorerat (”har i huvudet”) bör t.ex. lämnas utanför regleringen, trots att de memorerade uppgifterna givetvis kan komma att användas till skada för den som uppgifterna avser. Missbruksmodellen däremot är helt teknikoberoende och tar sikte på det skadliga utnyttjandet av personuppgifterna oberoende av vilket hjälpmedel som har använts vid utnyttjandet (papper och penna, dator, det mänskliga minnet etc.).
Med hanteringsmodellen kan man alltså – till skillnad från missbruksmodellen – inte komma till rätta med allt missbruk av personuppgifter eller all användning av personuppgifter som enskilda kan tycka är obehaglig eller skadlig.
Med hanteringsmodellen främjas en kontinuerligt god hantering av personuppgifter; man begränsar hanteringen till de uppgifter som behövs och hanteringen sker på ett ändamålsenligt sätt som den enskilde kan få insyn i. Den modellen förutsätter också att det finns någon sorts kontroll av eller tillsyn över hanteringen. Missbruksmodellen är å andra sidan mera repressiv till sin karaktär. Där kommer regleringen och tillsynen in först sedan skadan har skett, när missbruket är ett faktum. Det torde med den mo-
106 2 kap. 3 § 2 st. regeringsformen. 107 Se Jan Freese, Rapport om skyddet för enskilda personers privatliv – ett mer
samlat grepp?, 1995, avsnitt 10.4.
dellen vara svårt att på ett tillräckligt förutsebart sätt reglera och kontrollera olika ”förberedelser” till missbruk.
Den hantering som inte innebär ett missbruk lämnas med missbruksmodellen i princip utanför regleringen; där gäller ”allemansrätten till personuppgifter”. Med hanteringsmodellen regleras däremot i princip också sådan hantering av personuppgifter som objektivt sett måste betraktas som harmlös. Det kan därför tyckas att hanteringsmodellen spänner över onödigt mycket. Missbruksmodellen lämnar å andra sidan öppet för en hantering av också känsliga personuppgifter som redan genom sin stora omfattning kan oroa många människor.
6.2.2. Valet på lång sikt av modell för regleringen
Den svenska datalagen och EG-direktivet, som kan betecknas som en moderniserad version av datalagen, bygger som framgått av föregående avsnitt på hanteringsmodellen. Denna kännetecknas av långtgående och detaljerade anvisningar för hur persondata får hanteras. Datalagens tillkomst motiverades av den oro och det obehag med vilken många upplevde den begynnande dataålderns nya möjligheter att behandla personuppgifter. Hanteringsmodellen bygger på ett omfattande administrativt system för kontroll och tillsyn av att dessa regler upprätthålls. Att skapa ett sådant system var högst naturligt på den tid då persondata fanns registrerade i ett antal stora datorer, då antalet system var få och lättöverskådliga och det sålunda var realistiskt att tillsynsmyndigheterna skulle kunna pröva och kontrollera att datahanterarna följde lagen.
I framtiden kommer dataflödet – även i fråga om persondata – att bli enormt. Redan nu kan vi se att i stort sett inga spärrar gäller i fråga om vad som läggs in i Internet och som sprids över alla gränser. Hittillsvarande erfarenheter från Sverige säger oss att för endast ungefär 10 procent av alla licenspliktiga personregister har innehavaren sökt licens hos Datainspektionen. Proportionen av laglydiga kan inte väntas bli större när antalet PCinnehavare ökar.
Man skulle kunna tro att det upplevda obehaget skulle ha minskat i takt med att kunskapen om och användningen av datorer ökat och IT-samhället krupit närmare. Emellertid visar de undersökningar som har gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. De upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i nå-
gon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts. Det förhållandet att den enskilde har eller inte har egen erfarenhet av datorer verkar enligt de senaste undersökningarna inte ha påverkat inställningen till användningen av personuppgifter eller det upplevda obehaget. Och om åldern alls har någon betydelse, är det så att yngre hittills varit mera negativa än äldre till t.ex. överföringar av uppgifter mellan myndigheter.
En förklaring till dessa iakttagelser kan vara att det inte är tekniken som sådan utan teknikens möjligheter som människor är oroliga för. Det väsentliga är vad som registreras och om det kan missbrukas. De stora systemen kan fortfarande – och kanske i växande utsträckning – upplevas som hotande medan de små inte gör det. Oron handlar troligen om möjligheterna till samkörning, skepsis mot myndigheter i allmänhet och mängden information. Det finns en betydande grupp som anser att icke önskvärd kontroll skall hindras. Människor kan dock ha överdrivna föreställningar om teknikens möjligheter. Inställningen kan vara kluven beroende på vilka uppgifter det är fråga om. Man är rädd för att andra har uppgifter om den egna personen och saknar den kontroll över uppgifterna som var möjlig när uppgifterna fanns på papper. När man själv kan få nytta av att exempelvis myndigheterna har tillgång till statistiska uppgifter tycker man däremot att teknikens möjligheter bör utnyttjas.
Problemet är internationellt. Som framkommit vid konferenser i vilka vårt sekretariat deltagit finns en oro för bl.a. den behandling av personuppgifter som utförs av privata intressenter. Ett exempel är att bankerna samlar på sig mängder av uppgifter om kundernas betalningsvanor, övertrasseringar etc. Integritetsintrånget utgörs dels av det obehag människorna känner av att bankerna vet så mycket, dels av oro för att banken kan tänkas fatta beslut i fråga om exempelvis kreditgivning på grundval av dess insamlade uppgifter. Ett exempel från USA är att efterfrågan på uppgifter från sjukvården är stort. Bland andra försäkringsbolagen är mycket intresserade av sådana uppgifter för att kunna agera på grundval av dem.
Reklamföretagen anser att Internet är mycket värdefullt för deras ändamål. Det finns företag som samlar in uppgifter om människors beteende på nätet, vilka BBS man använder, vilka tidningsartiklar man har läst osv. Reklamerbjudanden kan sedan riktas till människor på grundval av dessa uppgifter.
När det gäller Internet görs försök att bringa verksamheten under kontroll, från östliga diktaturers försök att totalförbjuda användandet till strävanden i USA att bekämpa kriminella handlingar som utförs på eller med
hjälp av nätet. Det efterlyses regler från alla håll. För att komma till rätta med problemen har föreslagits såväl lagstiftning som självsanering. I USA har man gett ut rekommendationer som de seriösa företagen förväntas följa. Avsaknaden av auktorisation och ansvarsregler för dem som lägger ut information på nätet har på sina håll ansetts göra det omöjligt för seriösa företag att använda det. Det har sagts att användarna måste ställa krav på dem som skapar programmen att göra det möjligt för den enskilde att på ett enkelt sätt själv avgöra om han eller hon vill ”synas” på nätet eller inte. Om företagen inte tillhandahåller detta bör användaren inte använda produkten.
Den tekniska utvecklingen går nu så snabbt att det är omöjligt att göra några säkra förutsägelser om framtiden. Kanske kommer det inom en snar framtid att finnas teknik som gör det möjligt att urskilja och blockera oönskad information på nätet. För närvarande synes det dock i stort sett omöjligt att bringa Internet under kontroll och försöka upprätthålla strikta krav för hur persondata skall få hanteras på nätet – att försöka hävda att allt är förbjudet som inte är tillåtet. En sträng hanteringsmodell synes för närvarande dömd att misslyckas såtillvida att den inte kommer att respekteras och därmed dra ett löjets skimmer över lagstiftningen. Det kan t.ex. uppkomma svårigheter att på ett lagligt sätt behandla frågor om hälsa och sexualliv i en diskussionsgrupp vid en BBS i någon medicinsk fakultet, om diskussionen knyts till personer. Det finns sålunda de som anser att EG-direktivet redan hunnit bli obsolet i detta hänseende, eftersom det bygger på principer som utvecklades innan nätet kom i allmänt bruk. Risken är uppenbar att företag och till och med myndigheter kommer att bortse från delar av regleringen.
Som ytterligare exempel kan nämnas myndigheternas e-post. E-meddelanden i form av löpande text som överförs mellan datorer via nät omfattas av regleringen i EG-direktivet. Det är knappast genomförbart att hindra att e-post med personuppgifter, som inte borde få behandlas enligt direktivet, kommer in till myndigheterna. Är de inkomna måste de också bevaras för att tillgodose offentlighetsprincipen. Föreskrifterna om underrättelse till de registrerade vid insamling av personuppgifter blir inte enkla att tillämpa i sådana fall. Detsamma gäller hur information skall kunna lämnas till den som vill veta om personuppgifter som rör honom eller henne behandlas i eposten.
Å andra sidan kan det antas att människor även i framtiden kommer att ha kvar sin oro för stora datasystem. Det torde därför bli nödvändigt att behålla en hanteringsmodell, om ock i förenklad form, för stora databaser
hos myndigheter och hos företag med enskilda som klienter eller kunder, t.ex. sjukhus, banker och försäkringsföretag. Detta kan ske på så sätt att en datalag enligt hanteringsmodellen ges generell giltighet men att undantag görs för nätförbindelser, småföretag och andra som framstår som omöjliga att kontrollera. Det blir dock svårt både att lagtekniskt avgränsa de aktörer som skulle undantas och att i den praktiska verksamheten tillämpa en sådan avgränsning. Det torde vara lättare att reglera persondatahanteringen hos de aktörer som måste kontrolleras genom att skapa särskilda registerlagar för olika förvaltningsgrenar inom allmän verksamhet, efter mönster av de registerförfattningar som finns i dag, respektive för olika branscher inom näringslivet.
När det gäller de många små datasystemen, hos t.ex. skolor, småföretagare, enskilda, och troligen också Internet, synes det däremot hopplöst att söka kontrollera själva hanteringen av persondata. Den beskrivning av de framtida problemen som lämnats i det föregående ger nästan automatiskt vid handen att det är utsiktslöst att försöka reglera innehållet i ett otal databaser, annat än för mycket speciella situationer som t.ex. i fråga om barnpornografi. När så småningom alla kommunicerar via data blir det inte konstigare med det än med telefonsamtal, brevskrivning via den allmänna posten eller information via trycksaker. Det kommer att vara mängder av personuppgifter som behandlas i ett sådant system. Vi kan då inte längre hålla på med att strängt reglera själva hanteringen av personuppgifterna. Mycket få skulle rätta sig efter sådana bestämmelser och det kommer inte att finnas resurser att kontrollera att de efterlevs. Tillräckliga resurser skulle för övrigt kunna leda till ett kontrollsamhälle som inte skulle accepteras. Lika gärna skulle man kunna försöka kontrollera telefontrafiken (annat än i form av telefonavslyssning vid misstanke om grov brottslighet). Vad man i stället kan inrikta sig på utanför de särskilda registerförfattningarnas ram är att förhindra sådan spridning av databehandlade personuppgifter som den uppgifterna avser med fog kan begära att bli skonad från.
Lagstiftningen kan i så fall inriktas på att inskärpa moralnormer på området snarare än på en administrativ prövning av befintliga system. När datahantering blir något som ingår i vardagslivet, precis som alla andra tekniker som mänskligheten under århundradena lagt sig till med, kommer det att bli naturligt att motverka dess avarter på samma sätt som vi motverkar avarter på andra områden av mänsklig samlevnad. Som exempel på andra integritetskränkningar kan nämnas misshandel och hotelser. Påföljder för sådana handlingar är straff och skadestånd. Påföljderna syftar samtidigt till att upprätthålla normerna (i dessa fall att man inte får misshandla
och hota sina medmänniskor). När vi i Sverige i alla år klarat oss med några få centrala bestämmelser om bl.a. förtal och förolämpning beträffande det tryckta ordet bör en av tekniska skäl framtvingad övergång till en motsvarande reglering på dataområdet kunna fungera.
Självfallet kan olika typer av brott förekomma i samband med databehandling. IT-utredningen har i sitt betänkande (SOU 1996:40) Elektronisk dokumenthantering gått igenom olika straffbestämmelser som därvid kan bli tillämpliga. Det kan sägas att bestämmelser som rör traditionell brottslighet ganska väl låter sig tillämpas också på förfaranden som sker med automatisk databehandling, utom såtillvida att det ofta är svårt att finna gärningsmannen.
Vad frågan nu gäller är emellertid om det går att ersätta den nuvarande datalagstiftningen om skydd mot otillbörlig behandling av personuppgifter. En framtida lagstiftning om behandling av personuppgifter utanför den särskilda registerlagstiftningens ram synes böra bygga på någon form av skydd för privatlivet. Skyddet bör riktas mot användning av personuppgifter på ett sätt som skadar enskilda personers privatliv. En sådan reglering är visserligen förenad med uppenbara svårigheter, eftersom ”vanliga” människor har mer fog för sina krav på ett fredat privatliv än personer som lever i offentlighetens ljus. Det blir inte lättare av att bestämmelser i ämnet också måste tas in i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Det har framförts förslag till lagreglering av skyddet för privatlivets fred. Integritetsskyddskommittén redovisade tre tänkbara lösningar, hur ett utökat skydd för den enskilde skulle kunna genomföras.108 Ett förslag innebar att det i tryckfrihetsförordningen och brottsbalken skulle tas in en straffbestämmelse om skydd mot kränkningar av privatlivets fred. Därmed skulle gärningen bli straffbar även om den begicks av massmedier och det skulle finnas en möjlighet att få skadestånd. Ett annat förslag var att det skulle införas en möjlighet att få skadestånd vid ett intrång i privatlivet även om intrånget inte var straffbart. Det tredje alternativet var att behålla den nuvarande ordningen dvs. att låta regleringen ske genom massmediernas självsanerande verksamhet. I det lagstiftningsärende som därefter följde och som ledde fram till yttrandefrihetsgrundlagen ansågs det att man även i fortsättningen skulle lita till den självsanerande verksamheten.109
108 Se SOU 1980:8. 109 Se prop. 1986/87:151 s. 44.
På senare tid har skyddet för den personliga integriteten behandlats i bl.a. studien Skyddet för enskilda personers privatliv (Ds 1994:51). I studien framförs att en viktig metod för att stärka integritetsskyddet kan vara att hindra att känsliga personuppgifter utnyttjas eller sprids på ett inte önskvärt sätt i t.ex. massmedier (s. 173). Vidare diskuteras införandet av en ny straffbestämmelse i tryckfrihetsförordningen och yttrandefrihetsgrundlagen till skydd för privatlivets fred. Sådana bestämmelser finns i bl.a. Danmark, Finland och Norge samt i Frankrike (se redogörelsen i avsnitt 10.5.3).
Det kan finnas anledning att här nämna den finländska regleringen eftersom denna, till skillnad från den danska och norska, är förhållandevis ny; den tillkom 1974.110 Då infördes en bestämmelse i 27 kap. 3 a § strafflagen med följande lydelse.
Den som utan laga rätt med användande av massmedium eller på annat liknande sätt om annans privatliv offentligen sprider uppgift, antydan eller bild, som är ägnad att orsaka denne skada eller lidande, skall för kränkning av privatliv dömas till fängelse i högst två år eller till böter. Som kränkning av privatliv skall icke anses offentliggörande, som gäller persons förfarande i offentlig tjänst eller offentligt värv, i näringslivet eller i politisk verksamhet eller i annan med dessa jämförbar verksamhet och som är av nöden för behandlingen av någon samhälleligt betydelsefull sak.
Det inses lätt att en generell regel om kränkning av privatlivets helgd kan ge upphov till talrika gränsdragningsproblem och tillämpningssvårigheter. Det kan inte ingå i vårt uppdrag att överväga ens om det vore önskvärt att införa en sådan allmän regel, långt mindre hur den i så fall skulle kunna utformas. I och för sig finns sådana bestämmelser i olika europeiska länder men det synes tveksamt om EG-kommissionen kan tänkas acceptera att sådana regler sätts i stället för det detaljerade EG-direktivet. Fördelarna och nackdelarna med en sådan regel blir för övrigt desamma vare sig informationen vidarebefordras med data, t.ex. via Internet, eller exempelvis lämnas muntligen i TV. Den fråga vi ställer oss är, om det är möjligt att skilja ut en sådan behandling av personuppgifter med data som framstår som otillbörlig mot den det berör och därför skulle kunna förebyggas med användande av straff eller skadestånd.
110 Se Ds 1994:51 s. 101 ff.
Frågan är då vilka missbruk närmare bestämt som bör motarbetas på persondataområdet, dvs. i första hand kriminaliseras eller förknippas med skadeståndspåföljd. I den förut återgivna ”kränkningskatalogen” (se ovan avsnitt 6.1) är de missbruk som är aktuella när fråga är om persondataskyddet närmast N spridande av förtroliga uppgifter, N avslöjande inför offentligheten av annans privata förhållanden och N angrepp på annans heder och ära.
Av de former för missbruk som sålunda är aktuella när fråga är om persondataskyddet kan först nämnas att spridning av förtroliga uppgifter knappast medför andra problem vid databehandling än vid andra former av kommunikation. Vanligast och kanske också mest skadebringande torde muntlig spridning vara. På detta område finns lagstiftning och etiska regler om tystnadsplikt. Några särskilda bestämmelser för databehandling synes knappast behövliga.
I fråga om angrepp på annans heder och ära finns regler om förtal och förolämpning. Förtal innebär enligt 5 kap. 1 § första stycket brottsbalken att utpeka någon som brottslig eller klandervärd i sitt levnadssätt eller annars lämna uppgift som är ägnad att utsätta denne för andras missaktning. Enligt andra stycket i samma paragraf skall det dock inte dömas för förtal, om den som lämnat uppgifterna var skyldig att uttala sig eller det annars med hänsyn till omständigheterna var försvarligt att lämna denna uppgift i saken och han dessutom visar att uppgiften var sann eller han hade skälig grund för den.
Vad som är försvarligt är det kanske mest besvärliga problemet vid til??lämpning av bestämmelserna om ärekränkning. Den frågan får avgöras i varje enskilt fall för sig med beaktande av omständigheterna.
Emellertid torde trots detta reglerna om förtal ge ett förhållandevis gott skydd mot missbruk av personuppgifter i datamedier, t.ex. via Internet. Ett problem är visserligen att upptäcka spridningen på nätet och inte minst att konstatera varifrån den kommer. Detta problem är dock inte mindre vid tillämpningen av en hanteringsmodell såsom i datalagen eller den av oss föreslagna persondatalagen. Värre är kanske det förhållandet att till skillnad från den nuvarande datalagstiftningen där myndigheterna övervakar att de persondataansvariga hanterar data i överensstämmelse med lagstiftningen blir det i ett system med straff och skadestånd som sanktioner den enskilde som har att agera, med allt vad detta medför av besvär och kostnader. Detta kan motivera att polis och åklagare i större utsträckning än för
närvarande tillvaratar målsägandens intresse vid förtal. Åklagaren skall väcka åtal för förtal om målsäganden anger brottet och det av särskilda skäl anses påkallat ur allmän synpunkt. Om förtalet skedde genom missbruk av databehandlade personuppgifter borde åtal kunna i större utsträckning anses vara påkallat ur allmän synpunkt. Kanske skulle också under en övergångstid en dataombudsman kunna biträda den enskilde i sådana frågor.
Vad angår avslöjande inför offentligheten av annans privata förhållanden, när förtalsbestämmelsen inte är tillämplig, torde den enskilde få finna sig i att enstaka sådana uppgifter sprids. Detta är just baksidan av att det inte är fråga om förtal. Den enskilde skyddas i viss utsträckning av tystnadsplikt som gäller enligt sekretessreglerna för allmän verksamhet men också enligt särskilda regler för många i privat verksamhet som t.ex. läkare och annan vårdpersonal, advokater och banktjänstemän.
Vad man emellertid inte kommer åt med förtalsbestämmelserna eller regler om tystnadsplikt är sammanställningar av uppgifter om en person, som inte är ägnade att utsätta denne för andras missaktning och som inte heller var för sig är hemliga men som ger en så fullständig bild av den berörda att han eller hon rimligen inte skall behöva finna sig i att få sin personlighet utställd på det viset. Vad det framför allt kan bli fråga om är användning av datorer för sammanställning av uppgifter om någon utan dennes samtycke, när uppgifterna rör personliga förhållanden som inte är av allmänt intresse.
Mot sådana sammanställningar skyddas nu den enskilde av datalagen och de stränga förutsättningar som enligt Datainspektionens föreskrifter och villkor gäller för samkörning av dataregister. Som förut framhållits torde dock i framtiden en sådan kontroll bli omöjlig utanför de särskilda registerförfattningarnas område. Ett generellt förbud mot samkörningar kommer inte heller bli möjligt att tillämpa. Det följer redan av att en enda PC kan rymma ett praktiskt sett oändligt antal uppgifter och att någon uppdelning av sådana uppgifter på olika register knappast kan anses föreligga.
Vad som skulle kunna övervägas är ett skydd mot spridning av sammanställningar av uppgifter som inför offentligheten avslöjar enskildas personliga förhållanden. En bestämmelse skulle i så fall kunna införas i 4 kap. brottsbalken (Om brott mot frihet och frid). Diskussionsvis skulle följande regel kunna skisseras.
Den som med automatisk databehandling sammanställer uppgifter om annans privata förhållanden och sprider dem dömes, om det innebär olägenhet för den andre att uppgifterna blir kända, för olovlig dataspridning till böter eller fängelse högst sex månader. Det sagda skall dock inte gälla om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att uppgifterna sprids.
Olägenhet skulle då också innefatta det obehag som någon med fog kan känna om alltför mycket av hans eller hennes privatliv prisges till allmänheten. Försvarligt att lämna uppgifterna skulle det vara i betydligt vidare omfattning än vid förtalsbrottet. Försvarlighetsrekvisitet skulle innefatta en avvägning mellan den enskildes anspråk på ett skyddat privatliv och exempelvis behovet av att kunna belysa offentliga personers privatliv som bakgrund till exempelvis deras förmåga att sköta sina uppgifter.
Olovlig dataspridning skulle i så fall också utgöra tryckfrihetsbrott och yttrandefrihetsbrott.
En modell sådan som den nu skisserade skulle fungera i stort sett som det nuvarande systemet för sanktioner mot tryckfrihetsbrott. Endast sporadiskt och i särskilt flagranta fall skulle det bli fråga om åtal och rättegång. Det måste antas att regleringen skulle utgöra en bas för pressens och etermediernas självsanerande verksamhet och därför i allmänhet bli respekterad i massmedier. Detsamma gäller självfallet offentlig verksamhet. I näringslivet och bland enskilda skulle troligen informationen flöda fritt. Systemet skulle genom sin frihet medföra långt mindre kostnader än nuvarande reglering. Samtidigt skulle det inte på något sätt motsvara det behov av skydd mot ansamling av personuppgifter som många människor känner.
6.2.3. Valet nu av modell för regleringen
Enligt vår mening bör man vid valet av regleringsmodell ta stor hänsyn till allmänhetens inställning. Det förhållandet att många människor känner obehag inför en viss hantering är i en politisk demokrati ett starkt argument i sig för att reglera den hanteringen. Samma bedömning verkar för övrigt ha gjorts i de flesta EU-stater, vilka har lagstiftning efter hanteringsmodellen, och av EU i och med att EG-direktivet antogs. Härtill kommer att Sverige genom sitt medlemskap i EU är skyldig att genomföra EG-direktivet, vilket bygger på hanteringsmodellen.
De förhållandena att flera internationella överenskommelser bygger på hanteringsmodellen och att flera länder, särskilt i vår närhet, har lagstiftning som bygger på den modellen har betydelse också på ett annat sätt. In-
ternationaliseringen ökar samtidigt som den nya tekniken gör det möjligt att blixtsnabbt hämta eller flytta uppgifter över hela jordklotet. I en sådan miljö ligger det ett betydande värde i sig i att lagstiftningen i olika länder är likartad. Kan Sverige inte erbjuda samma skydd vid hanteringen av personuppgifter som andra länder, kan dessa försöka hindra att sådana uppgifter förs över till Sverige. På detta sätt kan användningen av ny teknik i Sverige hämmas. Även om det för interna svenska förhållanden skulle finnas skäl att övergå till en missbruksmodell kan det således – oavsett Sveriges internationella åtaganden – ändå vara mest ändamålsenligt att göra som de flesta andra länder för att trygga det fria flödet av information över gränserna.111
En naturlig grund för människors oro för behandlingen av personuppgifter är risken för att de uppgifter som finns skall vara felaktiga, vaga eller subjektiva. Ett grundläggande krav på datahantering är därför kravet på datas kvalitet. Det är den som behandlar personuppgifter som har bevisbördan för att uppgifterna är korrekta och han eller hon måste alltså kunna hänvisa till källor för uppgifterna som är godtagbara. EG-direktivet ställer stränga krav på uppgifternas kvalitet. Sådana krav är ett naturligt led i en hanteringsmodell. Även om de självfallet bör tillämpas även i en missbruksmodell är det lagtekniskt svårare att reglera dem där.
Som framgår av föregående avsnitt finns det enligt vår mening ändå många skäl – framför allt att det inte är ändamålsenligt att reglera en hantering som snart sagt varje medborgare kan hålla på med t.ex. i vardagsrummet – för att hanteringsmodellen i en framtid måste överges åtminstone såvitt angår små datasystem och verksamheten på Internet och liknande. Som också framgått tror vi dock att det kommer att dröja innan tiden är mogen för en övergång till missbruksmodellen. Den oro människor alltjämt känner för teknikens möjligheter måste respekteras. Övriga EU-stater måste också vinnas för tanken på en sådan övergång.
Övervägande skäl talar därför för att en ny, teknikoberoende lagstiftning om skydd för den personliga integriteten vid behandling av personuppgifter i dagens situation bör bygga på hanteringsmodellen och reglera när och under vilka förutsättningar det är tillåtet att behandla personuppgifter. Vi önskar emellertid samtidigt att diskussionen om en övergång till missbruksmodellen skall fortsätta. Inte minst när det gäller att inom EU:s institutioner vinna gehör för en sådan tankegång gäller det att vara tidigt
111 Jämför Peter Blume, Personregistrering, 3. rev. udgave, 1996, s. 283.
ute. Vi förordar att arbetet drivs vidare i lämpliga former. Vid lämplig tidpunkt bör Sverige ta initiativ till en persondatalagstiftning av mer modernt snitt. Eftersom enhetligheten inom EU bör bevaras, bör detta initiativ i första hand avse tillskapandet av ett nytt EG-direktiv.
6.3. Den lagstiftningsstruktur som EGdirektivet anvisar
EG-direktivet, som Sverige har att genomföra och vilket bygger på hanteringsmodellen, kan sägas anvisa en struktur för lagstiftningen.112 Direktivet bygger på ett antal huvudprinciper från vilka medlemsstaterna har möjlighet – och i vissa fall skyldighet – att inom givna ramar föreskriva undantag; vad medlemsstaterna har att göra är, som det står i direktivet (artikel 5), att inom den ram som direktivet drar upp närmare precisera på vilka villkor behandling av personuppgifter är tillåten. Bland huvudprinciperna kan nämnas: N Behandling av personuppgifter är bara tillåten i sex uppräknade fall. N Behandling av känsliga uppgifter är förbjuden. N Den enskilde skall alltid få information om den behandling som sker och
på begäran kunna få tillgång till sina uppgifter och rättelse, om uppgifterna är felaktiga eller missvisande. N All automatisk behandling av personuppgifter skall anmälas i förväg till
en tillsynsmyndighet.
Sverige har varit ett föregångsland i fråga om lagstiftning på den personliga integritetens och databehandlingens område. EG-direktivet får ses som ett resultat av den utveckling som bl.a. Sverige inspirerat. Den nivå på skyddet för den personliga integriteten som direktivet syftar till får anses vara väl så hög som den svenska lagstiftningens. Härtill bidrar naturligtvis att utgångspunkten för kontinental och anglosachsisk rätt när det gäller myndigheternas handlingar är sekretess medan den nordiska utgångspunkten är öppenhet.
Direktivet har visserligen kommit till stånd efter en lagstiftningsprocedur som till stora delar ägt rum innan Internet och e-post kommit i allmänt
112 I de flesta artiklar i direktivet talas det om att medlemsstaterna skall (eller får) ”föreskriva”, ”förbjuda”, ”bestämma” eller ”precisera” i det ena eller andra hänseendet.
bruk. Den tekniska utvecklingen har sålunda under tiden sprungit ifrån lagstiftarna. Som direktivet nu är föranleder det kritik från olika håll och har till och med kallats obsolet.
Goda skäl talar därför för att direktivet bör ses över och kanske till och med arbetas om i väsentliga hänseenden, efter de riktlinjer vi tidigare förespråkat. Det kan emellertid förutses att en översyn och än mer en omarbetning kommer att ta avsevärd tid i anspråk och säkerligen långt mer än de tre år under vilka vi som EU-medlemmar är skyldiga att genomföra direktivet. Härtill kommer att den svenska datalagen är än mer föråldrad än EG-direktivet och snarast bör ersättas. Reglerna i direktivet är säkerligen lika goda som varje annan just nu tänkbar utformning av hanteringsmodellen. Som vi anfört förut bör vi i dagens läge välja en sådan modell. Detta innebär visserligen att en persondatalag som nu kommer till stånd kanske måste omarbetas inom en tidsram av fem till tio år. Att lagar på områden med så hisnande snabb utveckling som IT-området i viss mening är en förbrukningsvara är dock något vi måste lära oss att leva med.
Sverige driver med skärpa kravet på öppenhet även inom EU:s ramar. Offentlighetsprincipen är djupt rotad i svensk rätt och är grundlagsfäst sedan mer än tvåhundra år. Ett övergivande av den kommer inte i fråga. Att med hänsyn till EG-direktivet om personuppgifter införa begränsningar i grundlagarna kan vi inte tänka oss. I enlighet med vad som anförs i avsnitt 9 kan emellertid EG-direktivet förenas med offentlighetsprincipen. EG-direktivet kan också – i enlighet med vad som anförs i avsnitt 10 – förenas med grundlagsreglerna om tryckfrihet och yttrandefrihet.
EG-direktivet, som således inte är oförenligt med några väsentliga grundlagsfästa svenska intressen, bör därför i enlighet med Sveriges förpliktelser som EU-medlem införlivas i svensk rätt. På någon punkt, där det är uppenbart att verkligheten i form av en snabb teknisk utveckling sprungit ifrån de förutsättningar under vilka direktivet tillkom, synes det möjligt att genom en rimlig tolkning av direktivet undvika en rättstillämpning som annars skulle kunna te sig absurd. När det sedan gäller själva tekniken för genomförandet kan följande sägas.
Det är visserligen i formell mening sant att ett EG-direktiv anger vissa mål eller resultat som skall uppnås eller förverkligas i samtliga EU-länder och att varje stat själv får välja hur detta skall genomföras. I praktiken är dock detta en sanning med modifikation. EG-domstolen kräver nämligen att den form som en medlemsstat väljer för genomförande effektivt säkerställer en fullständig tillämpning av direktivet på ett tillräckligt klart och precist sätt, i syfte att i de fall då direktivet syftar till att skapa rättigheter
för enskilda så skall de berättigade kunna få full kännedom om sina rättigheter och kunna vid behov utnyttja dem inför de nationella myndigheterna. Mot bakgrund härav har domstolen underkänt försök att åberopa exempelvis administrativa åtgärder som tillräcklig form för genomförande av direktiv av lagstiftningskaraktär.113
Otvivelaktigt innehåller EG-direktivet om personuppgifter bestämmelser som ger medborgarna rättigheter i fråga om integritetsskyddet. Direktivet måste därför genomföras i form av lagstiftning. Vi ser oss inte någon möjlighet att i lagtext återge direktivets innehåll i annan form än en nära efterbildning av direktivets text och struktur, med de förbehåll som föranleds av ett fasthållande vid grundläggande svenska intressen. Det finns vidare fördelar i sig med att EU-länderna med sina många inbördes kontakter har en såvitt möjligt likartad lagstiftning.
Sammanfattningsvis anser vi således att den nya svenska lagstiftningen i stort bör följa den struktur som EG-direktivet anvisar och att avvikelser bör göras bara när det finns särskilda skäl till det. I avsnitt 12.1 berörs lagstiftningstekniken i övrigt.
113 Se särskilt dom den 30 maj 1991 i mål mellan kommissionen och Tyskland, C-361/88, ECR 2567, punkt 15.
7. En teknikoberoende och generell persondatalag
Den nya lagen bör vara teknikoberoende och såvitt avser olika typer av behandlingar ha samma tillämpningsområde som EG-direktivet. Detta innebär att lagen bör tillämpas på all automatisk behandling av personuppgifter och dessutom på manuell behandling av personregister. Behandling av uppgifter om juridiska personer omfattas inte av den föreslagna lagen. Lagen bör till skillnad från EG-direktivet vara generell och i princip omfatta även sådant som faller utanför gemenskapsrätten. Rent privat användning av personuppgifter bör dock undantas från lagens tillämpningsområde.
7.1. Förutsättningar
De flesta bestämmelserna i datalagen gäller bara för personregister som förs med hjälp av automatisk databehandling. Det måste alltså vara fråga om ett dataregister med personuppgifter.114
Datalagen gäller i princip för alla sådana personregister inom såväl den privata som offentliga sektorn; de särskilda registerförfattningarna som gäller vid sidan av datalagen berörs i avsnitt 8. Det krävs dock inte licens eller tillstånd för personregister som en enskild person inrättar eller för uteslutande för personligt bruk.115
Enligt utredningsdirektiven skall vi utgå från att en kommande lag skall vara teknikoberoende. Det framgår av utredningsdirektiven inte annat än att lagen skall omfatta bara personuppgifter (och således inte uppgifter om företag, dvs. juridiska personer).
114 Se närmare avsnitt 6 i SOU 1993:10. 115 Se SOU 1996:40 s. 169 beträffande underrättspraxis rörande begreppet personligt bruk.
EG-direktivet gäller för sådan behandling av personuppgifter som är helt eller delvis automatisk. Direktivet gäller dock även för annan behandling (manuell behandling) av sådana uppgifter, om de ingår i eller är avsedda att ingå i ett register, dvs. en strukturerad samling uppgifter som är tillgänglig enligt särskilda kriterier. Direktivet gäller inte för andra uppgifter än personuppgifter.
EG-direktivet omfattar behandling av personuppgifter inom såväl den privata som offentliga sektorn. Direktivet gäller dock inte för sådan uppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, t.ex. statens verksamhet på straffrättens område. Direktivet gäller inte heller för uppgiftsbehandling som en enskild person bedriver som ett led i en verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll.
7.2. Överväganden
7.2.1. Olika typer av behandlingar
Datalagens tillämpningsområde är, såvitt avser de olika typer av behandlingar som omfattas, väsentligt snävare än EG-direktivets. Datalagen gäller bara för automatisk behandling av dataregister, medan EG-direktivet gäller all automatisk behandling av personuppgifter – oavsett om uppgifterna ingår i ett register – och dessutom manuell behandling av personregister.
Bland annat det förhållandet att datalagen bara gäller för dataregister gör att lagen framstår som föråldrad med hänsyn till teknikutvecklingen. Så snart en personuppgift har förts över till datorformat (ettor och nollor) finns i princip tekniska möjligheter att på ett otal sätt och på mycket kort tid behandla den uppgiften tillsammans med andra uppgifter som någonstans i världen har förts över till datorformat. Ett exempel på detta är de s.k. sökmaskiner som finns på Internet och som på några sekunder kan producera en sammanställning av en mängd omedelbart tillgängliga datorlagrade dokument (s.k. webbsidor) världen över som innehåller uppgifter om t.ex. en viss person.
Härtill kommer att kränkningen av en individs personliga integritet som regel inte blir vare sig grövre eller lindrigare bara för att hans eller hennes uppgifter finns registrerade (i ett dataregister) tillsammans med en massa andra (kränkta) individers; det kan dock givetvis finnas andra skäl för att
iaktta särskild försiktighet med uppgiftssamlingar som omfattar väldigt många människor.
En ny lagstiftning till skydd för den personliga integriteten bör således vara teknikoberoende i den meningen att den i fråga om automatisk behandling inte begränsas till dataregister, dvs. ett visst sätt att lagra eller presentera personuppgifterna. All automatisk behandling av personuppgifter bör, i enlighet med EG-direktivets tillämpningsområde, omfattas av en ny, modernare lag. Liksom EG-direktivet bör den nya lagen omfatta inte bara automatisk behandling av personuppgifter i text utan även automatisk behandling av personuppgifter som framgår av bilder eller ljud. Också i denna mening bör den nya lagen vara teknikoberoende och således omfatta t.ex. inlästa bilder på personer och inlästa bilder på pappersdokument som innehåller textuppgifter om personer.116
Att personuppgifter förs över till datorformat innebär som framgått av vad som tidigare anförts särskilda möjligheter till avancerad behandling med åtföljande risk för oacceptabla integritetsintrång. Men det går givetvis att på ett otillbörligt sätt kränka den personliga integriteten även med mer gammalmodiga, manuella metoder. Den som vill göra något otillständigt med personuppgifter skulle, om en ny lag bara omfattade automatisk behandling, kunna göra det för hand för att kringgå skyddsreglerna. Detta – jämte vad som anförs i utredningsdirektiven och vad som gäller enligt EGdirektivet – talar för att den nya lagen bör vara teknikoberoende även i den meningen att också behandling som inte är automatisk omfattas. Härtill kommer att användningen av ny teknik i samhällsutvecklingen inte hämmas genom att i stort sett samma regler gäller för såväl automatisk som manuell behandling av personuppgifter.
All manuell behandling av personuppgifter kan dock inte rimligen omfattas av en ny lag. De osorterade telefonlapparna på skrivbordet bör exempelvis kunna få ligga kvar oberörda av lagen, liksom de uppgifter som finns i det mänskliga minnet. I likhet med vad som gäller enligt EG-direktivet bör därför manuell behandling omfattas av den nya lagen bara om uppgifterna ingår i – eller är avsedda att ingå i – ett register, dvs. har strukturerats efter bestämda kriterier som avser enskilda personer.117
Vi har således kommit fram till att den nya lagen – i enlighet med vad som anges i utredningsdirektiven – bör vara teknikoberoende och att detta
116 I avsnitt 12.2.12 berörs närmare begreppen automatisk och icke automatisk behandling av personuppgifter. 117 Begreppet register berörs närmare i avsnitt 12.2.8.
innebär att lagen bör ha samma vida tillämpningsområde som EG-direktivet.
Det sagda innebär att den nya lag som vi föreslår får ett vidare tillämpningsområde än vad som krävs enligt grundlagsbestämmelsen i 2 kap. 3 § andra stycket regeringsformen; den bestämmelsen innebär att det skall finnas en lag som behandlar registrering av personuppgifter med hjälp av automatisk databehandling. Man skulle därför kunna överväga att justera grundlagsbestämmelsen i enlighet med det skydd som skall ges enligt den föreslagna lagen och EG-direktivet. Trots att det i utredningsdirektiven talas om att vi skall lämna förslag till en teknikoberoende skyddslag nämns där inget om att förslag rörande grundlagsbestämmelsen skulle ingå i vårt uppdrag. Vi har mot den bakgrunden stannat för att inte lämna något utarbetat förslag till ändring av grundlagsbestämmelsen; en ändring av den befintliga bestämmelsen torde för övrigt vara lagtekniskt sett enkel att göra, och Datalagsutredningen har dessutom redan lämnat förslag till hur en sådan ändring skulle kunna göras.
Hänvisningar till S7-2-1
- Prop. 1997/98:44: Avsnitt Författningskommentar till 5 § personuppgiftslag
7.2.2. Uppgifter om juridiska personer
Vårt uppdrag kan inte anses omfatta frågan om juridiska personer bör ha ett särskilt skydd mot automatisk eller annan behandling av uppgifter om den juridiska personen.118 Behandling av uppgifter om juridiska personer faller också utanför regleringen i EG-direktivet. Vi föreslår därför att den nya lagen bara skall omfatta behandling av personuppgifter.119
7.2.3. Den nya lagen bör liksom hittills vara generell
EG-direktivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Beträffande datalagen finns inte någon motsvarande begränsning. Datalagen omfattar i princip också personregister som förs av t.ex. polisen och kriminalvården; datalagen är generellt tillämplig.
Eftersom EG-direktivet i detta hänseende har ett snävare tillämpningsområde än den nuvarande generella datalagen, är det möjligt att göra un-
118 Inte heller Datalagsutredningen ansåg att frågan omfattades av den utredningens direktiv, se SOU 1993:10 s. 372. 119 Begreppet personuppgift berörs närmare i avsnitt 12.2.7.
dantag från den nya lagen för sådant som inte omfattas av direktivet. För sådana verksamheter som inte omfattas av direktivet, t.ex. inom försvaret och polisen, torde det i och för sig behövas särregler i ganska stor utsträckning. Sådana nödvändiga särregler har med dagens system meddelats genom särskilda registerförfattningar som helt eller delvis tar över den generella datalagen (se avsnitt 8). Vi anser att det nuvarande systemet med en generell lag som innehåller grundläggande regler har sådana fördelar att det bör behållas.
Den nya lagen bör således – liksom datalagen i dag – gälla generellt och i princip tillämpas på all behandling av personuppgifter i samhället.
7.2.4. Privat användning av personuppgifter
EG-direktivet omfattar inte rent privat användning av personuppgifter. Också den nuvarande datalagen undantar privata personregister från krav på licens och tillstånd.
Datortekniken får i dag anses tillgänglig för var och en i Sverige; en elektronisk telefon- och adressbok kostar bara några hundra kronor. Det är enligt vår mening mot bl.a. den bakgrunden inte rimligt att låta en lagstiftning av aktuell karaktär omfatta även rent privat användning av personuppgifter. Det skulle t.ex. kunna ses som en otillbörlig kränkning av den personliga integriteten att låta Datainspektionen få full insyn i våra rent privata släktforskningsregister och adressböcker.
Den möjlighet som EG-direktivet ger att undanta rent privat användning av personuppgifter bör utnyttjas fullt ut. Det finns som vi ser det inte anledning att låta någon av bestämmelserna i den nya lagen gälla för sådan användning. Undantaget från lagen bör ha samma innebörd som enligt EGdirektivet. I avsnitt 3.2.4 berörs närmare innebörden av direktivet på denna punkt.
I avsnitt 6.2.2 har vi berört de svårigheter som e-post i form av löpande text för med sig vid tillämpningen av EG-direktivet. E-post är ett kommunikationsmedel och den omständigheten att personuppgifter vidarebefordras med ett sådant medel utgör i sig inget skäl att inte tillämpa den föreslagna lagen på behandling av personuppgifter som sker genom och i anslutning till sådan kommunikation. Om myndigheter, företag eller organisationer vidarebefordrar personuppgifter med e-post saknas anledning att inte låta lagens bestämmelser om behandling av personuppgifter bli til??lämpliga. Detsamma gäller om enskilda med användande av e-post
lämnar personuppgifter som myndigheterna samlar in exempelvis för statistik.
IT-utredningen har lagt fram förslag om undantagande i vissa sammanhang av löpande text från datalagen.120 Den frågan bereds i särskild ordning och vi går inte in på den här; till en del sammanfaller förslaget med vårt förslag om undantag för grundlagsskyddade yttranden. För egen del föreslår vi under avsnitt 12.12.2.3 att framställning av korrespondens och framställning av promemorior och annan löpande text skall kunna genom särskilda föreskrifter undantas från anmälningsskyldighet. Vi förutsätter att så kommer att ske. Detta innebär i praktiken att all intern hantering av sådana texter kommer att vara undandragen annan insyn än den som Datainspektionen kan utöva vid systemtillsyn hos myndigheter och större företag.
Saken kompliceras emellertid av att även enskilda människor numera i snabbt ökande omfattning använder e-post för kommunikationer med andra enskilda. Detta sker i flertalet fall utan någon som helst aning om att den föreslagna lagens bestämmelser om behandling av personuppgifter skulle kunna tänkas bli tillämpliga på det avsända meddelandet. Det finns ingen principiell skillnad mellan en sådan korrespondens och vanlig brevväxling. En tillämpning av EG-direktivet på privat korrespondens kan inte rimligen ha varit avsedd vid direktivets tillkomst och bör inte heller komma i fråga. Den bör därför hänföras till vad som är ett led i en verksamhet av rent privat natur.
En annan sak är enskildas korrespondens med myndigheter, företag eller organisationer. Den kan i vart fall inte på den senare sidan hänföras till vad som är av privat natur. Viss tillämpning skulle dock vara så absurd att den får avböjas av rena förnuftsskäl. Det kan exempelvis tänkas att det till regeringskansliet inkommer brev från enskilda med allvarliga beskyllningar mot anhöriga eller grannar. Sådana brev skall naturligtvis vara tillgängliga enligt offentlighetsprincipen. Men att regeringskansliet eller någon annan mottagare skulle särskilt informera grannarna eller de anhöriga om den behandling som mottagandet – och i fråga om myndigheter bevarandet enligt offentlighetsprincipen – utgör kan naturligtvis inte komma i fråga. Det rör sig emellertid här om så exceptionella fall att någon särreglering inte kan anses erforderlig. Det kan tilläggas att när anmälningar om brott görs till polismyndighet så faller de enligt artikel 3.2 utanför EG-direktivets tillämpningsområde och kan nationellt regleras genom särskilda
120 Se SOU 1996:40 s. 164 ff.
registerförfattningar. Registerutredningen (Ju 1995:01) ser för närvarande över registrerandet av uppgifter inom polisens område.
I direktivet talas det om behandling av personuppgifter av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Vi har emellertid för att förenkla valt att i den föreslagna persondatalagen bara tala om sådan behandling som är ett led i en verksamhet av rent privat natur. Någon saklig skillnad är inte avsedd. Det som har samband med någons hushåll får i detta sammanhang anses vara av rent privat natur, t.ex. den registrering som en arbetsgivare gör av de arbetstagare som arbetar i hans eller hennes hushåll, inklusive handikappades registrering av personliga assistenter.121
Hänvisningar till S7-2-4
- Prop. 1997/98:44: Avsnitt Författningskommentar till 6 § personuppgiftslag
7.2.5. Lagens namn
Den nya lagen skall således principiellt sett vara generellt tillämplig och innehålla en reglering av i princip all behandling av personuppgifter utom manuell behandling av uppgifter som inte ingår i eller är avsedda att ingå i ett register. En sådan generell lag bör av praktiska skäl ha ett kort namn, som ger en orientering om vad lagen omfattar.
Vi har kommit fram till att persondatalagen är ett lämpligt namn. Det är kort och leder tanken i rätt riktning, nämligen att det gäller en lag om hur uppgifter (”data”) om personer skall hanteras, särskilt i fråga om sådana uppgifter som finns ”på data”. Att uttrycket persondata sedan inte används i själva lagtexten bör inte ha någon avgörande betydelse, när namnet ”personuppgiftslagen” låter så pass mycket sämre.
Vi föreslår således att den nya lagen skall heta persondatalagen. När vi i det följande talar om persondatalagen avses således den nya lag som vi föreslår.
121 Se, rörande sådant arbete som en arbetstagare utför i arbetsgivarens hushåll, lagen (1970:943) om arbetstid m.m. i husligt arbete.
8. Förhållandet till särskilda registerförfattningar
Vårt uppdrag omfattar inte de särskilda registerförfattningarna. Vi föreslår därför att särregler i registerförfattningar skall gälla framför den nya persondatalagen.
Hänvisningar till S8
- Prop. 1997/98:97: Avsnitt 5.5
8.1. Bakgrund
Enligt den nuvarande datalagen behövs inte tillstånd av Datainspektionen för personregister som har inrättats genom beslut av riksdagen eller regeringen (2 a §). Sådana register brukar kallas statsmaktsregister. Datainspektionen kan dock meddela föreskrifter för registret i den mån riksdagen eller regeringen inte har gjort det (6 a och 18 §§). När ett personregister är reglerat i lag eller förordning, är det således undandraget Datainspektionens tillståndsprövning och – mer eller mindre – inspektionens föreskriftsrätt. Datainspektionen får t.ex. inte själv fritt bestämma om sitt eget licensregister (3–6 §§dataförordningen).
Det finns i dag bestämmelser om personregister i en mängd olika lagar och förordningar.122 Avsikten är att Datainspektionen skall höras innan sådana författningar beslutas.123 Det är inte nödvändigt att beslutet att in-
122 Sådana lagar och förordningar kallas i det följande för registerförfattningar, även om författningen i första hand reglerar annat än ett register. – En förteckning över vissa registerförfattningar finns som bilaga 6 till SOU 1993:10. 123 Se prop. 1993/94:217 s. 22 f. Före den 1 januari 1995 fanns det en uttrycklig regel om att ett särskilt yttrande skulle hämtas in från Datainspektionen innan det inrättades ett statsmaktsregister med känsliga personuppgifter, se avsnitt 2.4.3.
rätta ett register får formen av en lag eller förordning, och detta kan ibland leda till osäkerhet om ett visst register kräver tillstånd eller inte.124
År 1990 uttalade regeringen att målsättningen bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag.125 Konstitutionsutskottet ansåg att det allmänt sett är av stor betydelse att en författningsreglering kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Det förutsattes att regeringen ägnar fortlöpande uppmärksamhet åt frågan om vilka register som bör regleras och att åtgärder vidtas för att sådana regleringar kommer till stånd.126
Dessa uttalanden har ofta åberopats i senare lagstiftningsärenden. På senare år har det tillkommit allt fler registerförfattningar. Som exempel kan nämnas:
N Tullregisterlagen (1990:137) med anslutande förordning (1990:179) – prop.
1989/90:40 N 15–18 §§ lagen (1990:886) om granskning och kontroll av filmer och videogram med
anslutande förordning (1990:992; 8–9 §§) N 16 § insiderlagen (1990:1342) – insiderregister – med anslutande förordning
(1996:1023) – utredningsregister N Lagen (1990:1536) om folkbokföringsregister med anslutande förordning (1991:750)
– prop. 1990/91:53 N Lagen (1991:876) om register för betalningsföreläggande och handräckning med
anslutande förordning (1992:76) – prop. 1990/91:126 N Förordningen (1992:1027) om register för strafföreläggande, föreläggande av ord-
ningsbot, m.m.
N Lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna
med anslutande förordning (1993:836) – prop. 1992/93:193 N Lagen (1993:825) om personregister i riksdagens informationssystem Rixlex N Förordningen (1993:982) om bostadsbidragsregister (se numera SFS 1995:1016
nedan) N Förordningen (1993:1058) om sjukvårdsregister hos Socialstyrelsen för forskning
och statistik (se också SFS 1996:1293)
N Förordningen (1993:1153) om redovisning av studier m.m. vid universitet och hög-
skolor
N Förordningen (1993:1270) om förande av samfällighetsföreningsregister m.m. N Förordningen (1994:348) om register för skuldsaneringsärenden N Lagen (1994:448) om pantbrevsregister med anslutande förordning (1994:598)
124 Se t.ex. de fall som refereras i Claes Kring & Stefan Wahlqvist, Datalagen med kommentarer, 1989, s. 89 ff. 125 Prop. 1990/91:60 s. 58. 126 KU 1990/91:11 s. 11.
N Lagen (1994:459) om arbetsförmedlingsregister med anslutande förordning
(1994:460) – prop. 1993/94:235 N Förordningen (1994:565) om vårdnadsbidragsregister N Förordningen (1994:1283) om lönegarantiregister N Lagen (1994:1517) om socialförsäkringsregister – prop. 1994/95:8 – med anslutande
förordning (1996:1037) om register för vissa bidrag till barn N Förordningen (1994:1521) om biverkningsregister angående läkemedel N Förordningen (1994:1543) om Utrikesdepartementets personregister över främman-
de staters beskickningspersonal m.m.
N Förordningen (1994:1544) om bostadstilläggsregister N Förordningen (1994:1671) om tillfälligt statistikregister inom Riksrevisionsverket
för kartläggning av vissa förmåner
N 12 kap. alkohollagen (1994:1738) N Förordningen (1994:1933) om register över europeiska intressegrupper N Lagen (1995:606) om vissa personregister för officiell statistik med anslutande för-
ordning (1995:1060) – prop. 1994/95:200 N Lagen (1995:743) om aviseringsregister med anslutande förordning (1996:1298) –
prop. 1994/95:201 N Förordningen (1995:1016) om bostadsbidragsregister N Lagen (1995:1536) om provverksamhet avseende hushålls- och bostadsuppgifter med
anslutande förordning (1996:434) N Lagen (1995:1537) om lägenhetsregister med anslutande förordning (1996:435) –
prop. 1995/96:90 N 25–27 §§ lagen (1996:786) om tillsyn över hälso- och sjukvården – prop.
1995/96:176 s. 85 ff. N Lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska
intressen – KU 1995/96:13
N Förordningen (1996:825) om register för reglering av vissa vårdkostnader mellan
EES-länder
N Lagen (1996:1156) om receptregister – prop. 1996/97:27 (SOU 1995:122) N Förordningen (1996:1306) om tillfälligt utlämnande av uppgifter från ett folkbokfö-
ringsregister
N Förordningen (1996:1389) om register hos Statens invandrarverk över fingeravtryck
Det finns vidare flera färska utredningar rörande nya registerförfattningar, se t.ex.:
N SOU 1994:30 (röstlängdsregister); se också prop. 1996/97:70 N SOU 1995:86 (socialtjänstregister) N SOU 1995:95 (hälsodataregister och vårdregister) N SOU 1995:147 (register över hälso- och sjukvårdspersonal) N SOU 1996:35 (kriminalunderrättelseregister och DNA-register) N Ds 1996:19 (kriminalvårdsregister) N Ds 1996:70 (ny socialförsäkringsregisterlag) N SOU 1996:72 (rättspsykiatriskt forskningsregister) N SOU 1996:94 (teleadressregister) N Ds 1997:2 (Tullverkets brottsregister) N SOU 1997:3 (fastighetsdataregister)
Och nya registerförfattningar utreds för närvarande, se t.ex.:
N Registerutredningen (Ju 1995:01), dir. 1995:38 och 1996:22, jämför prop.
1994/95:144 N Pliktregisterutredningen (Fö 1996:03), dir. 1996:14 N Grunddatabasutredningen (Fi 1996:06), dir. 1996:43 N Bulvanutredningen (Ju 1996:06), med uppdrag att bl.a. utreda frågan om ägarregister
avseende fåmansbolag, dir. 1996:55 N Register för skattebrottsutredningar, dir. 1996:89 N En utredning om ett offentligt bostadsrättsregister (Ju 1996:10), dir. 1996:108 N En översyn av bestämmelserna inom trafikregisterområdet (K 1996:06), dir.
1996:117
Det pågår vidare t.ex. diskussioner om informationshantering inom s.k. Europol-samarbete.
Datalagsutredningens förslag innebar att systemet med särskilda registerförfattningar skulle finnas kvar vid sidan av den lag som utredningen föreslog.127
Det har på senare tid förts fram kritik mot systemet med en mängd särskilda registerförfattningar. Toppledarforum ansåg att författningsmetodiken var ologisk och föreslog att behovet av de befintliga registerförfattningarna skulle omprövas. Några nya registerförfattningar enligt nuvarande modell borde, enligt Toppledarforum, inte införas, även om undantag kunde tänkas för mycket speciella verksamheter, såsom säkerhetspolisen och delar av sjukvården.128 Skälen för ställningstagandet var att metodiken med registerförfattningar ansågs omständlig och tidsödande. Systemändringar även av detaljkaraktär, t.ex. på grund av ändringar i verksamheten eller den tekniska utvecklingen, måste ofta föregås av ändringar i registerförfattningen, och detta tar tid och kräver resurser inom riksdagen, regeringen och den berörda myndigheten. Angelägna projekt kan försenas eller inte bli av.129
127 Se SOU 1993:10 s. 165 ff. 128 LEXIT – Förstudie, 1995, s. 42. 129 LEXIT – Förstudie, 1995, s. 37 f.
8.2. Överväganden
Hänvisningar till S8-2
- Prop. 1997/98:97: Avsnitt 7
8.2.1. De särskilda registerförfattningarna omfattas inte av vårt uppdrag
Vi har i uppdrag att göra en total revision av den generella datalagen. De särskilda registerförfattningarna nämns inte i våra utredningsdirektiv. Regeringen har sedan våra utredningsdirektiv beslutades tillsatt flera utredningar med uppdrag att bl.a. lämna förslag till registerförfattningar och därvid hänvisat till de principiella uttalandena från år 1990 om att målsättningen bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag.130
Mot den bakgrunden kan vi inte annat än konstatera att överväganden rörande de särskilda registerförfattningarna faller utanför vårt uppdrag, liksom t.ex. informationshantering inom Europol. Det förefaller dock nödvändigt att även med den nya lagstiftning som vi föreslår ha särregler i vissa fall; på vilken nivå denna särreglering lämpligen bör beslutas – av riksdagen, regeringen eller någon kompetent myndighet – ankommer det som sagt inte på oss att överväga.
Våra överväganden och förslag i detta betänkande avser alltså inte sådant som i dag är särreglerat och inte heller de områden där det i särskild ordning övervägs regler rörande register eller behandling av personuppgifter.
8.2.2. Undantag från den generella lagstiftningen för särskilda registerförfattningar
Vi har således kommit fram till att den persondatalag som vi föreslår bör innehålla en bestämmelse som innebär att särregleringen inte berörs. I den mån någon särreglering inte finns för ett statsmaktsregister, kommer alltså persondatalagen att gälla för det registret. Liksom i dag bör Datainspektionen i princip ha att utöva tillsyn även beträffande särreglerade statsmaktsregister, dock att det i speciella situationer, såsom i vissa fall inom t.ex. försvaret eller säkerhetspolisen, kan finnas anledning att ha särregler om
130 Se dir. 1995:96 och 1995:120.
tillsynen. Frågan om Datainspektionens tillsyn berörs närmare i avsnitt 12.14.1.
Undantaget i den nuvarande datalagen gäller för sådana register som har inrättats genom beslut av riksdagen eller regeringen. Vi föreslår emellertid att bara särregler i lag eller förordning skall ta över bestämmelserna i den nya persondatalagen. Att riksdagen och regeringen i dag kan besluta om att inrätta register (med verkan att datalagen delvis inte gäller) på annat sätt än genom en författning (lag eller förordning) har bara lett till osäkerhet om vad som gäller, t.ex. för register som en myndighet i praktiken behöver upprätta för att fullgöra det som ålagts den genom beslut av riksdagen eller regeringen. Om vissa avvikelser från den persondatalagen skall göras för statsmaktsregister, är det för övrigt lämpligt att detta övervägs i den ordning som normalt gäller för författningar och att det i författning preciseras vilka avvikelser som avses. Detta gäller även sådana register som riksdagen själv för.131 Det bör inför ikraftträdandet av persondatalagen göras en översyn av vilka beslut med särregler som fortfarande kan gälla.
Persondatalagen kommer att vara anpassad till Sveriges skyldigheter på grund av EG-direktivet. Det finns inte någon garanti för att de befintliga särskilda registerförfattningarna är det. Vi har övervägt att föreslå en särskild bestämmelse i persondatalagen av innebörd att särregler i lag eller förordning skulle få gälla framför den nya, EG-anpassade lagen bara i den utsträckning som särreglerna inte strider mot vad som följer av EG-direktivet. Om det skulle finnas någon bestämmelse i en registerförfattning som inte är förenlig med vad som följer av EG-direktivet, skulle alltså den nya lagen – och inte EG-direktivet direkt – gälla. Den nya EG-anpassade lagen skulle således förses med en s.k. EG-spärr beträffande avvikande lagstiftning. Liknande EG-spärrar som förhindrar enligt EG-rätten otillåtna avvikelser från en grundläggande, EG-anpassad lagstiftning finns på andra håll i lagstiftningen såvitt avser otillåtna avvikelser genom kollektivavtal.132Det finns dock även exempel på motsvarande EG-spärr i en grund-
131 Jämför lagen (1993:825) om personregister i riksdagens informationssystem Rixlex och lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen. 132 Se 2 § tredje stycket 1 p. lagen (1982:80) om anställningsskydd och 4 § andra stycket lagen (1976:580) om medbestämmande i arbetslivet (SOU 1993:32 och prop. 1993/94:67 samt SOU 1994:83 och prop. 1994/95:102) samt 3 § fjärde stycket arbetstidslagen (1982:673) (SOU 1995:92 och prop. 1995/96:162).
läggande, EG-anpassad lag som direkt tar sikte på enligt EG-rätten otil??låtna avvikelser genom förordningar och myndighetsföreskrifter.133
Det är emellertid nödvändigt att se över de befintliga registerförfattningarna innan den nya lagstiftningen börjar tillämpas på deras respektive områden. Registerförfattningarna måste anpassas till såväl EG-direktivet som den föreslagna persondatalagen. Registerförfattningarna bygger på att den generellt tillämpliga datalagen fyller ut där det inte finns särregler, och när nu datalagen byts ut mot persondatalagen med delvis andra regler och annan terminologi, måste givetvis vissa justeringar ske i registerförfattningarna för att passa in dem i den nya, grundläggande rättsliga miljön. Eftersom de svenska bestämmelserna som inför direktivet inte behöver tillämpas på behandlingar av personuppgifter som pågår i oktober 1998 förrän på hösten år 2001 (se närmare avsnitt 12.15), finns det en viss respit för att göra en sådan översyn av befintliga registerförfattningar. Detta kommer visserligen att bli ett mycket omfattande arbete. Vi förutsätter dock att det hinns med innan EG-direktivet måste tillämpas efter den övergångstid som gäller.
Direktivet innehåller ett stort antal komplicerade regler som är svårtillämpade för enskilda och myndigheter. Dessa bör med fog kunna förvänta sig att de lagar och förordningar som är i kraft överensstämmer med EG-direktivet. I sista hand gäller visserligen direktivet, men det finns inte skäl att anta, att detta i praktiken kommer att medföra några komplikationer. En EG-spärr skulle i så fall bara skapa oro utan att medföra någon motsvarande nytta. Vi har därför inte funnit anledning att föreslå någon EG-spärr i persondatalagen.
På motsvarande sätt har vi resonerat när det gäller de bestämmelser som innebär att myndigheter eller enskilda är skyldiga att lämna ut uppgifter.134 Med hänsyn till att EG-direktivet och den föreslagna persondata-
133 Se 25 § lagen (1974:13) om vissa anställningsfrämjande åtgärder (den s.k. främjandelagen) och därtill SOU 1994:83 s. 126 f. samt prop. 1994/95:102 s. 76 f. 134 Se t.ex. 71 § socialtjänstlagen (1980:620) (anmälan om misshandel m.m. mot underåriga) och förordningen (1982:772) om skyldighet att anmäla vissa allvarliga skador m.m. i hälso- och sjukvården samt alla de regler som finns om att myndigheter och domstolar skall underrätta varandra om sina domar och beslut. I dessa fall bör man dock utan mera ingående prövning tills vidare kunna utgå från att ett utlämnande är tillåtet när det gäller personuppgifter i allmänhet enligt artikel 7 e (allmänt intresse, myndighetsutövning) och när det gäller känsliga personuppgifter enligt artikel 8.4 (viktigt allmänt intresse). I det senare fallet skall dock undantag anmälas till kommissionen enligt artikel 8.6.
lagen innebär att utlämnande av personuppgifter bara får ske om utlämnandet inte är oförenligt med de ändamål för vilka uppgifterna samlades in (se avsnitt 12.4.3) måste dessa bestämmelser ses över, något som inte kan anses omfattat av vårt uppdrag.
Hänvisningar till S8-2-2
- Prop. 1997/98:44: Avsnitt Författningskommentar till 2 § personuppgiftslag
8.2.3. Datainspektionen skall höras när registerförfattningar beslutas
Enligt artikel 28.2 i EG-direktivet skall medlemsstaterna se till att tillsynsmyndigheten – dvs. i Sverige Datainspektionen – hörs när sådana författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter.
En uttrycklig motsvarande bestämmelse i datalagen avskaffades på Datalagsutredningens förslag135 per den 1 januari 1995.136 Avsikten var att avskaffandet på intet sätt skulle innebära någon lättnad i kravet på remissbehandling av förslag till nya statsmaktsregister (även om syftet med avskaffandet i och för sig var att minska Datainspektionens arbetsbörda).
I 7 kap. 2 § regeringsformen finns en bestämmelse om att behövliga upplysningar och yttranden skall hämtas in vid beredningen av regeringsärenden. Den bestämmelsen bör tolkas i belysning av vad som krävs enligt EG-direktivet. När regeringen i fråga om en registerförfattning beslutar en förordning eller tar initiativ till en lag, finns det således enligt vår mening tillräckliga garantier för att Datainspektionen hörs på det sätt som krävs enligt direktivet.
Någon motsvarande s.k. remisskyldighet finns inte när det inom riksdagen tas initiativ till en registerförfattning, t.ex. om reglering av riksdagens egna register.137 I 4 kap. 10 § riksdagsordningen finns det dock bestämmelser om att statlig myndighet – t.ex. Datainspektionen – är skyldig att lämna upplysningar och yttra sig när ett riksdagsutskott begär det och om att sådana upplysningar och yttranden som huvudregel skall hämtas in om minst fem utskottsledamöter begär det.
135 Se SOU 1993:10 s. 173 f. 136 Se prop. 1993/94:217 s. 22 f. och SFS 1994:1485. 137 Jämför KU 1992/93:32, beträffande personregister i riksdagens informationssystem Rixlex, och KU 1995/96:13, beträffande registrering av riksdagsledamöters åtaganden och ekonomiska intressen.
Det får förutsättas att riksdagen utan en särskild bestämmelse om detta ser till att Datainspektionen har hörts på det sätt som EG-direktivet kräver när en registerförfattning beslutas efter ett initiativ inom riksdagen.
Vi anser således att det inte är nödvändigt med hänsyn till EG-direktivet att åter införa den bestämmelse om obligatoriskt yttrande från Datainspektionen som nyss avskaffats.
9. Förhållandet till offentlighetsprincipen
Det går att förena EG-direktivet med offentlighetsprincipen enligt 2 kap. TF. Vi föreslår en uttrycklig bestämmelse som klargör att den nya persondatalagen inte skall tillämpas, om det skulle inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF. Vidare föreslås en uttrycklig bestämmelse om att lagen inte hindrar att en myndighet bevarar allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet.
Hänvisningar till S9
- Prop. 1997/98:97: Avsnitt 5.5
9.1. Inledning
Innebörden av offentlighetsprincipen och våra förslag rörande den berörs närmare i den andra delen av betänkandet. I detta avsnitt berör vi bara förhållandet mellan å ena sidan offentlighetsprincipen, som enligt utredningsdirektiven inte skall förändras, och å andra sidan den nya persondatalag som vi föreslår och EG-direktivet. För sammanhangets skull bör dock här nämnas N att offentlighetsprincipen innefattar en rätt för varje svensk medborgare
att ta del av allmänna handlingar, inklusive personregister, i den utsträckning handlingarna inte innehåller uppgifter för vilka gäller sekretess (2 kap. 1–2 §§ TF) och N att den som begär att få ta del av allmänna handlingar i allmänhet har
rätt att få vara anonym (2 kap. 14 § 3 st. TF).
Vidare bör i fråga om andra regler än dem som finns i grundlag här nämnas att myndigheterna – för att offentlighetsprincipen i praktiken skall ha något värde – måste vara skyldiga att N i handlingar dokumentera uppgifter av betydelse för verksamheten (t.ex.
15 § förvaltningslagen, 31 § verksförordningen och 14 § datalagen),
N registrera och strukturera sina handlingar så att man kan hitta bland dem
(15 kap. sekretesslagen) och N bevara sina handlingar i tillräcklig utsträckning i arkiv (arkivlagen).
Datalagsutredningen kom fram till att vissa bestämmelser i 1992 års förslag till EG-direktiv var svåra eller omöjliga att förena med offentlighetsprincipen.138 Sverige har emellertid, bl.a. efter inträdet i EU, tagit aktiv del i de fortsatta förhandlingarna om EG-direktivet och agerat hårt för att få till stånd sådana lösningar att direktivet inte står i motsättning till den svenska offentlighetsprincipen. På flera punkter avviker den antagna direktivtexten från 1992 års förslag. Sverige har också lyckats få in en bestämmelse i ingressen till direktivet som klargör att det är möjligt att vid genomförandet av direktivets bestämmelser ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar (punkt 72). Av utredningsdirektiven framgår vidare att det är den svenska regeringens bedömning att det i EGdirektivet inte finns någon bestämmelse som står i strid med en tillämpning av den svenska offentlighetsprincipen. Vi anser att det är möjligt att – mot bakgrund av den uttryckliga bestämmelse som har tagits in i punkt 72 i ingressen – tolka bestämmelserna i EG-direktivet på ett sådant sätt att det som är grundlagsfäst eller annars särskilt betydelsefullt beträffande offentlighetsprincipen kan behållas.
9.2. Utlämnande av personuppgifter enligt offentlighetsprincipen
Den grundlagsfästa delen av offentlighetsprincipen rör utlämnandet av personuppgifter, som finns i allmänna handlingar, till en obestämd krets mottagare. Övriga inledningsvis nämnda regler – om skyldighet att dokumentera, registrera och arkivera – utgör i och för sig en förutsättning för att den grundlagsfästa delen av offentlighetsprincipen i praktiken skall ha något värde. Men det står samtidigt klart att Sverige inte med hänvisning till offentlighetsprincipen och vad som sägs i punkt 72 i ingressen till EG-direktivet kan undanta all registrering av personuppgifter inom den offentliga sektorn. I den utsträckning som en viss personregistrering inte kan
138 Se SOU 1993:10 s. 85 ff.
til??låtas enligt EG-direktivet, kommer det alltså inte att finnas något för allmänheten att titta på med stöd av offentlighetsprincipen.
Enligt vår mening kan man beträffande EG-direktivet resonera på följande sätt när det gäller utlämnande av personuppgifter med stöd av den grundlagsfästa offentlighetsprincipen.
Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlighetsprincipen är i och för sig att anse som en sådan behandling av personuppgifter som omfattas av EG-direktivet.
Av artikel 6.1 b framgår att personuppgifter skall samlas in för särskilda, uttryckligt angivna ändamål och att senare behandling av uppgifterna inte får ske på ett sätt som är oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in; också enligt Europarådets dataskyddskonvention (artikel 5 b) skall personuppgifter för automatisk databehandling lagras för särskilda ändamål och inte användas på ett sätt som är oförenligt med dessa ändamål. – Enligt vår uppfattning kan en myndighets utlämnande av personuppgifter med stöd av offentlighetsprincipen inte anses vara oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in. Offentlighetsprincipen framgår av grundlagen och får anses utgöra en integrerad del av all förvaltningsverksamhet som myndigheterna ägnar sig åt.
Av artikel 7 framgår att personuppgifter får behandlas, t.ex. lämnas ut, om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att fullgöra en arbetsuppgift som är ett led i myndighetsutövning som utförs av den registeransvarige. – De registeransvariga myndigheterna är rättsligt förpliktade att följa bl.a. grundlagsreglerna om utlämnande av allmänna handlingar, och utlämnandet är också ett led i deras myndighetsutövning. Utlämnandet är alltså tillåtet enligt artikel 7.
Behandling – utlämnande – av känsliga personuppgifter skall i princip förbjudas enligt artikel 8. Det är emellertid tillåtet att av hänsyn till ett viktigt allmänt intresse göra undantag från förbudet, om det finns lämpliga skyddsåtgärder (artikel 8.4). – Att utlämnande kan ske enligt den grundlagsfästa offentlighetsprincipen är ett viktigt svenskt allmänt intresse. De svenska sekretessbestämmelserna medför att sådana känsliga personuppgifter som avses i artikel 8 i praktiken inte kommer att lämnas ut om den enskilde kan skadas eller drabbas negativt av utlämnandet. Sekretessbestämmelserna får anses utgöra sådana lämpliga skyddsåtgärder som avses i EG-direktivet. Det finns alltså inget hinder mot att föreskriva ett undantag från det principiella förbudet mot behandling av personuppgifter i artikel 8
för sådant utlämnande som sker med stöd av offentlighetsprincipen. Det undantaget måste dock anmälas till kommissionen enligt artikel 8.6.
När uppgifter om en viss person samlas in från den berörde själv, skall – enligt artikel 10 – den information lämnas som är nödvändig för att tillförsäkra den registrerade en korrekt behandling, exempelvis information om ”mottagarna eller de kategorier som mottar uppgifterna”. Information behöver dock inte lämnas i den mån den registrerade redan känner till informationen. I artikel 11.1 finns det motsvarande bestämmelser för det fallet att personuppgifterna inte har samlats in från den registrerade själv utan hämtats från något annat håll. – Eftersom offentlighetsprincipen innebär att var och en kan få ut personuppgifter och att den som får uppgifterna i princip har rätt att vara anonym, kan den myndighet som samlar in personuppgifter inte lämna information om till vilka personer uppgifterna kan komma att lämnas ut. Däremot kan information givetvis lämnas om att uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen till den som begär det. Härigenom får de registrerade – på det sätt direktivet kräver – information om till vilka kategorier av mottagare som uppgifterna kan komma att lämnas ut. Eftersom utlämnande enligt offentlighetsprincipen sedan lång tid tillbaka föreskrivits i svensk grundlag, kan det vidare förutsättas att allmänheten redan känner till den informationen. Därför torde det inte vara helt nödvändigt att lämna information i detta hänseende.
Enligt artikel 13.1 g är det tillåtet för medlemsstaterna att göra nödvändiga undantag från bl.a. bestämmelserna i artikel 6.1, 10 och 11.1 med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter. – Rätten för var och en att få ta del av allmänna handlingar med stöd av den grundlagsfästa offentlighetsprincipen är en sådan rättighet som kan göra det befogat med undantag.
Som framgått av det anförda finns det goda möjligheter att förena den grundlagsfästa delen av offentlighetsprincipen med bestämmelserna i direktivet. Vi anser att det – för att inte någon tvekan skall uppkomma om hur den nya lagstiftningen förhåller sig till grundlagen – bör införas en uttrycklig bestämmelse om att den nya persondatalagen inte skall tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. TF.139 Den bestämmelsen, som omfattar
139 Hur EG-direktivet förhåller sig till andra bestämmelser i tryckfrihetsförordningen, dvs. bl.a. bestämmelserna om tryckfrihet och skydd för den som lämnar ut uppgifter till pressen, berörs i avsnitt 10.
även känsliga personuppgifter, bör anmälas till kommissionen enligt artikel 8.6.
Hänvisningar till S9-2
- Prop. 1997/98:44: Avsnitt Författningskommentar till 8 § personuppgiftslag
9.3. Rättelse av uppgifter hos myndigheter
Offentlighetsprincipen innebär att var och en i princip har rätt att få reda på de uppgifter som faktiskt har bestämt utgången av ett ärende oavsett om uppgifterna objektivt sett är riktiga och fullständiga; den enskilde har rätt att få se även ett dåligt beslutsunderlag.
Enligt artikel 6.1 c–d i EG-direktivet är det ett grundläggande krav att de behandlade personuppgifterna är adekvata, relevanta, riktiga och, om nödvändigt, aktuella. Den registrerade skall vidare enligt artikel 12 b ha rätt att i förekommande fall få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om uppgifterna är ofullständiga eller felaktiga. Enligt artikel 13.1 g är det dock tillåtet för medlemsstaterna att göra nödvändiga undantag från bl.a. bestämmelserna i artikel 6.1 och 12 med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter.
Bestämmelsen om rättelse m.m. berörs närmare i avsnitt 12.8. Det torde vara upp till medlemsstaterna att bestämma vilken korrigeringsmetod – rättelse, utplånande eller blockering – som skall användas i olika fall. Det finns vidare inget som hindrar medlemsstaten från att låta den ansvarige för behandlingen välja metod. Vi anser att så bör ske.140
En myndighet har således enligt den nya persondatalagen frihet att välja om felaktiga, missvisande eller ofullständiga uppgifter skall rättas, utplånas eller blockeras. Detta innebär att myndigheten givetvis inte får välja att utplåna t.ex. en uppgift i en allmän handling, om det skulle strida mot andra bestämmelser. Valet av korrigeringsmetod kan således styras av andra bestämmelser som myndigheten har att rätta sig efter. Det är enligt vår mening inte nödvändigt med ett uttryckligt påpekande om detta i den nya persondatalagen. Däremot kan det vara lämpligt att – för att förtydliga – ta in ett sådant påpekande i en anslutande förordning.
Att en uppgift rättas innebär att den ursprungliga, felaktiga, missvisande eller ofullständiga uppgiften ersätts av en uppgift om de rätta förhållan-
140 Vilka möjligheter tillsynsmyndigheten bör ha att få olagligt behandlade personuppgifter utplånade tas upp i avsnitt 12.14.1.
dena eller att uppgifterna annars kompletteras. Det finns inte något krav på att den felaktiga uppgiften skall utplånas. Det bör vara upp till den som är ansvarig för behandlingen att avgöra hur rättelsen skall göras. Det enda kravet är – om den felaktiga uppgiften inte utplånas – att det i alla sammanhang klart skall framgå att den felaktiga uppgiften har ersatts av en annan uppgift och vilka de rätta förhållandena är. Något hinder mot att med stöd av offentlighetsprincipen lämna ut den (tydligt markerade) felaktiga uppgiften jämte de riktiga uppgifterna och upplysning om den rättelse som skett finns inte. Det torde vara denna rättelsemetod som myndigheter i allmänhet bör använda.141 För att offentlighetsprincipens syfte att möjliggöra en kontroll av myndigheterna skall kunna tillgodoses är det nämligen viktigt att felaktiga uppgifter inte utplånas. Regeringen kan – och bör – i en anslutande förordning meddela föreskrifter om hur myndigheter närmare bör gå till väga vid rättelse, t.ex. föreskrifter om att den ursprungliga uppgiften inte skall utplånas men väl på ett tydligt sätt markeras och att rättelsen skall dateras och signeras av behörig tjänsteman.
Den tredje metoden – blockering – får anses innebära bl.a. att de blockerade uppgifterna inte får lämnas ut till tredje man och att uppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och anledningen till spärren. Blockering kan t.ex. användas när det inte är naturligt att rätta en felaktig uppgift, exempelvis när de rätta förhållandena inte kan utredas; det står t.ex. klart att en uppgift om att en viss person har fått sjukhusvård är felaktig, men det kan inte utredas vem som i stället fått vård.142 Enligt vår mening är det lämpligt med en uttrycklig bestämmelse om att blockeringen inte hindrar att en myndighet lämnar ut den blockerade uppgiften (jämte uppgifter rörande blockeringen) med stöd av 2 kap. TF. Vi föreslår – med stöd av artikel 13.1 g i EG-direktivet – att en sådan uttrycklig undantagsbestämmelse tas in i den nya persondatalagen.
Enligt vår mening förefaller det ändamålsenligt att regeringen i en anslutande förordning tar in de föreskrifter för myndigheternas val av korrigeringsmetod som behövs.
141 Bestämmelser om att vissa uppgifter inte får ändras – t.ex. 6 kap. 8 § andra stycket rättegångsbalken – torde inte hindra att rättelse görs på det sätt som nu beskrivits. 142 Jämför NJA 1994 A 3.
9.4. Myndigheternas arkiv
Det nuvarande systemet för att bevara myndigheternas handlingar innebär att varje myndighet tar om hand sina handlingar, även efter det att handläggningen av ett ärende är avslutad. Efter ett tag lämnas handlingarna över till en arkivmyndighet för långtidsförvaring.
Att myndigheterna bevarar sina handlingar – i enlighet med bl.a. arkivlagen med anknytande författningar – har som sagt betydelse för möjligheten att utnyttja den grundlagsfästa offentlighetsprincipen. Det finns emellertid också – t.ex. i olika registerförfattningar och i beslut av Datainspektionen – många exempel på att myndigheterna är skyldiga att efter en tid förstöra (gallra) uppgifter av hänsyn till den personliga integriteten. Frågan om i vilken utsträckning personuppgifter bör gallras av hänsyn till den personliga integriteten berör vi i avsnitt 12.4.6.2. Här tar vi bara upp den för offentlighetsprincipen betydelsefulla frågan om det är möjligt att behålla det nuvarande systemet för att bevara myndigheternas handlingar.143
Enligt artikel 6.1 b i EG-direktivet skall personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Behandling får inte senare ske av uppgifterna på ett sätt som är oförenligt med de ursprungligen angivna ändamålen. Senare behandling för historiska, statistiska och vetenskapliga ändamål skall dock enligt vad som uttryckligen anges inte anses oförenlig med de ursprungliga ändamålen. Det förutsätts att medlemsstaterna i detta fall beslutar om lämpliga skyddsåtgärder. Personuppgifterna får vidare, enligt artikel 6.1 e, lagras bara så länge det är nödvändigt med hänsyn till de ursprungliga eller senare ändamålen med behandlingen. För personuppgifter som lagras under längre perioder för historiska, statistiska och vetenskapliga ändamål skall medlemsstaterna vidta lämpliga skyddsåtgärder.
Behandlingen av personuppgifterna måste vidare alltid vara tillåten enligt artikel 7 i direktivet, t.ex. därför att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att utföra en arbetsuppgift av allmänt intresse. Gäller det känsliga personuppgifter, måste också förutsättningarna i artikel 8 vara uppfyllda, t.ex. att medlemsstaten av hänsyn till ett viktigt allmänt intresse har föreskrivit att behandlingen är tillåten.
143 Den arkivering som enskilda kan ägna sig åt berörs särskilt i avsnitt 12.4.6.
Myndigheternas arkiv är en del av det svenska nationella kulturarvet, och arkiven skall tillgodose N rätten att ta del av allmänna handlingar, N behovet av information för rättskipningen och förvaltningen samt N forskningens behov (3 § 3 st. arkivlagen).
De ändamål som bevarandet av myndighetsarkiven skall tillgodose kan enligt vår mening hänföras under vad som i EG-direktivet kallas ”historiska, statistiska och vetenskapliga ändamål”. Det är således, som vi ser det, inte nödvändigt att myndigheterna redan när personuppgifterna samlas in uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Är en myndighets primära hantering av uppgifterna tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Det kan inte heller anses oförenligt med de ursprungligen angivna ändamålen att myndigheten efter en tid lämnar över sina handlingar till en arkivmyndighet för långtidsförvaring.
Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar, och bevarandet är också en arbetsuppgift av allmänt intresse. Den behandling av icke känsliga personuppgifter som bevarandet utgör är således tillåten enligt artikel 7. För myndigheternas bevarande av känsliga personuppgifter behövs det däremot ett undantag enligt artikel 8.4; de svenska myndigheternas bevarande även av känsliga personuppgifter utgör enligt vår mening ett sådant viktigt allmänt intresse som berättigar en medlemsstat att göra ett undantag. Detta undantag måste omfatta också den insamling och det långtidsbevarande av personuppgifter som sker vid de särskilda arkivmyndigheterna som tar emot arkivmaterial från myndigheter och enskilda. Att arkivmyndigheten i sin tur lämnar ut uppgifterna med stöd av t.ex. offentlighetsprincipen kan inte anses oförenligt med de ändamål för vilka arkivmyndigheten samlade in uppgifterna.
De bestämmelser som finns om sekretess och skydd för arkiv får anses utgöra sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet.
Vi har sammanfattningsvis kommit fram till att den nya lagen bör innehålla en uttrycklig bestämmelse om att lagen inte hindrar att en myndighet bevarar allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet. Den bestämmelsen, som omfattar även känsliga personuppgifter, bör anmälas till kommissionen enligt artikel 8.6.
Hänvisningar till S9-4
- Prop. 1997/98:44: Avsnitt Författningskommentar till 8 § personuppgiftslag
10.3.2 Straffbara förfaranden
I 7 kap. 4 § TF och 5 kap. 1 § YGL straffbeläggs en del handlingar som utgör intrång i den personliga integriteten. Bestämmelserna kan sägas utgöra ett grundläggande skydd för den personliga integriteten i massmediala sammanhang även om de är giltiga också i andra situationer. Förtalsbrottet (5 kap. 1 § brottsbalken, jämför 7 kap. 4 § 14 p. TF och 5 kap. 1 § YGL) innebär dels att man måste ha lämnat en kränkande uppgift160 om någon person dels att det vid den intresseavvägning som skall göras inte kan anses försvarligt att uppgiften ändå lämnades. Förolämpningsbrottet (5 kap. 3 § brottsbalken, jämför 7 kap. 4 § 15 p. TF och 5 kap. 1 § YGL) innebär bl.a. att man smädar någon genom kränkande tillmäle. Någon intresseavvägning skall inte göras enligt den bestämmelsen. Den som har blivit utsatt för ett tryckfrihetsbrott har rätt till skadestånd enligt sedvanliga principer. I det sammanhanget är rätten till ersättning för ideell skada161 av särskilt intresse. Skadeståndsreglerna innebär att en enskild kan få ersättning för det lidande som t.ex. ett ärekränkningsbrott har inneburit. De skadestånd som brukar betalas ut här i Sverige vid sådana brott anses internationellt sett vara ganska låga162 även om traditionen i viss mån tycks vara på väg att brytas.163
I sammanhanget bör även lagen (1979:800) om namn och bild i reklam nämnas. Näringsidkare får enligt lagen inte använda någon annans namn eller bild i reklamsammanhang utan dennes samtycke (1 §). Förutom regler om bl.a. straff och ekonomiskt skadestånd finns det en uttrycklig bestämmelse om att den som har blivit kränkt kan få ideellt skadestånd.
160 Uppgifter som omfattas av bestämmelsen är sådana varigenom man utpekar någon som brottslig eller klandervärd i sitt levnadssätt eller sådana som i övrigt är ägnade att utsätta någon för andras missaktning. 161 1 kap. 3 § skadeståndslagen. 162 SOU 1992:84 s. 255. Kommittén om ideell skada fann att ersättningsnivån då (1992) brukade ligga någonstans mellan 5 000 och 25 000 kr. Kommittén ansåg att en viss höjning av ersättningarna vid ärekränkningsbrott kunde vara motiverade. 163 Se NJA 1994 s. 637 där flera kända svenskar tilldömdes ideellt skadestånd på 100 000 kr för förtal. Brottet bestod i att tidningen Svenska Hustler hade monterat deras porträtt på pornografiska bilder.
10.3.3 Beriktigande och genmäle
10.3.3.1 Allmänt
Med beriktigande avses rättelse av faktauppgift och med genmäle bemötande av värdeomdöme. Skillnaden kan också beskrivas så att ett genmäle oftast måste utformas och framföras av den berörde själv, medan ett beriktigande utformas och införs av utgivaren.164
10.3.3.2 Pressen
Det finns inte någon lagstadgad rätt till beriktigande och genmäle beträffande uppgifter som har förekommit i pressen, utan denna rätt bygger på frivilliga åtaganden från pressföretagen. TF innehåller emellertid två bestämmelser som anknyter till frågan. I 1 kap. 4 § andra stycket anges att domstolen, när den skall bestämma påföljd för ett tryckfrihetsbrott, skall särskilt beakta om rättelse av en felaktig uppgift har publicerats. Vidare anges i 7 kap. 6 § andra stycket att om en tidning har fällts för ett ärekränkningsbrott, domstolen kan förordna att domen skall införas i tidningen. De pressetiska reglerna (mer om dessa nedan) innehåller bestämmelser om att felaktiga sakuppgifter skall rättas när det är påkallat, och att den som har ett befogat anspråk att bemöta ett påstående skall beredas tillfälle till genmäle. Allmänhetens pressombudsman (PO) har bl.a. till uppgift att bevaka att de pressetiska reglerna följs och bistå enskilda i sådana sammanhang. Pressens opinionsnämnd (PON), som är en av pressen själv inrättad hedersdomstol, har bl.a. till uppgift att avgöra ärenden som gäller överträdelser av de pressetiska reglerna. PON:s bedömningar redovisas i form av uttalanden som en klandrad tidning är skyldig att publicera.
10.3.3.3 Radio och TV
I YGL finns inte heller någon bestämmelse om rätt till beriktigande eller genmäle. I public service-företagens (radio- och TV-företagens) avtal med staten finns dock sådana bestämmelser. Denna ordning grundar sig på en regel i radiolagen (1966:755).165 Enligt avtalen skall företagen beriktiga
164 Prop. 1995/96:160 s. 100. 165 7 § 1 st. 1 p.
felaktiga sakuppgifter när detta är påkallat och bereda den som har befogat anspråk på att bemöta ett påstående tillfälle till genmäle. Bestämmelserna innebär också att företagen är skyldiga att publicera beriktigande och genmäle. Granskningsnämnden för radio och TV övervakar att reglerna följs.
På radio- och TV-området finns i lagen (1992:1356) om satellitsändningar av televisionsprogram som trädde i kraft den 1 januari 1994166 en bestämmelse om skyldighet att sända beriktigande (12 §). Bestämmelsen infördes som ett led i Sveriges anpassning till EG:s direktiv (89/552/EEG) om TV-sändningar till allmänheten. Direktivet innehåller en regel (artikel 23) som föreskriver att varje land skall se till att alla fysiska och juridiska personer skall ha rätt till beriktigande eller liknande åtgärd. Regeringen konstaterade i samband med satellitlagens tillkomst att direktivets krav uppfylldes väl av bestämmelserna i avtalen som gäller beträffande marksänd television, särskilt som reglerna kompletteras av bestämmelser om ärekränkning och reglerna om otillbörlig marknadsföring.167 Liknande regler skulle därför införas för satellitsändningar. Eftersom avtalsvägen inte var öppen för sändningar enligt satellitlagen måste bestämmelsen tas in i lagen. För att det inte skulle uppstå någon kollision med bestämmelsen i YGL (3 kap. 4 §) som föreskriver att den som sänder programmet självständigt avgör vad som skall förekomma i programmet, står det emellertid programföretaget fritt att välja i vilken form beriktigandet skall offentliggöras.
10.3.3.4 Förslag till lagreglering
Frågan huruvida rätten till beriktigande och genmäle skall regleras i lag har aktualiserats vid skilda tillfällen under årens lopp. Genmälesrätten togs bl.a. upp av Massmedieutredningen (SOU 1975:49).168 Utredningen diskuterade för- och nackdelar med att grundlagsreglera rätten till beriktigande och genmäle. Utredningens majoritet menade att en sådan reglering skulle innefatta så stora lagtekniska och organisatoriska svårigheter att frågan i vart fall tills vidare skulle överlämnas till pressens självsanerande verksamhet. Däremot ansåg utredningen att det i den föreslagna nya massmediegrundlagen skulle tas in bestämmelser som motsvarade 1 kap. 4 § andra stycket och 7 kap. 6 § andra stycket TF (se om dessa bestämmel-
166 SFS 1993:1646. 167 Prop. 1992/93:75 s. 30. 168 Beträffande tidigare förslag se SOU 1994:105 s. 173–175.
ser ovan under avsnitt 10.3.3.2). Genom dessa regler skulle grundlagen, enligt utredningen, anses ge uttryck åt den allmänna grundsatsen att rättelse skall ske då det kan anses befogat. När det gällde radio och TV föreslog utredningen att programföretagen genom en i grundlagen intagen särskild bestämmelse därom skulle åläggas att utöva sin rätt att sända på ett sakligt och opartiskt sätt. Därav skulle följa, menade utredningen, att tillfälle skulle beredas till beriktiganden och genmälen.169 Frågan diskuterades även av Radioutredningen170 och Yttrandefrihetsutredningen171. Utredningarna kom till samma slutsats som Massmedieutredningen, nämligen att nackdelarna med en sådan lagreglering övervägde fördelarna. I det lagstiftningsärende som föregick satellitlagen diskuterades frågan om inte YGL borde ändras så att Granskningsnämnden (tidigare Kabelnämnden) kunde besluta på vilket sätt beriktigandet skulle ske. Frågan hänsköts emellertid till Radiolagsutredningen.172
På senare tid har frågan om beriktigande och genmäle diskuterats av Radiolagsutredningen i förslaget till ny radio- och TV-lag. Efter utredningens förslag har det införts en bestämmelse i den nya radio- och TVlagen173 som innebär att felaktiga uppgifter som har förekommit i ett TVprogram som inte är reklam och som har sänts trådlöst, skall beriktigas när det är befogat, och att detsamma bör ske om sådana uppgifter förekommer i ett TV-program som sänts genom tråd.174 Bestämmelsen omfattar således endast beriktiganden och inte genmälen. TV-direktivets bestämmelse om genmäle har därmed också ansetts vara tillgodosedd.175 I motiven diskuterades också frågan om TV-direktivet kräver att YGL ändras så att det går att lagstadga om hur tillrättalägganden skall publiceras. Regeringen uttalade dock att det inte kan anses föreligga något inhemskt behov av sådana bestämmelser och att den osäkerhet som kan finnas i fråga om den föreslagna bestämmelsen om beriktiganden uppfyller direktivet, inte är ett tillräckligt starkt skäl för att ändra i grundlagen. De grundläggande princi-
169 SOU 1975:49 s. 159–160, se även Ds 1994:51 s. 65 och SOU 1994:105 s. 175–176. 170 SOU 1977:19. 171 SOU 1983:70. 172 Prop. 1992/93:75 s. 32. 173 SOU 1994:105, Prop. 1995/96:160, KU 1995/96:29 och rskr. 1995/96:296. 174 6 kap. 3 § Radio- och TV-lag (1996:844), a. prop. s. 100–101. Anledningen till att skyldigheten att beriktiga har gjorts frivillig när det gäller trådsändningar är att YGL inte anses medge att en sådan reglering sker (3 kap. 1 §). 175 Prop. 1995/96:160 s. 101.
perna i 3 kap. 4 § och 4 kap. 3 § YGL om det redaktionella oberoendet och utgivarens ensamrätt borde enligt regeringen alltså inte inskränkas. Vidare konstaterade regeringen att det följer av reglerna för god publicistisk sed att ett tillrättaläggande skall publiceras så att det har den åsyftade effekten.176
Även frågan om genmäle diskuterades i förslaget till ny radio- och TVlag. Regeringen konstaterade att frågan om en lagstadgad genmälesrätt skall införas bör avgöras uteslutande med utgångspunkt i de inhemska behoven av en sådan reglering. (Som nyss nämnts ansågs det tillräckligt för införlivandet av TV-direktivet att en bestämmelse om beriktigande infördes.) Regeringen ansåg att genmälesrätten inte bör regleras i lag. Som skäl för detta angavs det begränsade behovet av en lagreglering, den troligen begränsade effekten av en sådan, risken för att genmälesrätten missbrukas i yttrandefrihetsbegränsande syfte, betänkligheter av att införa en sådan rätt för verksamhet för vilken etableringsfrihet och mångfald i princip råder samt de lagtekniska och organisatoriska svårigheter som införandet av en sådan rätt skulle medföra.177
10.3.4 Privatlivets fred
10.3.4.1 Självsanering
Inom det massmediala området förekommer självsanerande verksamhet. En stor del av de regler till skydd för den personliga integriteten som til??lämpas på det massmediala området bygger på frivilliga överenskommelser och åtaganden. Flera massmedieorgan har antagit de etiska reglerna ”Etiska regler för press, radio och tv”. Reglerna syftar bl.a. till att skydda enskilda mot oförskyllt lidande genom publicitet och innehåller anvisningar bl.a. under följande rubriker. N Ge korrekta nyheter N Ge plats åt bemötanden N Respektera den personliga integriteten N Var varsam med bilder N Döm ingen ohörd N Var försiktig med namn
176 Prop. 1995/96:160 s. 143. 177 Prop. 1995/96:160 s. 103, se även SOU 1994:105 s. 301.
Pressens Opinionsnämnd och Allmänhetens pressombudsman utgör viktiga inslag i pressens självsanerande verksamhet och övervakar att de etiska reglerna följs. Public service-företagens avtal med staten innehåller krav på att den enskildes privatliv skall respekteras i programverksamheten om inte ett oavvisligt allmänt intresse kräver annat. Granskningsnämnden för radio och TV (tidigare Radionämnden) övervakar genom granskning i efterhand att sändningarnas innehåll inte avviker från radiolagen och de särskilda avtal som slutits på området.
Radiolagsutredningen gjorde en undersökning beträffande efterlevnaden av de bestämmelser som gäller för public-serviceföretagens programverksamhet och de pressetiska reglerna. Undersökningen omfattade bl.a. överträdelser av regler till skydd för privatlivets helgd och rätten till beriktigande och genmäle. Utredningens slutsats var att efterlevnaden av reglerna var god.178
10.3.4.2 Förslag till lagreglering
Personlighetsrätten har av tradition inte någon framträdande position i svensk rätt. I andra länder däremot förekommer att man har en sådan ”rätt till sina egna personliga uppgifter”. Lagen (1979:800) om namn och bild i reklam har uppfattats som den första och hittills enda lag som helt rör personlighetsrätt.179
Det har framförts förslag till lagreglering av skyddet för privatlivets fred. Integritetsskyddskommittén redovisade tre tänkbara lösningar till hur ett utökat skydd för den enskilde skulle kunna genomföras.180 Ett förslag innebar att det i TF och brottsbalken skulle tas in en straffbestämmelse om brott mot privatlivets fred. Därmed skulle gärningen vara straffbar även om den begicks genom massmedier och det skulle finnas en möjlighet att få skadestånd. Ett annat förslag var att det skulle införas en ordning som gjorde det möjligt att få skadestånd vid ett intrång i privatlivet även om intrånget inte var straffbart. Det tredje alternativet var att behålla den nuvarande ordningen dvs. att låta regleringen ske genom massmediernas självsanerande verksamhet. I det lagstiftningsärende som därefter följde och som ledde fram till YGL ansågs det också att man även i fortsättningen
178 SOU 1994:105 s. 292 och 300–301. 179 Ulf Bernitz, m.fl., Immaterialrätt, 5 uppl., 1995, s. 78. 180 SOU 1980:8.
skulle lita till den självsanerande verksamheten i dessa frågor.181 Ytterligare förslag i frågan har väckts därefter men avvisats. (En redogörelse för förslagen finns i den nedan nämnda studien, Ds 1994:51.)
På senare tid har problematiken kring skyddet för den personliga integriteten i bl.a. massmediala sammanhang behandlats bl.a. i studien Skyddet för enskilda personers privatliv (Ds 1994:51). I studien framförs att en viktig metod för att stärka integritetsskyddet kan vara att hindra att personrelaterat, känsligt material utnyttjas eller sprids på ett icke önskvärt sätt t.ex. i massmedier.182 Vidare diskuteras i studien tänkbara åtgärder i det sammanhanget bl.a. införandet av en ny straffbestämmelse i TF och YGL till skydd för privatlivets fred. Studien, som inte innehåller något konkret förslag, har följts upp i Rapport (1995-03-15) om skyddet för enskilda personers privatliv – ett mer samlat grepp?
10.4 Yttrandefriheten i nya massmedier
Regeringen har nyligen tillsatt en kommitté som skall analysera TF:s och YGL:s tillämplighet på nya medier som används vid förmedling av yttranden och annan information till allmänheten, Mediekommittén.183 I direktiven till kommittén aktualiseras också frågan om det skall införas ett grundlagsskydd även för moderna medier som inte har sådant skydd i dag.
10.5 Internationella förhållanden
10.5.1 EG-direktivet
I EG-direktivet finns en regel om att medlemsstaterna skall göra undantag för vissa av direktivets bestämmelser för behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (artikel 9). Sådana undantag och avvikelser får dock beslutas endast om de är nödvändiga för att förena rätten till privatlivet med
181 Prop. 1986/87:151 s. 44. 182 Ds 1994:51 s. 173. 183 Dir. 1994:104.
reglerna om yttrandefriheten. Artikeln får uppfattas som en förpliktelse att anpassa integritetsskyddet till yttrandefriheten. Direktivet anger inte närmare hur denna anpassning skall göras, utan detta får avgöras av varje enskilt land. Kommissionen har i sin förklaring anfört exempel på faktorer som kan beaktas vid intresseavvägningen; möjligheten till rättslig prövning eller rätten till replik, förekomsten av en uppförandekodex, de gränser som läggs fast i Europarådskonventionen om de mänskliga rättigheterna184samt allmänna rättsprinciper. (En redogörelse för direktivets bestämmelse finns under avsnitt 3.3.)
10.5.2 Europarådsbestämmelser
Europarådskonventionen om de mänskliga rättigheterna innehåller två artiklar som har betydelse i detta sammanhang. Artikel 8 ger skydd för privatlivet, och i den praxis som har utvecklat sig vid tillämpningen av konventionen har fastslagits att det skydd för privatlivet som denna artikel ger omfattar även dataskydd.185 Enligt artikeln få det göras undantag från skyddsregeln för vissa andra intressen som har bestämts i lag och som är nödvändiga i ett demokratiskt samhälle. Konventionens artikel 10 skyddar yttrandefriheten. Denna innefattar enligt bestämmelsen åsiktsfrihet samt frihet att mottaga och sprida uppgifter och tankar utan inblandning av offentlig myndighet och oberoende av territoriella gränser. På motsvarande sätt som enligt artikel 8 får inskränkningar göras som är nödvändiga för att andra för en demokrati viktiga intressen inte skall trädas för när.
Europarådets dataskyddskonvention syftar till att skydda den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. (För en utförligare redogörelse för konventionen se avsnitt 4.3.) Konventionen innehåller inte någon uttrycklig regel om hur databehandling av personuppgifter på det massmediala området skall hanteras. Dock finns det en bestämmelse – artikel 9.2.b – som medger att undantag görs i lag från vissa bestämmelser i konventionen, om det är nödvändigt för att skydda den registrerade personen eller andra personers fri- och rättigheter. Med sådana andra personers rättigheter avses bl.a. yttrandefri-
184 Konvention (d. 4 nov. 1950) angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. 185 Prop. 1987/88:57 s. 7.
heten.186 Konventionen anger emellertid inte närmare på vilket sätt denna avvägning skall göras.
10.5.3 En internationell jämförelse
För den avvägning som måste göras angående persondatalagens tillämpning på bl.a. massmediernas behandling av personuppgifter kan det vara av intresse att göra jämförelser med andra länder. Jämförelsen bör göras i två avseenden, dels om massmedierna omfattas av eller är undantagna från dataskyddslagstiftningen dels vilket skydd som i övrigt finns för den personliga integriteten i massmediala sammanhang.
Det som vid en internationell jämförelse kan sägas karakterisera det svenska skyddet för personlig integritet i massmediala sammanhang kan kortfattat beskrivas på följande sätt. Det finns inte något undantag i datalagen för massmediernas behandling av personuppgifter. Den praxis som har förekommit under senare år har emellertid inneburit att datalagen inte til??lämpas på viss behandling inom det massmediala området. I huvudsak har behandlingar som ansetts omfattas av grundlagsskyddet i TF och YGL undantagits från datalagens tillämpning.
Yttrandefriheten har en stark ställning och är grundlagsskyddad. Offentlighetsprincipen gör att många personuppgifter är tillgängliga för var och en. Meddelarskyddet gör att även sekretessbelagda uppgifter helt lagligt kan komma till massmediernas kännedom. När det gäller straffrättsliga bestämmelser är reglerna om ärekränkning aktuella. Vid bedömningen av ärekränkningsbrott som har skett i massmediala sammanhang finns en bestämmelse som innebär att man särskilt skall beakta betydelsen av yttrandefriheten och i tveksamma fall hellre fria än fälla.187 Något straffrättsligt skydd i övrigt för privatlivet finns inte.188 För att en person om vilken det har publicerats uppgifter skall kunna få skadestånd för den kränkning detta kan ha inneburit, krävs det att publiceringen har innefattat ett brott, t.ex. förtal. Någon lagstadgad rätt till genmäle och beriktigande finns i huvudsak inte utan dessa institut är föremål för massmediernas självsanerande verksamhet.
186 SOU 1993:10 s. 118. 187 Bestämmelsen finns dels i 1 kap. 4 § TF, dels i 1 kap. 5 § YGL. 188 En sådan bestämmelse har dock föreslagits bl.a. av Integritetsskyddskommittén, SOU 1980:8.
Uppgifterna i sammanfattningen nedan har hämtats dels från Datalagsutredningens slutbetänkande (SOU 1993:10), dels studien Skyddet för enskilda personers privatliv (Ds 1994:51) dels ock studien Data protection and the media som utarbetades av en expertkommitté inom Europarådet år 1991. För ett djupare studium hänvisas till dessa publikationer.
Danmark undantar i den registerlag som gäller på det privata området sådana register som endast innehåller material som har publicerats i en periodisk skrift. Sådana register skall dock anmälas till dataskyddsmyndigheten som kan meddela föreskrifter för dem. Utlämnande av personuppgifter från ett sådant register får endast ske om den registrerade har samtyckt, det följer av lag eller uppgifterna lämnas ut för att publiceras i en periodisk skrift. Den registrerade har även rätt till insyn i ett sådant register.
Yttrandefriheten är grundlagsfäst men har inte några klart angivna gränser. Grundlagsskyddet innebär i första hand censurförbud. I övrigt gäller vanliga lagar även på yttrandefrihetens område. Den personliga integriteten i massmedier skyddas – förutom av regler mot ärekränkning – av straffrättsliga regler till skydd för privatlivets fred. Bestämmelserna bygger på att det görs en intresseavvägning mellan den enskildes intresse av att uppgifterna skyddas och allmänintresset av att de offentliggörs. Domstolen kan förordna om förbud mot fortsatt kränkande verksamhet. Den enskilde kan få skadestånd för integritetskränkningar i massmedier utan att det finns något bakomliggande brott. De pressetiska reglerna har lagreglerats i medieansvarsloven. Lagen omfattar alla massmedier, både tidningar och radio och TV. Lagen innehåller bl.a. en bestämmelse om beriktigande. Pressnämnden bevakar att lagen följs och den kan ålägga den klandrade att publicera ett avgörande. Om ett klandrat massmedieföretag underlåter att rätta sig efter nämndens beslut gör det sig skyldigt till ett brott. Den saken prövas av vanlig domstol i ett brottmål.
Finland har under senare år gjort ändringar i sin personregisterlag så att lagen tillämpas på massmediernas s.k. redaktionella register endast då det är fråga om skydd för ett register och om övervakning av detta, dvs. när det gäller säkerhetsfrågor. Med ett redaktionellt register avses ett personregister som skall användas enbart i massmedialt redaktionsarbete och som inte kan nyttjas av andra än de som utför sådant arbete. Personregisterlagen tillämpas inte på sådana personregister som innehåller enbart publicerat material.189
189 Proposition nr 311/1993 rd.
Grundlagsskyddet för yttrandefriheten är mer inskränkt än i Sverige, men det är föremål för översyn. Finland har ett mer omfattande straffrättsligt skydd mot insamling och offentliggörande av uppgifter om privata förhållanden. Det är straffbart att sprida uppgifter om någon annans privatliv som är ägnade att orsaka skada eller lidande. Tryckfrihetslagen innehåller regler om beriktigande och genmäle. Den självsanerande verksamheten leds av Opinionsnämnden för Massmedier som prövar frågor rörande god journalistisk sed på det massmediala området. Nämnden är inte bunden av någon särskild regelsamling utan kan fatta sina beslut efter en fri prövning.
Norges personregisterlag tillämpas i princip även på de massmediala personregistren. Det har dock gjorts undantag för vissa register som används internt för redaktionellt arbete. Den registeransvarige måste då följa vissa fastställda föreskrifter. För att få tillgång till ett massmedieföretags register on-line krävs tillstånd av dataskyddsmyndigheten.
Liksom i Danmark och Finland finns en särskild straffrättslig regel om kränkning av privatlivets fred. Rätten till beriktigande är lagfäst och straffsanktionerad. Den självsanerande verksamheten är uppbyggd på samma sätt som i Sverige.
I England är datalagen tillämplig även på databehandling inom det massmediala området.
Det finns liksom i Sverige inte något generellt skydd för den personliga integriteten, men det finns andra regler som indirekt ger sådant skydd. De straffrättsliga reglerna om t.ex. ärekränkning tillämpas emellertid sällan, utan det är främst rätten till skadestånd som är aktuell i sammanhanget. Det räcker inte att det har gjorts ett intrång i privatlivet utan det måste finnas en – av rättspraxis bestämd – ytterligare skadegörande handling som grund för skadeståndsanspråket. Den självsanerande verksamheten fungerar ungefär som i Sverige.
I Frankrike undantar dataskyddslagen i viss utsträckning pressorgan, tryckta skrifter samt radio och TV inom ramen för de lagar som gäller för dem och i de fall då en tillämpning av datalagens bestämmelser skulle leda till inskränkning av yttrandefriheten. Lagens bestämmelser om bl.a. förbud mot registrering av vissa känsliga uppgifter och kravet på medgivande vad gäller dataflöde över gränserna gäller dock även på det massmediala området.
Yttrandefriheten erkänns som en grundläggande frihet, men den är inte absolut utan är underkastad övriga lagar. Den enskilde har enligt fransk rätt ett relativt vidsträckt skydd för sin personliga integritet. Det lagfästa skyddet omfattar, förutom bestämmelser om ärekränkning, även be-
stämmelser om skydd till förmån för privatlivets fred. Skyddet tillgodoses genom såväl straffrättsliga som civilrättsliga regler (främst rätten till skadestånd). Domstolen kan fatta beslut om att en pågående kränkning skall upphöra genom åtgärder som i det enskilda fallet kan vara mest lämpade. Rätten till genmäle är lagfäst och mycket vidsträckt. Den omfattar både beriktigande av faktauppgifter och bemötande av värdeomdöme eller kritik. För att rätt till genmäle skall föreligga krävs sålunda inte att den aktuella publiceringen har varit ärekränkande, nedsättande eller på annat vis skadevållande. Rätten till genmäle i radio och TV är mer begränsad än vad som gäller för tidningar.
I Tyskland omfattas sådana behandlingar som utförs uteslutande för egna publicistiska ändamål av pressföretag, radioföretag och filmföretag endast av den tyska federala dataskyddslagens bestämmelser om datasäkerhet. Lagens övriga regler tillämpas dock på sådana uppgifter, om dessa används för andra syften, t.ex. om de utlämnas till någon utanför det egna företaget.
Yttrandefriheten är grundlagsfäst men inte absolut. Av författningsdomstolens praxis framgår att yttrandefriheten skall balanseras mot andra intressen t.ex. den i grundlagen likaså skyddade personliga värdigheten. Den enskilde skyddas – förutom av straffrättsliga regler om ärekränkning – av den civilrättsliga regleringen kring den s.k. allmänna personlighetsrätten. Ett intrång i den personliga sfären kan utgöra en kränkning av personlighetsrätten om det vid en avvägning i det enskilda fallet visar sig att intrånget var obefogat. En förvanskande, negativ pressartikel eller uppspelning av en icke medgiven upptagning av en bandinspelning kan utgöra sådana kränkningar. Den kränkte kan få skadestånd och rätt till beriktigande.
Nederländerna har ett undantag för datafiler som uteslutande används för att sprida offentlig information genom press, radio och TV. Syftet med bestämmelsen är att göra undantag för sådana regler i datalagen som kan innebära inskränkningar i yttrandefriheten, när behandlingen av personuppgifter alltid leder till resultat som blir offentliga. Att uppgifterna blir offentliga gör det möjligt för den enskilde att kräva rättelse av felaktiga uppgifter. Försummas detta kan det leda till påföljd för massmedieföretaget.
Den österrikiska datalagen är till största delen inte tillämplig på sådan behandling som utförs av medieföretag i syfte att stödja den publicistiska verksamheten. Vissa bestämmelser, t.ex. beträffande säkerhet, är dock til??lämpliga även på sådan behandling. Den österrikiska medialagen innehåller i gengäld bestämmelser till skydd för den personliga integriteten.
Bland övriga länder som undantar (eller har för avsikt att undanta) massmedier från datalagstiftningen kan nämnas Belgien och Schweiz. I Island, Irland och Luxemburg görs inget undantag från datalagens tillämpning för massmedier.
10.6 Närmare om normkonflikten
10.6.1 Allmänt
I datalagen görs inte något undantag för register som innehåller personuppgifter inom det massmediala området. Enligt ordalydelsen omfattar datalagens bestämmelser även sådan registrering. Datalagsutredningen fann emellertid att de föreskrifter i bl.a. datalagen som Datainspektionen har att tillämpa i sin verksamhet kan komma i strid med vissa föreskrifter i TF och YGL. Utredningen pekade bl.a. på att villkor som Datainspektionen kan meddela för förandet av ett visst personregister kan komma i konflikt med reglerna om förbud mot censur och andra hindrande åtgärder. Vidare kan enligt utredningen Datainspektionens tillsynsverksamhet inkräkta på rätten till anonymitetsskydd.190 Normkonflikten tycks inte har uppmärksammats i samband med tillkomsten av datalagen.
Datalagsutredningen tog även upp frågan om förhållandet mellan å ena sidan de aktuella bestämmelserna i TF och YGL och å andra sidan bestämmelsen i 2 kap. 3 § RF som ger varje medborgare – i den utsträckning som närmare anges i lag – skydd mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Utredningen anförde bl.a. följande. Bestämmelsen i 2 kap. 3 § RF skall visserligen ses mot den bakgrunden att integritetsfrågorna har en särskild vikt på ADB-området. Förmågan att skydda den personliga integriteten är nämligen av avgörande betydelse för utvecklingen på ADBområdet. En grundförutsättning för att ADB-tekniken skall kunna utnyttjas är att människorna inte känner främlingskap och upplever tekniken som ett hot mot den personliga integriteten. Genom bestämmelsen i 2 kap. 3 § RF fick integritetsskyddet på dataområdet en fastare förankring än genom målsättningsstadgandet i 1 kap. 2 § RF. Det föreligger emellertid en principiell skillnad mellan föreskrifterna om förbud mot censur och andra
190 SOU 1993:10 s. 125.
hindrande åtgärder i TF och YGL samt bestämmelsen i 2 kap. 3 § RF. Bestämmelserna i TF och YGL riktar sig till myndigheter eller andra allmänna organ. Med det sistnämnda uttrycket avses även regeringen och riksdagen. TF och YGL förbjuder således Datainspektionen att vidta någon som helst åtgärd som kan verka hindrande på sätt som anges i TF och YGL. Det nya stadgandet i 2 kap. 3 § RF har emellertid lagstiftaren – alltså riksdagen – som adressat. Mot bakgrund av det sagda måste man utgå från att Datainspektionen, i såväl ett enskilt fall som vid normgivning, måste böja sig för TF och YGL, trots föreskriften i 2 kap. 3 § RF.191
Datalagsutredningen fann således att TF och YGL vid normkonflikt tar över datalagen. Av avgörande betydelse för principfrågan var enligt utredningen att den grundlagsskyddade friheten att yttra sig i skrifter och andra medier inte bör begränsas, om det inte är nödvändigt med hänsyn till motstående intresse. Något så uttalat intresse att en begränsning bör ske fanns enligt utredningens mening inte. Utredningen beaktade i det sammanhanget även de pressetiska reglerna och den höga etiska standard som den svenska pressen i huvudsak håller. Man kunde enligt utredningen inte heller bortse från att de möjligheter som det här är fråga om för en myndighet att ingripa mot t.ex. tidningarna i förlängningen kan innebära ett hot mot den fria åsiktsbildningen. Någon saklig ändring skulle med andra ord inte göras i nuvarande ordning. Däremot borde vissa förtydliganden göras i datalagen för att ange vilka slag av datasamlingar som undantas från datalagens tillämpningsområde. Genom avgörande av regeringen på senare tid har utredningens slutsatser i detta sammanhang bekräftats.192
10.6.2 Datalagsutredningens förslag och remissutfallet
För att klargöra vilka dataregister som skulle vara undantagna från datalagens tillämpningsområde, gjorde Datalagsutredningen en genomgång av vilka olika registreringar som kunde tänkas förekomma i massmediala sammanhang. Även inom massmedieföretagen förekommer registrering av personuppgifter för administrativa ändamål, kundregister, marknadsfö-
191 SOU 1993:10 s. 136. 192 Jämför regeringens beslut 1994-04-14, Dnr 93-3260, som finns omnämnt under avsnitt 10.6.3.
ringsregister m.m. Samma regler borde enligt utredningen gälla här som för andra företag.
Utredningen fann till en början att undantag borde göras för produktionsregister, dvs. register som används som ett direkt tekniskt hjälpmedel före eller vid framställningen av ett grundlagsskyddat yttrande. Exempel på detta är artiklar som utgör ett slags register över kända personers deklarerade inkomster, över framstående avlidna personer under ett år och över medlemmar i en förening. Även familjesidorna kan sägas vara exempel på sådana register.
Utredningen övervägde att låta sådana register omfattas av vissa bestämmelser i datalagen som inte kolliderar med förbudet mot hindrande åtgärder, t.ex. viss del av Datainspektionens tillsynsverksamhet och den persondataansvariges allmänna skyldigheter. Emellertid fann utredningen att en sådan tillämpning skulle vara av ringa värde och dessutom leda till gränsdragningsproblem. Slutsatsen blev därför att registren borde undantas helt.193
Ett undantag var enligt utredningen även nödvändigt för datasamlingar som innehåller uppgifter om personer som omfattas av anonymitetsskyddet i TF och YGL. Det finns annars risk, ansåg utredningen, för att sådana uppgifter kan komma fram t.ex. i samband med tillsyn av Datainspektionen.194
Vidare resonerade utredningen kring begreppet källregister. Med sådana avsågs register från vilka journalister och andra hämtar material till artiklar m.m. Sådana register kan t.ex. innehålla uppgifter om meddelare (tipsare), de kan utgöras av inkomna telegram, redan publicerat material eller andra utkast. Flera av de datasamlingar som förs hos Sveriges Radiokoncernen skulle också vara källregister i den ovan angivna meningen. En del av dessa datasamlingar skulle redan på grund av utredningens tidigare förslag vara undantagna från den nya datalagens tillämpningsområde, på grund av att de är register över meddelare eller på grund av att de samtidigt har karaktär av produktionsregister. Efter ytterligare resonemang förordade utredningen slutligen att något generellt undantag inte skulle göras i den kommande datalagen för källregister. Utredningen underströk att förslaget givetvis inte innebar att Datainspektionen skulle få utöva sin tillsynsverksamhet på sådant sätt att de aktuella bestämmelserna i TF och YGL skulle
193 SOU 1993:10 s. 138. 194 A. SOU s. 138 och 139.
komma att överträdas. Däremot borde enligt utredningen undantag göras för sådana källregister som utgör register över anonymitetsskyddade personer.
Utredningen uppmärksammade särskilt problematiken kring klipparkiven, som utgör arkiv över artiklar som varit publicerade. Till den del klipparkiven används på tidningsredaktionerna för den journalistiska verksamheten borde de enligt utredningen undantas från datalagens tillämpningsområde. Skälet för detta var att klipparkiven i detta sammanhang har betydelse för utövandet av tryckfriheten.195 I den utsträckning som allmänheten kan utnyttja dem är arkiven dock något annat än källregister. I det sammanhanget påpekade utredningen att klipparkiven med tiden kommer att bestå av en stor mängd personuppgifter, varav inte så få av känslig natur. Uppgifterna kommer att kunna återsökas, bearbetas och sammanställas med stor lätthet. Uppgifterna kommer vidare att bevaras under lång tid. Som ett exempel på en integritetskänslig bearbetning kan nämnas att alla artiklar som rör en persons brottsliga förehavanden inhämtas. En sådan sammanställning kan i praktiken jämställas med ett kriminalregisterutdrag. Sammanställningen är emellertid betydligt känsligare bl.a. därför att uppgifter i kriminalregistret avförs efter en viss tid. Utredningen stannade ändå slutligen för en lösning som innebar att klipparkiven helt undantogs från datalagens tillämpningsområde. Det avgörande skälet för utredningens ställningstagande var att datasamlingarna endast innehåller ett återgivande av tryckta skrifter, som allmänheten rimligen bör ha rätt att ta del av. Det är svårt, menade utredningen, att tänka sig en ordning som innebär att det ytterst skall vara Datainspektionen som genom villkor kan bestämma vilken tillgång allmänheten skall ha till tryckta skrifter.
Utredningen var inte enig i sina ställningstaganden. Några reservanter ansåg att undantaget för klipparkiven i förslaget var alltför omfattande. Enligt reservanterna borde datalagen gälla för klipparkiven i den mån de används för andra ändamål än tidningarnas och programföretagens journalistiska verksamhet. En annan reservation avsåg källarkiven. Enligt reservanterna borde undantag göras även för sådant material som samlas in för att det skall ingå i eller ligga till grund för innehållet i en tryckt skrift eller för andra yttranden som omfattas av grundlagsskyddet.
Även från många remissinstanser framfördes kritik när det gällde klipp- och källarkiven. Riksdagens ombudsmän och Universitetet i Lund
195 A. SOU s. 142.
(Juridiska fakultetsstyrelsen) anslöt sig i huvudsak till båda de avvikande meningar som hade framförts av reservanterna. Justitiekanslern, Hovrätten över Skåne och Blekinge, Sveriges advokatsamfund m.fl. ansåg att undantaget för källarkiven borde göras mer omfattande. Kammarrätten i Stockholm, Kammarrätten i Göteborg, Länsrätten i Stockholms län, Domstolsverket, Överåklagaren vid Regionåklagarmyndigheten i Malmö m.fl. ansåg att undantaget för klipparkiven borde inskränkas i enlighet med reservanternas mening. Från massmediehåll riktades i stort sett samfälld kritik mot att inte samtliga källregister hade undantagits. Dessa instanser påtalade också att praktiska svårigheter skulle uppstå att hålla isär sådana register som var underkastade datalagens tillämpningsområde och sådana som var grundlagsskyddade och därmed undantagna.
10.6.3 Några regeringsavgöranden
Regeringen har under senare år fattat en del beslut som handlar om datalagens tillämpning på yttrandeområdet. Besluten, som har betydelse för vårt fortsatta resonemang, refereras i det följande.
Beslut 1994-04-14, Ju 93-3260. En journalist hade ansökt om tillstånd enligt datalagen att få inrätta och föra ett personregister i syfte att skriva en bok med hjälp av ett ord- och textbehandlingsprogram. I behandlingen skulle ingå sådana känsliga personuppgifter som det krävs synnerliga eller särskilda skäl för att få tillstånd till. Texten skulle sedan överlämnas till ett boktryckeri. Datainspektionen avslog tillståndsansökan. Regeringen konstaterade i sitt beslut att tillståndskravet i datalagen måste ställas mot det i 1 kap. 2 § TF uppställda förbudet mot hindrande åtgärder inför bl.a. tryckning av en skrift. Eftersom det aktuella registret skulle användas som ett direkt tekniskt hjälpmedel för att framställa en skrift, var det enligt regeringen utan tvekan så att förbudet i TF omfattade detta. Regeringen undanröjde därför Datainspektionens beslut och förklarade att registret inte var tillståndspliktigt enligt datalagen.
Beslut 1994-06-30, Ju 94-2310. Bildbasen i Kiruna ansökte hos Datainspektionen om tillstånd att inrätta och föra personregistret Bildbanken. Ändamålet med registret angavs vara att utgöra en ”marknadsplats” för handel med fotografiska bilder. Datainspektionen lämnade tillstånd för registret och meddelade även en del föreskrifter. Bolaget överklagade beslutet och hävdade bl.a. att registret inte omfattades av datalagens tillståndskrav eftersom det åtnjöt skydd av TF och YGL. Bilderna skulle nämligen i stor utsträckning användas i produktionen av tidningar, tidskrifter och
böcker. Regeringen konstaterade att datalagen var tillämplig på registret. I skälen för beslutet anförde regeringen bl.a. att bolaget inte avsåg att i egen produktion framställa tryckt skrift eller film och därvid använda sig av de lagrade bilderna. Endast det förhållandet att uppgifterna lagras för att vid senare tillfälle kunna ges ut i form av tryckt skrift innebar enligt regeringen inte att TF:s bestämmelser om censur och andra hindrande åtgärder skulle bli tillämpliga på behandlingen. Slutligen konstaterade regeringen att bolaget inte heller omfattades av skyddet i 1 kap. 9 § YGL.
Beslut 1994-09-15, Ju 94-140. Tidningarnas Telegrambyrå AB (TT) ansökte om tillstånd att föra personregistret ”TT Nyhetsbanken”. Ändamålet med registret var att lagra och återsöka TT-telegram. Uppgifter ur registret skulle lämnas ut bl.a. till vissa kunder. Datainspektionen meddelade tillstånd med en föreskrift om gallring. I samband med att TT begärde ändring av gallringsföreskriften prövade regeringen hur tillståndskravet i datalagen förhöll sig till bestämmelsen i 1 kap. 9 § YGL i det aktuella fallet. I sina skäl konstaterade regeringen att registret fick anses utgöra ett sådant register som avses i 1 kap. 9 § YGL, att tillståndskravet i datalagen stred mot förbudet mot hindrande åtgärder i 1 kap. 3 § YGL och att Datainspektionen därför inte borde ha meddelat något beslut om tillstånd. Följaktligen, konstaterade regeringen till sist, borde inte heller TT:s ansökan om ändring av föreskrifterna ha tagits upp till prövning.
10.7 Överväganden
10.7.1 Allmänt om konflikten mellan persondatalagstiftningen och yttrandefriheten
Som framgår av det förut anförda kan motsättningar uppstå mellan å ena sidan yttrandefriheten och å andra sidan skyddet för den personliga integriteten sådant detta kommer till uttryck i persondatalagstiftningen. Vi har i det föregående betecknat detta förhållande som en normkonflikt.
Den intressekollision som är upphov till normkonflikten kan beskrivas på följande sätt. Yttrandefriheten har i Sverige liksom i många andra länder ett starkt rättsligt skydd. Att fritt få framställa och sprida yttranden av olika slag utgör en av grundpelarna i ett demokratiskt samhälle. Yttrandefriheten är skyddad såväl i RF som i TF och YGL. Den personliga integriteten är på motsvarande sätt ett intresse som anses i hög grad skyddsvärt. I
Sverige är skyddet för den personliga integriteten i huvudsak uppbyggt kring regler som förbjuder vissa åtgärder eller handlingar som typiskt sett medför sådan kränkning. Datalagen är ett exempel härpå. Lagen innehåller mängder av regler om vad man får göra och inte göra med personuppgifter i den digitala miljön. Även bestämmelser utanför datalagen – särskilt straffrättsliga – har skyddet för den personliga integriteten som huvudsyfte.
I vissa andra länder finns regler som direkt tar sikte på skyddet för privatlivet. Dansk rätt innehåller t.ex. en bestämmelse som innebär att man kan straffas för att oberättigat ha avslöjat uppgifter om privata förhållanden om man kan kräva att de borde undanhållas offentligheten. Införandet av en sådan generell bestämmelse till skydd för privatlivet har varit och är föremål för diskussion både i Sverige196 och i andra länder.
Bestämmelsen i 2 kap. 3 § andra stycket RF – om att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling – innebär visserligen ett åliggande för riksdagen att stifta och vidmakthålla en persondatalagstiftning.197 Bestämmelsen i RF är emellertid allmänt hållen, till skillnad från de detaljerade reglerna i TF och YGL. Om avsteg skall göras från förbudet mot censur och andra hindrande åtgärder i syfte att hindra intrång i personlig integritet, måste detta ske i TF och YGL. Datalagen kan inte gärna tolkas så att riksdagen i den lagen skulle ha fört in bestämmelser som innebär avsteg från viktiga principer rörande yttrandefriheten. Den omständigheten att datalagen har stöd i RF innebär alltså inte att lagen tar över TF och YGL. Vi delar med andra ord den uppfattning som Datalagsutredningen därvidlag gav uttryck för och som har fått stöd av de flesta remissinstanser.
Konflikten mellan de två intresseområdena har accentuerats i och med användningen av den digitala tekniken. Stora informationsmängder kan hanteras sekundsnabbt och uppgifter om personer i sådan information kan med lätthet sökas och sammanställas med andra uppgifter till en fullständig kartläggning av den sökta personens liv och förhållanden. Om man för att skydda den personliga integriteten uppställer hinder för sådana förfaranden kan man å andra sidan göra intrång i yttrandefriheten. En effektiv persondatalagstiftning kan därför innebära hinder mot yttrandefriheten, fastän detta inte är alls är avsikten.
196 Se t.ex. Ds 1994:51. 197 Prop. 1987/88:57 s. 11.
Datalagsutredningens förslag beträffande datalagens förhållande till massmedier har i sina detaljer fått vidkännas kritik i olika hänseenden, särskilt från massmediernas egna organ. Detta sammanhänger särskilt med utredningens användning av registerbegreppet. Detta begrepp härstammar från stordatortiden och är inaktuellt. Numera förekommer centrala klipparkiv som innehåller i stort sett allt publicerat material i fulltext; undantag kan göras för t.ex. smärre notiser. Varje journalist har en PC där allt vederbörandes material ligger samlat, ett material som är lätt att söka i och strukturera. Ett dokument i datorn behöver inte innehålla material för någon bestämd artikel. Uppgifter kan samlas in under ”grävande journalistik” utan att journalisten ännu vet hur de skall användas.
Att införa regler i persondatalagen utan att deras efterföljd kan kontrolleras av en myndighet som Datainspektionen skulle sätta tilltron till lagstiftningen i fara. Inspektioner av myndigheter som berör massmedierna är emellertid typiskt sett ägnade att påverka yttrandefriheten. Bestämmelser i persondatalagen som kan beröra anonymitetsskyddet inverkar också på meddelarskyddet. Detta utgör en central del i offentlighetsprincipen.
Normkonflikten har lösts på olika sätt i olika länder. Vissa har gjort undantag från persondatalagstiftningen för behandling av personuppgifter i massmediala sammanhang, medan andra – såsom Sverige – inte har gjort det. I formell mening kan den ena vägen innebära att man inkräktar på skyddet för den personliga integriteten och den andra att man inkräktar på skyddet för yttrandefriheten. Vid den diskussion i ämnet som var uppe i Europarådet 1991 (se avsnitt 10.5.3) framgick dock att detta hade vållat få problem i praktiken. Diskussionen resulterade inte i något klart uttalande om vilket intresse som borde äga företräde i lagstiftningen. Konklusionen blev i stället att vilken väg lagstiftaren än väljer, måste det intresse som så att säga har blivit förbigånget värnas på annat sätt.
Normkonflikten torde inte ha observerats vid datalagens tillkomst. Numera har emellertid grundlagarnas prioritet på området blivit erkänd i praxis. Av de beslut som har fattats av regeringen på senare tid kan man enligt vår mening dra den slutsatsen att redan enligt den gällande rätten datalagens bestämmelser skall vika i den mån de kolliderar med grundlagarna.
Principen bör gälla även i fortsättningen. Vi förordar alltså att bestämmelserna i persondatalagen utformas så att de inte kommer i konflikt med det grundlagsfästa skyddet för yttrandefriheten. Följderna härav bör dock inte överdrivas. Det är enligt vår mening möjligt att åstadkomma en
lagstiftning som med olika medel ger skydd åt den personliga integriteten utan att inskränkningar görs i den grundlagsfästa yttrandefriheten.
Självfallet ger även bestämmelserna i TF och YGL på olika sätt skydd för den personliga integriteten. Ett sådant skydd följer bl.a. av grundlagarnas regelsystem för fall där någon enskild har blivit kränkt i ett yttrande, särskilt reglerna om tryckfrihetsbrott. Även t.ex. bestämmelserna om att det alltid måste finnas någon som kan ställas till ansvar för otillåtna yttranden kan ses som ett skydd för den enskilde.
Det finns, som tidigare nämnts, ytterligare funktioner inom massmedieområdet till skydd för privatlivet. Massmediernas självsanerande verksamhet som innefattar rätt till beriktigande och genmäle träffar många yttranden som sprids i samhället, kanske huvuddelen av dem som innehåller personuppgifter. Den omständigheten att digital teknik har använts vid framställningen av en tidningsartikel som kanske innehåller en kränkande personuppgift minskar självfallet inte det nu nämnda skyddet. Granskningsnämnden för radio och TV övervakar att etermedierna i programverksamheten respekterar den enskildes privatliv.
Det skall dock inte förnekas att möjligheterna, både för myndigheter och enskilda, att ta del av och sammanställa personuppgifter ökar med bl.a. nya distributions- och lagringstekniker. Massmediernas självsanerande verksamhet omfattar inte heller alla yttranden som skyddas av TF och YGL, så t.ex. inte böcker och filmer.
Vi kan dock inte se att detta bör föranleda några ändringar i den nuvarande regleringen av yttrandefriheten i TF och YGL. Denna reglering torde vara fast förankrad både i det allmänna medvetandet och inom de politiska partierna. Praxis synes också ha anpassat sig till det nuvarande systemet utan att detta numera föranleder någon nämnvärd diskussion.
Att i detalj söka anpassa persondatalagen så att den överensstämmer med TF och YGL ter sig som ett ofruktbart arbete. Skulle anpassningen inte bli korrekt tar i alla fall grundlagens bestämmelser över. Det ter sig både enklast och mest hederligt att föreskriva undantag från tillämpningen av persondatalagen för behandling av yttranden som är skyddade i TF och YGL.
Frågor om vilka yttranden som omfattas av grundlagsskyddet och var gränsen går för skyddet är som tidigare nämnts föremål för Mediekommitténs överväganden.198 I direktiven till den utredningen pekas sär-
198 Dir 1994:104.
skilt på behovet att klarlägga rättsläget beträffande yttranden som förmedlas elektroniskt. Utredningen skall i det sammanhanget överväga behovet av justeringar i grundlagsreglernas tillämpningsområde. Om nya medier blir grundlagsskyddade såsom t.ex. datordisketter och cd-romskivor kan detta visserligen medföra nya problem i förhållande till integritetsskyddet. Dessa problem måste emellertid beaktas vid ändring av grundlagarna. Det kan inte komma i fråga att inom persondatalagstiftningens ram göra skillnad mellan det ena och det andra grundlagsskyddade yttrandet. Principen om grundlagarnas överhöghet gäller generellt. Enligt vår mening bör därför en ändring av det grundlagsskyddade området inte medföra någon ändrad principiell inställning till förhållandet mellan grundlagsskyddet för yttrandefriheten och persondatalagstiftningen. En utvidgning av grundlagsskyddet bör med andra ord medföra en motsvarande inskränkning av til??lämpningen av persondatalagen.
Vi har alltså kommit fram till att bestämmelserna i persondatalagen måste utformas så att de inte kolliderar med bestämmelserna i TF och YGL och att de senare bestämmelserna inte bör ändras. Det är därför nödvändigt att göra undantag i persondatalagen för behandlingar av personuppgifter som skyddas av yttrandefriheten.
10.7.2 Skall undantaget vara generellt?
Frågan är vad ett undantag i persondatalagen för behandlingar av personuppgifter som skyddas av yttrandefriheten bör omfatta. Inte alla bestämmelser i datalagen kolliderar med censurförbudet och anonymitetsskyddet. Datalagsutredningen fann emellertid att i den mån undantag gjordes från datalagstiftningen detta borde gälla hela lagen, bl.a. eftersom Datainspektionen ändå inte skulle kunna kontrollera efterlevnaden av ett fåtal tillämpliga regler.199
Enligt vår mening är det befogat att låta vissa av persondatalagens bestämmelser om skydd för personuppgifter i princip gälla även i fråga om den grundlagsskyddade yttrandefriheten. Det är angeläget att personuppgifter som förekommer inom massmediernas verksamhet skyddas från obehöriga intrång. Man kan utgå ifrån att de företag som agerar inom området, t.ex. radio- och TV-företag och tidningsproducenter, skyddar sitt data. Detta ligger ju i företagens eget intresse. Yttranden som skyddas av
199 SOU 1993:10 s. 135.
TF och YGL kan emellertid innefatta en mängd andra behandlingar, t.ex. uppgiftsinsamling som utförs av en privatperson i syfte att informationen skall lämnas vidare till en journalist. Om enskilda personer lider skada av att sådan databehandling har skett under former som inte har varit betryggande, t.ex. genom att någon person i illvilligt syfte har kommit över känsliga uppgifter, bör tillsynsmyndigheten i efterhand kunna föreskriva om skyddsåtgärder. Rätten att meddela säkerhetsföreskrifter är inte förenad med någon tillsyn men med möjlighet att förelägga vite. En sådan föreskriftsrätt kan inte sägas inkräkta på censurförbudet och meddelarskyddet enligt grundlagarna.
Tillsynsmyndigheten skall inte heller förhindras att i sin mer allmänna bevakning av uppgiftsbehandling i samhället påtala otillbörliga förfaranden på det massmediala området. Detta står väl i samklang med de uttalanden som har gjorts i EG-direktivet.200 Enligt dessa bör tillsynsmyndigheten nämligen utrustas bl.a. med en befogenhet att i efterhand offentliggöra en rapport angående sådan behandling. I dessa sammanhang kan eventuella missförhållanden påtalas. Även inom den självsanerande verksamhet som förekommer på området kan sådana brister påtalas.
Sammanfattningsvis anser vi att undantaget bör gälla alla materiella regler i lagen utom bestämmelserna om säkerhet. Detta innebär att reglerna om att personuppgifter skall skyddas t.ex. så att inte någon obehörig kan komma åt eller manipulera uppgifterna gäller även på yttrandeområdet. Undantaget förhindrar inte heller att tillsynsmyndigheten i sin mer allmänna bevakningsverksamhet påtalar eventuella missförhållanden inom det undantagna området.
10.7.3 Hur skall undantaget utformas?
Framställning och spridning av yttranden kan äga rum i vitt skilda sammanhang och i olika syften. Medan verksamheten inom de traditionella massmedieföretagen är helt koncentrerad till produktion av yttranden, kan den i andra sammanhang förekomma mer som en bisyssla – t.ex. när ett företag trycker en kundkatalog. Massmedieföretagen är underkastade etiska regler som bl.a. värnar den personliga integriteten, men yttranden i andra sammanhang kan framställas och spridas utan sådana restriktioner.
200 Punkt 37 i ingressen.
Den utformning av undantaget som Datalagsutredningen föreslog byggde på en uppdelning av olika uppgiftssammanställningar som kan förekomma i den massmediala verksamheten: produktions-, meddelar- och källregister samt klipparkiv. Kritikerna menade emellertid att en sådan avgränsningsmodell inte kan användas eftersom det i praktiken inte förekommer någon sådan uppdelning. Man utför inte behandlingar av uppgifter i olika avgränsbara ”register” (utom möjligen klipparkiven). En variant som tycks finnas i vissa andra länder är att undanta ”redaktionella” register. Den avgränsningen ger uppenbarligen utrymme för större undantag, men också den ger avgränsningsproblem.
En annan tänkbar lösning kunde vara att låta vissa subjekt, t.ex. massmedieföretag, omfattas av undantaget. En sådan lösning skulle emellertid leda till nya gränsdragningsproblem eftersom det inte finns någon definition att anknyta till – vad är ett massmedieföretag, vad är journalistisk verksamhet? Den skulle heller inte tillgodose syftet att förebygga konflikter mellan grundlagarna och persondatalagstiftningen eftersom TF och YGL skyddar även andra, som vill framställa yttranden, än journalister.
Ytterligare ett alternativ att överväga är att låta undantaget omfatta all behandling som över huvud taget har med framställning av yttranden att göra. Undantaget skulle med andra ord knyta direkt an till bestämmelsen i 2 kap. 1 § 1 p. RF som anger att varje medborgare gentemot det allmänna är tillförsäkrad yttrandefrihet. Ett så omfattande undantag skulle kunna vara till gagn för yttrandefriheten i vidsträckt bemärkelse och gälla även andra former av yttranden än de som skyddas av TF och YGL.
Att knyta an till målsättningsstadgandet i RF är emellertid enligt vår uppfattning inte ändamålsenligt. I praktiken skulle en sådan utformning innebära att persondatalagstiftningen blev verkningslös, eftersom det inte torde vara mycket av resultatet av en databehandling som inte kan karakteriseras som ett yttrande. Syftet med det undantag vi söker är att förebygga en konflikt mellan persondatalagstiftningen och TF:s och YGL:s detaljerade föreskrifter till skydd för yttrandefriheten. Någon motsvarande konflikt uppkommer inte i förhållande till RF:s principförklaring.
Det är endast vissa former av yttrandeframställning och -spridning som har fått konkret skydd i TF och YGL. Denna reglering innebär som tidigare nämnts även regler till skydd för den enskilde. Om även alla yttranden ”utanför” detta område undantas från persondatalagen kan det medföra risker för integritetsintrång som inte kan motverkas.
Sammanfattningsvis anser vi att man bör låta gränsen för undantaget i princip sammanfalla med den som finns i TF och YGL. Det betyder att så-
dan behandling som innebär en åtgärd som omfattas av dessa grundlagar undantas från persondatalagen.
10.7.4 Vilka behandlingar omfattas av undantaget?
10.7.4.1 Allmänt
De åtgärder som primärt skyddas av TF och YGL är att ”utgiva skrifter” respektive ”offentligen uttrycka tankar, åsikter och känslor och i övrigt lämna upplysningar i vilket ämne som helst”. Vi har tidigare kunnat konstatera att detta inte innebär att den som vill framföra ett yttrande är fri att vidta vilka åtgärder som helst, lagliga eller olagliga. Det centrala i sammanhanget är att myndigheter inte hindrar yttrandet på grund av dess innehåll eller försöker ta reda på varifrån innehållet har hämtats, även om det rör personuppgifter. Eventuella undantag från dessa huvudregler måste framgå i TF respektive YGL. Persondatalagen innehåller bestämmelser om just sådana myndighetsingripanden (i vart fall indirekt). Dessa bestämmelser kan inte tillämpas på grundlagsskyddade yttranden.
Det är enligt vår mening inte möjligt att uttömmande ange vilka behandlingar detta kan gälla. Administrativa register t.ex. kundförteckningar över tidningsprenumeranter eller löneregister för anställda omfattas inte av detta undantag, även om sådana behandlingar också utgör led i spridande av yttranden. Det är bara i de fall behandlingen har ett direkt samband med själva yttrandet som undantaget är tillämpligt. Nedan diskuteras några typiska sådana fall.
10.7.4.2 Behandlingar som syftar till att framställa yttranden
Mot bakgrund bl.a. av det ovan nämnda beslutet av regeringen (1994-04-14, Ju 93-3260) kan vissa slutsatser dras beträffande grundlagsskyddets omfattning. Om behandlingen av personuppgifter utgör ett direkt tekniskt hjälpmedel för att åstadkomma ett grundlagsskyddat yttrande skall datalagen enligt avgörandet inte tillämpas. De behandlingar som i sådant syfte utförs av författare eller utgivare av yttranden faller därmed utanför persondatalagstiftningens tillämpning. Exakt hur långt processen för att få fram yttrandet har fortskridit saknar betydelse. Redan den första registreringen av uppgifter utgör enligt detta resonemang ett led i framställandet av ett yttrande. Det är inte nödvändigt att det faktiskt blev publicerat. Det avgörande är att syftet med behandlingen var att framställa ett yttrande
som skulle publiceras. Att yttrandet blir föremål för omarbetningar och redigeringar kan inte förändra saken. Dessa tankegångar har stöd i den praxis som har förekommit på senare tid. Datainspektionen har avvisat flera ansökningar med motiveringen att registret skall ingå som ett led i framställning av tryckt skrift och att det därför inte omfattas av tillståndskravet i datalagen.
Utkast t.ex. till artiklar eller böcker omfattas enligt detta resonemang av undantaget. Om behandlingen utgör ett direkt tekniskt led i framställningen är persondatalagen således inte tillämplig. En till synes negativ konsekvens kan bli att uppgifter finns registrerade länge utan att det har blivit något skyddat yttrande. Hur länge uppgifterna kan finnas lagrade utan att behandlingen därför anses falla utanför det grundlagsskyddade området får avgöras från fall till fall. När ändamålet inte längre enbart är att framställa ett yttrande, utan även tillgodose andra syften t.ex. försäljning av personuppgifter, har gränsen för undantagsbestämmelsen passerats. Persondatalagen blir då tillämplig på behandlingen.
Uppgifter som förekommer på en tidningsredaktion eller hos ett publicservice företag får som regel anses omfattade av undantaget. Stora samlingar av personuppgifter som inte har blivit bearbetade eller införda i textuellt sammanhang får i andra fall betraktas mer kritiskt.
I gränsfall måste det till viss del bero på sammanhanget om behandlingen är undantagen eller inte. En författare kan t.ex. med hjälp av digital teknik framställa en bok som också publiceras på Internet. Persondatalagen blir då til??lämplig på den senare utgåvan men inte på den tryckta. Problemet beror på att den ena spridningsformen åtnjuter grundlagsskydd men inte den andra. Omfattningen av grundlagsskyddet utreds för närvarande av Mediekommittén. Problemet kan därför komma att falla bort.
Hur sådana fall skall bedömas där behandlingen sker för flera skilda ändamål diskuteras under avsnitt 10.7.4.5.
Det skall med andra ord vara fråga om behandlingar som används för att överföra upphovsmannens uppgifter, tankar, åsikter, känslor osv. till en form som omfattas av grundlagsskyddet i TF och YGL. Alla former av yttrandespridning omfattas emellertid inte. Som har framgått tidigare (se ovan under avsnitt 10.2.3.) är det i viss mån den enskildes egna åtgärder som avgör om en tryckt skrift faller under TF eller inte.
Moderna former av yttrandespridning, t.ex. via elektroniska anslagstavlor, omfattas inte ännu av grundlagsskydd. IT-utredningen har föreslagit att sådana yttranden i viss utsträckning också skall undantas från persondata-
lagen. Dessa frågor bereds nu i annan ordning och vi tar inte ställning till dem.
Vidare överväger, som tidigare nämnts, Mediekommittén bl.a. om ytterligare former för yttrandespridning bör omfattas av grundlagsskydd. Behandlingar av personuppgifter som utförs för att framställa sådana ickeskyddade yttranden kommer i princip alltså att tills vidare och i avvaktan på en eventuell grundlagsändring att omfattas av persondatalagen, i den mån de inte undantas genom annan lagstiftning.
10.7.4.3 Behandlingar som syftar till att anskaffa och meddela uppgifter
Sådana behandlingar som innebär att någon anskaffar och eventuellt överför uppgifter till någon annan utan att ha för avsikt att själv framställa ett yttrande, kan också omfattas av undantaget. Behandlingar som en meddelare utför i syfte att meddela uppgifter för offentliggörande får alltså utföras fritt. Vissa ytterligare krav finns dock för att sådana behandlingar skall vara undantagna. Anskaffarfriheten ensam åtnjuter inte något särskilt skydd i yttrandesammanhang. Det är bara om anskaffaren har för avsikt att själv framställa ett yttrande eller lämna uppgifterna till någon sådan person som sägs i 1 kap. 1 § tredje stycket TF respektive 1 kap. 2 § YGL (t.ex. författare eller nyhetsjournalister) som han omfattas av skyddet. Även sådana behandlingar som innebär att uppgifter samlas in t.ex. av en journalist för att göra ett TV-program eller en författare för att skriva en artikel skall enligt våra överväganden i det föregående inte omfattas av persondatalagen. Nyhetsbyråer bör med hänsyn till den ställning de getts i TF201 i förevarande sammanhang jämställas med tidningsredaktioner.
I den mån grundlagsskyddet i framtiden även kommer att omfatta t.ex. nyhetsjournalister i medier som inte nu är skyddade kommer skaran av meddelare som undantas från persondatalagen att utvidgas. Den krets till vilka meddelande får lämnas kan i framtiden komma att bli vidare än i dag.
De behandlingar som av Datalagsutredningen benämndes källregister kommer också att undantas om våra överväganden läggs till grund för lagstiftning. Även här kan emellertid gränsdragningsproblem uppkomma som framgår exempelvis av regeringens beslut (1994-06-30, Ju 94-2310) i vilket regeringen bl.a. prövade frågan vilket samband som måste finnas
201 Se t.ex. 3 kap. 3 § 1 st. TF.
mellan en behandling av personuppgifter och det grundlagsskyddade yttrandet.202
10.7.4.4 Lagring och spridning av uppgifter
En annan typ av behandlingar inom det massmediala området är sådana som utgör led i själva spridandet av yttranden. Tanken bakom den nya bestämmelsen i 1 kap. 9 § YGL är att rätten att sprida yttranden skall vara oberoende av vilken teknik som används.203 Även i detta sammanhang tar grundlagsbestämmelserna över persondatalagen. Närmare var gränserna för grundlagsskyddet går eller bör gå i detta sammanhang är, som tidigare nämnts, föremål för utredning. Det är inte alla som (ännu i vart fall) har denna grundlagsskyddade rätt att sprida yttranden elektroniskt, t.ex. inte privatpersoner. Från integritetssynpunkt är det en fördel att de subjekt som kan utföra sådan skyddad elektronisk spridning måste ha en ansvarig utgivare för yttrandet. De är vidare underkastade massmediernas självsanerande verksamhet.
Grundlagsskyddet sträcker sig till och med spridningen av yttrandet. När det gäller fortsatt digital behandling av det redan spridda yttrandet uppkommer nya frågor. En vanlig tidning vållar naturligtvis inte några problem, den träffas inte av några särskilda bestämmelser. Hur förhåller det sig med en bok utgiven i elektronisk form (t.ex. på cd-rom), faller den under persondatalagen? Frågan är med andra ord om ”behandling” även innefattar ”ta del av”. Vi kan konstatera att ett undantag som inte omfattar även en möjlighet att fritt ta del av ett grundlagsskyddat yttrande skulle vara värdelöst. EG-direktivet måste vidare enligt vår mening tolkas så, att den som tar del av en icke-förändringsbar mängd data är inte att anse som persondataansvarig. Enligt direktivet är nämligen den persondataansvarig som bestämmer ändamålen eller medlen för behandlingen. En person som tar del av data som inte är förändringsbart kan därför inte anses vara persondataansvarig, och lagen omfattar därför inte en sådan person. Att bara ta del av resultatet av en behandling måste enligt vår mening således omfattas av undantaget. Detta bör gälla även om man använder tillgängliga funktioner för att söka i datat. Om man däremot bearbetar datat på något annat sätt, t.ex. sparar ner det på en egen hårddisk och behandlar det vidare, blir persondatalagen tillämplig på den behandlingen.
202 Se vidare angående beslutet under avsnitt 10.6.3. 203 Prop. 1990/91:64 s. 65 och 66.
Vad Datalagsutredningen benämnde klipparkiv ger möjlighet att elektroniskt bevara och sprida vidare redan publicerat material. Såsom flera remissinstanser har påpekat får teknikvalet konsekvenser som har betydelse ur integritetssynvinkel. Genom möjligheter att hantera och särskilt söka i stora mängder information på ett enkelt och effektivt sätt har förutsättningar skapats bl.a. för att göra sammanställningar som inkräktar på den personliga integriteten. Efterforskningar t.ex. beträffande en viss person som har omnämnts i pressen kan nu utföras snabbt, något som tidigare kanske var så omständligt att det inte lät sig göras. Vidare kan det förekomma uppgifter om t.ex. brottslighet, politisk eller religiös åskådning eller andra integritetskänsliga förhållanden om personer som omnämns i tidningsartiklar eller i radio och TV.
Att ny teknik används för att sprida redan grundlagsskyddade yttranden bör inte föranleda att materialet underkastas några andra regler inom persondatalagstiftningen än det ursprungliga materialet. Såvitt angår journalisternas användning av klipparkiven för att framställa nya yttranden finns det inte anledning att göra annan bedömning än som förut gjorts generellt beträffande uppgifter som journalisterna anskaffar ur olika källor. Vad angår allmänhetens tillgång till klipparkiven får det ur yttrandefrihetens och informationsfrihetens synvinkel hälsas med tillfredsställelse att yttrandena kan spridas även på dessa nya vägar. Allmänheten bör därför ha samma möjligheter att ta del av yttrandena elektroniskt som genom att bläddra i tidningslägg. Även klipparkiven bör sålunda enligt vår mening undantas från tillämpningen av persondatalagstiftningen.
Uppgifterna kan emellertid inte utnyttjas fritt enbart på grund av att de kan återfinnas i grundlagsskyddade yttranden. Om man inte bara söker och tar del av personuppgifter som kan förekomma i sådana yttranden, utan vidtar egna åtgärder med uppgifterna och t.ex. överför dem till en egen databas för vidare behandling, blir denna behandling på vanligt sätt underkastad persondatalagens begränsningar (för såvitt syftet inte är att på nytt framställa ett grundlagsskyddat yttrande).
10.7.4.5 Behandling för flera ändamål
I de fall behandlingen har flera ändamål, varav ett är att framställa en skrift t.ex. en katalog och ett annat att utgöra ett kundregister, bör man kunna kräva att behandlingen delas upp av den ansvarige så att den behandling som inte faller under TF eller YGL kan bli föremål för åtgärder enligt persondatalagen. Denna till synes snäva gränsdragning stämmer överens med
EG-direktivets bestämmelser som tillåter att undantag görs för behandling som sker uteslutande för journalistiska m.fl. ändamål.204 Det kommer med andra ord an på den enskilde att göra avgränsningen. En sådan definition bör leda till att gränsdragningsproblemen blir mindre. En nackdel är att det kan uppstå extra kostnader och olägenheter för den som utför behandlingen. Rent praktiskt kan det gå till så att uppgifterna läggs i olika bibliotek eller kataloger i ordbehandlaren. När det gäller behandlingar som delvis utgör led i spridande av yttranden bör undantaget ges en generös til??lämpning.
Tillsynsmyndighetens åtgärder får givetvis inte medföra hinder för framställningen av yttrandet, utan dessa får inskränkas till de behandlingar som inte direkt ingår i den tekniska framställningen. Om behandlingar för flera ändamål förekommer bör Datainspektionen få utöva sina befogenheter enligt persondatalagen så långt det är möjligt t.ex. när det gäller administrativa register vid en tidning. Så fort man kommer in på det grundlagsskyddade området måste tillsynsverksamheten dock upphöra. I sammanhanget vill vi erinra om den möjlighet som finns att utse ett persondataombud enligt den föreslagna lagen. Ombudet kommer i första hand att svara för de behandlingar som omfattas av persondatalagen men kan också bevaka säkerheten vid undantagen behandling. Vid kontakter mellan den persondataansvarige och tillsynsmyndigheten kan ombudet biträda för att undvika att det sker intrång på det grundlagsskyddade området. Det får förutsättas att seriösa massmedieföretag håller de undantagna uppgifterna avskilda på ett sådant sätt att det i praktiken inte uppstår några problem.
10.7.4.6 Överflödiga uppgifter
Behandling av uppgifter för framställande av ett grundlagsskyddat yttrande kan innehålla ”överflödigt” data. I viss omfattning måste givetvis sådant vara tillåtet. Det kan inte krävas att behandlingen uteslutande avser de uppgifter som senare skall ingå i det skyddade yttrandet. Den situation som man i första hand kanske tänker på är användningen av ord- och textbehandlingsprogram. Uppgifter som tillfälligt förekommer i texten men som
204 Kammarrätten i Stockholm har på senare tid avgjort ett mål (1996-10-22, 3234-1996) som bl.a. berörde frågan om uppgiftsbehandling som bl.a. skulle resultera i en publicerad rapport omfattas av datalagen. Kammarrätten ansåg att behandlingen inte kunde antas ha ett sådant samband med utgivningen av tryckt skrift att den skulle undantas från datalagen.
sedan tas bort innan yttrandet har färdigställts kan inte särbehandlas. De uppgifter som är föremål för behandling skall emellertid kunna sägas utgöra ett naturligt led i framställandet av ett yttrande. Alltför mycket överflödig information kan medföra att behandlingen inte kan sägas utgöra ett led i framställningen av ett skyddat yttrande och därför leda till att behandlingen i stället blir underkastad persondatalagens tillämpningsområde.
I tveksamma fall bör man göra en samlad bedömning av behandlingens karaktär. Att låta behandlingen till viss del falla under persondatalagen och till en annan del vara grundlagsskyddad, t.ex. i den ovan angivna situationen, torde medföra svåra tillämpningsproblem.
10.7.4.7 Falska invändningar om grundlagsskydd
Risken för att otillåten behandling av personuppgifter sker under sken av att ett skyddat yttrande skall framställas måste beaktas, dvs. risken att någon behandlar personuppgifter under en falsk förevändning att de skall ingå t.ex. i en tryckt skrift och därför inte faller under persondatalagens tillämpningsområde. I vissa fall kan kanske en invändning om att behandlingen utgör ett led i framställningen av ett grundlagsskyddat yttrande inte utan vidare godtas. Den ansvarige måste på något sätt göra troligt att behandlingen syftar till att åstadkomma ett skyddat yttrande. Vid en sådan bedömning kan det vara av intresse om yttrande tidigare har producerats av den ansvarige, om kontakt har tagits med tryckeri eller om behandlingen i övrigt framstår som ett naturligt led i framställningen av t.ex. en skrift. Om det av sådana kringliggande omständigheter framgår att behandlingen ingår i framställningen av ett yttrande bör detta vara tillräckligt.
10.7.4.8 Prövning av undantagsregeln
Behandlingar som har lett till kränkande uppgifter i ett grundlagsskyddat yttrande kan således inte bli föremål för ingripanden av Datainspektionen. Endast yttrandet som sådant kan angripas och det måste ske i en process enligt TF eller YGL. Så länge uppgifterna inte har publicerats kan emellertid fråga uppkomma om behandlingen av dem omfattas av grundlagsskyddet eller inte. Behandlingen måste i det fallet ha blivit känd på annat sätt; uppgifter från behandlingen kan ha kommit ut av misstag eller varit föremål för dataintrång. Liksom Datalagsutredningen anser vi att det bör krävas en invändning av den som utför behandlingen om att den är grund-
lagsskyddad för att Datainspektionen skall vara förhindrad att utöva sina befogenheter enligt persondatalagen.205
Vid de kontakter som tas mellan inspektionen och den som utför behandlingen bör det ofta kunna klarläggas hur det förhåller sig. Ytterst får invändningen prövas av den domstol till vilken besvär riktas mot någon åtgärd som har vidtagits av Datainspektionen enligt persondatalagen. I det sammanhanget bör bestämmelserna i 1 kap. 4 § TF respektive 1 kap. 5 § YGL uppmärksammas. Bestämmelserna innebär bl.a. att principen om att hellre fria än fälla har extra tyngd på detta område.
10.7.5 Förhållandet till EG-direktivet
EG-direktivet anger lika litet som gällande svensk rätt någon definitiv lösning på frågan om förhållandet mellan yttrandefrihet och skydd för personlig integritet i datasammanhang. För att skydda den personliga integriteten i digitala sammanhang anvisar EG-direktivet en viss lagstiftningsmodell, av oss kallad handlingsmodellen. Modellen innebär i stort sett att all behandling av personuppgifter skall vara reglerad. Om det inte vore så att direktivet medgav undantag bl.a. i fråga om behandling för journalistiska ändamål skulle direktivet strida mot TF:s och YGL:s principer om bl.a. censurförbud och anonymitetsskydd. Det finns nämligen andra bestämmelser i direktivet som handlar om underrättelseskyldighet när uppgifter samlas in, förbud mot behandling av känsliga personuppgifter och bestämmelser om tillsynsmyndighetens befogenheter.
EG-direktivet medger emellertid som framgår av det förut anförda att undantag görs från direktivets materiella bestämmelser för behandlingar av personuppgifter som utförs uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande om undantagen är nödvändiga för yttrandefriheten. Enligt art. 9 i direktivet skall sålunda medlemsstaterna med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i kapitlen med allmänna bestämmelser om när personuppgifter får behandlas, om överföring av personuppgifter till tredje land och om tillsynsmyndighet m.m. endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefrihet. I ingressen till direktivet, punkt 37, sägs bl.a. att för sådan be-
205 SOU 1991:21 s. 123.
handling av personuppgifter som sker för journalistiskt ändamål eller för litterärt eller konstnärligt skapande – särskilt på det audiovisuella området – bör det fastställas undantag från eller begränsningar i förhållande till vissa bestämmelser i direktivet så långt detta är nödvändigt för att förena enskilda personers grundläggande rättigheter med yttrandefriheten, särskilt den rätt att ta emot och lämna upplysningar som särskilt fastslås i art. 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
Av hänvisningen till artikel 10 i Europarådskonventionen om de mänskliga rättigheterna framgår att syftet med direktivbestämmelsen är att värna yttrandefriheten som bl.a. innebär frihet att ta emot och sprida uppgifter och tankar utan inblandning av offentliga myndigheter dvs. samma tankegångar som ligger till grund för TF och YGL. Vid den intresseavvägning som enligt EG-direktivet skall ske mellan rätten till privatlivet och yttrandefriheten skall enligt en kommentar av kommissionen bl.a. beaktas möjligheten till rättslig prövning eller rätten till replik.
Vi har enligt det förut anförda inte funnit det befogat att föreslå grundlagsändringar för att förena bestämmelserna om skydd för den personliga integriteten i persondatalagstiftningen med bestämmelserna i grundlagarna om yttrandefriheten. Frågan är då om det är nödvändigt att göra sådana ändringar med hänsyn till direktivets bestämmelser.
Direktivet gör som framgått det möjligt att göra undantag för journalistisk, konstnärlig och litterär verksamhet. Vad som kan diskuteras är hur vidsträckta sådana undantag kan göras.
EG-direktivet anger inte närmare vilka behandlingar som skall omfattas av undantaget. De länder som har gjort undantag i sin datalag har utformat detta på olika sätt. Vissa har låtit det omfatta redaktionella register medan andra har låtit det omfatta endast vissa subjekt t.ex. vissa företag på det massmediala området. Det generella intrycket får ändå sägas vara att undantaget i många länder tar sikte på professionella former för framställning och spridning av yttranden.
I Maastricht-fördraget slås fast (art. F punkt 2) att Unionen skall som allmänna principer för gemenskapsrätten respektera de grundläggande rättigheterna, såsom de garanteras i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och såsom de följer av medlemsstaternas gemensamma konstitutionella traditioner. EG-domstolen har redan tidigare anslutit sig till Europakonventionens grundläggande rättigheter. Redan tidigare har EG-domstolen tillämpat
gemenskapsrätten på sådant sätt att de grundläggande rättigheterna respekterats.
I Europarådskonventionen om de mänskliga rättigheterna regleras rätt till skydd för privatlivet i artikel 8 och yttrandefriheten i artikel 10. Dessa båda fri- och rättigheter är jämställda i konventionen. Skyddet för privatlivet avser även dataområdet. Rätten till yttrandefrihet innefattar åsiktsfrihet samt frihet att mottaga och sprida uppgifter och tankar utan inblandning av offentlig myndighet och oberoende av territoriella gränser. De båda rättigheterna får begränsas inom vissa ramar enligt vad som är stadgat i lag och i ett demokratiskt samhälle är nödvändigt med hänsyn till bl.a. andra personers fri- och rättigheter (artikel 8) respektive skyddandet av annans goda namn och rykte eller rättigheter eller förhindrandet av att förtroliga underrättelser sprids (artikel 10).
Som justitierådet Hans Danelius anfört i sin rättsfallsöversikt i Svensk Juristtidning 1994 (s. 373) har Europadomstolen i Strasbourg ofta understrukit den fundamentala betydelse som yttrandefriheten har i ett demokratiskt samhälle samt framhållit att den måste omfatta även information och idéer som kan framstå som stötande eller chockerande; särskilt vidsträckt måste yttrandefriheten vara när det gäller debatten om politiska frågor eller andra samhällsfrågor, och den som ägnar sig åt politisk eller annan offentlig verksamhet måste räkna med att kunna utsättas även för ganska häftiga angrepp. Europadomstolen har också i ett nyligen avgjort mål (Goodwin ./. Storbritannien, dom den 27 mars 1996, 16/1994/463/544) uttalat att skyddet för journalisternas källor är en av de viktigaste förutsättningarna för pressens frihet.
Med nu angivna utgångspunkter måste det ske en avvägning mellan intresset av yttrandefrihet och intresset av skydd för den personliga integriteten. Därvid måste stor vikt tillmätas de andra garantier som finns för skydd av det vid avvägningen närmast åsidosatta intresset. Som vi förut påvisat saknar naturligtvis inte TF och YGL bestämmelser till skydd för privatlivet. Tvärtom finns sådana i form av bl.a. bestämmelser om ansvar för förtal och förolämpning. Vidare finns ett skydd för privatlivet genom massmediernas självsanerande verksamhet och i fråga om etermedier, genom Granskningsnämnden för radio och TV.
Som förut nämnts hänvisar Maastricht-fördraget även till medlemsstaternas gemensamma konstitutionella traditioner. Yttrandefriheten är djupt rotad i europeisk tradition. Variationer mellan medlemsstaternas konstitutionella praxis måste naturligtvis finnas. Det får förutsättas att sådana variationer respekteras av EG-domstolen. Vad vi förordat i det föregående
innebär ej annat eller mera än att de grundläggande bestämmelserna i persondatalagen inte skall tillämpas på behandling av personuppgifter som uteslutande utförs som ett direkt led i sådan framställning och spridning av yttranden som är skyddade av TF och YGL. Vi kan inte se annat än att ett sådant undantag med direkt hänvisning till den svenska konstitutionen får anses förenligt med EG-direktivet och inte kan antas möta gensaga i EGdomstolen. Vad särskilt angår frågan om överföring av personuppgifter till tredje land vill vi erinra om att artikel 10 i Europarådskonventionen om de mänskliga rättigheterna särskilt omnämner rätten att sprida åsikter och tankar oberoende av territoriella gränser.
Artikel 9 i EG-direktivet medger undantag också från bestämmelserna i direktivet om säkerhet. EG-direktivet anvisar en väg där man låter vissa materiella bestämmelser om säkerhet gälla även på yttrandeområdet.206Som framgår av det förut anförda anser vi emellertid att den svenska persondatalagens säkerhetsbestämmelser, som bl.a. syftar till att skydda personuppgifter så att ingen obehörig kommer åt dem, bör gälla även massmedier. Däremot medges inte undantag från bestämmelserna om rättslig prövning, ansvar och sanktioner. Dessa bestämmelser strider emellertid inte mot TF eller YGL.
Alla former av yttranden som innehåller personuppgifter omfattas som nyss sagts inte av skyddet i TF och YGL. Sådan journalistisk verksamhet som faller utanför grundlagsskyddet omfattas inte. Det kan t.ex. gälla en tidning som uteslutande sprids via Internet. Att framställa ett konstverk som innebär behandling av personuppgifter, t.ex. ett ”digitalt” porträtt, omfattas inte heller (om det inte skall ingå i en skrift eller i något annat skyddat yttrande). Vidare omfattas inte behandling av personuppgifter som skall framföras muntligt t.ex. vid ett offentligt framträdande i form av en teaterpjäs.
EG-direktivet anger att undantag skall göras generellt även för sådana behandlingar som sker för journalistiska ändamål eller konstnärligt eller litterärt skapande om det är nödvändigt för att förena rätten till privatlivet med reglerna om yttrandefriheten. Direktivets tillämpningsområde är med andra ord något vidare än grundlagsskyddet i TF och YGL i detta avseende (utan att för den skull omfatta alla former av yttranden). Det är enligt vår mening lämpligt att låta undantaget få den vidare utformning som följer av
206 Se ingressen p. 37.
EG-direktivet. Vi föreslår därför att undantaget i persondatalagen får omfatta även sådana verksamheter.
Vad det är för journalistisk verksamhet (utöver den som faller under TF) som undantas får avgöras mot bakgrund av EG-direktivets syften. Utgångspunkten måste vara att det handlar om vedertagen journalistik som bedrivs i den ordning som ställs upp i TF och YGL (med ansvarig utgivare osv.). När det gäller litterär verksamhet kan man utgå från att den i regel faller under TF, men precis som när det gäller journalistisk verksamhet bör sådant som för närvarande inte innefattas i grundlagsskyddet ändå omfattas av undantaget från persondatalagen. Även annan konstnärlig verksamhet undantas, t.ex. en revymakare som skriver manus i ett ordbehandlingsprogram.
11. Forskning och statistik
Ett undantag från förbudet att behandla känsliga personuppgifter utan informerat samtycke bör göras för behandling som är nödvändig för forsknings- och statistikändamål. Förutsättningen är att samhällsintresset av att projektet genomförs klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som projektet kan innebära. Har projektet godkänts av en forskningsetisk kommitté, skall förutsättningarna anses uppfyllda. Andra projekt bör i förväg anmälas till Datainspektionen för förhandskontroll.
Hänvisningar till S11
- Prop. 1997/98:97: Avsnitt 5.5
11.1. Inledning
Behandling av personuppgifter används ofta för att framställa statistik inom forskningen eller någon annanstans eller på annat sätt för forskning. Det är inte så sällan känsliga personuppgifter som behandlas, och behandlingen torde i dag nästan uteslutande ske automatiskt. Behandling för forskning och statistik inom den offentliga sektorn sker regelmässigt under mycket sträng sekretess. Behandling för forskning har oftast på förhand granskats och godkänts av etisk expertis. Personuppgifterna används inte för att fatta beslut eller vidta åtgärder som berör enskilda, och de sprids inte till någon som skall använda uppgifterna för sådana ändamål. Ändamålet med behandlingen är i stället som regel att för samhällets bästa skaffa ny eller fördjupad kunskap om generella sammanhang. Avsikten är som utgångspunkt att resultatet av behandlingen skall i en eller annan form publiceras207 eller på annat sätt offentliggöras utan att de registrerades identitet röjs.
207 Att resultatet av behandlingen av personuppgifter för forsknings- eller statistikändamål skall publiceras anses enligt praxis inte medföra att behandlingen skyddas av 2 kap. TF och därmed är undantagen från bl.a. tillståndskravet i data-
Inom forskningsverksamhet och verksamhet för att framställa statistik förekommer givetvis behandling av personuppgifter också för andra ändamål än forskning och statistik, t.ex. för administration. I detta avsnitt berörs dock i första hand bara sådan behandling av personuppgifter för forskning och statistik där uppgifterna inte används för att fatta beslut eller vidta åtgärder som rör enskilda och där de registrerades identitet inte avslöjas vid presentationen av resultatet av behandlingen.
11.2. Statistik
11.2.1. Inledning
En vanlig definition av begreppet statistik är ”numeriska sammanställningar av elementära observationer som kan hänföras till händelser, flöden eller tillstånd”.208 Här kan den definitionen också användas, dock att här bara berörs sådan statistik som avser uppgifter (observationer) som kan hänföras till enskilda fysiska personer. Härtill kommer som nyss nämnts att syftet med sådan statistikbehandling som avses här inte får vara att vidta åtgärder mot enskilda och att enskildas identitet inte får avslöjas när resultatet av behandlingen redovisas.
På det statistiska området finns det vissa etiska regler.209Det förekommer att den som för ett register med personuppgifter för att fatta beslut eller vidta åtgärder rörande enskilda personer själv använder uppgifterna i registret också för att framställa statistik, t.ex. för att följa upp eller styra sin verksamhet. Ibland har bland ändamålen för ett sådant register nämnts även framställning av statistik eller liknande. I praxis har man dock ansett att register för administrativa ändamål får användas för framställning av statistik hos den registeransvarige även om detta inte uttryckligen angetts som ett ändamål.210 Sådan verksamhetsstatistik som den registeransvarige tar fram ur ett befintligt administrativt register för att an-
lagen, se Kammarrättens i Stockholm dom den 22 oktober 1996 i mål nr 3234-1996.
208 Se t.ex. senast SOU 1994:1 s. 23. 209 Se om de etiska reglerna t.ex. SOU 1992:48 s. 31, SOU 1993:83 s. 36 och SOU 1994:65 s. 30 f. 210 Se prop. 1994/95:200 s. 13. Jämför också regeringsbeslut 1993-10-28, dnr 92-3225, och 1988-04-14, dnr 87-2767.
vända som ett led i sin huvudsakliga verksamhet berörs inte vidare i detta bakgrundsavsnitt. I övervägandeavsnittet återkommer vi till verksamhetsstatistiken.
11.2.2. Den statliga statistiken
11.2.2.1 Inledning
Den statliga statistiken har setts över noga under senare år.211 I stora delar kan här hänvisas till de utredningar som redan har gjorts.
Man brukar dela in den statliga statistiken i officiell statistik och s.k. övrig statistik. Övrig statistik är all sådan statlig statistik som inte är officiell.
11.2.2.2 Officiell statistik
Det finns en lag och en förordning om den officiella statistiken.212 Officiell statistik är sådan statistik som en statlig myndighet under regeringen framställer, enligt föreskrifter som regeringen meddelar, för N samhällsplanering, N forskning, N allmän information och N internationell rapportering.
Regeringen har i förordningen räknat upp vilken statistik som är officiell och angett vilken myndighet som ansvarar för statistiken. Ansvaret har på senare år i vissa fall flyttats från Statistiska centralbyrån till ett antal centrala förvaltningsmyndigheter.
Den officiella statistiken skall framställas och offentliggöras med beaktande av skyddet för enskilda. Statistiken skall hållas allmänt tillgänglig och offentliggöras i tryckt skrift (serien Sveriges officiella statistik). Uppgifter i den officiella statistiken får inte föras samman med andra uppgifter för att få reda på enskildas identitet.
211 Se – förutom Datalagsutredningens betänkanden – SOU 1990:43, prop. 1991/92:118, SOU 1992:48, prop. 1992/93:101, SOU 1994:1, prop. 1993/94:100 Bilaga 8, SOU 1993:83 och 1994:65 samt prop. 1994/95:200. 212 SFS 1992:889 och 1668.
I fråga om uppgifter till den officiella statistiken kan det föreskrivas uppgiftsplikt, dvs. en lagstadgad och sanktionerad skyldighet för enskilda att lämna uppgifter. När en myndighet samlar in uppgifter till den officiella statistiken från enskilda – oftast näringsidkare – skall det lämnas information om N ändamålet med uppgiftsinsamlandet, N på vilka bestämmelser skyldigheten att lämna uppgifter grundas, N av vem eller på vems uppdrag insamlandet sker, N huruvida samråd har skett med den organisation som företräder upp-
giftslämnaren, N vad som gäller om uppgiftsskydd, N vad som gäller om uppgifternas bevarande, N eventuella påföljder om uppgifterna inte lämnas, N andra förhållanden som är av betydelse i sammanhanget och N i förekommande fall upplysning om att uppgiftslämnandet är frivilligt.
År 1995 infördes det en särskild registerlag med anslutande förordning om vissa personregister för officiell statistik.213 Lagen gäller bara för sådana personregister som innehåller känsliga personuppgifter214. Ett sådant personregister får föras bara för framställning av statistik, och registret skall föras av den statistikansvariga myndigheten, som är registeransvarig enligt datalagen. Bara de uppgifter som behövs för att framställa statistiken får tas in i registret. Uppgifterna skall gallras när de inte längre behövs för sitt ändamål. Det är dock tillåtet att i vissa fall bestämma att uppgifterna skall bevaras under en längre tid, men då skall materialet lämnas över till en arkivmyndighet.
I en omfattande bilaga till förordningen om vissa personregister för officiell statistik anges det N vilka register som får finnas, N vilken myndighet som får föra registret, N vilket närmare ändamål registret skall ha, N vilka uppgifter registret får innehålla och N i vilken mån uppgifter får hämtas in från andra register.
213 SFS 1995:606 och 1060. 214 Sådana uppgifter som avses i 4 § datalagen eller som utgör omdömen eller annan värderande upplysning om enskilda personer samt de flesta uppgifter som avser enskilda personers inkomst- eller förmögenhetsförhållanden.
När en myndighet hämtar in personuppgifter från en annan myndighet till ett statistikregister med känsliga personuppgifter, skall det ses till att de som uppgifterna avser på lämpligt sätt informeras om registret.215 Också när uppgifterna hämtas in direkt till registret från personer som är eller avses bli registrerade, skall de upplysas om registreringen.216 När uppgifter om enskilda fysiska personer samlas in från t.ex. näringsidkare finns det däremot oftast inte någon skyldighet att informera de personer som uppgifterna avser.
Om det används personregister enligt datalagen i en statistikansvarig myndighets verksamhet för att framställa statistik, skall verksamheten organiseras så att den är avgränsad från myndighetens handläggning av övriga ärenden.217
11.2.2.3 Övrig statistik
Övrig statistik är som sagt all statlig statistik som inte är officiell. Det är främst fråga om verksamhetsstatistik. Uppgifter som bara behövs för den övriga statistiken kan inte samlas in från enskilda med stöd av uppgiftsplikt. För övrig statistik, som inte är verksamhetsstatistik, måste uppgifterna således lämnas frivilligt eller hämtas in från något annat register. Framställningen av den övriga statistiken har oftast inte direkt författningsstöd. Det finns dock exempel på att framställning av särskilt känslig statistik har författningsreglerats.218
11.2.3. Privat och kommunal statistik
Vad som nu sagts om den övriga statistiken på det statliga området gäller också i stor utsträckning den statistik som framställs i den kommunala och privata sektorn.
Beträffande register inom socialtjänsten, som bl.a. används för att framställa statistik, har det nyligen föreslagits en särskild lagreglering.219 Det
215 7 § förordningen om den officiella statistiken, se prop. 1994/95:200 s. 27. 216 5 § lagen om vissa personregister för officiell statistik. 217 11 § förordningen om den officiella statistiken, se prop. 1994/95:200 s. 28 f. 218 Se t.ex. förordningen (1994:1671) om tillfälligt statistikregister inom Riksrevi-
sionsverket för kartläggning av vissa förmåner. Det planeras också ett särskilt statistikregister för kriminalvården, se Ds 1996:19 s. 35.
219 Se SOU 1995:86.
finns vidare en lag om ett receptregister hos Apoteksbolaget för bl.a. statistikändamål.220
Det finns privata företag som på uppdrag utför särskilda undersökningar – t.ex. marknads- eller opinionsundersökningar – för att framställa statistik.
11.2.4. Tillämpningen av datalagen
Bland annat när känsliga personuppgifter skall behandlas och när uppgifterna rör personer som inte har någon naturlig anknytning till den som framställer statistiken krävs tillstånd enligt datalagen, om inte behandlingen omfattas av någon registerlag. Datainspektionen har meddelat föreskrifter som innebär att Statistiska centralbyrån i vissa fall kan använda sig av ett förenklat ansökningsförfarande (DIFS 1989:2). Det finns numera också föreskrifter som innebär att det inte krävs tillstånd för vissa statliga och landstingskommunala personregister för framställning av statistik i ett bestämt forskningssyfte (DIFS 1995:4), se närmare avsnitt 11.3.2.
Det förenklade ansökningsförfarandet för Statistiska centralbyrån kan för det första användas för register som grundar sig på informerat samtycke där uppgifterna helt eller delvis har hämtats in från de registrerade genom enkät eller intervju. Också när ett befintligt sådant register kompletteras med ytterligare uppgifter kan det förenklade förfarandet användas, om samtycke till den utvidgade registreringen hämtas in. Även beträffande andra register är det möjligt att använda det förenklade förfarandet för att – utan samtycke – komplettera registret med ett ringa antal icke känsliga uppgifter. För det andra kan det förenklade förfarandet användas när flera register skall samköras på ett sådant sätt att ett nytt, tillfälligt personregister bildas. Statistiska centralbyrån måste själv vara ansvarig för åtminstone ett av de register som skall ingå i samkörningen. Det tillfälliga personregistret får användas bara som underlag för kontroll och rättning av resultatet av samkörningen, dvs. det är bara ett led i framställningen av statistiska tabeller eller avidentifierade register. Det tillfälliga registret skall avidentifieras senast tre månader efter samkörningen. För dessa tillfälliga samkörningsregister krävs det inte att information lämnas eller att samtycke hämtas in. Det förenklade förfarandet kan slutligen användas när ett register, som Statistiska centralbyrån tidigare fört, skall lånas tillbaka från
220 Se prop. 1996/97:27 och SOU 1995:122 samt SFS 1996:1156.
Riksarkivet för en tillfällig bearbetning. Registret får vara utlånat under längst sex månader. För samtliga fall föreskrivs uttryckligen att enskilda personers identitet inte får avslöjas i de statistiska redovisningarna.
Enligt vad vi har inhämtat från Datainspektionen kommer de allra flesta (icke förenklade) ansökningar om tillstånd till renodlade statistikregister från Statistiska centralbyrån. Byråns registerhantering tar i anspråk nästan en årsarbetskraft på inspektionen. Det är vanligt med ansökningar som avser komplettering av befintliga register med ytterligare (känsliga) uppgifter. En annan vanlig grupp av ärenden rör tillfälliga samkörningsregister, där byrån av någon anledning vill ha kvar det tillfälliga registret under längre tid än de tre månader som det förenklade ansökningsförfarandet förutsätter. I och med att ansvaret för den officiella statistiken har lagts ut på flera myndigheter, kommer det numera in en hel del ansökningar även från dessa myndigheter. Däremot är det inte så vanligt att enskilda ansöker om tillstånd till renodlade statistikregister, även om det förekommer ansökningar från t.ex. utredningsinstitut och fackföreningar.
Huvudprincipen vid handläggningen är att Datainspektionen kräver informerat samtycke för att ett statistikregister skall få föras. De statistikregister som enskilda för grundar sig regelmässigt på informerat samtycke. Det är i stället hos det allmänna som det förekommer register som inte grundar sig på informerat samtycke.
Undantag från informerat samtycke och information kan enligt inspektionens praxis göras för tillfälliga samkörningsregister som skall föras bara under en kortare tid, t.ex. 6–12 månader. Ibland kan det dock bli fråga om förlängning av den ursprungligen bestämda tiden, och då övervägs det numera om inspektionen – i efterhand – skall kräva t.ex. information om registret och en rätt för de registrerade att på begäran få bli strukna. Är det uppgifter om många personer som skall hämtas in från befintliga register, brukar inspektionen inte heller kräva informerat samtycke av var och en som skall registreras. I stället brukar det numera krävas att information lämnas genom t.ex. annonser och att den enskilde skall ha rätt att på begäran få bli struken. Regeringen har emellertid, efter överklagande av Statistiska centralbyrån, upphävt föreskrifter om strykningsrätt, se närmare avsnitt 11.3.2. I de fall där ett register grundar sig på informerat samtycke, brukar inspektionen inte meddela någon föreskrift om strykningsrätt för de som ångrar sig och tar tillbaka samtycket i efterhand.
11.2.5. Registerutdrag
Det är ganska många personer som begär registerutdrag enligt 10 § datalagen från Statistiska centralbyrån. Byrån uppskattar att varje begäran orsakar en kostnad om ungefär 100 kr. Antalet förfrågningar varierade under budgetåren 1984/85–1989/90 mellan 12 000 och 41 000 per budgetår.221Under 1990-talet har antalet förfrågningar dock sjunkit kraftigt. Detta illustreras av följande diagram.
12 626
5 563
4 274
3 807
2 744
14 260
0 2 000 4 000 6 000 8 000 10 000 12 000 14 000 16 000
1990 1991 1992 1993 1994 1995
221 Uppgifter rörande 1970-talet finns i prop. 1980/81:20 s. 14 f.
11.2.6. Sekretess
I det allmännas verksamhet gäller vid framställning av statistik en särskilt sträng sekretess enligt 9 kap. 4 § sekretesslagen.222 I sådan särskild verksamhet hos en myndighet som avser framställning av statistik gäller s.k. absolut sekretess för uppgifter som avser enskildas personliga eller ekonomiska förhållanden. Uppgifterna i statistikverksamheten är således strikt sekretessbelagda även om de skulle vara offentliga i den statistikansvariga myndighetens övriga verksamhet eller hos den myndighet från vilken uppgifterna hämtats. Det är dock tillåtet att i vissa fall lämna ut uppgifter om det står klart att uppgifterna kan avslöjas utan att den som uppgifterna rör – eller någon som står honom eller henne nära – drabbas negativt (lider skada eller men). Dessa undantagsfall gäller N uppgifter i företagsregister, N uppgifter som avser avlidna, N uppgifter som behövs för forsknings- eller statistikändamål, N uppgifter som avser personal- eller lönestatistik och N uppgifter som inte genom namn, annan identitetsbeteckning eller något
därmed jämförbart förhållande är direkt hänförliga till enskilda.
Regeringen kan föreskriva att sekretessen enligt 9 kap. 4 § sekretesslagen skall gälla också för myndighetsundersökningar som är jämförbara med framställning av statistik. Så har skett genom 3 § sekretessförordningen (1980:657). Den bestämmelsen, som inte finns intagen i sin helhet i lagboken, har (den 1 januari 1997) följande lydelse.
Sekretess gäller, i den utsträckning som anges i denna paragraf, i följande av myndighet utförda undersökningar, för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Föreskrifterna i 9 kap. 4 § första stycket andra meningen och andra stycket sekretesslagen (1980:100) gäller, om inte en längre gående begränsning i sekretessen anges i det följande.
222 Statistiksekretessen behandlas mera utförligt i SOU 1993:83 s. 26 ff.
Myndigheter Undersökning Särskilda begräns-
ningar i sekretessen
1. Socialberedningen (S 1980:07)
undersökningar rö-
rande missbrukare
sekretessen gäller en-
dast uppgifter om enskildas personliga förhållanden
Utredningen
(Ju 1986:C) för översyn av reglerna för straffverkställighet för långtidsdömda
undersökningar rö-
rande långtidsdömda
sekretessen gäller en-
dast uppgifter om enskildas personliga förhållanden
Utredningen
(Fi 1986:06) för översyn av lagen (1978:880) om betalningssäkring för skatter, tullar och avgifter
undersökningar om
til??lämpningen av betalningssäkringsinstitutet
Praxisutredningen
(Ku 1993:08)
undersökningar om
praxis i asylärenden
sekretessen gäller en-
dast uppgifter om enskildas personliga förhållanden
Barnpornografiutred-
ningen (Ju 1994:14)
utredningens under-
sökning om pedofili
sekretessen gäller en-
dast uppgifter om enskildas personliga förhållanden
Utredningen
(A 1996:01) om möjligheterna att i s.k. anknytningsärenden använda belastningsuppgifter om i Sverige bosatta personer
undersökningar röran-
de utländska medborgare som sökt sig till Sverige och deras i Sverige bosatta s.k. anknytningspersoner
sekretessen gäller en-
dast uppgifter om enskildas personliga förhållanden
2. sjukvårdsinrätt-
ningar, utbildningsanstalter och forskningsinrättningar
miljömedicinska, so-
cialmedicinska, psykiatriska eller andra medicinska studier
sekretessen gäller en-
dast uppgifter om enskildas personliga förhållanden
3. riksskatteverket verkets undersökning
av utfallet av 1981 års allmänna fastighetstaxering
4. brottsförebyggande
rådet
kriminologiska under-
sökningar
Myndigheter Undersökning Särskilda begräns-
ningar i sekretessen
5. utbildningsanstalter
och forskningsinrättningar
sociologiska, psykolo-
giska, pedagogiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier
sekretessen gäller en-
dast uppgifter om enskildas personliga förhållanden
6. Vägverket haveriundersökningar
7. Riksrevisionsverket kartläggning av om-
fattningen av fusk med förmåner och bidrag av social karaktär kartläggning av dator-
relaterade brott och datormissbruk
När en myndighet på uppdrag av någon enskild utför en vetenskaplig eller statistisk undersökning, gäller sekretess för uppgifterna i undersökningen om det måste antas att uppdragsgivaren lämnat uppdraget under förutsättning att uppgifterna inte avslöjas (8 kap. 9 § sekretesslagen).
11.3. Forskning
11.3.1. Inledning
I samband med forskning används ofta personuppgifter för att framställa statistik.223 Personuppgifter kan dock också behandlas för andra ändamål inom forskningen, t.ex. när en statsvetare för ett register över vad olika politiker sagt eller när en psykolog registrerar hur ett fåtal enskilda individer beter sig när de arbetar i en grupp. Syftet med behandlingen av uppgifter om enskilda individer torde dock regelmässigt vara att få generell kunskap som kan – och skall – presenteras utan att enskildas identitet avslöjas. Vissa undantag finns dock, t.ex. inom litteraturvetenskapen och inom historisk forskning, där det kan vara nödvändigt att presentera uppgifter om enskilda individer.
223 I SOU 1995:95 s. 132 ff. finns en beskrivning av hur epidemiologiskt forskningsarbete kan gå till i allmänhet.
Det finns inte någon entydig definition av begreppet forskning. Som en vid definition av forskning brukar anges: ”ett systematiskt och metodiskt sökande efter ny kunskap och nya idéer”.224 Vi har inte funnit det nödvändigt att för detta bakgrundsavsnitt använda någon preciserad definition av begreppet forskning.
Uppgifter om enskildas personliga förhållanden i sådan forskning som det allmänna bedriver omfattas som regel av samma stränga sekretess som uppgifter som används för att framställa statistik, se närmare avsnitt 11.2.225
Det finns inte någon särskild registerlag för de personregister som används för forskning. Det har dock nyligen föreslagits en särskild lag om hälsodataregister för vissa register inom hälso- och sjukvården som används för forskning.226 Också lagstiftning om rättspsykiatriskt forskningsregister har nyligen föreslagits.227 Lagstiftning om ett receptregister för bl.a. forskning har nyligen beslutats.228
11.3.2. Tillämpningen av datalagen
Eftersom det inte finns någon registerlag för forskningsregister, är huvudregeln alltså att datalagen gäller för sådana register; förslag att helt eller delvis ta undan forskningsregister från krav på tillstånd enligt datalagen har genom åren avvisats av statsmakterna.229 Detta innebär att det i princip krävs tillstånd av Datainspektionen för att få inrätta ett register för forskning. Först år 1990 blev det möjligt att i vissa fall använda ett förenklat ansökningsförfarande. Datainspektionen har emellertid nyligen utnyttjat sin nya möjlighet att meddela generella föreskrifter. Från den 1 mars 1996 gäller Datainspektionens föreskrifter för vissa personregister i statlig och landstingskommunal forskningsverksamhet (DIFS 1995:4). För sådana register som inrättas och förs i enlighet med föreskrifterna behövs inte något särskilt tillstånd.230
224 Se t.ex. SOU 1989:74 s. 25. 225 Se också Alf Bohlin, ”Offentlighet och sekretess i myndighets forskningsverksamhet” i Förvaltningsrättslig tidskrift 1996 s. 183 ff. 226 Se SOU 1995:95. 227 Se SOU 1996:72. 228 Se prop. 1996/97:27 och SOU 1995:122 samt SFS 1996:1156. 229 Se närmare avsnitt 11.3.4. 230 2 a § första stycket 2 datalagen.
Föreskrifterna gäller bara när personregistreringen grundar sig på informerat samtycke; när uppgifter i stället skall – utan skriftligt sådant samtycke – hämtas in från befintliga register, måste således det normala ansökningsförfarandet användas. Skall registret användas för annat ändamål än framställning av statistik i ett bestämt forskningssyfte (och utskick till registrerade samt kontroll och rättning av uppgifter), måste också det normala förfarandet användas.
Föreskrifterna gäller bara personregister som omfattas av statistiksekretess enligt 9 kap. 4 § sekretesslagen hos statliga forskningsinrättningar, universitet, högskolor och nämnder med ansvar för landstingens sjukvårdsinrättningar. De enskildas identitet får inte avslöjas i de statistiska redovisningarna, och det finns vissa föreskrifter om ADB-säkerhet som måste följas.
Forskningsregistret måste, som nämnts, grunda sig på samtycke. Skall registret bara innehålla uppgifter som har hämtats från annat håll än den registrerade själv, måste samtycket vara skriftligt. Skall barn under femton år registreras, måste vårdnadshavaren lämna sitt samtycke. Är barnet mellan femton och arton år, måste såväl barnet som vårdnadshavaren lämna sitt samtycke. Barn som är tolv år eller äldre skall själva få skriftlig information rörande den tilltänkta registreringen, och sådan information skall också lämnas till vårdnadshavaren i alla fall där barnet är omyndigt, dvs. under arton år.
Skriftlig information skall, innan uppgifterna hämtas in, lämnas om N den registeransvariga myndighetens namn och adress, N registrets ändamål och innehåll, N vilka uppgifter som skall bearbetas med hjälp av automatisk databe-
handling, N vilka uppgifter som skall hämtas in från andra källor än den registrerade
och vilka dessa källor är, N hur länge myndigheten planerar att föra registret, N innebörden och omfattningen av sekretesskyddet, N rätten att få utdrag ur registret, N att registreringen är frivillig och N i vad mån registret kan komma att bevaras hos arkivmyndighet.
När tillstånd krävs, avstår Datainspektionen – enligt fast praxis och med visst stöd av förarbetena till datalagen231 – från att pröva om personregistret verkligen behövs för det uppgivna forskningsändamålet. Inspektionen koncentrerar sig i stället på att förebygga otillbörligt intrång i de registrerades personliga integritet genom att uppställa olika föreskrifter för att registret skall få föras. Datainspektionen tillmäter därvid frågan om information till de registrerade och deras frivilliga medverkan central betydelse; den enskilde skall kunna avböja medverkan, om han eller hon vill.
Inspektionens principiella inställning är att information alltid skall lämnas till dem som skall registreras, även när forskarna annars inte skulle ta kontakt med de berörda för att få uppgifter t.ex. genom intervju eller enkät. Att det är praktiskt olägligt eller kostar mycket att informera alla som forskarna skall hämta in registeruppgifter om, bryr sig inspektionen normalt inte om. I vissa undantagsfall är inspektionen dock beredd att diskutera metoden för att lämna information. Det gäller bl.a. när N hälsotillståndet hos dem som skall registreras gör det svårt att informera
på vanligt sätt, N det finns etiska betänkligheter mot att ta kontakt med dem som skall re-
gistreras (t.ex. misstänkt cancersjuka åldringar som skulle kunna oroas av information232), N informationen skulle förrycka undersökningens resultat, N det står klart att de som skall registreras kan förväntas vara positiva till
registreringen (i vart fall om information lämnas t.ex. genom anslag eller annonser) och N det är många som skall registreras.
En särskild fråga är om den enskilde skall ha rätt att få bli struken ur ett register för forskning och statistik, om han eller hon begär det. Datainspektionen har på senare år meddelat sådana föreskrifter i vissa fall. I de fall där forsknings- eller statistikändamålet med registret bedömts som viktigt och där en strykningsrätt skulle minska användbarheten av registret har regeringen emellertid – efter överklagande av Statistiska centralbyrån – ansett att det inte borde finnas någon strykningsrätt; det samhälleliga intresset av att statistikregistret grundas på ett tillförlitligt underlag har ansetts väga tyngre än den enskildes intresse av att kunna få uppgifter strukna ur
231 Prop. 1973:33 s. 122. 232 Se Datainspektionens årsbok 1987/88 s. 111.
registret. Däremot har föreskrifter om information om registret meddelats.233
Hälsodatakommittén har nyligen särskilt övervägt om det borde finnas någon strykningsrätt beträffande de centrala register inom hälso- och sjukvården som kommitténs lagförslag omfattar. Kommittén kom emellertid fram till att det samhälleliga intresset av att aktuella register grundas på ett tillförlitligt underlag väger över den enskildes intresse av att kunna få uppgifter strukna och föreslog inte någon strykningsrätt.234
Enligt vad vi har inhämtat från Datainspektionen är det sällsynt att enskilda ansöker om tillstånd att föra register för forskning. Sådan registerföring förekommer alltså främst inom den allmänna sektorn. Det är i dag fråga om sammanlagt högst ett 90-tal ärenden per år, där det begärs att ett register för forskning skall få inrättas utan informerat samtycke.
11.3.3. Granskning av forskningsetiska kommittéer
För den behandling av personuppgifter som sker vid sådan forskning som får sina pengar från de större forskningsfinansiärerna finns det i dag i praktiken ett dubbelt system av granskning och uppställande av villkor för att hindra otillbörligt intrång i enskildas personliga integritet. Personregistreringen granskas dels av Datainspektionen i samband med tillståndsprövningen enligt datalagen, dels av det forskningsetiska organ som är knutet till den instans som ger pengar för forskningen.235
Humanistisk-samhällsvetenskapliga forskningsrådet har en kommitté för forskningsetiska frågor, som granskar sådan forskning som får anslag från rådet och från vissa andra instanser, t.ex. Riksbankens jubileumsfond och Forskningsrådsnämnden. Kommittén har utarbetat forskningsetiska
233 Se regeringsbeslut 1993-10-28, dnr 93-1779 (register för vägtrafikolycksfallsstatistik), och 1996-03-14, dnr Ju 95-1963 (bakgrundsregister avseende folkhälsan) och dnr Ju 95-2100 (register om arbetslöshet bland ungdomar). Jämför regeringsbeslut 1986-06-26, dnr 85-3142 (dåvarande Arbetslivscentrums företagsägarregister). 234 Se SOU 1995:95 s. 175 ff. 235 I SOU 1989:74 s. 127 ff. och SOU 1989:75 finns en beskrivning av den forskningsetiska granskningen. Se också SOU 1996:72 s. 43 f.
principer för humaniora och samhällsvetenskap236, vilka fått stor anslutning. Principerna innehåller bl.a. följande.
De forskningsetiska principerna i det följande har till syfte att ge normer för förhållandet mellan forskare och undersökningsdeltagare/uppgiftslämnare så att vid konflikt en god avvägning kan ske mellan forskningskravet och individskyddskravet. Principerna utgör riktlinjer för etikkommitténs granskning av forskningsprojekt i HSFR. De är också avsedda att vägleda den enskilde forskaren vid planeringen av projekt.
Principerna gör inte anspråk på fullständighet. Eftersom problemen kan variera avsevärt från fall till fall, har principerna medvetet mer givits karaktär av vägvisare än av detaljreglerande föreskrifter. De är inte avsedda att ersätta forskarnas egen bedömning och egna ansvar.
Konflikter kan naturligtvis uppstå mellan å ena sidan individskyddskravet och å andra sidan vetenskapliga metodkrav eller andra, rent praktiska förhållanden. Då en sådan vägning mellan stridande principer är aktuell inom ett projekt skall detta redovisas i ansökan. I tveksamma fall bedöms den forskningsetiska konflikten i forskningsrådets kommitté för forskningsetiska frågor.
FYRA HUVUDKRAV
Det grundläggande individskyddskravet kan konkretiseras i fyra allmänna huvudkrav på forskningen. Dessa krav skall i det följande kallas informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet. Vart och ett av dessa krav kan sedan specificeras ytterligare i ett antal regler, av vilka några skall redovisas i det följande. Vid sidan av dessa huvudregler kan det vara lämpligt att uppställa ett antal råd eller rekommendationer.
I NFORMATIONSKRAVET
Forskaren skall informera de av forskningen berörda om den aktuella forskningsuppgiftens syfte.
Detta allmänna krav kan konkretiseras i följande regel:
Regel 1
Forskaren bör informera uppgiftslämnare och undersökningsdeltagare om deras uppgift i projektet och vilka villkor som gäller för deras deltagande. De bör därvid upplysas om att deltagandet är frivilligt och om att de har rätt att avbryta sin medverkan. Informationen bör omfatta alla de inslag i den aktuella undersökningen som rimligen kan tänkas påverka deras villighet att delta.
Den information som ges kan vara mer eller mindre detaljerad. I förhandsinformationen skall ingå den projektansvariges namn och institutionsanknytning för att underlätta kontakten med ansvarig forskare. Undersökningens syfte bör anges och en beskrivning ges av hur undersökningen i stora drag genomförs. Forskaren skall givetvis betona de vins-
236 De nuvarande principerna antogs av rådet i mars 1990. En reviderad version gavs ut i början av 1996. Jämför bilaga 4 till SOU 1989:74. Se också t.ex. Bo Petersson, Forskning och etiska koder, 1994, särskilt s. 195 ff.
ter i fråga om ny kunskap etc. som forskningen i fråga kan komma att bidra till för att motivera till deltagande.
Viktigt är att eventuella risker för obehag och skada redovisas. Det skall dessutom tydligt framgå att deltagandet är frivilligt och att de uppgifter som insamlas inte kommer att användas för något annat syfte än för forskning. Önskvärt är också att uppgift lämnas om hur och var forskningsresultaten kommer att offentliggöras samt om vem som finansierar projektet. Sådan information skall ges muntligt eller skriftligt. Den skall ges senast i samband med att enkät skickas ut, respektive innan försök, testningar, intervjuer, etc. påbörjas.
Det är viktigt i detta sammanhang att skilja mellan tre typer av undersökningar, vilka skiljer sig åt med avseende på om undersökningsdeltagarnas medverkan huvudsakligen är aktiv eller passiv: 1) Undersökningsdeltagarna studeras från något perspektiv; han/hon intervjuas, fyller i
en enkät, deltar i ett experiment etc. I dessa fall fordras i princip förhandsinformation. I vissa fall där förhandsinformationen skulle äventyra undersökningens syfte (t.ex. vid deltagande observation eller vid vissa psykologiska experiment) kan dock alternativ till individuell förhandsinformation övervägas. I sådana fall bör så snart som möjligt information lämnas i efterhand. 2) Undersökningsdeltagarna medverkar ej aktivt och uppgifter om dem som är intres-
santa för ett forskningsprojekt hämtas från redan existerande myndighetsregister. Om och hur information då skall lämnas får bedömas från fall till fall. Hänsyn bör därvid tas framförallt till den faktiska olägenhet utebliven eller indirekt information (t.ex. via massmedia) kan medföra för de berörda. Även faktorer som projektets storlek, typ av variabler och andra praktiska omständigheter kan här vägas in.
Fall som dessa förutsätter naturligtvis respektive myndighets och eventuellt datainspektionens tillstånd. I tveksamma fall inhämtas yttrande från forskningsrådets etikkommitté. 3) Den tredje varianten innebär en kombination av de två första, s.k. blandade under-
sökningar. Forskaren hämtar då på olika sätt in uppgifter genom deltagarnas aktiva insats i olika former enligt 1) ovan men har eller kommer också att få tillgång till uppgifter ur myndighetsregister om samma personer enligt 2) ovan. I den del som gäller undersökningsdeltagarnas aktiva insats måste självfallet en så fullständig information som möjligt ges. Normalt bör information ges även om annan, planerad datainsamling, t.ex. ur register. Om detta av skilda skäl inte går eller är olämpligt eller oetiskt med tanke på problemställningen bör frågan inte avgöras av forskaren själv utan alltid hänskjutas till forskningsetisk kommitté för bedömning.
S AMTYCKESKRAVET
Deltagare i en undersökning har rätt att själva bestämma över sin medverkan.
Detta krav kan konkretiseras i följande regler:
Regel 2
Forskaren bör inhämta uppgiftslämnares och undersökningsdeltagares samtycke. I vissa fall bör samtycke dessutom inhämtas från förälder/vårdnadshavare (t.ex. om de undersökta är under 15 år och undersökningen är av etiskt känslig karaktär).
Denna regel är liksom regel 1 beroende av undersökningens karaktär med avseende på undersökningsdeltagarnas aktivitet. I undersökningar med aktiv insats av deltagarna skall samtycke alltid inhämtas. I de fall uppgifter om deltagarna tas från existerande myndighetsregister och information inte lämnats eller lämnas t.ex. via massmedia behöver samtycke ej efterfrågas. Undersökningar av typ 3) enligt ovan, s.k. blandade undersökningar, skall alltid underställas forskningsetisk kommitté för prövning.
Då uppgifter om stora grupper insamlas genom postenkät krävs ej samtycke i förhand. Förutsatt att utförlig information medföljer enkätformuläret enligt vad som anges i kommentarerna till regel 1, kan det individuella samtycket anses ha lämnats när enkäten returneras ifylld.
I vissa fall, då undersökningen inte innefattar frågor av privat eller etiskt känslig natur, kan samtycke inhämtas via företrädare för uppgiftslämnare och undersökningsdeltagare (t.ex. skolledning, lärare, arbetsgivare, fackförening eller motsvarande) och eventuellt berörd tredje part. En förutsättning är då också att undersökningen i förekommande fall sker inom ramen för ordinarie arbetsuppgifter och på vanlig arbetstid.
Formerna för och omständigheterna kring inhämtandet av samtycke bör övervägas noga i de fall det finns skäl att anta att inhämtande av samtycke kan motverka individskyddskravet (t.ex. om förfrågan återuppväcker en till synes överstånden personlig kris, uppdagar för den tillfrågade okända negativa uppgifter om hans/hennes närmaste, aktualiserar tidigare kriminalitet eller sjukdom som den tillfrågade inte vill få bekantgjord, eller liknande). Under dessa omständigheter kan man alltså överväga att företa studien utan att inhämta samtycke. I tveksamma fall bör rådets etikkommitté avgöra frågan.
Särskild försiktighet bör iakttagas då det gäller omyndiga eller sådana personer som själva ej kan tillgodogöra sig given information. Så långt möjligt bör kravet på samtycke tillämpas. Där så inte är möjligt bör förmyndare eller närstående personer ges detta ansvar. I tveksamma fall rekommenderas samråd med kolleger och/eller forskningsrådets etikkommitté.
Regel 3
De som medverkar i en undersökning skall ha rätt att självständigt bestämma om, hur länge och på vilka villkor de skall delta. De skall kunna avbryta sin medverkan t.ex. mitt i en intervju utan att detta medför negativa följder för dem.
Vid forskning då deltagarna är aktiva är denna regel tämligen oproblematisk. Om en deltagare vill avbryta sin medverkan t.ex. mitt i en intervju står det honom/henne fritt att göra detta.
Denna rätt för undersökningsdeltagare att avbryta sin medverkan innebär inte automatiskt att forskaren måste förstöra tidigare insamlade data från den aktuella personen. Huruvida så skall ske beror bl.a. på hur den initiala informationen till deltagarna utformats. Forskaren har rätt att söka motivera de medverkande att kvarstå i forskningsprojektet. Denna påverkan får dock ej ta sig sådana former att de berörda inte längre självständigt kan fatta beslut om avbrytande.
Om en individ begär att få strykas ur ett forskningsmaterial bör detta tillgodoses så långt som möjligt. Formerna för utträde ur ett forskningsmaterial kan variera och är i första hand, som ovan sagts, avhängiga de överenskommelser som gjorts i samband med förhandsinformation. Då sådana överenskommelser inte finns bör en vägning ske mellan den reella skada ett forskningsmaterial kan åsamkas på lång och kort sikt av en begärd, total strykning ur materialet av en eller flera ingående individer och den faktiska olägen-
het det kan innebära för dessa individer att mot sin vilja kvarstå i materialet. En vanlig form för utträde är s.k. anonymisering vilket innebär att data står kvar men att alla möjligheter till identifikation undanröjs.
Om det skulle visa sig att kunskapstillskottet inte står i rimlig proportion till de olägenheter som kan förorsakas de medverkande eller andra berörda bör forskaren själv avbryta undersökningen.
Regel 4
I sitt beslut att delta eller avbryta sin medverkan får inte undersökningsdeltagarna utsättas för otillbörlig påtryckning eller påverkan. Beroendeförhållanden bör heller inte föreligga mellan forskaren och tilltänkta undersökningsdeltagare eller uppgiftslämnare.
I vissa fall kan, med hänvisning till det övergripande forskningskravet, beroendeförhållanden inte helt undvikas. Då bör undersökningen läggas upp så att det är omöjligt för forskaren att identifiera vem som lämnat de insamlade uppgifterna. Är en sådan uppläggning praktiskt omöjlig att genomföra eller skulle den i övrigt äventyra undersökningens syfte så bör personer erbjudas att medverka först efter noggrann vägning av det förväntade kunskapstillskottet mot tänkbara negativa konsekvenser på kort och lång sikt för de personer som befinner sig i beroendeställning. Härvid är det viktigt att den tillfrågade inte får uppfattningen att vägran att delta eller att fullfölja kan medföra nackdelar i form av t.ex. sämre vård eller behandling.
K ONFIDENTIALITETSKRAVET
Uppgifter om alla i en undersökning ingående personer skall ges största möjliga konfidentialitet och personuppgifterna skall förvaras på ett sådant sätt att obehöriga inte kan ta del av dem.
Frågan om konfidentialitet har ett nära samband med frågan om offentlighet och sekretess. Forskaren bör observera att lagstiftningen på området är svårtolkad och föremål för reformer.
Detta allmänna krav kan konkretiseras i följande regler:
Regel 5
All personal i forskningsprojekt som omfattar användning av etiskt känsliga uppgifter om enskilda, identifierbara personer bör underteckna en förbindelse om tystnadsplikt beträffande sådana uppgifter.
Vad som anses vara etiskt känsligt kan naturligtvis variera från samhälle till samhälle och från en tid till en annan. Utgångspunkten bör vara vad man kan anta att de berörda (således ej forskaren) och deras efterlevande kan uppfatta som obehagligt eller kränkande. I tveksamma fall beträffande vad som skall omfattas av tystnadsplikt rekommenderas samråd med kolleger eller med forskningsrådets etikkommitté.
Regel 6
Alla uppgifter om identifierbara personer skall antecknas, lagras och avrapporteras på ett sådant sätt att enskilda människor ej kan identifieras av utomstående. I synnerhet gäller detta uppgifter som kan uppfattas vara etiskt känsliga. Detta innebär att det skall vara praktiskt omöjligt för utomstående att komma åt uppgifterna.
Med avrapportering avses här både skriftligt offentliggörande (publicering) och muntlig redogörelse för andra än projektpersonal. Regel 6 innebär således att personuppgifter inte får lämnas ut till utomstående och att avrapportering skall ske i former som omöjliggör identifiering av enskilda. Denna regel gäller dock givetvis ej generellt. Vid exempelvis personhistoriska studier kan uppgifter av privat natur ingå i levnadsbeskrivningar. I sådana fall bör om möjligt samråd ske med direkt och indirekt berörda personer före publicering. I särskilt känsliga fall kan det vara befogat att uppskjuta eller avstå från publicering av vissa uppgifter.
Forskaren bör vara medveten om att även om personuppgifter publiceras utan att enskilda nämns vid namn, kan det, om data är tillräckligt detaljerade, vara möjligt för åtminstone vissa läsare att identifiera någon individ. Åtgärder bör då vidtas för att försvåra för utomstående att identifiera enskilda individer eller grupper av individer. Detta är särskilt viktigt då det gäller människor som i ett eller annat avseende kan anses svaga och utsatta och/eller har typiska, lätt igenkännliga särdrag.
Risken för att individer oavsiktligt kan identifieras bör beaktas vid vägningen av värdet av det förväntade kunskapstillskottet mot eventuella negativa konsekvenser för de berörda.
N YTTJANDEKRAVET
Uppgifter insamlade om enskilda personer får endast användas för forskningsändamål.
Detta allmänna krav kan konkretiseras i följande regler:
Regel 7
Uppgifter om enskilda, insamlade för forskningsändamål, får inte användas eller utlånas för kommersiellt bruk eller andra icke-vetenskapliga syften.
Generellt gäller att personuppgifter insamlade för forskningsändamål endast bör doneras eller utlånas till andra forskare som ikläder sig de förpliktelser mot uppgiftslämnare och försökspersoner som de forskare som ursprungligen insamlade materialet utlovat.
Regeln innebär t.ex. att forskare som sysslar med att kartlägga människors fritidsaktiviteter inte får sälja eller låna ut uppgifter om enskilda människor till exempelvis företag som tillverkar produkter för fritidsaktiviteter (att användas i deras marknadsföring).
Regel 8
Personuppgifter insamlade för forskningsändamål får inte användas för beslut eller åtgärder som direkt påverkar den enskilde (vård, tvångsintagning, etc.) utom efter särskilt medgivande av den berörda.
Den som deltagit i en undersökning som uppgiftslämnare eller försöksperson bör få åberopa forskningsresultat i samband med egen begäran om hjälp eller vård från t.ex. sociala myndigheter. Däremot får alltså inte forskningsresultatet användas av exempelvis sociala myndigheter för att mot undersökningsdeltagarnas vilja bereda dem vård, utsätta dem för tvångsintagning eller dylikt.
Vid planering av forskning bör projektledaren/forskaren överväga riskerna för att resultaten utnyttjas felaktigt på det sätt som omnämns i reglerna 7 och 8 och i tillämpliga fall vidta adekvata motåtgärder. I tveksamma fall rekommenderas samråd med kolleger eller med forskningsrådets etikkommitté.
I Humanistisk-samhällsvetenskapliga forskningsrådets forskningsetiska kommitté ingår omkring 10 ledamöter, varav en representerar det allmänna och de övriga forskarsamhället. Sekreteraren i kommittén går igenom i princip alla ansökningar som kommer in till rådet. Omkring 35– 50 ansökningar per år prövas av kommittén i sin helhet.
Även Socialvetenskapliga forskningsrådet har en särskild kommitté för forskningsetiska frågor, som granskar den forskning som rådet betalar. I etikkommittén ingår tre företrädare för det allmänna och tre företrädare för forskarsamhället. En av företrädarna för det allmänna är ordförande i kommittén. Det brukar inte förekomma skiljaktiga meningar i kommittén. Kommittén använder sig av de principer som tidigare redogjorts för. Kommittén har under år 1996 prövat omkring 34 forskningsprojekt.
Inom den medicinska forskningen finns en väl utvecklad och nästan heltäckande forskningsetisk granskning. Forskningsetiska kommittéer finns vid de medicinska fakulteterna, och på central nivå finns Nämnden för forskningsetik. Det finns även regionala forskningsetiska kommittéer. För att få anslag från Medicinska forskningsrådet och vissa andra finansiärer, t.ex. Riksföreningen mot cancer och landstingen, måste forskningen ha etikgranskats. För att en seriös facktidskrift skall publicera forskningsresultaten krävs vidare i praktiken att forskningsprojektet har granskats forskningsetiskt. En kommitté kan ha omkring 400 ärenden att behandla per år. I kommittéerna ingår alltid lekmän, som är politiskt tillsatta, jämte representanterna för forskarsamhället. Andelen lekmän varierar något i de olika kommittéerna. Som exempel kan nämnas att en kommitté i Stockholm har två lekmän och åtta sakkunniga forskare.
I alla nämnda kommittéer ingår således lekmän som kan sägas representera det allmänna. Kommittéerna för ofta en dialog med de forskare som söker pengar. På detta sätt kan utformningen av forskningsprojekten anpassas så att den personliga integriteten värnas. Kommittéernas utlåtanden är formellt rådgivande, men det torde i praktiken inte förekomma att en forskare får pengar till sådan forskning som kommittén har avstyrkt från etisk synpunkt.
Enligt vad vi har inhämtat är det, åtminstone under senare år, sällsynt att Datainspektionen uppställer strängare krav för att skydda den personliga integriteten än vad den granskande forskningsetiska kommittén uppställt; däremot är det omvända förhållandet – dvs. att kommittén ställer strängare krav än inspektionen – mera vanligt.
För att belysa vilka känsliga bedömningar det kan vara fråga om i de undantagsfall där inspektionen gör en strängare bedömning kan det finnas anledning att kort redogöra för ett exempel.
Viss forskning från senare år har gett en antydan om att det skulle kunna finnas ett samband mellan tillförsel av hormoner, t.ex. i form av P-piller, och bröstcancer. För att få nya och säkrare kunskaper i den frågan ville en grupp forskare undersöka långa flickor som i tonåren hade fått stora doser hormoner för att motverka att de blev ännu längre. Uppgifter om cirka 500 svenska flickor som kunde ha fått en sådan behandling skulle hämtas in från deras journaler. Dessa kvinnor skulle följas upp under minst ett tiotal år genom att forskarna varje år samkörde sitt register med bl.a. Cancerregistret och Dödsfallsregistret för att se vilka som fick cancer eller dog av det.
Forskarna ville inte informera de kvinnor som skulle registreras. De ansåg att informationen skulle kunna väcka stark oro samtidigt som det i dagsläget inte finns någon säker kunskap om den behandling som kvinnorna genomgått verkligen ökar risken för cancer; svaret på den frågan kan sannolikt inte ges förrän om drygt tio år. Det finns inte heller i dag någon möjlighet att förebygga eller tidigt upptäcka sådan cancer som behandlingen kanske skulle kunna ge.
De berörda forskningsetiska kommittéerna godkände forskningsprojektet utan något krav på information, och forskarna ansökte om Datainspektionens tillstånd att få föra registret. Under det dryga halvår som ansökan handlades hos inspektionen kom uppgifter om projektet ut i massmedia. Inspektionens styrelse pekade på detta faktum och ansåg att det inte fanns skäl att göra undantag från huvudprincipen om informerat samtycke. Det ansågs i stället vara ytterst angeläget att genom information om alla kända fakta stilla den oro som publiceringen kunde ha förorsakat de berörda kvinnorna. Inspektionen krävde alltså informerat samtycke som villkor för att få föra registret.
Forskarna har överklagat beslutet till regeringen, och det ärendet är inte avgjort ännu.
11.3.4. Forskningsetiska utredningen
Forskningsetiska utredningen berör i betänkandet Forskningsetisk prövning – Organisation, information och utbildning (SOU 1989:74) frågor som rör användningen av personuppgifter inom forskningen.
Utredningen menade att man inte kan komma ifrån att forskningen ofta måste baseras på känsliga uppgifter om individer för att få fram viktig kunskap och att det viktiga från integritetssynpunkt därför är att se till att uppgifterna hanteras på rätt sätt av forskarna. Det är i första hand forskarsamhället som måste ta ansvar för att forskningsetiska regler formuleras och följs. Det föreslogs att den forskningsetiska granskningen inom hög-
skolan skulle byggas ut och att det skulle förekomma mera utbildning och information om forskningsetiska frågor.
Utredningen lämnade vidare förslag som innebar att personregister som förs av vissa myndigheter237 och som uteslutande används för forskning och där resultaten redovisas utan att enskilda individers identitet avslöjas skulle tas undan från kravet på tillstånd av Datainspektionen. Undantaget skulle dock gälla bara under förutsättning antingen N att informerat samtycke hade hämtats in från de registrerade eller N att registreringen hade godkänts av en forskningsetisk kommitté.
Det skulle inte vara obligatoriskt att informera de registrerade när det fanns ett godkännande av en forskningsetisk kommitté; frågan om information t.ex. via massmedier skulle lämnas eller inte fick avgöras från fall till fall och kunde lämpligen diskuteras i kommittén.238
Den registeransvarige skulle som tidigare ha en förteckning över de register som fördes som vem som helst fick ta del av. Däremot skulle en enskild inte längre ha rätt till ett utdrag med sina egna uppgifter från ett forskningsregister om detta skulle kunna föra med sig ett sänkt integritetsskydd. Många forskningsregister är nämligen avidentifierade eller består av svårtolkade koder när de används i det dagliga arbetet, och en skyldighet att plocka fram uppgifter för ett registerutdrag på individnivå skulle därför kunna föra med sig att det integritetsskydd som t.ex. kodning eller kryptering innebär försvagades.
Utredningens förslag fick vid remissbehandlingen ett starkt stöd från den övervägande delen av forskarsamhället, medan bl.a. Datainspektionen och Riksdagens ombudsmän motsatte sig sådana ändringar i datalagen.239
Regeringens grundinställning var att de rättsliga och andra regler som gäller för samhällelig verksamhet i övrigt också skall gälla för forskningen.
Regeringen ansåg att datalagen borde gälla generellt. Också upprättandet, utnyttjandet och skötseln av register för forskningsändamål borde prövas i den ordning som gäller för sådana dataregister som utnyttjas för andra ändamål. Genom att Datainspektionen som en fristående myndighet granskar
237 Statliga högskoleenheter, statliga forskningsinstitut, Statistiska centralbyrån och myndigheter inom hälso- och sjukvården. 238 SOU 1989:74 s. 118. 239 Se prop. 1989/90:90 s. 212 och SOU 1991:21 s. 51 ff. Se också Datainspektionens årsbok 1989/90 s. 200 ff.
forskningsprojekten med utgångspunkt i datalagen och därvid lägger integritetsaspekter på verksamheten finns insyn från ett från forskarvärlden fristående organ och en garanti för att den individuella integriteten skyddas. Utredningens förslag och remissynpunkterna lämnades över till Datalagsutredningen för att bedömas i samband med mer allmänna överväganden om datalagens utformning240, se beträffande Datalagsutredningens förslag avsnitt 11.5.
Här kan också nämnas att regeringen redan tidigare hade avvisat liknande förslag från Statistikutredningen.241 Då anfördes att det var synnerligen angeläget att den enskildes integritets- och sekretesskydd beaktas i samband med inrättande av personregister. Sådana register för forsknings- och statistikändamål borde i linje med den inställningen bevakas från integritetssynpunkt med stöd av datalagen.242
Vad gäller forskningsregister har regeringen redovisat motsvarande inställning även på senare år i samband med att statsmaktsregister inrättats.243
Av vad som anförs i den senaste forskningspolitiska propositionen framgår att regeringen avser att ge forskningsetiska problem och forskarnas ansvar i dessa frågor en ökad uppmärksamhet. I den propositionen anförs bl.a.244
Forskarna måste […] upprätthålla av samhället godtagbara etiska principer för metoder i forskningsprocessen, t.ex. vad gäller experiment på människor eller djur eller registrering av data om privatpersoner, för att respekten för forskarnas frihet skall kunna försvaras i samhället.
Diskussionen om forskarnas ansvar har lett till att särskilda regler och nämnder för hantering av forskningsetiska problem har upprättats. Forskningsetiska frågor behandlades av en statlig utredning år 1989 (SOU 1989:74 och 75) och därefter av riksdagen (prop. 1989/90:90, bet. 1989/90:UbU25, rskr. 328). Riksdagen ansåg att forskarna själva måste ta ansvaret för den etiska kvaliteten likaväl som för den vetenskapliga. Etisk prövning av forskningsprojekt är således en naturlig del av verksamheten.
240 Se prop. 1989/90:90 s. 212 f. och regeringsbeslut 1990-07-12, dnr 3317/89. 241 Se SOU 1983:74, särskilt s. 185 f., och, beträffande remissvaren över det betänkandet, DsC 1984:11, särskilt s. 27 ff. En sammanfattning av utredningsläget år 1987 finns i SOU 1987:31 s. 35 ff. 242 Se prop. 1984/85:133 s. 16. 243 Se prop. 1992/93:193 s. 21 f. (sjukförsäkringsregister hos de allmänna försäkringskassorna) och 1993/94:235 s. 19 (arbetsförmedlingsregister). 244 Prop. 1996/97:5 s. 40 f.
Riksdagen framhöll bl.a. vikten av utbildning i forskningsetiska frågor på alla stadier, men särskilt inom forskarutbildningen.
I ett samhälle med ett starkt och ökande beroende av vetenskap och teknologi är forskningsetiska frågor i vidare mening av stort allmänt intresse. Hur forskningen inriktas, vilka projekt som prioriteras, vilka metoder som används och hur man förhindrar fusk eller vilseledande resultatredovisning samt hur resultaten kan tänkas påverka samhället i stort har därmed också politisk räckvidd. Frågorna har också samband med respekten för forskningen och forskarnas integritet. Enligt regeringens bedömning är det lämpligt att nu – icke minst med tanke på den snabba utvecklingen inom vetenskapen och strävan efter en närmare samverkan mellan forskning och samhälle – göra en ny analys av de forskningsetiska frågorna i vid mening och därvid bland annat pröva hur systemet i dag fungerar i dessa avseenden. En genomgång av vad forskarsamhället och andra har gjort och gör för att hantera de etiska frågorna är därvid viktig, liksom frågor om i vilken omfattning forskningsetiska frågor verkligen belyses i utbildningen. Regeringen avser att tillsätta en utredning med parlamentarisk förankring för att allsidigt belysa dessa och andra forskningsetiska frågor.
I utbildningsutskottets betänkande över propositionen utgick utskottet från att den planerade utredningens uppdrag skulle omfatta frågor om en genomgång och utvärdering av användningen av de databaser för longitudinell forskning som redan existerar och en penetrering av de etiska frågorna.245
11.4. Internationella regler
11.4.1. Europarådets rekommendation på området
Europarådets rekommendation nr R (83) 10 om skydd för personuppgifter som används för vetenskaplig forskning och statistik jämte kommentarer (”Explanatory Memorandum”) finns som bilaga 3.2.2 till Datalagsutredningens slutbetänkande. Rekommendationen presenterades i det betänkandet (avsnitt 4.3.2) på följande sätt.
Rekommendationen antogs av Europarådet år 1983. Sverige har utan reservation godtagit rekommendationen. […]
Syftet med rekommendationen är enligt uttalanden i dess inledning att tillgodose såväl forskningens behov som skyddet för den enskildes integritet.
245 UbU 1996/97:3 s. 34 f.
Rekommendationen är tillämplig på användningen av personuppgifter för vetenskaplig forskning och statistik, såväl inom den allmänna som inom den enskilda sektorn och oberoende av om uppgifterna förs med hjälp av ADB eller manuellt. Medlemsstaterna har möjlighet att tillämpa rekommendationen på föreningar, bolag och andra sammanslutningar som direkt eller indirekt består av individer.
Enligt rekommendationen skall respekten för den personliga integriteten garanteras i varje forskningsprojekt som använder personuppgifter. Så ofta det är möjligt skall undersökningarna utföras med anonyma uppgifter.
Varje person som lämnar uppgifter om sig själv skall informeras om projektets natur, dess mål och namnet på den person eller den organisation för vars räkning forskningen genomförs. Om den person från vilken uppgifter skall inhämtas inte är skyldig att lämna uppgifter, skall han informeras om att han har frihet att välja om han vill samarbeta. Skyldigheten att medverka kan följa av lag eller avtal. Han har också rätt att när som helst avbryta sin medverkan utan att ange något skäl. Om inte, på grund av syftet med forskningen, information om projektets natur m.m. kan avslöjas innan uppgifterna samlas in skall personen informeras efter det att insamlingen är färdig och vara fri att fortsätta eller avbryta sin medverkan. Om han då vill avbryta sin medverkan skall han ha rätt att få uppgifterna strukna ur registret. Särskilda säkerhetsåtgärder skall vidtas i samband med insamling av uppgifter från personer som inte har möjlighet att ta till vara sina egna intressen eller som inte har möjlighet att fritt lämna sitt samtycke.
Personuppgifter som erhållits för forskning får inte användas för något annat ändamål än forskning. I synnerhet får de inte användas för beslutsfattande som direkt påverkar personen ifråga, såvida det inte ligger inom ramen för forskningen eller sker med den berörda personens uttryckliga samtycke.
Personuppgifter som med den enskildes samtycke samlats in för ett särskilt forskningsprojekt får inte utan den enskildes samtycke användas i samband med något annat forskningsprojekt som till sin natur eller syfte på ett väsentligt sätt skiljer sig från det första projektet. I de fall det skulle vara ohanterligt att inhämta sådant samtycke på grund av tidsåtgången eller på grund av det stora antal personer som berörs kan emellertid de insamlade personuppgifterna få användas, under förutsättning att det sker i överensstämmelse med andra skyddsbestämmelser som uppställs i inhemsk lag.
Både allmänna och privata organ skall ha rätt att för egen forskning använda personuppgifter som de innehar för administrativa ändamål. Om personuppgifter i samband med sådan forskning förs in i befintliga register hos det administrativa organet eller om befintliga register ändras, får dessa register inte göras tillgängliga för administrativ personal som sysslar med individuella fall, såvitt det inte sker med den enskildes samtycke.
Personuppgifter får lämnas ut av allmänna eller privata organ för forskningsändamål om det sker med den enskildes samtycke eller om det sker i enlighet med andra i inhemsk lag angivna skyddsbestämmelser.
Forskares tillgång till allmänna befolkningsregister skall underlättas, så att de kan få underlag för urvalsundersökningar. Om annat inte beslutas av inhemska myndigheter i enskilda fall, bör sådana uppgifter få innehålla namn, adress, födelsedatum, kön och yrke. I förarbetena till denna bestämmelse anförs bl.a. att forskningen i ökad utsträckning är beroende av uppgifter som redan finns hos olika statliga institutioner och att bestämmelsen tillkommit för att inte forskningen ensidigt skall vara beroende av dessa institutioners skönsmässiga bedömning i fråga om utlämnande av uppgifter. I anslutning härtill görs också hänvisning till den lagstiftning om tillgång till allmänna handlingar (”laws of freedom of information”) som finns i många länder. Det understryks att de personuppgifter som nämns är den minimi-information som under alla förhållanden
måste göras tillgänglig och att det undantag som kan vara föreskrivet i inhemsk lag kan ta sikte på sådana grupper av uppgifter som t.ex. adress- och yrkesuppgifter, om det är av särskild vikt för den enskilde att dessa uppgifter inte lämnas ut.
Den enskildes rätt att ta del av uppgifter om sig själv och få dessa rättade får lov att begränsas i de fall uppgifterna är insamlade och bevaras endast för statistik- eller forskningsändamål och resultatet av statistiken eller forskningen inte utan svårighet identifierar individen och det vidtagits tillfredsställande åtgärder för att säkerställa skyddet för den enskildes privatliv vid varje stadium av undersökningen, även beträffande uppgifter som bevaras för framtida användning. Bestämmelsen gäller emellertid inte i de fall den enskilde på grund av forskningens beskaffenhet kan visa sig ha ett särskilt intresse som förtjänar att skyddas.
Personuppgifter som används för forskning får inte publiceras i identifierbar form, såvida inte de berörda lämnat sitt samtycke och det sker i enlighet med särskilda skyddsbestämmelser i inhemsk lag.
I varje forskningsprojekt skall det anges, så långt det är möjligt, om personuppgifter skall förstöras, avidentifieras eller bevaras när projektet är avslutat och i det senare fallet under vilka villkor som uppgifterna skall bevaras. När den berördes samtycke att delta i ett forskningsprojekt behövs, skall samtycket också omfatta möjligheten av att uppgifterna bevaras efter projektets avslutande. Om det inte varit möjligt att infordra samtycke för att bevara uppgifterna, får dessa bevaras under det villkoret att lagringen görs i enlighet med skyddsbestämmelser som fastställts i lag.
Innan beslut fattas om att förstöra personuppgifter som förs av offentliga myndigheter, skall den möjliga framtida användningen av sådan data undersökas i samråd med arkivmyndigheterna.
Inom Europarådet pågår arbete med att ta fram en ny rekommendation.246
11.4.2. EG-direktivet
Enligt EG-direktivet får personuppgifter inte behandlas på ett sätt som är oförenligt med de ändamål som angavs när uppgifterna samlades in. Under förutsättning att medlemsstaterna beslutar om lämpliga skyddsåtgärder skall dock senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses oförenlig med de ursprungliga ändamålen. (Artikel 6.1 b.)
När personuppgifter inte samlas in från den registrerade, skall det vid registreringen av uppgifterna lämnas viss information till den registrerade (artikel 11.1). Information behöver dock inte lämnas, om utlämnandet föreskrivs i författning eller om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträngning att lämna information. I sådana
246 Se prop. 1994/95:200 s. 14 och SOU 1995:95 s. 68 f.
fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder. (Artikel 11.2.)
Personuppgifter i allmänhet får behandlas efter samtycke från den enskilde eller om behandlingen är nödvändig bl.a. för att utföra en arbetsuppgift av allmänt intresse. En behandling av personuppgifter kan också vara tillåten efter en intresseavvägning. (Se närmare artikel 7 och avsnitt 3.5.) Det är i princip förbjudet att behandla vissa känsliga personuppgifter (artikel 8.1). Under förutsättning av lämpliga skyddsåtgärder får medlemsstaterna dock besluta om undantag från detta förbud av hänsyn till ett viktigt allmänt intresse. Undantagen kan anges direkt i den nationella lagstiftningen eller genom beslut av tillsynsmyndigheten. (Artikel 8.4.)
Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras bara under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de avvikelser som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder (artikel 8.5).
Den registrerade har rätt att få information om behandlade uppgifter och rättelse (artikel 12). I sådana fall där det uppenbarligen inte finns någon risk för att den berörda personens privatliv kränks får medlemsstaterna – under förutsättning av lämpliga rättsliga garantier – begränsa dessa rättigheter. Det gäller när uppgifterna bara behandlas för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna bara lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik. (Artikel 13.2.)
Om den nationella lagstiftningen inte föreskriver något annat, skall den registrerade i åtminstone vissa fall ha rätt att när som helst av avgörande och berättigade skäl som rör hans eller hennes personliga situation motsätta sig behandling av personuppgifter (artikel 14 1 st. a).
Uppgifter får lagras i sådan form att enskilda kan identifieras bara så länge det är nödvändigt för de ändamål för vilka uppgifterna behandlas. För personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål skall medlemsstaterna vidta lämpliga skyddsåtgärder. (Artikel 6.1 e.)
11.5. Datalagsutredningen
11.5.1. Förslagen
Enligt Datalagsutredningen skulle behandling för forsknings- och statistikändamål av icke känsliga personuppgifter följa de allmänna reglerna i den föreslagna datalagen.247 För behandling av känsliga personuppgifter för sådana ändamål skulle det däremot föras in särskilda bestämmelser. Huvudregeln skulle vara att de enskilda skulle lämna ett skriftligt, informerat samtycke till behandlingen; skulle lämnade uppgifter användas för ett forsknings- eller statistikändamål som inte var förenligt med de ändamål som bestämts vid insamlingen, skulle ett nytt, skriftligt samtycke krävas. De särskilda bestämmelser som föreslogs reglerade de fall där behandling skulle vara tillåten trots att sådant samtycke inte hämtats in.
Behandling utan samtycke skulle bara vara tillåten om det fanns särskilda skäl med hänsyn till N forsknings- eller statistikprojektets vikt, N behovet av personuppgifter, N säkerheten vid behandlingen av uppgifterna, och N den tid som uppgifterna skall behandlas.
Ytterligare skulle krävas
a) att det skulle vara synnerligen kostsamt eller tidsödande att hämta in
samtycke,
b) att den enskildes hälsotillstånd eller forsknings- eller statistikändamålet
var sådant att en begäran om samtycke kunde antas skada den enskilde, eller
c) att en kontakt med den enskilde skulle förrycka undersökningens resul-
tat.
Den enskilde skulle vidare ha rätt att anmäla att han eller hon inte ville delta i projektet. Efter en sådan anmälan skulle uppgifter om anmälaren inte få behandlas i projektet, och om uppgifterna redan var föremål för behandling skulle de utplånas.
I de fall där det var synnerligen kostsamt eller tidsödande att hämta in samtycke eller där den enskilde skulle kunna skadas om man begärde hans
247 Se avsnitt 10 i SOU 1993:10 (s. 175 ff.).
eller hennes samtycke (punkt a och b ovan) skulle information om behandlingen i stället lämnas i tidningar eller på något liknande sätt. När en kontakt på förhand med den enskilde skulle förrycka undersökningsresultatet (punkt c ovan) skulle information lämnas till den enskilde efter insamlingen av uppgifterna; innan så skett skulle uppgifterna inte få behandlas.
11.5.2. Remissutfallet
Remissutfallet får betecknas som övervägande negativt. Flera remissinstanser påpekade att ändamålen med en behandling ofta kan ändras flera gånger under den tid ett forskningsprojekt pågår och att det skulle vara onödigt besvärligt att hämta in nytt samtycke varje gång. Många vände sig vidare mot att samtycket måste vara skriftligt; detta förutsågs bl.a. skapa problem när uppgifter hämtas in vid telefonintervjuer. Flera remissinstanser som representerar forskarsamhället ansåg att det borde finnas ett större utrymme för att bedriva registerforskning utan samtycke än vad utredningen föreslagit. Den obligatoriska rätten för enskilda att få undantas från ett projekt ansågs kunna skapa besvärliga bortfallsproblem.
11.6. Överväganden
11.6.1. Inledning
Vi tar här upp sådan behandling av personuppgifter för forskning och statistik som inte är reglerad i särskilda författningar och där det inte i särskild ordning övervägs regler om användning av register för forskning och statistik. Sådana regler övervägs för närvarande inom bl.a. hälso- och sjukvården248 – inklusive läkemedelsanvändningen249 – och rättspsykiatrin.250
Det är onekligen ett viktigt samhällsintresse att det finns en fri och allsidig vetenskaplig forskning, som kan generera ny eller fördjupad kunskap om förhållanden och samband, och att sådan statistik framställs som be-
248 Se särskilt avsnitt 6.4 i SOU 1995:95 (s. 107 ff.). 249 Se prop. 1996/97:27 och SOU 1995:122. 250 Se SOU 1996:72.
hövs för att överblicka och styra verksamheter. Detta torde inte behöva utvecklas närmare.
Vi har inte fått några uppgifter om att det skulle förekomma att sådana personuppgifter som behandlas för forskning och statistik på ett otillbörligt sätt används för andra ändamål, t.ex. avslöjas för obehöriga eller används för att vidta åtgärder mot enskilda. Någon konkret misstanke om att personuppgifter för forskning och statistik skulle missbrukas finns således inte.
Ändå är de flesta människor negativa till att känsliga personuppgifter används för forskning och statistik utan att de tillfrågas först eller åtminstone har möjlighet att förhindra användningen. Det är nog användningen i sig utan möjlighet till inflytande för den enskilde som upplevs som ett besvärande intrång i den personliga integriteten, även om behandlingen sker under sträng sekretess och annars betryggande former.
Det är givetvis viktigt att man vid all forskning och framställning av statistik iakttar en hög etisk standard såväl i fråga om behandlingen av personuppgifter som i övrigt. Genom att den aktuella verksamheten håller en genomgående hög etisk standard, kan allmänhetens förtroende behållas. När människor känner förtroende för en viss verksamhet, kan man i allmänhet lita på att de är villiga att lämna sanningsenliga personliga uppgifter. Har människor inte det förtroendet ökar å andra sidan risken för att de lämnar medvetet felaktiga uppgifter eller undandrar sig medverkan eller på något annat sätt försvårar verksamheten.
11.6.2. Huvudprincipen bör vara samtycke vid behandling av känsliga personuppgifter
Allmänhetens inställning talar starkt för att huvudprincipen liksom hittills skall vara att behandling av känsliga personuppgifter251 för forskning och statistik skall ske med samtycke; innebörden av begreppet samtycke berörs i avsnitt 12.2.9. Den huvudprincipen har också accepterats och används i forskarsamhället. Det står samtidigt klart att huvudprincipen inte kan upprätthållas utan undantag. Viss forskning och statistik är så viktig att den inte kan få vara beroende av att varje berörd enskild har informerats och lämnat sitt samtycke. Ibland måste samhällsintresset få ta över intresset av att skydda enskildas personliga integritet. Att ett rättvisande cancerregister
251 Se avsnitt 12.5.3.2 beträffande definitionen av känsliga personuppgifter.
kan föras är t.ex. ett så viktigt samhällsintresse att man inte kan ta hänsyn till att drygt 10 procent av befolkningen anser att patientuppgifter inte skall få föras över dit.
Sådan behandling av känsliga personuppgifter för forskning och statistik som sker med samtycke är egentligen inte problematisk; har den enskilde frivilligt gått med på att personuppgifterna får användas, bör samhället inte därutöver ställa upp restriktioner för t.ex. forskningen.
11.6.3. Behandling av känsliga personuppgifter utan samtycke
11.6.3.1 Det måste ske en avvägning i varje enskilt fall
Den svåra huvudfrågan när det gäller behandling av känsliga personuppgifter för forskning och statistik är i stället att avgöra när sådan behandling bör få ske utan samtycke. Enligt vår mening måste det här alltid till en avvägning i varje enskilt fall.
Det bör här erinras om att det redan finns särskilda registerförfattningar för den allra viktigaste statistiken – den som är officiell – och att våra överväganden inte rör det som redan är särreglerat. Övervägandena i det följande avser således främst forskningen, där det inte finns någon generell registerförfattning, och de undantagsfall där känsliga personuppgifter behandlas utan samtycke för att framställa statistik utan att det regleras av de särskilda registerförfattningarna om den officiella statistiken.
Principen om en fri forskning gör att det finns många olikartade forsknings- och statistikprojekt och dessa pågår bara under en begränsad tid, även om vissa projekt kan vara avsedda att – om det finns pengar – hålla på länge. Den splittrade bilden medför att det framstår som ogörligt att annat än på vissa särskilda områden ha regler som på förhand anger vilka behandlingar av känsliga personuppgifter för forskning och statistik som skall vara tillåtna utan samtycke. Också vikten av att värna om forskningens frihet talar emot att annat än undantagsvis ha av riksdag eller regering på förhand beslutade regler om vilken forskning som får bedrivas. Beträffande den officiella statistiken finns det numera en reglering av vilka register med känsliga personuppgifter som är tillåtna252, och beträffande vissa register för forskning och statistik inom hälso- och sjukvårdsområdet
252 Se lagen och förordningen om vissa personregister för officiell statistik, SFS 1995:606 och 1060.
har en liknande reglering föreslagits.253 Men det är belysande att det ännu inte finns någon registerlag för forskningen, trots att det är fråga om ett viktigt samhällsområde där behandling av mycket känsliga personuppgifter ofta är nödvändig. Också det förhållandet att inte ens användningen för forskning av vissa administrativa statsmaktsregister har ansetts kunna regleras generellt i aktuella registerlagar visar på svårigheterna med generella regler på förhand.254 Man bör här även nämna den omständigheten att det dröjde så länge innan ens ett förenklat ansökningsförfarande för tillstånd till sådana forskningsregister som bygger på samtycke kunde antas.255
Vår slutsats är alltså att det inte är möjligt att i en ny datalag ha generella regler som skulle motsvara en särskild registerlag för forskning och sådan statistik som inte redan regleras genom särskild registerförfattning, utan att det måste bli fråga om en avvägning i varje enskilt fall. Vid en sådan avvägning måste, som vi ser det, olika faktorer kring forskningsprojektet vägas mot intrånget i den enskildes personliga integritet. Det bör t.ex. göras en bedömning av hur pass viktig den kunskap är som forskningsprojektet kan ge och om den kunskapen kan fås på något annat sätt än genom att behandla personuppgifter eller om intrånget i den personliga integriteten annars kan begränsas genom en annan uppläggning av projektet. Det är t.ex. viktigt att möjligheterna att bedriva forskningen eller framställa statistiken utan att använda personanknutna uppgifter alltid undersöks.
11.6.3.2 Vem bör göra avvägningen
Den nuvarande datalagen bygger på att det är Datainspektionen som i samband med sin tillståndsgivning bestämmer om det skall krävas samtycke eller inte. Inspektionen anser sig dock inte ha kompetens att bedöma forskningsprojektet som sådant. Redan av den anledningen är det enligt vår mening inte lämpligt att inspektionen gör den nödvändiga avvägningen i varje enskilt fall. Härtill kommer att en ny datalag inte bör bygga på ett system med tillstånd av Datainspektionen, se avsnitt 12.12. Det är därför
253 Se t.ex. SOU 1995:95. 254 Se prop. 1992/93:193 s. 21 f. (sjukförsäkringsregister hos de allmänna försäkringskassorna) och 1993/94:235 s. 19 (arbetsförmedlingsregister). 255 Jämför t.ex. DsJu 1981:15 s. 166 f., där det – redan år 1981 – föreslås att Datainspektionen skall utforma ett förenklat ansökningsförfarande för vetenskapliga register.
inte heller en framkomlig väg att inspektionen på ett eller annat sätt tillförs nödvändig kunskap för att göra avvägningen.256
Datalagsutredningens förslag innebär i praktiken att en s.k. avvägningsnorm tas in i lagtexten. En sådan regel (norm) ger uttryck för att det skall ske en avvägning mellan olika intressen och kan också mer eller mindre precist ange vilka faktorer som kan beaktas i samband med intresseavvägningen. De faktorer som utredningen angav skulle beaktas – se avsnitt 11.5.1 – kan vi i huvudsak ställa oss bakom. Utredningens förslag innebär vidare i praktiken att den enskilde forskaren skulle göra avvägningen med risk för att vid en (oaktsam) felbedömning drabbas av sanktioner, t.ex. sättas i fängelse.
Enligt vår mening är den avvägning som måste ske så känslig och så svår att göra att den som huvudregel inte bör överlåtas åt varje enskild forskare vid varje enskilt forskningsprojekt; det krävs större vana och kunskap för att göra den avvägning som behövs. Det framstår också som mindre lämpligt att den forskare som anser det lönt att använda ett par år av sitt liv för att genomföra ett visst forskningsprojekt själv skall göra en bedömning av vikten av det egna projektet och det integritetsintrång som han eller hon kan förorsaka enskilda.
Våra överväganden hittills har lett oss fram till slutsatsen att det krävs att avvägningen i de enskilda fallen som regel görs av någon oberoende instans som har kunskap och vana att göra bedömningar av såväl risken för otillbörliga integritetsintrång som forskningsprojektet som sådant. Vi har inte lyckats finna någon annan lämplig sådan instans än de forskningsetiska kommittéer som finns; att tillskapa en helt ny instans för att pröva nu aktuella frågor har vi inte funnit lämpligt eller nödvändigt.
11.6.3.3 De forskningsetiska kommittéerna
Som framgår av avsnitt 11.3.3 finns på de humanistisk-samhällsvetenskapliga, socialvetenskapliga och medicinska forskningsområdena forskningsetiska kommittéer med hög kompetens och med företrädare även för det allmänna.
Att en forskningsetisk kommitté har godkänt ett forskningsprojekt utgör en presumtion för att projektet är upplagt på ett godtagbart sätt och att det är så viktigt att ett visst intrång i den enskildes personliga integritet bör tillåtas av hänsyn till samhällsintresset av att projektet kan genomföras.
256 Jämför SOU 1978:54 s. 188 f. och 190 samt därtill prop. 1978/79:109 s. 13.
Såvitt vi har kunnat finna utgör den forskningsetiska granskningen en tillräcklig garanti för att behandling av känsliga personuppgifter för forskning och statistik används utan samtycke bara i de undantagsfall där det är verkligen befogat med hänsyn till samhällsintresset att forskningen kommer till stånd. Också frågan om i vad mån och hur information skall lämnas i de sällsynta fall där samtycke inte krävs verkar hanteras på ett omdömesgillt sätt av de forskningsetiska kommittéerna.
De forskningsetiska kommittéernas verksamhet är inte författningsreglerad.257 Kommittéerna skulle – om det i lagstiftningen angavs att personuppgifter för forskning fick användas utan samtycke om kommittén godkänt projektet – visserligen inte åläggas någon utövning av offentlig makt. Men kommittéernas inställning är givetvis ändå av största betydelse.
Våra kontakter med de forskningsetiska kommittéerna har visat att de genomgående är positiva till ett sådant system som nu skisserats. Kommittéerna verkar vidare ha möjlighet att praktiskt ta hand om den ökade mängd granskningsärenden som kan förväntas med ett nytt system.
Det finns dock en inneboende motsättning som man bör vara uppmärksam på och som bör nämnas i sammanhanget. De forskningsetiska kommittéerna är nämligen knutna till de forskningsråd som ger pengar till forskningsprojekten. Och ju mer information osv. som kommittéerna kräver, desto mindre forskning blir det för rådets pengar. Risken för att kommittéerna på ett otillbörligt sätt av ekonomiska skäl skulle ge avkall på kravet på samtycke får dock inte överdrivas. Såvitt framkommit har kommittéerna den självständighet och integritet som krävs. Även de jävsproblem som alltid uppkommer när yrkeskollegor skall bedöma varandras projekt bör uppmärksammas. I bland annat detta hänseende kan det allmännas medverkan och inflytande i kommittéerna ha stor betydelse.
Ytterligare en fördel med ett system med godkännande av en forskningsetisk kommitté är att det för dessa fall inte torde finnas något behov av en definition av vad som är forskning eller vilka som är forskare. Det får nämligen förutsättas att kommittén bara godkänner sådan forskning som bedrivs vetenskapligt och som är väsentlig.
Vi har alltså kommit fram till att behandling utan samtycke av känsliga personuppgifter för forskning och statistik bör tillåtas när en forskningsetisk kommitté har granskat och godkänt projektet; vad kommittén kan ha
257 I rättsfallet RÅ 1979 2:11 ansågs en etisk kommitté vid Södersjukhuset i Stockholm utgöra en myndighet i tryckfrihetsförordningens mening.
kommit fram till i fråga om t.ex. information till de enskilda skall givetvis följas för att behandlingen skall anses tillåten. Den persondataansvarige skall alltså inte kunna drabbas av sanktioner – främst skadestånd – för att han eller hon behandlar känsliga personuppgifter för forsknings- eller statistikändamål, om han eller hon följer vad den forskningsetiska kommittén har bestämt.
Att de forskningsetiska kommittéerna ges inflytande över om samtycke skall krävas innebär inte att Datainspektionen skulle vara avskuren från att utöva effektiv tillsyn över aktuella forskningsprojekt. Det bör visserligen inte vara Datainspektionens uppgift att meddela tillstånd till registerforskning utan samtycke. En sådan uppgift skulle innebära en dubbelkontroll och strida mot våra strävanden att föra bort så mycket av den byråkratiska prövningen som möjligt. Som förut anförts bedömer Datainspektionen inte heller forskningsprojekten som sådana. Däremot skall de allmänna reglerna om säkerhet vid behandlingen (se avsnitt 12.10) och om inspektionens tillsyn och befogenheter i övrigt (se avsnitt 12.14.1.3) givetvis gälla. Genom att material kring nu aktuella behandlingar finns samlade hos ett fåtal forskningsetiska kommittéer, kan inspektionen enkelt få en överblick.
Det får vidare förutsättas att inspektionen och de forskningsetiska kommittéerna regelbundet samråder med varandra på lämpligt sätt, t.ex. genom återkommande konferenser eller seminarier i fråga om persondataskyddet och att samråd vid behov även sker med andra berörda myndigheter, t.ex. Riksarkivet. Inspektionen bör givetvis noga följa utvecklingen på detta område och, om det visar sig nödvändigt, ta initiativ till de författningsändringar som de ytterligare erfarenheterna av kommittéernas hantering av dessa frågor kan föranleda.
Det skall, som sagts, också tillsättas en parlamentarisk utredning för att göra en översyn av den forskningsetiska verksamheten. Frågorna kommer således att inom den närmaste framtiden få en ordentlig genomlysning. Det är möjligt att resultatet av översynen kommer att bidra till att ge den forskningsetiska granskningen ytterligare stadga och att den viktiga frågan om det allmännas medverkan och inflytande uppmärksammas. I vart fall kommer översynen att kunna ge ett underlag för förnyade överväganden om de forskningsetiska kommittéernas medverkan vid prövningen av forskningsprojekt som innefattar behandling av personuppgifter.
Med en forskningsetisk kommitté avses i vårt förslag en sådan kommitté eller liknande som motsvarar de kommittéer som nämnts i avsnitt 11.3.3. Det bör emellertid inte föreligga något hinder att prövning av andra forskningsetiska kommittéer, anslutna exempelvis till privata stiftelser,
som finansierar forskning i betydande omfattning, tillmäts samma betydelse. En förutsättning bör vara att det i en sådan kommitté sitter företrädare för både det allmänna och forskarsamhället. Hur sådana kommittéer skall utses bör inte utan särskild utredning regleras i lag, eftersom det är fråga om frivilligt upprättade organ och förhållandena kan vara skiftande. Det kommer också att inom kort inledas en översyn av den forskningsetiska verksamheten. Om den här förordade lösningen i dagsläget framstår som alltför löslig, bör övervägas att kräva ett godkännande av Datainspektionen för att en kommittés prövning skall tillmätas den betydelse som här föreslås. Detta kan vara ett alternativ till att annars kräva förhandsgranskning av Datainspektionen av registerforskning utan samtycke när prövning inte gjorts av någon av de etablerade forskningsetiska kommittéerna.
Det finns inte i dag någon definition av forskningsetisk kommitté i lagstiftningen. I 14 c § läkemedelsförordningen (1962:701) nämns dock yttrande från en regional forskningsetisk kommitté som en förutsättning för att klinisk läkemedelsprövning skall få påbörjas.258 Vi anser att det är värdefullt att i lagtexten ta in en definition. En ändamålsenlig definition av de forskningsetiska kommittéer som avses torde vara: Ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.
11.6.3.4 En avvägningsnorm i lagtexten
Enligt vår mening är det inte tillräckligt med en regel om godkännande av en forskningsetisk kommitté. Det finns nämligen inte någon garanti för att all vetenskaplig forskning där det kan vara befogat att behandla känsliga personuppgifter utan samtycke kan prövas av någon forskningsetisk kommitté, och på det renodlat statistiska området kan det vara befogat att – utanför området för den särskilt lagreglerade officiella statistiken – på detta sätt behandla känsliga personuppgifter.
Beträffande vetenskaplig forskning bör det röra sig om ett förhållandevis begränsat antal projekt som av en eller annan anledning inte kan prövas av en forskningsetisk kommitté. Beträffande den medicinska forskningen verkar de flesta bedömare ense om att systemet med forskningsetisk
258 Jämför 3 kap. 13 § högskoleförordningen (1993:100) angående högskolans möjligheter att ta betalt för den forskningsetiska prövningen.
granskning är i det närmaste heltäckande. Vi har beträffande övrig forskning försökt ta reda på hur stor andel av forskningen med personuppgifter som i dag kan tänkas bedrivas utan möjlighet till forskningsetisk prövning. Det har emellertid visat sig vara omöjligt att få fram uppgifter om det. De uppskattningar som olika bedömare gjort är osäkra och varierar en del. Egentliga registerforskningsprojekt, där många uppgifter hämtas in från befintliga register, torde dock så gott som undantagslöst ha granskats av forskningsetisk kommitté. Mindre register, som forskaren själv upprättar t.ex. över ett begränsat antal undersökningspersoner under forskningsprojektets gång, kan emellertid förekomma utan att ha granskats forskningsetiskt.
Någon alternativ prövningsinstans för de projekt som i dag inte har tillgång till granskning av forskningsetiska kommittéer har vi inte lyckats finna.
Med vetenskaplig forskning avses här i första hand den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut.259 Släktforskning faller utanför, liksom annan forskning av mera privat natur260; det måste finnas ett samhällsintresse av att forskningen bedrivs och den måste vara vetenskaplig i någon mening.
När det gäller det renodlat statistiska området, täcks registerhanteringen beträffande den allra mest väsentliga statistiken redan av särskild lagstiftning. Det kan emellertid finnas ett så starkt samhällsintresse att även annan statistik framställs att man bör tillåta det intrång i den enskildes personliga integritet som behandling av känsliga personuppgifter utan samtycke utgör. Den framställning av statistik som det kan vara fråga om torde så gott som uteslutande utföras av myndigheter, kanske främst Statistiska centralbyrån. Den behandling av känsliga personuppgifter för framställning av statistik som privata företag utför, t.ex. för opinions- eller marknadsundersökningar, bör liksom i dag som regel grundas på samtycke.
259 Se SOU 1993:10 s. 198 för en något mera utförlig beskrivning av vilka verksamheter som kan avses. – Också den forskning som en pensionerad professor kan bedriva får som regel betraktas som en sådan etablerad verksamhet, även om professorn inte längre är knuten till någon institution. 260 Jämför beträffande privat undersökningsverksamhet som inte ansetts som forskning t.ex. RÅ 1994 ref. 75 (frilansjournalist som skulle skriva bok om nazister) och regeringsbeslut 1988-03-17, dnr 88-573 (nazistregister som skulle användas vid föreläsningar m.m.).
Det nu sagda leder fram till slutsatsen att lagtexten också bör innehålla en avvägningsnorm enligt vilken behandling utan samtycke av känsliga personuppgifter för forskning och statistik är tillåten om samhällsintresset av behandlingen klart väger över det integritetsintrång som behandlingen kan innebära. Avvägningen får här i första hand göras av den myndighet eller annan som är ansvarig för behandlingen med risk för att vid en felbedömning drabbas av sanktioner, främst skadestånd. Vi har nämligen inte lyckats finna någon lämplig, fristående instans som skulle kunna göra avvägningen i de enskilda fallen. De myndigheter som på statistikområdet kan ha att göra avvägningen, främst Statistiska centralbyrån, får förutsättas ha ett nära samråd med Datainspektionen. Inspektionen skall givetvis också ha att utöva tillsyn över nu avsedda behandlingar. Såsom berörs vidare i det följande föreslår vi också att det införs en obligatorisk skyldighet att i förväg anmäla alla nu aktuella behandlingar till Datainspektionen.
De faktorer som Datalagsutredningen angav skulle beaktas ställer vi oss som sagt i huvudsak bakom. Man bör således vid den helhetsbedömning som skall göras vid intresseavvägningen beakta bl.a. forsknings- eller statistikprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna förrycka undersökningsresultatet. Vid intresseavvägningen skall också beaktas om information i någon form lämnas till de berörda, t.ex. via anslag eller annonser. I de allra flesta fall bör åtminstone sådan information kunna lämnas. Av vad som anförs i avsnitt 11.6.6 framgår att även frågan i vad mån den som begär det skall ha rätt att bli struken skall beaktas vid intresseavvägningen.
Det är enligt vår mening inte nödvändigt att ha så utförliga regler i lagtexten som Datalagsutredningen föreslog. Det räcker som vi ser det med en grundläggande regel i lagen som på ett kortfattat men adekvat sätt ger uttryck för den intresseavvägning som skall ske. Avvägningsnormen i lagen bör sedan kunna preciseras genom föreskrifter på särskilda områden som meddelas av regeringen eller, efter delegation, av Datainspektionen. Härigenom får de som har att göra avvägningen i de enskilda fallen ytterligare vägledning. Den restriktiva tillämpning som vi avser framgår med erforderlig tydlighet av en regel i lagen om att känsliga personuppgifter får behandlas för forsknings- och statistikändamål utan samtycke bara om behandlingen är nödvändig och samhällsintresset av att projektet genomförs klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som projektet kan innebära. Med projekt avser vi då även sådan
statistikframställning som sker återkommande, t.ex. årligen, dvs. vad som brukar kallas en statistikprodukt.
I enlighet med vad som anförs i avsnitt 12.12.1 anser vi i och för sig att skyldigheten att i förväg anmäla behandlingar till Datainspektionen för förhandskontroll bör begränsas till ett minimum. Vår uppfattning är emellertid att det är så viktigt att Datainspektionen får kännedom om och kan kontrollera alla de forsknings- och statistikprojekt där känsliga personuppgifter skall behandlas utan samtycke och utan att projektet har godkänts av en forskningsetisk kommitté, att dessa behandlingar alltid bör anmälas i förväg till Datainspektionen för förhandskontroll. Såsom anförs i avsnitt 12.12.2.5 innebär vårt förslag att det i persondatalagen tas in ett bemyndigande för regeringen att besluta om sådan anmälningsskyldighet; i själva lagförslaget tas alltså inte in några bestämmelser om vilka behandlingar som skall omfattas av skyldigheten. Vi föreslår att regeringen genom förordning inför en anmälningsskyldighet av nämnd innebörd för nu avsedda fall. Anmälningsskyldigheten bör omfatta såväl automatiska som icke automatiska behandlingar.
11.6.3.5 Förhållandet till internationella regler
Den föreslagna lagregeln utgör ett sådant tillåtet undantag från det principiella förbudet mot behandling av känsliga personuppgifter för ett viktigt allmänt intresse som anges i artikel 8.4 i EG-direktivet; undantaget måste dock, enligt artikel 8.6, anmälas till kommissionen. Undantag får göras bara under förutsättning av lämpliga skyddsåtgärder. Bland annat de stränga sekretessregler som regelmässigt gäller vid behandling för forskning och statistik får anses utgöra sådana lämpliga skyddsåtgärder som avses.
Behandling för forskning och statistik av sådana personuppgifter rörande brott som avses i artikel 8.5 får, enligt vårt förslag (se avsnitt 12.5.3.4), utföras bara av en myndighet, t.ex. Brottsförebyggande rådet. Anses det nödvändigt med behandling av sådana uppgifter i privat verksamhet, kan regeringen eller Datainspektionen, också enligt vårt förslag, dock genom föreskrifter tillåta behandlingen. Sådana föreskrifter torde behöva anmälas till kommissionen enligt artikel 8.6.
Enligt artikel 11.2 i EG-direktivet behöver information inte lämnas när uppgifter hämtas in från annat håll än de registrerade, om utlämnandet av uppgifterna uttryckligen föreskrivs i författning. Enligt punkt 4.4 i Europarådets rekommendation bör det inte krävas samtycke när uppgifter lämnas
ut från ett privat eller offentligt organ för forskningsändamål i enlighet med lagstiftning. I båda nu nämnda fall krävs att det finns lämpliga skyddsåtgärder.
Det bör enligt vår mening – med hänsyn till de internationella reglerna – i persondatalagen tas in en uttrycklig regel om att personuppgifter får lämnas ut för att användas i sådana forsknings- och statistikprojekt som är så viktiga att behandling av känsliga personuppgifter är tillåten utan samtycke. Regeln medför att den forskare eller statistiker som i enlighet med regeln hämtar in personuppgifter från något annat håll än de registrerade inte automatiskt behöver informera de registrerade om sin behandling; däremot kan den forskningsetiska granskningen eller en til??lämpning av avvägningsnormen i lagtexten i enlighet med vad som tidigare sagts leda till att information måste lämnas. Det är däremot inte fråga om någon ny uppgiftsskyldighet för enskilda. Ett privat företag kan således själv bestämma om personuppgifter skall lämnas ut för forskning eller statistik. Regeln bör dock inte gälla för det allmänna i den mån något annat följer av sekretesslagen. Bland annat de stränga sekretessbestämmelser som regelmässigt gäller inom forsknings- och statistikverksamhet får anses utgöra sådana lämpliga skyddsåtgärder som krävs enligt de internationella reglerna.
Hänvisningar till S11-6-3
- Prop. 1997/98:44: Avsnitt Författningskommentar till 19 § personuppgiftslag
11.6.4. Behandling av icke känsliga personuppgifter
Enligt vår mening bör behandling av icke känsliga personuppgifter för forskning och statistik regleras av de allmänna bestämmelserna i den föreslagna persondatalagen. Det är nämligen inte rimligt att behandling för forskning och statistik, som kan ha ett stort samhällsintresse och som regelmässigt sker under mycket sträng sekretess, skall vara underkastad strängare regler än vad som gäller för t.ex. privata företags behandling av icke känsliga personuppgifter.
Enligt EG-direktivet får personuppgifter behandlas utan samtycke om behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Vetenskaplig forskning får som regel anses utgöra ett sådant allmänt intresse, liksom den statistik som framställs av myndigheter.
Ibland kan även privata företags behandling av personuppgifter för att framställa statistik vara en sådan arbetsuppgift av allmänt intresse. De opinionsundersökningar avseende aktuella samhällsfrågor som utförs av sådana företag är ett exempel, liksom arbetsmarknadsorganisationernas framställning av bl.a. lönestatistik. I vissa fall kan privata företags be-
handling av personuppgifter för att framställa statistik också anses vara tillåten efter en sådan intresseavvägning som EG-direktivet föreskriver. Huvuddelen av den framställning av statistik som de privata undersökningsföretagen ägnar sig åt torde dock ske efter samtycke, t.ex. genom att den enskilde får information och sedan frivilligt besvarar en enkät eller en telefonförfrågan.
Även när avsikten är att behandlingen av personuppgifter för forskning och statistik skall ske med samtycke kan det bli aktuellt att inledningsvis utnyttja möjligheterna att behandla icke känsliga personuppgifter utan samtycke. För att kunna hämta in samtycke från de personer som skall undersökas är det nämligen ofta nödvändigt att för utskick eller telefonförfrågningar upprätta ett personregister som innehåller de berörda personernas namn, adress och telefonnummer. Det bör betonas att ett sådant ”förregister” inte får byggas upp på ett sådant sätt att känsliga uppgifter kan hänföras till de registrerade. I vissa fall kan rubriken på ett register avslöja känsliga uppgifter om dem som är upptagna där, även om uppgifterna bara innefattar namn och adress. De personer som avböjer medverkan måste naturligtvis strykas omgående ur registret, medan uppgifter om sådana personer som samtycker till att medverka kan föras över till ett särskilt forsknings- eller statistikregister där ytterligare uppgifter kan registreras. En eventuell bortfallsanalys får inte göras på det sättet att uppgifter om de personer som avböjt medverkan eller inte kunnat nås registeras i ett manuellt register eller med hjälp av automatisk databehandling.
Hänvisningar till S11-6-4
- Prop. 1997/98:44: Avsnitt Författningskommentar till 10 § personuppgiftslag
11.6.5. Betydelsen av det ändamål för vilket uppgifterna samlats in
11.6.5.1 Inledning
För den som skall forska eller framställa statistik kan det ofta vara rationellt och förhållandevis billigt att använda redan insamlade personuppgifter för forskningen eller statistiken. Uppgifterna kan ha samlats in för t.ex. administrativa ändamål eller för något annat forsknings- eller statistikprojekt. Man kan här skilja mellan tre huvudfall: N Personuppgifter som har samlats in för administrativa ändamål skall an-
vändas av den persondataansvarige själv för forskning och statistik, t.ex. för att följa upp verksamheten.
N Personuppgifter som har samlats in för administrativa ändamål skall
lämnas ut till någon annan för att hos denne användas för forskning och statistik. N Personuppgifter som har samlats in för ett forsknings- eller statistikän-
damål skall användas för ett annat sådant ändamål.
I samtliga nu angivna fall skall personuppgifterna alltså användas för något annat ändamål än det för vilket de ursprungligen samlades in. Det bör påpekas att uppgifter givetvis kan samlas in för flera ändamål samtidigt, och våra överväganden i detta avsnitt avser inte det oproblematiska fallet att de registrerade har samtyckt till ett sådant förfaringssätt. I det följande behandlas de tre angivna fallen under skilda rubriker.
Först finns det emellertid anledning att kort beröra ett annat fall där personuppgifter används för ett annat ändamål än det för vilket uppgifterna samlats in. Det gäller det fallet att personuppgifter som samlats in för forskning och statistik används för något annat ändamål än forskning och statistik, t.ex. för att vidta åtgärder som berör enskilda.
11.6.5.2 Personuppgifter för forskning och statistik används för att vidta åtgärder beträffande enskilda
Personuppgifter som har samlats in för forskning och statistik får som regel inte användas för andra ändamål än forskning och statistik, eftersom en sådan användning är klart oförenlig med det forsknings- eller statistikändamål för vilket uppgifterna ursprungligen samlades in; en annan sak är att den kunskap som forskningen eller statistiken ger kan användas för att vidta åtgärder i samhället och beträffande enskilda. I vissa fall kan emellertid personuppgifter som har samlats in eller används för forskning och statistik användas för att vidta åtgärder beträffande de registrerade.
Ibland kan ett forskningsprojekt vara upplagt så att personuppgifterna skall användas för att vidta åtgärder rörande enskilda. Ett sådant projekt får emellertid genomföras bara om de enskilda som lämnat uppgifter har samtyckt till det.261 Det bör alltså inte vara tillåtet att forskare utan samtycke hämtar in registeruppgifter för att sedan använda dessa för att – i forskningssyfte eller eljest – vidta åtgärder beträffande de registrerade.
261 Jämför punkt 4.1 andra stycket i Europarådets rekommendation och punkt 30 i förklaringarna därtill.
I vissa undantagsfall kan det dock vara befogat att använda personuppgifter som har samlats in eller används för forskning och statistik för att varna de registrerade. Ett exempel är det fallet att en forskare som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling.262 Ett annat exempel är när ett statistikregister används för att varna de som har köpt en apparat som visar sig ha ett allvarligt fel. En sådan behandling kan inte rimligen anses oförenlig med de forsknings- eller statistikändamål för vilka uppgifterna ursprungligen samlades in. Här finns det också anledning att peka på att behandling även av känsliga personuppgifter är tillåten enligt EG-direktivet om behandlingen är nödvändig för att skydda vitala intressen hos den registrerade.
Såsom framgår av vad som anförs i avsnitt 12.4.6.3 föreslår vi att det i persondatalagen tas in en bestämmelse om att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder beträffande den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades eller någon annans vitala intressen.
11.6.5.3 Verksamhetsstatistik
Om en persondataansvarig på laglig grund redan behandlar personuppgifter för t.ex. administrativa ändamål, bör han eller hon utan vidare kunna få använda uppgifterna också för att själv framställa statistik eller själv bedriva vetenskaplig forskning. Att någon använder uppgifter, som han eller hon redan har rätt att använda för att t.ex. vidta åtgärder som berör en enskild, också för att t.ex. framställa siffertabeller kan inte anses innebära något (ytterligare) intrång i den personliga integriteten. Den persondataansvarige bör ha den rätten enligt Europarådets rekommendation (punkt 4.3), och enligt EG-direktivet skall en behandling av personuppgifter för statistiska eller vetenskapliga ändamål inte anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in (artikel 6.1 b). En sådan til??lämpning stämmer också överens med nuvarande praxis.263
262 Se också det fall som nämns i SOU 1989:74 s. 119 f. 263 Se t.ex. prop. 1994/95:200 s. 13.
11.6.5.4 Personuppgifter för administrativa ändamål lämnas ut för forskning och statistik
För att reglera uppgiftsbehandling för forskning och statistik kan man principiellt sett gå två vägar. Man kan reglera antingen tillgången till personuppgifter, dvs. i vilka fall uppgifter får lämnas ut för forskning och statistik (från någon annan än den registrerade själv), eller i vilka fall själva behandlingen av uppgifterna för forskning och statistik är tillåten. Reglerna riktar sig i det första fallet till den som skall tillhandahålla uppgifterna och i det andra till de som skall utföra den behandling man avser att reglera, dvs. till de persondataansvariga forskarna och statistikerna. Som har framgått av vad som sagts i det föregående har vi valt den senare vägen, dvs. reglerat när behandling för forskning och statistik av uppgifter som forskare eller statistiker på något sätt har fått tag på över huvud taget är tillåten. Det torde för övrigt vara den enda framkomliga vägen. Forskare och statistiker kan ju komma åt personuppgifter även från sådana källor som inte omfattas av en persondatalag, t.ex. hämta dem från tidningsartiklar eller myndighetsarkiv.
EG-direktivet anger också som nämnts att en senare behandling av personuppgifter för vetenskapliga eller statistiska ändamål inte skall anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in. Att tillåta att en persondataansvarig lämnar ut personuppgifter till någon annan att användas av denne för forskning och statistik, får således anses förenligt med EG-direktivet; en annan sak är att den senare behandlingen hos forskaren eller statistikern bara är tillåten i enlighet med de materiella reglerna i direktivet, inbegripet reglerna om information.
Vår slutsats är alltså att det – när väl själva behandlingen av uppgifterna för forskning och statistik har reglerats – inte behövs någon särskild reglering av utlämnandet för forskning och statistik av uppgifter som har samlats in för andra ändamål, t.ex. administrativa ändamål; av vad som anförts i avsnitt 11.6.3.5 framgår att vi, av hänsyn till internationella regler, föreslår en uttrycklig regel om att personuppgifter får lämnas ut för att användas i viktigare forsknings- och statistikprojekt, om inte något annat följer av sekretesslagen.
11.6.5.5 Personuppgifter för forskning och statistik återanvänds i ett annat projekt
EG-direktivet innebär som nämnts att en behandling för vetenskapliga eller statistiska ändamål bör anses tillåten även om personuppgifterna ur-
sprungligen samlats in för andra ändamål. Direktivet verkar således tillåta att personuppgifter som samlats in för ett visst forsknings- eller statistikprojekt senare används i ett annat sådant projekt.
I Europarådets rekommendation finns det också en regel för detta fall, som gäller när de registrerade har samtyckt till en behandling (punkt 4.2). Om de registrerade har samtyckt till en viss behandling inom ett projekt, får personuppgifterna utan vidare användas i ett annat projekt bara det inte väsentligt skiljer sig från det första såvitt gäller natur och syfte. Är det – på grund av den tid som förflutit eller det stora antalet registrerade – inte möjligt (”impracticable”) att hämta in nytt samtycke, får de lämnade personuppgifterna ändå användas i det nya projektet i enlighet med skyddsåtgärder i nationell lagstiftning. Av förklaringarna (punkt 32) framgår att reglerna inte gäller när de registrerade före samtycket har informerats om att uppgifterna kan användas också för andra ändamål och att avvägningen i fråga om under vilka villkor återanvändning av uppgifter är tillåten kan överlåtas t.ex. åt något specialorgan inom forskarsamhället.
Som framgått av närmast föregående avsnitt har vi valt att direkt reglera i vilka fall behandling för forskning och statistik är tillåten. Regleringen garanterar bl.a. att känsliga personuppgifter kommer att behandlas utan samtycke bara i de fall där det finns ett starkt samhällsintresse av behandlingen som väger över intrånget i den personliga integriteten. Det problematiska fallet är här det som Europarådets rekommendation berör.
När den enskilde frivilligt har samtyckt till att uppgifter används (bara) i ett visst forsknings- eller statistikprojekt, är det givetvis som regel oacceptabelt att det förtroende som den enskilde har visat forskaren eller statistikern kränks genom att uppgifterna används för ett helt annat projekt med väsentligt annorlunda inriktning och syften. Detta kan med fog uppfattas som ett betydligt värre intrång i den personliga integriteten än när uppgifter som lämnats för administrativa ändamål, dvs. med vetskap om att de kommer att användas för att vidta åtgärder beträffande uppgiftslämnaren, används för att under mycket sträng sekretess framställa t.ex. anonyma siffertabeller.
Enligt vår mening är den reglering som vi har föreslagit för behandling utan samtycke av känsliga personuppgifter tillräcklig även i dessa fall. Bara när det – av de skäl som anges i Europarådets rekommendation – är omöjligt att hämta in ett nytt samtycke kan det över huvud taget övervägas att tillåta behandlingen enligt den avvägningsnorm som vi har föreslagit. Och med hänsyn till det grova intrång i den personliga integriteten som en kränkning av ett en gång lämnat samtycke skulle innebära är det svårt att
tänka sig fall där avvägningen skulle kunna utfalla till förmån för en återanvändning av uppgifterna. Det kan emellertid inte helt uteslutas att det kan finnas extrema undantagsfall där samhällsintresset av att projektet genomförs ändå kan väga över. Något absolut förbud mot återanvändning i dessa fall bör därför inte införas. De forskningsetiska kommittéerna, vilka bl.a. värnar om allmänhetens attityd gentemot forskningen, har, såvitt vi erfarit, samma – eller till och med ännu strängare – inställning i dessa frågor.
Det bör tilläggas att det riktiga förfaringssättet i nu avsedda fall givetvis är att de enskilda i samband med att samtycke hämtas in för ett visst projekt tillfrågas om uppgifterna också får användas för andra projekt och informeras om vad detta kan innebära. Det kan förutsättas att så kommer att ske i ökad utsträckning i fortsättningen i de fall där det går att förutse att uppgifterna kan komma att återanvändas, vilket gör att problemen i praktiken kommer att bli mindre med tiden.
Hänvisningar till S11-6-5
- Prop. 1997/98:44: Avsnitt Författningskommentar till 9 § personuppgiftslag
11.6.6. Strykningsrätt
I de fall där behandlingen för forskning och statistik grundar sig på samtycke, bör den registrerade givetvis – utan att behöva ange något skäl – kunna återta samtycket och t.ex. vägra lämna ytterligare uppgifter. I sådant fall bör ytterligare uppgifter om den registrerade inte få behandlas. Den registrerade skall för övrigt enligt Europarådets rekommendation ha en sådan rätt att när som helst och utan att behöva ange några skäl avböja fortsatt medverkan (punkt 3.2). De uppgifter som redan har registrerats med stöd av samtycket bör enligt vår mening även fortsättningsvis få behandlas. Lika väl som den registrerade bör kunna lita på besked och information från den persondataansvarige, bör denne kunna förlita sig på ett samtycke som den registrerade har lämnat frivilligt. Det är önskvärt att behandling av personuppgifter för forskning och statistik i största möjliga utsträckning bygger på samtycke, och en rätt för den enskilde att med ”retroaktiv verkan” kunna ta tillbaka ett en gång lämnat samtycke skulle bara på ett olyckligt och svåröverskådligt sätt drabba de forskare och statistiker som planlagt ett projekt utifrån frivilligt lämnade uppgifter; däremot får de projektansvariga räkna med att uppgifter som de ännu inte har fått tillgång till kan komma att utebli på grund av återtaget samtycke (eller andra oförutsedda händelser). Det förekommer, såvitt upplysts, inte heller i dag att Datainspektionen föreskriver att uppgifter som har hämtats in efter
samtycke skall strykas om den registrerade i efterhand ångrar sig och tar tillbaka samtycket.
Den svåra frågan är här i vad mån de registrerade skall ha rätt att på begäran få bli strukna i de fall där behandlingen är tillåten utan samtycke. En sådan rätt krävs inte enligt EG-direktivet; i den nationella lagstiftningen kan det nämligen föreskrivas att det inte finns någon strykningsrätt.
Vid behandling av icke känsliga personuppgifter för forskning och statistik bör de allmänna reglerna för uppgiftsbehandling kunna tillämpas även i detta hänseende. Det är nämligen, som sagt, inte rimligt att för forskning och statistik föreskriva strängare regler än för den behandling som får ske t.ex. för att tjäna pengar inom det privata näringslivet. I fortsättningen berörs därför bara frågan om strykningsrätt vid behandling utan samtycke för forskning och statistik av känsliga personuppgifter.
Datainspektionen har på senare år börjat föreskriva en sådan strykningsrätt för de registrerade i vissa fall.264 Det gäller när ett forsknings- eller statistikregister inte grundar sig på samtycke, men där inspektionen föreskriver att information ändå skall lämnas, t.ex. i tidningar. Regeringen har dock i de fall som överprövats upphävt föreskriften om strykningsrätt med hänvisning till att det samhälleliga intresset av att statistiken bygger på ett tillförlitligt underlag har vägt tyngre än den enskildes intresse av att kunna få uppgifter strukna.265
När behandling av känsliga personuppgifter för forskning och statistik skall vara tillåten utan samtycke enligt vårt förslag, finns det ett starkt samhällsintresse av att personregistreringen kommer till stånd. Det torde då också oftast vara så viktigt att registreringen är tillräckligt fullständig att någon generell strykningsrätt inte kan införas. En ovillkorlig strykningsrätt kan göra att forsknings- eller statistikunderlaget blir så otillförlitligt att resultaten inte kan användas. Blir detta fallet, har den personregistrering som skett varit förgäves och således inneburit ett onödigt intrång i den personliga integriteten.
I vad mån en strykningsrätt kan tillåtas måste av naturliga skäl bedömas med utgångspunkt i varje enskilt projekt. Det är svårt att ge några generella
264 I regeringsbeslut 1986-06-26, dnr 85-3142, diskuterade regeringen frågan om en sådan strykningsrätt borde föreskrivas i stället för informerat samtycke, men fann att även en sådan föreskrift skulle minska registrets användbarhet på ett otillfredsställande sätt. 265 Se regeringsbeslut 1993-10-28, dnr 93-1779, och 1996-03-14, dnr Ju 95-1963 och Ju 95-2100.
riktlinjer för bedömningen. Risken för att projektet äventyras måste i varje enskilt fall vägas mot det intrång i den personliga integriteten som det innebär att känsliga personuppgifter om någon behandlas mot dennes uttalade vilja. En utgångspunkt måste vara att den enskilde inte har rätt att få bli struken om detta skulle kunna äventyra ett forsknings- eller statistikprojekt som har ansetts så viktigt att behandling av känsliga personuppgifter tillåtits utan samtycke.
Det får förutsättas att den som ansvarar för ett forsknings- eller statistikregister frivilligt tillgodoser en begäran om att få bli struken i de fall där detta kan ske utan risk för projektet. Bekvämlighetsskäl och tekniska svårigheter bör inte kunna få åberopas för en vägran att stryka, bara förhållanden som har att göra med risken för att uppgiftsbehandlingen inte kommer att kunna ge tillförlitliga resultat.
Vi har särskilt övervägt om det är lämpligt att införa ett system där frågan om en viss registrerad skall ha rätt att få bli struken kan prövas av någon myndighet, t.ex. Datainspektionen, eller vid domstol. Eftersom det inte torde förekomma särskilt många fall där en sådan prövning behövs och då det kan vara aktuellt att väga vilka skäl den enskilde har för att få bli struken mot de skäl som talar emot, kan en sådan ordning i och för sig vara ändamålsenlig. En ordning med särskild prövning av varje fall där en registrerads begäran att få bli struken inte har tillgodosetts framstår emellertid som ganska krånglig och kostsam för samhället och de enskilda. Enligt vår mening bör därför en sådan ordning inte införas om det inte är absolut nödvändigt. Vi har med hänsyn till de regler som vi föreslår om när en behandling utan samtycke av känsliga personuppgifter för forskning och statistik över huvud taget skall vara tillåten funnit att det inte är nödvändigt att införa en sådan ordning.
I samband med den forskningsetiska granskningen bör frågan om i vad mån en strykningsrätt skall finnas beträffande ett visst projekt kunna tas upp. Då kan de konkreta riskerna för projektets genomförande med en strykningsrätt få en allsidig belysning. De villkor som den forskningsetiska kommittén har ställt upp, t.ex. i fråga om strykningsrätt, skall som sagt följas för att behandlingen utan samtycke skall anses tillåten. Frågan om strykningsrätt bör vidare, som vi ser det, alltid beaktas vid den intresseavvägning som bör ske i de fall där avvägningsnormen i lagtexten måste til??lämpas. Samhällsintresset av forskningen eller statistiken måste vara betydande för att man skall kunna tillåta det ganska allvarliga intrång i den personliga integriteten som det innebär att känsliga personuppgifter behandlas trots att den registrerade klart motsätter sig detta.
Vi har sammanfattningsvis kommit fram till att det inte är nödvändigt att ha någon särreglering beträffande strykningsrätt utan att den rätten kan beaktas inom ramen för de föreslagna reglerna om när behandling av känsliga personuppgifter utan samtycke över huvud taget skall vara tillåten.
Hänvisningar till S11-6-6
- Prop. 1997/98:44: Avsnitt Författningskommentar till 12 § personuppgiftslag
11.6.7. Registerutdrag och rättelse
Såväl Europarådets rekommendation (punkt 6.1–2) som EG-direktivet (artikel 13.2) medger att det i fråga om forskning och statistik görs inskränkningar i de registrerades rätt att på begäran få information om behandlade uppgifter och rättelse av t.ex. ofullständiga eller felaktiga uppgifter. I andra länder har det gjorts sådana inskränkningar.266 Forskningsetiska utredningen föreslog att det också i Sverige skulle införas inskränkningar i rätten att få registerutdrag från forskningsregister (se avsnitt 11.3.4).
Bestämmelsen om rätt till registerutdrag i datalagen har ansetts som en av de viktigaste i lagen. Genom den rätten får den enskilde möjlighet att kontrollera om han eller hon är registrerad och, om så är fallet, att de registrerade uppgifterna är riktiga.267 Rätten till insyn är vidare en förutsättning för att den enskilde i praktiken skall kunna få felaktiga uppgifter rättade.
De argument som har förts fram emot rätten till registerutdrag har gått ut på dels att det är dyrt för den persondataansvarige att lämna utdrag, dels att skyldigheten att lämna utdrag på individnivå i sig kan försämra integritetsskyddet.
I början på 1980-talet gjordes vissa ändringar i 10 § datalagen i syfte att få ned kostnaderna för de registeransvariga inom främst det allmänna. Det infördes då ett krav på att begäran om utdrag skall vara skriftlig och undertecknas av den registrerade själv.268 Bakgrunden var att det ansågs att rättigheten utnyttjades alltför flitigt; det fanns på den tiden särskilda företag som mot betalning agerade ombud och hjälpte många människor att utnyttja sin rätt gentemot de mest betydande registerförarna. Det finns även andra exempel på att antalet registerutdrag – och myndigheternas
266 Inskränkningar har t.ex. gjorts i Norge och Finland. Se vidare SOU 1989:74 s. 122 med not 23. 267 Se senast prop. 1990/91:60 s. 56. 268 Se prop. 1980/81:20 Bilaga 1 s. 13 ff.
kostnader – ökat kraftigt när allmänheten på annat sätt fått hjälp att utnyttja sin rätt.269
När det gäller kostnadsaspekten, bör det också nämnas att var och en med stöd av offentlighetsprincipen har rätt att gratis få ta del av uppgifter om sig själv som myndigheter har registrerat. Det finns dock skillnader mellan rätten till registerutdrag och rätten till insyn med stöd av offentlighetsprincipen. Skriftligt registerutdrag270 är t.ex. enligt huvudregeln gratis en gång per år, medan den registrerade ibland måste betala en avgift om han eller hon med stöd av offentlighetsprincipen vill ha sina uppgifter på papper.271
Enligt vår mening är rätten för den enskilde att – gratis – få tillgång till sina uppgifter så viktig att kostnadskonsekvenserna för de persondataansvariga inte ensamma gör det befogat med undantag för forskning och statistik. Kostnaden för att på begäran lämna information till de registrerade (registerutdrag) får betraktas som en nödvändig kostnad som vidhäftar varje behandling av personuppgifter, och detta bör gälla även för forskning och statistik.
Synpunkten att skyldigheten att lämna registerutdrag kan föra med sig en försämring av integritetsskyddet kan däremot tyckas ha större fog för sig. Skyldigheten har i dag ansetts tvinga de persondataansvariga att införa rutiner som gör det möjligt att söka fram alla uppgifter som finns om en individ, något som kanske annars inte skulle ha behövts272, särskilt vid sådan registerforskning och framställning av statistik där enskilda individer inte är intressanta. Kryptering och andra skyddsåtgärder måste vidare ibland sättas åsido för att få fram uppgifterna inom rimlig tid.
Enligt vår mening måste ett absolut krav på de persondataansvariga i och för sig vara att de kan klara av att hantera personuppgifter i klartext på ett säkert sätt. Klarar de inte detta, bör de inte alls få hålla på med behandling av personuppgifter. Att uppgifter som annars används krypterade eller i avidentifierad form ibland måste göras läsbara på ett sådant sätt att upp-
269 Se exemplet i SOU 1989:74 s. 99 (Statistiska centralbyråns kostnader för registerutdrag mer än tiodubblades när en kvällstidning publicerade en talong för begäran om utdrag). 270 Registerutdrag måste vara skriftligt, se prop. 1973:33 s. 138 f. och DIFS 1982:2. 271 2 kap. 13 § TF. 272 Jämför t.ex. prop. 1990/91:126 s. 52 och 81 (uppgiften om gäldenärens arbetsgivare i utsökningsregister gjordes sökbar bl.a. för att myndigheten skall kunna lämna utdrag till arbetsgivare).
gifter om enskilda individer avslöjas, kan givetvis innebära nya risker. Men lösningen på detta problem är, som vi ser det, snarare att de persondataansvariga möter riskerna med bättre säkerhetsåtgärder än att begränsa grundläggande rättigheter för de registrerade.
En annan sak är att de praktiska svårigheter som kryptering eller liknande innebär för framställandet av registerutdrag kan behöva beaktas. Datalagsutredningen föreslog t.ex. en lagregel som innebar att registerutdrag beträffande krypterade personuppgifter skulle behöva framställas bara var fjärde månad (i stället för månadsvis, vilket skulle krävas enligt den huvudregel som föreslogs).273 Vi anser för egen del att en sådan regel på ett rimligt sätt beaktar såväl den registrerades intresse av att få sitt utdrag snabbt som de praktiska svårigheter att få fram utdragen som en hög säkerhetsnivå hos en persondataansvarig forsknings- eller statistikinstans kan innebära.
I avsnitt 12.7.3 redogör vi närmare för vår syn på rätten för den registrerade att på begäran få information (registerutdrag). Där framgår att vi anser att den persondataansvarige bara bör vara skyldig att använda de sök- och sammanställningsmöjligheter som han eller hon faktiskt och rättsligt har tillgång till för att lämna information till de registrerade som begär det; några nya sök- och sammanställningsmöjligheter – vilka i sig kan innebära hot mot den personliga integriteten – behöver således inte införas med vårt förslag. Har den persondataansvarige möjlighet att göra krypterade eller annars tillfälligt avidentifierade uppgifter läsbara på individnivå, måste han eller hon således göra det och på det läsbara materialet använda tillgängliga sök- och sammanställningsmöjligheter.
Vi har alltså sammanfattningsvis funnit att det inte finns tillräckliga skäl för att ha några särregler för forskning och statistik när det gäller de registrerades rätt att på begäran få information (registerutdrag). Inte heller möjligheten för den enskilde att få uppgifter rättade bör inskränkas beträffande forskning och statistik; det måste givetvis vara ett intresse för alla berörda att forskningen och statistiken bygger på ett riktigt grundmaterial. Vi redogör för våra förslag i fråga om rättelse i avsnitt 12.8.
273 SOU 1993:10 s. 427 ff.
Hänvisningar till S11-6-7
- Prop. 1997/98:44: Avsnitt Författningskommentar till 26 § personuppgiftslag, Författningskommentar till 28 § personuppgiftslag
12. Innehållet i den nya persondatalagen
Hänvisningar till S12
- Prop. 1997/98:97: Avsnitt 5.5
12.1. Lagstiftningstekniken
Lagen bör utgöra en nära avbildning av EG-direktivets text i de delar där använda uttryck kan antas ha en EG-gemensam innebörd, om inte särskilda skäl talar för annat. Lagstiftningskommentarerna koncentreras till principiellt viktiga frågor och de delar där EG-direktivet ger ett visst spelrum vid genomförandet. Generella regler och principer bör tas in i lagtexten, medan det bör överlåtas åt regeringen och Datainspektionen att utforma detaljreglering för t.ex. särskilda områden.
12.1.1. Allmänt
I enlighet med vad som anförs i avsnitt 6 anser vi att den nya persondatalagen i stort bör följa den struktur som EG-direktivet anvisar och att avvikelser bör göras bara när det finns särskilda skäl till det. I flera fall är det inte heller någon större mening med att försöka göra omskrivningar av direktivets text, eftersom svenska domstolar vid tillämpning av lagtext som införts till genomförande av ett EG-direktiv har att tolka lagen i överensstämmelse med direktivets rätta innebörd och vid behov fråga EG-domstolen om den rätta innebörden.274 Omskrivningar av direktivets text i de delar där det kan antas att avsikten varit att använda uttryck skall ha en ge-
274 För att bl.a. detta skall uppmärksammas skall det i anslutning till lagtexten finnas en hänvisning till direktivet, se artikel 32.1 andra stycket i direktivet och 18 a § författningssamlingsförordningen (1976:725) samt Statsrådsberedningens PM 1996:4 s. 22 ff.
mensam innebörd inom EG275 – med EG-domstolen som auktoritativ uttolkare – bör därför göras bara när det finns särskilda skäl för det, t.ex. när den officiella svenska översättningen av direktivet inte är helt rättvisande.276
EG-direktiv saknar i motsats till traditionell svensk lagstiftning förarbeten i egentlig mening. Så är också fallet med direktivet om personuppgifter. Ledning får främst sökas i det inledande avsnittet i direktivet och i vissa protokollsanteckningar.
En konsekvens av vad som sagts om att den svenska lagstiftningen skall tolkas i överensstämmelse med EG-direktivet är att vad som anförs i de svenska förarbetena inte kan tjäna till ledning för rättstillämpningen på samma sätt som när det gäller rent inhemsk lagstiftning. En auktoritativ tolkning av det underliggande direktivet kan endast erhållas från EG-domstolen, t.ex. efter det att en svensk domstol begärt ett s.k. förhandsavgörande enligt artikel 177 i EG-fördraget.277
Detta talar för att vi i vårt betänkande bör uppehålla oss främst vid för Sverige viktiga principiella frågor och sådana delar av EG-direktivet där det finns ett visst spelrum för medlemsstaterna vid genomförandet. I de fall där det finns ett spelrum bör vi givetvis redovisa motiven för den lösning som valts och på sedvanligt sätt utarbeta en författningskommentar till den rent inhemska reglering som förordas inom ramen för vad EG-direktivet til??låter. Däremot finns det anledning för oss att vara mera restriktiva med författningskommentarer till de delar av den föreslagna lagstiftningen som ganska troget återger EG-direktivet. Anledningen härtill är givetvis risken för att EG-domstolen kan komma att tolka direktivets bestämmelser på annat sätt än vad vi har gett uttryck för i kommentarerna till den föreslagna svenska lagstiftningen.
Men det är samtidigt uppenbart att det – till dess EG-domstolen har hunnit utveckla sin praxis – kan finnas ett stort behov av vägledning för tillämpningen av de svenska genomförandebestämmelserna. Också regleringsekonomiska skäl kan tala för att viss vägledning bör ges från svenska utgångspunkter. Utan vägledning i svenska förarbeten eller av en expertmyndighet (Datainspektionen) kan det nämligen antas att snart sagt varje persondataansvarig blir tvingad att lägga ned kostnader på att göra en
275 I det följande använder vi det kortare uttrycket EG-gemensam innebörd. 276 I avsnitt 3.1.2 finns en allmän redogörelse för hur EG-direktiv skall införas. 277 Jämför härtill och för det följande prop. 1994/95:19 Del 1 s. 528 f.
egen analys och tolkning av de ganska vaga bestämmelserna. Ges det däremot viss vägledning från officiellt håll om vilka förfaringssätt som bör kunna användas, kan det antas att flertalet persondataansvariga väljer att följa råden utan att behöva lägga ned kostnader på en egen analys. Och samhällsekonomiskt sett kan den kostnadsbesparing som kan uppnås genom att analysarbetet utförs bara en gång – av de instanser som är ansvariga för genomförandet – överstiga de kostnader som skulle kunna uppkomma om det i efterhand visar sig att analysen på någon punkt var felaktig. Härtill kommer att til??lämpningen i Sverige i praktiken blir mera enhetlig om vägledning ges från officiellt håll, och en enhetlig svensk tillämpning har ett värde i sig.
I vad mån vi skall försöka oss på att ge vägledning för tillämpningen av de föreslagna bestämmelser som ganska troget återger EG-direktivet är således en avvägningsfråga; att det är en viktig uppgift för Datainspektionen att ge råd och vägledning står däremot klart. I de fall där vi ger uttryck för en tolkning av en föreslagen bestämmelse som hämtats från EG-direktivet har vi försökt att tydligt markera detta.
Vi har försökt att utforma den föreslagna lagstiftningen efter följande riktlinjer. N Följ i stort EG-direktivets struktur, om inte särskilda skäl talar för något
annat. N Gör en nära efterbildning av direktivets text när använda uttryck kan
antas ha en EG-gemensam innebörd, om inte särskilda skäl talar för något annat. N Koncentrera redovisningen av motiv och författningskommentarer till
för Sverige principiellt viktiga frågor och sådana delar där EG-direktivet lämnar ett visst spelrum vid genomförandet. N Markera tydligt när uttalanden görs om innebörden av en bestämmelse
som kan antas ha en EG-gemensam innebörd.
12.1.2. Regeringen eller Datainspektionen kan precisera lagreglerna
Som tidigare nämnts innehåller EG-direktivet ett antal huvudregler som måste införas. Exempelvis är behandling av personuppgifter bara tillåten om någon av sex förutsättningar är uppfyllda (artikel 7). De flesta av dessa förutsättningar är mycket allmänt hållna. På motsvarande sätt förhåller det sig med andra huvudregler och principer som måste införas, t.ex. när det
gäller allmänna krav på uppgiftsbehandlingen, behandling av känsliga personuppgifter och anmälningsskyldighet.
Direktivet innehåller således generella regler som behöver preciseras och konkretiseras för att ge vägledning för de persondataansvariga och andra som har att tillämpa reglerna. Det kan gälla överväganden om t.ex. i vilka konkreta fall N viktiga allmänna intressen gör det befogat att känsliga personuppgifter
behandlas trots det generella förbudet mot behandling av sådana uppgifter (artikel 8.4) och N den intresseavvägning som kan ske enligt artikel 7 f utfaller till förmån
för att uppgiftsbehandling skall tillåtas.
Såsom närmare utvecklas i avsnitt 12.12 anser vi att det inte är lämpligt att behålla ett omfattande och byråkratiskt tillståndssystem, där Datainspektionen i varje enskilt fall beslutar om en behandling skall tillåtas och vilka villkor som skall gälla för den.
Att de generella huvudreglerna och principerna samt de likaledes ofta generellt utformade undantagsmöjligheterna införs i den nya persondatalagen är enligt vår mening både naturligt och nödvändigt. Däremot är det som vi ser det inte lämpligt att tynga lagtexten med den nödvändiga detaljregleringen och konkretiseringen. Den korta utredningstiden om drygt ett år har vidare gjort det omöjligt för oss att identifiera t.ex. alla områden där det kan vara befogat att behandla känsliga personuppgifter. Det kan också nämnas att Datainspektionen, trots sin mångåriga erfarenhet av tillämpningen av den nuvarande datalagen, inte har förmått utfärda förenklade regler för mer än ett mindre antal områden, och att Datalagsutredningen, som arbetade i omkring fyra år, inte heller lämnade förslag till särskilt konkreta regler. Härtill kommer att den avvägning och konkretisering som kan göras i dag naturligen måste omprövas i takt med samhällsutvecklingen och när nya typer av behandlingar uppträder. En ordning som innebär att varje liten justering i regelverket kräver en sedvanlig lagstiftningsprocess via regering och riksdag framstår därför som onödigt omständlig och ohanterlig. Den persondatalag som vi föreslår innehåller för övrigt fler materiella regler än den nuvarande datalagen, vilken utgår från att Datainspektionen mer eller mindre självständigt skall bestämma för vilka ändamål personregistrering är tillåten och vilka villkor som skall gälla för registreringen.
Vår slutsats är att det inte finns någon annan möjlighet än att lita till att regeringen och Datainspektionen inom den ram som den föreslagna persondatalagen drar upp preciserar och konkretiserar regleringen.
Svenska bestämmelser som inför EG-direktivet måste träda i kraft senast den 24 oktober 1998, men det är beträffande behandlingar som redan pågår då möjligt att vänta i ytterligare tre år med att tillämpa de nya reglerna, se närmare avsnitt 12.15. Detta ger regeringen och Datainspektionen en viss respit för att utarbeta en kompletterande reglering. För behandlingar som påbörjas efter ikraftträdandet måste emellertid de nya reglerna tillämpas genast. Problem beträffande sådana behandlingar bör dock kunna lösas genom att Datainspektionen i förekommande fall och med tillräcklig skyndsamhet utfärdar nödvändiga föreskrifter avsedda att gälla bara till dess en mera heltäckande reglering kunnat utarbetas.
Författningstekniska aspekter
I detta sammanhang bör en del författningstekniska aspekter beröras. Bakgrunden är följande.
Bestämmelserna i EG-direktivet är till stor del offentligrättsliga till sin karaktär. De innebär att medlemsstaterna skall införa föreskrifter om förhållandet mellan enskilda och det allmänna, som gäller åligganden för enskilda, t.ex. persondataansvariga inom den privata sektorn. Emellertid innehåller EG-direktivet också bestämmelser som är privaträttsliga till sin karaktär och avser att reglera personliga och ekonomiska förhållanden mellan enskilda. Medlemsstaterna skall sålunda föreskriva att den som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av direktivet har rätt till ersättning av den persondataansvarige (artikel 23.1). Medlemsstaterna skall också föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling (artikel 22).
I 8 kap. regeringsformen finns bestämmelser om hur lagar och andra föreskrifter skall beslutas, vilka i huvudsak innebär att privaträttsliga föreskrifter alltid måste beslutas av riksdagen genom lag medan riksdagen har vissa möjligheter att delegera föreskriftsrätten i fråga om offentligrättsliga regler; regeringen har dock alltid rätt att besluta föreskrifter om verkställighet av lag. Vad som nu sagts gör det befogat att närmare analysera hur det tilltänkta systemet med grundläggande regler i persondatalagen och
preciseringar i regeringsförordningar eller myndighetsföreskrifter förhåller sig till regeringsformen (och EG-direktivet).
2 kap. 3 § andra stycket regeringsformen
I 8 kap. 1 § regeringsformen finns en erinran om att det av bestämmelserna i 2 kap. regeringsformen följer att föreskrifter av visst slag får meddelas endast genom lag. I 2 kap. 3 § andra stycket finns som nämnts en bestämmelse om att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling. Av förarbetena framgår emellertid att lydelsen av grundlagsregeln har utformats så att det skall stå klart att regeln inte hindrar regeringen, andra myndigheter eller kommuner att meddela dataskyddsbestämmelser.278 Efter införandet av regeln i 2 kap. 3 § andra stycket har i regeringsformen också införts en möjlighet för riksdagen att till regeringen (eller den myndighet som regeringen bestämmer) delegera rätten att meddela föreskrifter om skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling, varvid regeln i 2 kap. 3 § andra stycket inte ansetts hindra sådan delegation.279 Däremot innebär regeln i 2 kap. 3 § andra stycket enligt förarbetena att riksdagen måste vara aktiv genom att stifta och vidmakthålla en dataskyddslagstiftning som utgör en verklig och allvarligt menad skyddslagstiftning.280
Vår slutsats är att reglerna i 2 kap. 3 § andra stycket och 8 kap. 1 §regeringsformen inte hindrar att regeringen och Datainspektionen ges behörighet att närmare precisera och konkretisera regleringen i persondatalagen, som bör uppta de grundläggande huvudreglerna och principerna.
Föreskrifter om enskildas personliga ställning
Enligt 8 kap. 2 § regeringsformen skall föreskrifter om enskildas personliga ställning samt om deras personliga och ekonomiska förhållande inbördes meddelas genom lag. Sådana privaträttsliga föreskrifter tillhör det obligatoriska lagområdet, och riksdagen får inte delegera föreskriftsrätten inom detta område.
278 Se prop. 1987/88:57 s. 11. 279 Se prop. 1993/94:116 s. 15. 280 Se prop. 1987/88:57 s. 11.
Av det förhållandet att en delegationsmöjlighet faktiskt har införts – och utnyttjats – beträffande föreskrifter om skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling kan enligt vår mening den slutsatsen dras att föreskrifter om skydd för personlig integritet vid behandling av personuppgifter inte kan anses röra ”enskildas personliga ställning” i den mening som avses i 8 kap. 2 §.
Privaträttsliga föreskrifter
Gränsdragningen mellan privaträttsliga föreskrifter (där lagformen är obligatorisk) och offentligrättsliga föreskrifter (där riksdagen i vissa fall kan delegera föreskriftsrätten) har nyligen analyserats i ett lagstiftningsärende om genomförande av EG-direktiv på finansmarknadsområdet.281 Den slutsats som godtogs i det ärendet får i korthet anses innebära att gränsdragningen bör kunna ske efter vem som kan åberopa föreskrifterna och vilka sanktioner som är omedelbart förknippade med ett brott mot dem. Föreskrifter som enskilda kan (med framgång) direkt åberopa mot andra enskilda i domstol och som kan leda till att någon enskild förpliktas betala pengar – t.ex. skadestånd – till någon annan enskild torde med det synsättet vara att anse som privaträttsliga. Det torde vara just sådana – privaträttsliga – föreskrifter som avses i artikel 22 och 23.1 i EG-direktivet.
Verkställighetsföreskrifter
Enligt 8 kap. 13 § regeringsformen kan regeringen – eller den myndighet till vilken regeringen överlåter uppgiften – besluta föreskrifter om verkställighet av lag i fråga om såväl privaträttsliga som offentligrättsliga lagregler. Departementschefen anförde i förarbetena rörande verkställighetsföreskrifter282:
Med föreskrifter om verkställighet av lag bör enligt min mening i första hand förstås tillämpningsföreskrifter av rent administrativ karaktär. I viss utsträckning torde det emellertid vara ofrånkomligt att tillåta, att regeringen med stöd av sin behörighet att besluta verkställighetsföreskrifter i materiellt hänseende ”fyller ut” en lag, även om lagen i och för sig skulle befinna sig inom det obligatoriska lagområdet. En förutsättning för att regeringen skall
281 Se prop. 1994/95:50 s. 283 ff. och 602 ff. och numera också SOU 1996:157 s. 139 ff. Jämför Hans Cappelen-Smith, ”Behöver lagstiftningen om emissionsprospekt reformeras?” i SvJT 1996 s. 205 ff. 282 Prop. 1973:90 s. 211.
få göra detta måste emellertid vara, att den lagbestämmelse som skall kompletteras är så detaljerad att regleringen inte tillförs något väsentligt nytt genom den av regeringen beslutade föreskriften. I verkställighetsföreskriftens form får således inte beslutas om något som kan upplevas som ett nytt åliggande för enskilda eller om något som kan betraktas som ett tidigare ej föreliggande ingrepp i enskildas personliga eller ekonomiska förhållanden.
Behörigheten att meddela verkställighetsföreskrifter har nyligen analyserats av Anders Hultqvist i en doktorsavhandling rörande legalitetsprincipen vid inkomstbeskattning.283 Av den analysen framgår att den ganska sparsamma rättspraxis som förekommer inte uppvisar någon klar bild och att meningarna i den juridiska litteraturen är delade när det gäller krav på hur detaljerad lagregeln måste vara och hur långtgående precisering som kan tillåtas genom verkställighetsföreskrifter. Enligt Anders Hultqvist förefaller det rimligast att göra bedömningen rättsområde för rättsområde och att till och med skilja på olika reglers karaktär inom ett visst rättsområde.
Redovisningskommittén har också nyligen berört frågan.284Kommittén konstaterar att det inte framgår klart av regeringsformen eller dess förarbeten hur långt regeringens rätt att meddela verkställighetsföreskrifter som fyller ut en lag sträcker sig. Det framstår som i viss mån osäkert vilken grad av precision hos lagregeln som bör krävas. Enligt kommittén torde en rimlig tolkning kunna vara att den lagregel som skall kompletteras anger någon princip som skall vara vägledande vid utformningen av verkställighetsföreskriften.285
Offentligrättsliga föreskrifter och föreskrifter rörande kommuner
Enligt 8 kap. 3 § regeringsformen skall (offentligrättsliga) föreskrifter om förhållandet mellan enskilda och det allmänna, som gäller åligganden för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden, meddelas genom lag. I lag skall också – enligt 8 kap. 5 § regeringsformen – meddelas föreskrifter om kommunernas åligganden.
283 Anders Hultqvist, Legalitetsprincipen vid inkomstbeskattningen, 1995, s. 129 ff. I avhandlingen finns en grundlig genomgång av förarbeten, praxis och doktrin, till vilken genomgång kan hänvisas för en utförligare bakgrundsbeskrivning. Se också Håkan Strömberg, Normgivningsmakten enligt 1974 års regeringsform, Andra upplagan, 1989, särskilt s. 131 ff. och 186 ff. 284 SOU 1994:17 Del I s. 112 f. och SOU 1996:157 s. 143 f. 285 Samma resonemang för Håkan Strömberg, se Normgivningsmakten enligt 1974 års regeringsform, Andra upplagan, 1989, s. 153.
På dessa områden kan riksdagen genom lag bemyndiga regeringen att meddela föreskrifter i vissa ämnen som räknas upp i 8 kap. 7 § regeringsformen, och riksdagen kan i samband med bemyndigandet också gå med på att regeringen överlåter åt någon förvaltningsmyndighet att meddela bestämmelser i ämnet (8 kap. 11 §). Ett ämne beträffande vilket riksdagen kan delegera sin föreskriftsrätt är ”skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling”.
Föreskrifter för statsförvaltningen
För fullständighets skull bör också nämnas att regeringen enligt 8 kap. 13 § regeringsformen får besluta föreskrifter som inte enligt grundlag skall meddelas av riksdagen och att regeringen därvid också får överlåta åt någon myndighet under regeringen att meddela föreskrifter i ämnet. Det kan t.ex. gälla föreskrifter om de dataregister som en statlig myndighet skall föra. I den mån riksdagen har meddelat oavviklig lag i ämnet gäller dock lagen framför regeringsförordningar och myndighetsföreskrifter. Detta följer om inte annat av den formella lagkraftens princip.
Vår bedömning
Enligt EG-direktivet skall en åtgärd som är oförenlig med de svenska bestämmelser som har antagits till följd av direktivet kunna grunda skadeståndsskyldighet mellan enskilda (artikel 23.1), vilket enskilda skall kunna föra talan om mot varandra inför domstol (artikel 22). Av regeringsformen följer att (privaträttsliga) föreskrifter om skadeståndsskyldighet mellan enskilda ovillkorligen skall ges i lag. I vårt förslag till persondatalag har därför upptagits en bestämmelse om ersättningsskyldighet för skada som en behandling av personuppgifter i strid med lagen eller föreskrifter som meddelats med stöd av lagen fört med sig. Enligt vår mening får en sådan bestämmelse anses uppfylla såväl EG-direktivets krav på sanktioner mellan enskilda som regeringsformens krav på att sådana skadeståndsbestämmelser skall ha lagform.
Avsikten är att persondatalagen skall innehålla alla grundläggande regler, principer och undantagsmöjligheter och att regeringen och Datainspektionen inom den ramen – och vad EG-direktivet tillåter och kräver – skall närmare precisera regleringen. Detta kan till viss del ske genom verkställighetsföreskrifter. De principer som skall vara vägledande vid utformningen av verkställighetsföreskrifterna har ju slagits fast i lagen; de bindande principerna finns för övrigt redan i EG-direktivet. Enligt vår
mening bör vidare utrymmet för verkställighetsföreskrifter vara något större än normalt på sådana rättsområden där det finns förhållandevis detaljerade EG-direktiv som lämpligen bör införlivas genom en lag kompletterad med författningar av lägre valör. Regleringen på arbetsmiljöområdet torde vara ett exempel på detta. Det sagda torde gälla särskilt i fråga om EG-direktiv som inte är av minimikaraktär; EG-direktivet fastställer då exakta ramar för lagen och författningarna av lägre valör, varför det inte verkar finnas någon beaktansvärd risk för att verkställighetsföreskrifterna går utöver lagen. Härtill kommer att det på nu berörda områden finns ett stort behov av verkställighetsföreskrifter för att kunna behålla den svenska lagstiftningstraditionen med förhållandevis kortfattad lagtext samtidigt som skyldigheterna gentemot EU uppfylls.
Här bör tilläggas att EG-direktivet inte bara innehåller generella regler som kan behöva konkretiseras. Det innehåller också regler med mycket hög konkretion, t.ex. bestämmelser om vad en anmälan till tillsynsmyndigheten skall innehålla och vilken information som skall lämnas till den registrerade. Sådana detaljregler av närmast administrativ karaktär brukar i Sverige normalt finnas inte i lag utan i verkställighetsföreskrifter i en anslutande förordning eller i någon myndighetsföreskrift. Vi anser att den metoden bör användas även på detta område och att lagtexten således inte bör tyngas med alla de detaljregler som finns i direktivet.
I vissa fall förordar vi en behörighet för regeringen och Datainspektionen som går längre än till att meddela verkställighetsföreskrifter. Regeringen bör exempelvis under vissa angivna förutsättningar kunna föreskriva undantag från förbudet mot att behandla känsliga personuppgifter och skyldigheten att anmäla alla automatiska behandlingar till Datainspektionen. Det krävs alltså att föreskriftsrätten delegeras. I fråga om offentligrättsliga föreskrifter och föreskrifter om kommunernas åligganden är det möjligt för riksdagen att delegera föreskriftsrätten i de ämnen som anges i 8 kap. 7 § regeringsformen. Ett av dessa ämnen är ”skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling”. Det är emellertid nödvändigt att delegationen kan omfatta all behandling som den föreslagna persondatalagen skall reglera, också t.ex. manuell behandling av personregister. Vi föreslår därför att bestämmelsen i regeringsformen samordnas med tillämpningsområdet för den föreslagna persondatalagen på det sättet att det blir möjligt att delegera föreskriftsrätt i
fråga om ”skydd för personlig integritet vid behandling av personuppgifter”.286
Det bör tilläggas att regeringen och Datainspektionen vid sin precisering och konkretisering av lagregleringen givetvis har att hålla sig inom den ram som EG-direktivet ställer upp. Av 27 § verksförordningen (1995:1322) följer vidare bl.a. att Datainspektionen i samband med att föreskrifter beslutas måste lämna de som berörs tillfälle att yttra sig.287 Något motsvarande gäller för regeringen enligt 7 kap. 2 § regeringsformen; av vad som anförs i avsnitt 8.2.3 framgår att regeringen bör höra Datainspektionen när förordningar om skydd för personlig integritet vid behandling av personuppgifter utarbetas.
I den mån regeringen eller Datainspektionen inte meddelat detaljföreskrifter har t.ex. persondataansvariga att hålla sig till den generellt utformade lagtexten. Persondataansvariga och andra får således i första hand själva göra den nödvändiga avvägningen innan detaljföreskrifter har hunnit utfärdas. Datainspektionen bör ha ett särskilt ansvar för att ge råd och stöd för tillämpningen av lagen, och vad lagen har för innebörd kan alltid slutligen avgöras i domstol.
Hänvisningar till S12-1-2
- Prop. 1997/98:44: Avsnitt Författningskommentar till 50 § personuppgiftslag
12.2. Begrepp som används
I inledningen av persondatalagen bör det tas in definitioner av vissa grundläggande begrepp som används i lagen, t.ex. personuppgift och persondataansvarig. Avsikten är att de begrepp som används i den föreslagna svenska lagen skall ha samma innebörd som begreppen i EG-direktivet.
Hänvisningar till S12-2
- Prop. 1997/98:44: Avsnitt Författningskommentar till 3 § personuppgiftslag
12.2.1. Inledning
I EG-direktivet definieras inledningsvis (artikel 2) vissa använda begrepp som är av grundläggande betydelse för förståelsen av direktivets be-
286 Datalagsutredningen lämnade samma förslag till ändring av regeringsformen. 287 Dessa bestämmelser i verksförordningen har nyligen berörts i en doktorsavhandling, se Robert Påhlsson, Riksskatteverkets rekommendationer – Allmänna råd och andra uttalanden på skatteområdet, 1995, särskilt avsnitt 4.3.4, 5.2.1 och 5.3.4.
stämmelser. Definitionerna kan också sägas i viss mån bestämma direktivets tillämpningsområde.
Det förefaller lämpligt att inleda även persondatalagen med definitioner av använda begrepp. På det sättet slipper man bl.a. tyngande omskrivningar i de följande paragraferna.
De begrepp som används i EG-direktivet har som vi ser det i de flesta fall en EG-gemensam innebörd. Av den anledningen bör definitionerna i persondatalagen nära knyta an till texten i EG-direktivet. Avsikten är att definitionerna i den föreslagna lagen skall ha exakt samma innebörd som enligt direktivet. För att så långt möjligt klä den föreslagna lagtexten i en språkdräkt som är i överensstämmelse med svensk lagstiftningstradition har vi dock valt att i en del fall använda ett något förkortat uttryckssätt utan att någon saklig skillnad är avsedd.
I den officiella svenska översättningen av EG-direktivet används beteckningen registeransvarig för den som bestämmer över behandlingen av personuppgifter. Vi har valt att i den föreslagna lagen i stället använda beteckningen persondataansvarig, eftersom denna beteckning bättre beskriver vad det är fråga om, nämligen någon som är ansvarig för behandling av personuppgifter (”persondata”) oavsett om de (automatiskt) behandlade uppgifterna ingår i ett register.
I den officiella svenska översättningen av direktivet används vidare beteckningen registerförare för den som för den persondataansvariges räkning behandlar personuppgifter. Vi har här valt att i stället använda beteckningen persondatabiträde, eftersom biträdet (”föraren”) kan hjälpa till att (automatiskt) behandla även personuppgifter som inte ingår i ett register.
I följande uppställning framgår hur de uttryckssätt som vi har valt i den föreslagna persondatalagen förhåller sig till EG-direktivets ordalydelse.
Begrepp Persondatalagen EG-direktivet Behandling (av personuppgifter)
Varje åtgärd som vidtas beträffande personuppgifter.
Varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
Blockering (av personuppgifter)
Varje åtgärd som kan vidtas för att personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.
–
Den registrerade
Den som en personuppgift avser.
Se Personuppgifter.
Känsliga personuppgifter
Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv.
Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.
Begrepp Persondatalagen EG-direktivet Mottagare
Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som åligger den, anses dock inte myndigheten som mottagare.
Den fysiska eller juridiska person, den myndighet, den institution eller det andra organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare.
Persondataansvarig (registeransvarig)
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen och medlen för behandlingen bestäms av nationella lagar och andra författningar eller av gemenskapsrätten kan den registeransvarige eller de särskilda kriterierna för att utse honom anges i nationell rätt eller i gemenskapsrätten.
Persondatabiträde (registerförare)
Den som behandlar personuppgifter för den persondataansvariges räkning.
Den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning.
Begrepp Persondatalagen EG-direktivet Personuppgifter
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Register (med personuppgifter)
Varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Samtycke
Varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.
Varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.
Tillsynsmyndigheten
Den myndighet som regeringen utser.
En eller flera (utsedda) myndigheter som har till uppgift att inom en medlemsstats territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.
Tredje land
En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
–
Begrepp Persondatalagen EG-direktivet Tredje man
Någon annan än den registrerade, den persondataansvarige, persondatabiträdet och sådana personer som under den persondataansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla personuppgifter. Ett sådant persondataombud som avses i 41 § anses inte som tredje man.
Den fysiska eller juridiska person, den myndighet, den institution eller det andra organ än den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna.
I den föreslagna lagen används också begreppet persondataombud för att beteckna en av den persondataansvarige utsedd person med vissa befogenheter. Bestämmelserna om sådana ombud berörs närmare i avsnitt 12.12.2.4.
Eftersom de använda begreppen verkar ha en EG-gemensam innebörd som ytterst bestäms av EG-domstolen, bör vi vara återhållsamma med kommentarer. Något bör dock sägas.
12.2.2. Behandling av personuppgifter
Begreppet behandling av personuppgifter omfattar som synes alla åtgärder som vidtas beträffande sådana uppgifter. Så snart personuppgifter på något sätt hanteras är det som vi ser det fråga om en behandling som faller under den föreslagna lagen och direktivet, om behandlingen är automatisk eller avser ett manuellt personregister.
Begreppet behandling är således inte särskiljande i den meningen att det kan användas för att skilja ut vissa hanteringsformer som inte omfattas av den föreslagna lagen eller direktivet; alla former av hantering omfattas.
12.2.3. Blockering
I själva direktivet finns det inte någon definition av begreppet blockering. Definitionen i den föreslagna lagen har i stället utformats mot bakgrund av vad kommissionen anfört i sina förklaringar till direktivförslaget, se avsnitt 3.10.3. Frågan om blockering berörs också i avsnitt 12.8.2.6.
I avsnitt 9.3 har frågan om hur blockering förhåller sig till offentlighetsprincipen berörts.
12.2.4. Känsliga personuppgifter
Definitionen av känsliga personuppgifter i den föreslagna persondatalagen anknyter nära till EG-direktivet. Definitionen av känsliga personuppgifter berörs närmare i avsnitt 12.5.3.2.
12.2.5. Mottagare och tredje man
Begreppet mottagare omfattar i princip samtliga till vilka personuppgifter lämnas ut, även om den som tar emot uppgifterna inte skulle vara tredje man. Även den registrerade, persondatabiträdet och sådana personer som under den persondataansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla personuppgifter verkar således kunna betraktas som mottagare.
I förhållande till EG-direktivet har i den föreslagna lagtexten gjorts den preciseringen beträffande begreppet tredje man att det inte omfattar ett av den persondataansvarige utsett persondataombud.
Begreppet tredje man används i EG-direktivet, och det får anses vedertaget inom juridiken. Olika omskrivningar av detta begrepp – såsom ”tredje person” eller ”utomstående” – kan lätt leda tanken fel. Vi har därför valt att i den föreslagna persondatalagen använda begreppet tredje man, trots att det inte är så könsneutralt som man kunde önska.
När det gäller begreppet mottagare bör noteras att myndigheter som får del av personuppgifter för att kunna utföra vissa uppdrag inte anses som mottagare. Detta innebär bl.a. att den persondataansvarige inte behöver lämna de registrerade information om att uppgifterna har lämnats ut eller kan komma att lämnas ut till myndigheter för sådana uppdrag (artikel 10– 12). Därmed kan revision och kontroll utföras effektivt och utan de registrerades vetskap. En myndighet som på detta sätt tar emot uppgifter är dock att anse som tredje man. Den persondataansvarige måste därför enligt artikel 12 c underrätta myndigheten om utlämnade uppgifter rättas, utplånas eller blockeras till följd av att det visar sig att uppgifterna är felaktiga, missvisande eller ofullständiga eller på något annat sätt inte har behandlats enligt lagen och direktivet (se avsnitt 12.8.3).
En annan fråga som bör anmärkas i detta sammanhang är om den myndighet som i samband med tillsyn, kontroll eller revision eller av annan anledning beordrar behandling av personuppgifter hos en persondataansvarig – eller själv behandlar mottagna (eller beslagtagna) personupp-
gifter i sådant syfte – blir att anse som persondataansvarig. Det beror på en tolkning av begreppet persondataansvarig.
12.2.6. Persondataansvarig och persondatabiträde
Enligt EG-direktivet är den persondataansvarig som själv eller tillsammans med annan bestämmer ändamålen med och medlen för behandlingen. När exempelvis en tillsynsmyndighet beordrar en viss behandling av personuppgifter hos t.ex. ett persondataansvarigt företag, kan det företaget inte gärna anses bestämma ändamålen med och medlen för behandlingen. Det gör i stället myndigheten. Detsamma gäller när en myndighet på ett eller annat sätt har tagit om hand behandlade personuppgifter, t.ex. vid beslag av ett personregister. Det sagda talar för att myndigheten som regel bör anses som persondataansvarig för de behandlingar som beordras.
Emellertid tillåter EG-direktivet att det i nationell lagstiftning anges vem som är persondataansvarig när ändamålen med och medlen för behandlingen bestäms av den nationella lagstiftningen. Detta innebär enligt vår mening att det är tillåtet att i den särskilda lagstiftning som bemyndigar myndigheten att företa tillsyn, kontroll, revision eller andra relevanta åtgärder också peka ut vem som är persondataansvarig för den behandling som sker inom ramen för tillsynen, kontrollen, revisionen och så vidare – myndigheten eller den persondataansvarige hos vilken åtgärden vidtas.288Enligt vår mening är det den vägen man bör lösa frågan, dvs. genom en uttrycklig bestämmelse i den särskilda lagstiftning som reglerar den aktuella åtgärden. Det är nämligen svårt att hitta en regel som fungerar i alla de olika sammanhang som en kontrollåtgärd eller liknande kan bli aktuell. Av vad som tidigare sagts framgår att mycket talar för att den myndighet som t.ex. beordrar en behandling kommer att anses som persondataansvarig, om inte annat anges i den lagstiftning som reglerar åtgärden.
En annan fråga som berör begreppet persondataansvarig är om den som inte har rättslig eller faktisk möjlighet att ändra de uppgifter som ingår i en persondatasamling som han eller hon innehar eller annars kommer åt kan
288 En myndighets behandling för kontrolländamål eller liknande av personuppgifter hos någon annan torde för övrigt ofta vara oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in (artikel 6 b) och därför under alla förhållanden kräva undantagsregler i särskild lagstiftning (se artikel 13 som tillåter sådana undantag i vissa fall). Härtill kommer givetvis att den maktutövning gentemot enskilda som här avses alltid torde behöva ha författningsstöd.
anses som persondataansvarig. Det kan t.ex. gälla den som söker uppgifter i en databas över ett nätverk eller den som köper en diskett eller cd-romskiva med personuppgifter. Innehavare av telefonkatalogen eller statskalendern är andra exempel. Det karakteristiska är här att någon har rätt att komma åt uppgifterna och t.ex. söka bland dem, men inte självständigt ändra, komplettera eller radera uppgifterna. Enligt vår mening talar mycket för att den som bara har sådan begränsad tillgång till uppgifterna inte kan anses ha sådan bestämmanderätt över ändamålen med och medlen för behandlingen att han eller hon kan anses som persondataansvarig. Om den aktuella personen – med eller utan rättslig befogenhet – faktiskt börjar bestämma över ändamålen med och medlen för behandlingen, t.ex. genom att ändra, komplettera eller radera bland uppgifterna, får han eller hon däremot anses som persondataansvarig. Av vad som sägs i avsnitt 7.2.4 framgår att rent privat användning av personuppgifter dock faller utanför den föreslagna lagen.
I punkt 47 i ingressen till EG-direktivet berörs frågan vem som är persondataansvarig för personuppgifter i ett meddelande som förmedlas av någon som sysslar med telekommunikation eller elektronisk post (se avsnitt 3.2.2.5). Av vad som sägs där framgår att det normalt är avsändaren av meddelandet och inte förmedlaren som är att anse som persondataansvarig. Däremot blir förmedlaren normalt att anse som persondataansvarig för de personuppgifter som han eller hon lägger till för att kunna förmedla meddelandet.
Av EG-direktivet följer att det för en och samma uppgiftsbehandling kan finnas två eller flera persondataansvariga. För att någon skall anses som persondataansvarig räcker nämligen att han eller hon tillsammans med andra kan bestämma ändamålen med och medlen för behandlingen. I EGdirektivet finns inga egentliga riktlinjer för bedömningen av när en respektive flera skall anses vara persondataansvariga för en och samma behandling.289 Frågan är därför svårbedömd.
289 Jämför vad som refereras i avsnitt 3.2.2.7 från kommissionens förklaring till direktivförslaget.
Flera personer, företag, myndigheter och filialer kan samarbeta i någon mer eller mindre sammanhållen organisation som sysslar med behandling av personuppgifter: N Dörrförsäljare, försäkringsmäklare eller andra fristående företagare kan
samla in uppgifter för vidareförmedling till en huvudman, t.ex. en symaskinstillverkare eller ett försäkringsbolag. N En radiohandlare kan med hjälp av ett försäkringsbolag i eget namn er-
bjuda försäkring avseende sålda varor, varvid radiohandlaren samlar in uppgifter från kunderna för vidareförmedling till försäkringsbolaget. N En resebyrå samlar in personuppgifter för vidareförmedling till olika
transportföretag, hotell etc. N En bank eller ett försäkringsbolag har flera filialer runt om i landet som
samlar in personuppgifter. N Dotterbolag i en koncern kan behöva föra insamlade personuppgifter
vidare till moderbolaget, t.ex. rörande anställda eller kunder.
I dessa – och andra – fall kan man fråga sig vem eller vilka som är persondataansvariga respektive, med EG-direktivets terminologi, registerförare (persondatabiträde), tredje man eller mottagare. I direktivet talas också om personer som under den persondataansvariges respektive registerförarens (persondatabiträdets) direkta ansvar har befogenhet att behandla personuppgifter (artikel 2 f, jämför artikel 16); sådana personer kallas i det följande för ”medhjälpare”. Något entydigt svar kan inte utläsas av EGdirektivet.
Enligt vår mening är det möjligt att resonera på följande sätt. När en juridisk person eller en myndighet bedriver en viss uppgiftsbehandling, bör den juridiska personen eller myndigheten anses som persondataansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter. Som huvudregel bör bara fysiska personer, juridiska personer, utländska filialer eller myndigheter i Sverige kunna betraktas som persondataansvariga, inte några andra ”organ” (som saknar rättskapacitet). Ett undantag måste kanske göras för det fallet att ett organ, som är en gren av en utländsk juridisk person, skall anses ”etablerad” i Sverige. Det territoriella tillämpningsområdet för den föreslagna lagen berörs närmare i avsnitt 12.3; där framgår vidare att vad som sägs i den föreslagna lagen om den persondataansvarige skall tillämpas också på den företrädare som en utländsk persondataansvarig har utsett.
Den som är anställd och inom ramen för arbetsgivarens verksamhet behandlar personuppgifter bör inte kunna anses som persondataansvarig; ar-
betsgivaren är då den persondataansvarige och den anställde en medhjälpare. Frågan om någon – en fysisk person som är självständig företagare, en juridisk person eller en myndighet – som inte är anställd hos den persondataansvarige kan betraktas som medhjälpare är svår att besvara.
Medhjälpare är sådana personer som behandlar personuppgifter under den persondataansvariges ”direkta ansvar” (artikel 2 f), och persondatabiträden är sådana personer som behandlar personuppgifter ”för den persondataansvariges räkning” (artikel 2 e). Men den persondataansvarige torde ha t.ex. skadeståndsansvar gentemot den registrerade även för vad ett persondatabiträde kan företa sig (artikel 23). När det gäller medhjälpare talas det bara om ”personer”, medan det beträffande persondatabiträde framgår att såväl fysiska som juridiska personer avses. Såväl medhjälpare som persondatabiträden får (som huvudregel) bara behandla personuppgifter enligt instruktion från den persondataansvarige (artikel 16). Mellan den persondataansvarige och persondatabiträdet skall det finnas ett skriftligt avtal med visst innehåll (artikel 17.3–4), och det finns vissa regler om den persondataansvariges val av persondatabiträde (artikel 17.2). Några motsvarande regler finns inte beträffande medhjälpare.
Enligt vår mening finns det en hel del som talar för att som huvudregel bara fysiska personer enligt direktivet kan betraktas som medhjälpare och att dessa personer måste ha en sådan osjälvständig ställning som i Sverige utmärker arbetstagare. Om en persondataansvarig anlitar en självständig företagare, en juridisk person eller en myndighet för att utföra behandling av personuppgifter, framstår det således inte som osannolikt att den anlitade kommer att betraktas antingen som persondatabiträde eller som persondataansvarig (tillsammans med den som lämnade uppdraget). Huruvida den anlitade blir att betrakta som persondatabiträde eller persondataansvarig verkar närmast hänga samman med om han eller hon har befogenhet att självständigt eller tillsammans med den som lämnade uppdraget bestämma över hur uppgiftsbehandlingen skall ske, t.ex. söka bland uppgifterna.
Den behandling som sker inom ramen för en koncern kan möjligen utgöra ett undantag från vad som nu sagts. Av vad som sägs i punkt 19 i ingressen verkar nämligen framgå att en enda persondataansvarig kan bedriva verksamhet genom självständiga juridiska personer, t.ex. dotterbolag, i flera olika stater.
12.2.7. Personuppgifter och den registrerade
Med personuppgift avses enligt EG-direktivet varje upplysning som avser en fysisk person som är identifierad eller som kan identifieras. Av de uttalanden som tagits till rådets protokoll i samband med att den gemensamma ståndpunkten beträffande direktivet antogs framgår att medlemsstaterna kan bestämma om uppgifter om avlidna personer skall omfattas av den nationella lagstiftningen (se avsnitt 3.2.2.2).
Vi anser att möjligheten att begränsa tillämpningen av lagen till att avse bara uppgifter om personer som är i livet bör utnyttjas.290 Reglerna i den föreslagna lagen är nämligen så långtgående att de bör reserveras för de fall där behovet av skydd för personlig integritet beträffande behandling av uppgifter om den berörde är mest uttalat, nämligen när det gäller den som är levande och som själv kan ha ett eget anspråk på personlig integritet i detta hänseende. De regler som förutsätter att den registrerade har lämnat sitt samtycke eller som innebär att den registrerade skall informeras skulle vidare i vissa fall bli svåra att tillämpa beträffande den som inte lever. Det skulle enligt vår mening krävas flera särregler i lagstiftningen beträffande uppgifter om den som inte lever. Behovet av skydd beträffande uppgifter om icke levande är som vi ser det inte så uttalat att sådana särregler bör införas. 291
Uppgifter om den som enligt svensk rätt skall betraktas som avliden292eller som ännu icke levande (född) omfattas således inte av den föreslagna lagen. Däremot omfattas givetvis uppgifter om vem som är släkt med den som är avliden eller om vem som kommer att bli förälder när ett foster föds levande, allt under förutsättning att de aktuella släktingarna är i livet.
Det kan tilläggas att en uppgift beträffande en persons arvsanlag (DNA) kan vara en uppgift som avser flera personer, eftersom denna uppgift i kombination med andra uppgifter med dagens teknik kan ge upplysningar om t.ex. den personens föräldrar och avkomma.
290 Också den brittiska regeringen avser att begränsa tillämpningsområdet för den lagstiftning som inför direktivet till levande individer, se punkt 2.2 i det brittiska diskussionsunderlaget. 291 När det gäller visst spridande av uppgifter om döda finns det för övrigt redan ett begränsat skydd genom reglerna om förtal av avliden i 5 kap. 4 § brottsbalken. 292 Se lagen (1987:269) om kriterier för bestämmande av människans död och bestämmelserna om dödförklaring i 25 kap. ärvdabalken.
Uppgifter om juridiska personer omfattas inte, även om den juridiska personen skulle råka ägas av en eller ett fåtal fysiska personer eller ha en benämning (firma) som innefattar ett personnamn. Däremot omfattas uppgifter om en enskild firma, eftersom innehavaren av en sådan firma alltid är en enda fysisk person.
Krypterade uppgifter omfattas av den föreslagna lagen så länge någon kan göra uppgifterna läsbara och därmed identifiera individer. Också sådana i sig anonyma uppgifter som gör det möjligt med s.k. bakvägsidentifikation av en fysisk person omfattas. Det krävs såvitt vi kan förstå enligt direktivet bara att en fysisk person kan identifieras med hjälp av uppgifterna, inte att den persondataansvarige själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig. Ett trafikföretag kan t.ex. registrera när ett personligt och numrerat s.k. månadskort används vid resor. Även om trafikföretaget inte registrerat vem som innehar månadskortet, kan det ändå vara fråga om en personuppgift eftersom den uppgiften kan finnas registrerad på något annat håll, t.ex. hos den skola eller socialförvaltning som delat ut kortet. Motsvarande resonemang kan för övrigt föras beträffande s.k. nätnodsadresser och liknande ”elektroniska identiteter” som den som driver en elektronisk tjänst på t.ex. Internet samlar in. Sådana uppgifter om användarna kan nämligen ofta hänföras till en individ med hjälp av uppgifter som användarens Internetleverantör har tillgång till. Det bör även påpekas att i vissa fall kan uppgifter direkt hänföras till en så begränsad grupp personer, t.ex. en handfull personer med tillgång till en och samma dator eller nätanslutning, att en enskild individ med hjälp av andra uppgifter enkelt kan identifieras och att uppgifterna då får betraktas som personuppgifter.
Det framgår inte av direktivet att kostnaden eller tidsåtgången för identifiering skulle ha någon betydelse.
Vi har valt att formulera definitionen av personuppgifter något annorlunda än i EG-direktivet. Enligt vår mening är vår formulering av definitionen – ”all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet” – mera lättbegriplig och beskrivande. Någon saklig skillnad är inte avsedd.
12.2.8. Register
Begreppet register har bara betydelse när personuppgifter behandlas manuellt. Automatisk behandling av personuppgifter omfattas nämligen av direktivet och den föreslagna lagen oavsett om uppgifterna finns i ett regis-
ter. Däremot omfattas manuell behandling av personuppgifter bara om uppgifterna ingår i – eller är avsedda att ingå i – ett register.
Ett register är en samling av personuppgifter. Det måste som vi ser det finnas uppgifter samlade om fler än en person för att det skall kunna vara fråga om ett register; en omfattande samling uppgifter om en enda person, t.ex. den som själv samlat in uppgifterna, är således inte något register. För att något skall kunna sägas vara en samling krävs vidare enligt vår mening en viss beständighet. En hög med lösa papper, t.ex. studentuppsatser, på ett skrivbord omfattas således inte, även om papperena tillfälligtvis råkar vara sorterade i bokstavsordning efter (studenternas) efternamn. Däremot krävs inte i och för sig att alla handlingar eller akter i ett register finns på ett och samma ställe. Om personuppgifter i handlingar eller akter som är utspridda, t.ex. på olika håll i landet eller inom ett företag, är tillgängliga exempelvis med hjälp av ett centralt index, kan det ändå vara fråga om ett enda register. Ett företag kan t.ex. ha ett kortregister som innehåller kundernas namn och en hänvisning till det ställe, t.ex. en filial, där kundens akt (med ytterligare personuppgifter) finns.
Uppgiftssamlingen måste vidare vara strukturerad. Därmed avses enligt vår mening att uppgifterna måste vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det skall vara fråga om ett register. Av punkt 27 i ingressen framgår att kriterierna skall avse enskilda personer. Ett manuellt register som visserligen innehåller personuppgifter men som inte är sökbart med hjälp av någon personuppgift (namn, personnummer etc.) omfattas således inte av den föreslagna lagen. Det kan t.ex. vara fråga om akter som har ordnats efter löpnummer utan möjlighet att – med hjälp av löpnumret eller eljest – söka fram uppgifter om enskilda personer. Av det förhållandet att det i den svenska, engelska, franska och tyska texten talas om kriterier i pluralis kan den slutsatsen dras att registret måste vara sökbart på mer än ett kriterium. En förteckning i bokstavsordning över personer, t.ex. hushållsdelen i telefonkatalogen, skulle således inte vara ett register, om namnet är den enda sökingången. Huruvida alla kriterier eller bara ett kriterium måste avse personuppgifter framstår som mera oklart.
I avsnitt 12.2.6 har vi berört hur man kan betrakta t.ex. innehavare av en tryckt telefonkatalog eller statskalendern.
Det kan tilläggas att begreppet register förefaller förhållandevis ändamålsenligt när det gäller att avgränsa vilka manuella behandlingar som omfattas av direktivet och den föreslagna lagen; när personuppgifter har
fästs på papper är det ganska enkelt att avgöra om papperena har strukturerats och om de papper som innehåller uppgifter om en viss person enkelt kan göras tillgängliga. I fråga om automatiskt behandlade uppgifter som finns i datorformat förefaller begreppet register däremot i dag mestadels skapa tillämpningsproblem; uppgifterna är i detta fall inte fästa vid något fysiskt, som har struktureras, och dagens teknik gör att vilka uppgifter som helst enkelt kan göras tillgängliga mer eller mindre oberoende av var de finns. Det nu sagda hindrar givetvis inte att det som faktiskt är ett regelrätt datoriserat register också kallas för det. Flertalet särskilda registerförfattningar rör ju just upprättandet och förandet av traditionella register, och registerformen har därvid ofta valts medvetet för att skapa förutsebarhet och säkerhet beträffande de uppgifter som behandlas; uppgifterna skall läggas in i ett på visst sätt strukturerat register och får tas fram bara med hjälp av vissa angivna sökkriterier.
Hänvisningar till S12-2-8
- Prop. 1997/98:44: Avsnitt Författningskommentar till 5 § personuppgiftslag
12.2.9. Samtycke
I EG-direktivet finns inledningsvis en grundläggande definition av samtycke (artikel 2 h). Definitionen har förts över till den föreslagna persondatalagen.
I de materiella reglerna i direktivet talas det sedan om ”otvetydigt” samtycke (artikel 7 a och 26.1 a) respektive ”uttryckligt” samtycke (artikel 8.2 a). Det förefaller oklart vad förstärkningsorden ”otvetydigt” och ”uttryckligt” har för materiell betydelse vid sidan av den grundläggande definitionen. Antingen har den registrerade samtyckt till behandlingen eller så har han eller hon inte gjort det; något mellanläge finns inte. I den meningen måste samtycket givetvis alltid vara ”otvetydigt”. Samtycket måste vidare alltid vara en viljeyttring från den registrerade, och den viljeyttringen måste alltid i någon mening vara ”uttrycklig”. Mot bakgrund av det sagda har vi valt att i de materiella bestämmelserna i den föreslagna persondatalagen bara tala om samtycke. Någon saklig skillnad i förhållande till EG-direktivet är inte avsedd.
Av definitionen framgår att samtycket skall vara N frivilligt, N särskilt och N informerat.
Samtycket skall också vara en N viljeyttring.
Det krävs inte att samtycket är skriftligt.
Det måste vidare vara den registrerade293 som genom viljeyttringen godtar behandlingen av personuppgifter. Det är alltså inte tillräckligt att en organisation – t.ex. en fackförening – som den registrerade tillhör godtar behandling av uppgifter om sina medlemmar; samtycket måste i den meningen vara individuellt.
Frågan om samtycket i alla lägen måste avges personligen, dvs. av den registrerade själv, är svår att besvara i avsaknad av ledning från direktivtexten. Det verkar klart att ett ombud, en ställföreträdare eller en god man kan framföra den registrerades frivilliga, särskilda och informerade viljeyttring till den persondataansvarige (eller dennes ombud). Men kan ett ombud, som fått information, genast lämna samtycke för en registrerad som inte (ännu) blivit informerad om behandlingen? Kan ett ombud eller en ställföreträdare med stöd av en generell behörighet att företräda den registrerade lämna ett ”särskilt” samtycke? Enligt vår mening bör ett ombud eller en ställföreträdare kunna lämna samtycke på den registrerades vägnar.
Av artikel 8.2 c verkar framgå att den registrerade kan vara ”rättsligt förhindrad” att lämna sitt samtycke. Detta tyder på att medlemsstaterna själva kan bestämma vilka rättsliga förutsättningar som skall finnas för att ett samtycke skall ha rättslig giltighet. Enligt vår mening bör man inte ställa upp några särskilda, rättsliga krav för att någon skall få avge ett samtycke. Ett samtycke måste, som framgått av det tidigare sagda, vara en informerad viljeyttring från den registrerade. Den som faktiskt kan tillgodogöra sig information om vad en behandling innebär och som faktiskt kan avge en frivillig viljeyttring som innebär att han eller hon godtar behandlingen bör kunna lämna ett rättsligt giltigt samtycke. Den viljeyttring som samtycket utgör är en rättshandling, men den rättshandlingen kan vidtas av vem som helst som förstår vad den innebär. Det är som vi ser det naturligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respekterar individen i den meningen att den som förstår vad det handlar om får bestämma själv.
Enligt vår mening bör föräldrar och andra ställföreträdare kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring i saken.
293 Här – och i den föreslagna lagtexten – avses i detta sammanhang med ”den registrerade” såväl en person om vilken en uppgift har registrerats som den person om vilken uppgifter avses bli registrerade (om samtycke lämnas); det har inte ansetts nödvändigt att införa någon särskild beteckning för den som avses bli registrerad.
Avsaknaden av vägledning i direktivet gör det svårt att precisera den närmare innebörden av kravet på frivillighet. Av artikel 10 c andra strecksatsen verkar framgå att det är förutsett att ett uteblivet samtycke från den registrerade kan få följder för denne; den registrerade skall dock informeras om följderna. Man kan tänka sig den situationen att samtycke till viss uppgiftsbehandling uppställs som en förutsättning för att den registrerade skall få något som han eller hon önskar eller behöver, t.ex. ett telefonabonnemang, en semesterresa, en livsnödvändig sjukvårdsbehandling, anställning, bostadsbidrag etc. Är situationen sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”; möjligen får här göras ett undantag för det fallet att det kan visas att den registrerade skulle ha lämnat samtycket även utan ”tvånget”. Också det förhållandet att en registrerad allmänt sett kan ha en underordnad eller beroende ställning i förhållande till den persondataansvarige, såsom när en arbetsgivare begär samtycke till registrering av uppgifter om arbetstagare eller arbetssökande, bör beaktas vid bedömningen av om ett samtycke har lämnats frivilligt på det sätt som EG-direktivet kräver.
Kravet på att samtycket skall vara särskilt innebär – språkligt sett – att ett generellt samtycke till uppgiftsbehandling inte godtas. Det förefaller rimligt att koppla samman kraven på information och särskilt samtycke. Den registrerade skall informeras om en eller flera tilltänkta behandlingar, och det är dessa – och inga andra – behandlingar som (det särskilda) samtycket avser.
Definitionen i direktivet av begreppet samtycke innebär att ett s.k. hypotetiskt samtycke inte kan godtas hur välgrundad gissningen (hypotesen) om den registrerades inställning till behandlingen än är.
I avsnitt 12.5.2.2 berörs den situationen att den registrerade tar tillbaka ett lämnat samtycke.
12.2.10. Tillsynsmyndigheten
Enligt vårt förslag är det regeringen som utser tillsynsmyndigheten. Regeringen har redan beslutat att utse Datainspektionen till tillsynsmyndighet enligt artikel 28 i direktivet.294 Det förefaller lämpligt att ta in en bestämmelse om att Datainspektionen är tillsynsmyndighet i en till persondatalagen anslutande förordning eller i instruktionen för Datainspektionen.
294 Regeringsbeslut 1996-01-18, Dnr Ju 96/176.
Namnet Datainspektionen förefaller för övrigt enligt vår mening ändamålsenligt för den tillsynsmyndighet som avses i den föreslagna persondatalagen.
12.2.11. Tredje land
Den föreslagna lagen och direktivet innehåller regler om överföring av personuppgifter till tredje land. Direktivet innehåller inte någon uttrycklig definition av begreppet tredje land. Vi har emellertid funnit att en uttrycklig definition i lagtexten är att föredra.
Det framgår av direktivet att med tredje land avses en stat som inte ingår i EU. Vi har erfarit att det pågår förhandlingar inom ramen för EESavtalet om en utvidgning av direktivets tillämpningsområde till att avse även EES-staterna. En sådan utvidgning är, såvitt vi erfarit, att vänta inom kort. Vi har därför valt att lämna förslag till en lagtext som utformats som om utvidgningen redan skett; skulle någon utvidgning mot förmodan inte komma till stånd innan en lag antas, måste givetvis en justering av den föreslagna lagtexten göras.
12.2.12. Automatisk respektive icke automatisk behandling
I EG-direktivet finns inte någon definition av vad som är automatisk respektive icke automatisk behandling av personuppgifter. Dessa begrepp, som är grundläggande för tillämpningen av direktivet, har en EG-gemensam innebörd.
Det står klart att behandling i datorer av personuppgifter som finns i datorformat (binär form) – inklusive överföringen av uppgifter till sådant format – som regel bör anses som automatisk behandling i direktivets mening.295 Däremot är det mera osäkert om och i vilken utsträckning direktivets regler om automatisk behandling skall tillämpas på behandling av personuppgifter som inte finns i datorformat, t.ex. bilder och ljud som lagrats i något analogt format (exempelvis på ett negativ eller ett vanligt ljud- eller
295 Jämför dock SOU 1996:88 s. 179 där det ges uttryck för den uppfattningen att sådan kameraövervakning, som bygger på digital teknik och där bild och ljud inte bevaras utan bara visas på en monitor, inte kan sägas ske med hjälp av automatisk behandling i direktivets mening.
videoband). Det står klart att ljud- och bilduppgifter avseende människor omfattas av direktivets bestämmelser.296
Själva överföringen av en människas utseende eller röst till ett vanligt (analogt) ljud- eller videoband kan i någon mening sägas ske ”automatiskt”, men det är som vi ser det inte tillräckligt för att direktivets bestämmelser om automatisk behandling skall tillämpas. Den analoga upptagningen av en människas utseende och röst kan emellertid också ske ”automatiskt” i den meningen att upptagningen påbörjas och avslutas utan att någon operatör är direkt inblandad eller närvarande, såsom vid vissa former av videoövervakning och telefonavlyssning; det är datorer eller annan apparatur som utan direkt mänsklig inblandning styr upptagningen. Det förefaller tveksamt om direktivets bestämmelser om automatisk behandling skall tillämpas på sådan behandling. Detsamma kan sägas gälla beträffande t.ex. mekaniska stämpelklockor och kassaregister som registrerar en anställds ankomst och försäljning.
Det är över huvud taget osäkert vad som avses med automatisk behandling av personuppgifter enligt EG-direktivet. Därför har vi inte tagit in någon definition av det begreppet i den föreslagna lagen. Denna osäkerhet och bristen på upplysande uttalanden i t.ex. ingressen till direktivet medför också att vi inte anser oss ha någon egentlig grund för att lämna ytterligare vägledning för tillämpningen. Den som vill vara på den säkra sidan bör enligt vår mening kunna tillämpa den föreslagna lagens bestämmelser om automatisk behandling på all behandling av personuppgifter i datorformat och sådana personuppgifter som registeras i annan form utan någon direkt mänsklig inblandning. Direktivets och den föreslagna lagens bestämmelser om automatisk behandling skall til??lämpas även om behandlingen bara delvis är automatisk.
Att det kan uppkomma särskilda svårigheter att tillämpa direktivets och den föreslagna lagens bestämmelser på ljud- och bilduppgifter står klart. Hur skall t.ex. bestämmelserna om information till den registrerade tillämpas beträffande digitala bilder som lagras i samband med butiksövervakning. Kommissionen skall särskilt undersöka tillämpningssvårigheterna och komma med lämpliga förslag (artikel 33 2 st.). Man kan hoppas att den undersökningen kommer att kasta ljus över hur direktivet skall tillämpas.
Även behandling av personuppgifter som bara delvis är automatisk omfattas av reglerna i den föreslagna persondatalagen och EG-direktivet. Om
296 Se artikel 33 andra stycket och punkt 14–17 i ingressen.
det till en samling av akter eller andra pappershandlingar med personuppgifter finns ett datoriserat index med hänvisningar till akterna eller handlingarna, uppkommer frågan om hur uppgifterna i pappershandlingarna skall betraktas.
Som vi ser saken krävs det att den automatiska delen av behandlingen – i exemplet det datoriserade indexet – omfattar personuppgifter för att det över huvud taget skulle kunna bli aktuellt att tillämpa den föreslagna persondatalagens regler om automatisk behandling. Kan man inte med hjälp av automatisk behandling söka fram uppgifter om individer i pappersmaterialet, kan det rimligen inte vara fråga om en sådan delvis automatisk behandling av personuppgifter som omfattas av den föreslagna persondatalagen och EG-direktivet.
I normalfallet torde dock det datoriserade indexet, t.ex. ett diarium eller någon annan förteckning över ärenden, vara sökbart på personuppgifter, exempelvis namnet på den som ärendet rör. Myndigheter, företag och andra organisationer har ofta – i enlighet med vedertagen administrativ praxis – delat in sin verksamhet i olika ärenden och åsatt varje ärende en unik beteckning samt antecknat den beteckningen på varje handling som hör till ett ärende. Med en vidsträckt tolkning av EG-direktivet skulle de allra flesta papper – alla papper som åsatts en ärendebeteckning – i en sådan organisation med en datoriserad ärendeförteckning, som är sökbar på personuppgifter, kunna anses omfattade av direktivets bestämmelser. Enligt vår mening är en sådan tolkning orimlig. Som vi ser saken bör den automatiska behandlingen anses hänförlig enbart till det datoriserade indexet. De akter eller andra pappershandlingar som finns bör i förekommande fall bedömas enligt direktivets regler om manuellt förda register.
Hänvisningar till S12-2-12
- Prop. 1997/98:44: Avsnitt Författningskommentar till 5 § personuppgiftslag
12.2.13. Skriftligen respektive undertecknad
Den föreslagna lagen innehåller på vissa punkter bestämmelser om att olika åtgärder skall företas ”skriftligen”. I vissa sammanhang anges dessutom att en ansökan eller liknande bör vara ”undertecknad”.
Avsikten är att kravet på att något skall ske ”skriftligen” skall förstås så att åtgärden skall kunna företas genom såväl text på papper som text i elektroniskt format. När vi anger att den persondataansvarige skall lämna information skriftligen till den registrerade går det således bra att lämna informationen t.ex. via e-post, om den registrerade har tillgång till det.
Den nu beskrivna synen på skriftlighetskrav i lagstiftningen stämmer överens med den inställning som IT-utredningen gett uttryck för när det gäller elektronisk dokumenthantering i förvaltningen.297
IT-utredningens slutsats är vidare att när det – på förvaltningsområdet – finns en författningsföreskrift om att något skall ”undertecknas” innefattas inte elektroniska rutiner.298 Utredningen föreslår dock att riksdagen genom en särskild lagbestämmelse skall ge regeringen makt att – såvitt avser handläggning av förvaltningsärenden – föreskriva att bestämmelser som riksdagen har beslutat i lag om undertecknande inte hindrar att digitala dokument eller elektroniska handlingar används.299 För åtgärder som vidtas utanför förvaltningsområdet, t.ex. mellan enskilda, föreslås inte någon motsvarande bestämmelse om att elektroniska åtgärder kan ersätta ett undertecknande för hand på papper.
Vid utarbetandet av lagtextförslaget har vi tagit ställning till i vilka fall en åtgärd bör vara förenad med sådan säkerhet som normalt är förknippad med ett krav på egenhändigt undertecknande. För dessa fall har vi angett att det bör krävas undertecknande. På det sättet har de allra flesta författningar skrivits hittills, och vi har inte sett det som vår uppgift att – innan IT-utredningens utarbetade förslag ens behandlats klart – överväga under vilka förutsättningar elektroniska åtgärder bör kunna ersätta undertecknande. När vi anger att det bör krävas att något skall undertecknas, krävs det alltså tills vidare att en namnteckning skrivs för hand på ett papper.
12.3. Det territoriella tillämpningsområdet
Persondatalagen bör tillämpas på sådana persondataansvariga som är etablerade i Sverige. Även när en persondataansvarig från tredje land för behandling av personuppgifter använder utrustning som finns i Sverige bör som huvudregel den svenska lagen tillämpas.
I artikel 4 i EG-direktivet finns det bestämmelser om det territoriella tillämpningsområdet för de nationella regler som inför direktivet (se av-
297 Se SOU 1996:40 s. 91 ff. 298 Se SOU 1996:40 s. 95. 299 Utredningens förslag till ny 7 a § förvaltningslagen.
snitt 3.2.5 och punkt 18–21 i ingressen). Bestämmelserna är inte lätta att tolka. De har en EG-gemensam innebörd och bör således tillämpas på samma sätt i alla medlemsstater; annars skulle det i direktivet avsedda systemet inte kunna fungera utan luckor och överlappningar.
Mot bakgrund av det sagda – att bestämmelserna är svåra att tolka och att de bör tillämpas likartat av alla medlemsstater – har vi valt att i den föreslagna, svenska lagtexten bara ta in kortfattade regler, vilka är avsedda att tillämpas i enlighet med vad som kan framkomma genom EG-domstolens praxis eller andra åtgärder inom gemenskapen som syftar till att åstadkomma en enhetlig tillämpning. Avsikten är att inte gå längre än vad direktivet kräver när det gäller tillämpning av persondatalagen på verksamhet som utförs utanför Sverige.
Som huvudregel anges i vårt förslag kortfattat att persondatalagen skall tillämpas på varje persondataansvarig som är etablerad i Sverige. Begreppet etablerad har en EG-gemensam innebörd och viss ledning för tolkningen kan hämtas från punkt 19 i ingressen.
En enda persondataansvarig kan vara etablerad i flera medlemsstater, och för detta fall innebär EG-direktivets bestämmelser förmodligen att den svenska lagen bara skall tillämpas på den verksamhet som bedrivs i Sverige.300 Är en persondataansvarig att anse som etablerad inom EU (och EES) bara i Sverige, innebär direktivet troligen att den svenska lagen skall tillämpas på all verksamhet som den persondataansvarige bedriver inom EU (och EES); däremot kräver direktivet förmodligen inte att verksamhet utanför EU (och EES) skall omfattas av lagstiftningen. Det är mera osäkert vad som skall gälla när en persondataansvarig är etablerad i två medlemsstater, men bedriver verksamhet också i en tredje medlemsstat där etablering inte föreligger. Skall exempelvis svensk, dansk eller tysk rätt tillämpas på den verksamhet som en persondataansvarig som är etablerad (bara) i Sverige och Danmark bedriver i Tyskland.
För det fallet att den persondataansvarige inte är etablerad någonstans inom EU (eller EES) utan i tredje land finns en specialregel. Använder den persondataansvarige för behandlingen av personuppgifter utrustning som finns i Sverige, skall den svenska lagen tillämpas. Förmodligen skall i detta fall den svenska lagen bara tillämpas på den verksamhet som bedrivs i Sverige.
300 I lagen (1992:160) om utländska filialer m.m. finns bestämmelser om bl.a. formerna för sådan näringsverksamhet som utlänningar bedriver i Sverige.
Specialregeln blir inte tillämplig om utrustningen bara används för att låta personuppgifter passera genom gemenskapen. I sådant fall skall den svenska lagen inte tillämpas.
Är specialregeln tillämplig, måste den utlänning som är persondataansvarig utse en företrädare för sig. Företrädaren skall vara etablerad i Sverige. Företrädaren kan vara en fysisk eller juridisk person eller en svensk myndighet.
I syfte att skapa ordning och reda har vi i vårt förslag tagit med bestämmelser om att den persondataansvarige – innan utrustningen tas i drift – skall anmäla till Datainspektionen vem han eller hon har utsett till företrädare för sig. Anmälan skall göras skriftligen och vara åtföljd av ett skriftligt medgivande från den utsedde företrädaren. Medgivandet behöver inte nödvändigtvis vara undertecknat, men Datainspektionen skall på ett eller annat sätt – t.ex. genom en digital signatur på ett elektroniskt meddelande – kunna förvissa sig om att det härrör från företrädaren. Sådana ordningsföreskrifter som nu nämnts kan inte anses oförenliga med direktivet.
Det som sägs i den föreslagna persondatalagen om den persondataansvarige skall gälla också för den utsedde företrädaren.
I kommissionens förklaring till direktivförslaget har som exempel på utrustning angetts terminaler och frågeformulär. Det måste således tydligen vara fråga om fysiska saker, och dessa saker skall finnas inom Sveriges gränser.
Det skall vidare vara den persondataansvarige som använder utrustningen i Sverige. Specialregeln blir därför inte tillämplig bara för att svenskar med egen utrustning här kan komma åt och söka bland uppgifter i databaser i utlandet, t.ex. via Internet. Detta gäller enligt vår mening även när det finns ett avtal mellan svensken och utlänningen om tillgång till uppgifterna. Om däremot utrustningen i Sverige ägs av den persondataansvarige utlänningen eller används på hans eller hennes uppdrag, kan specialregeln vara tillämplig.
Hänvisningar till S12-3
- Prop. 1997/98:44: Avsnitt Författningskommentar till 4 § personuppgiftslag
12.4. Grundläggande krav på all behandling av personuppgifter
I den föreslagna persondatalagen slås fast vissa grundläggande krav på behandlingen av personuppgifter som den persondataansvarige alltid måste följa. För behandling för historiska, statistiska och vetenskapliga ändamål – t.ex. arkivering – föreslås vissa lättnader. Regleringen i den föreslagna persondatalagen ansluter nära till EG-direktivets text.
Hänvisningar till S12-4
- Prop. 1997/98:44: Avsnitt Författningskommentar till 9 § personuppgiftslag
12.4.1. Inledning
I artikel 6 i EG-direktivet räknas det upp en rad krav på behandlingen av personuppgifter som den persondataansvarige måste uppfylla; artikeln har berörts i avsnitt 3.4. Uppfylls inte kraven är behandlingen olaglig. I artikel 17 finns det vidare regler rörande säkerheten vid behandling av personuppgifter som den persondataansvarige också måste uppfylla (se avsnitt 12.10).
För att en viss behandling skall vara tillåten krävs inte bara att behandlingen utförs i enlighet med de grundläggande kraven i artikel 6. Behandlingen måste också kunna hänföras till något av de fall som anges i artikel 7; bara i de fall som anges i den bestämmelsen är det över huvud taget til??låtet att behandla personuppgifter, se avsnitt 12.5.1. Avser behandlingen känsliga personuppgifter, måste behandlingen dessutom kunna godtas enligt bestämmelserna i artikel 8, se avsnitt 12.5.3.3.
Vi har i den föreslagna persondatalagen tagit in en bestämmelse vars text nära ansluter till artikel 6 i EG-direktivet. Vi har dock lagt till en erinran om det viktiga kravet att den persondataansvarige skall se till att samtycke hämtas in när så krävs.
Regeringen – eller Datainspektionen – kan närmare precisera de generella principer för uppgiftsbehandling som bestämmelsen innehåller.
12.4.2. Korrekt och laglig behandling
I EG-direktivet finns en bestämmelse om att personuppgifter alltid skall behandlas på ett korrekt och lagligt sätt.
När en behandling är laglig framgår av den föreslagna persondatalagen och anknytande lagstiftning. Av dessa rättskällor framgår också vad som är ett korrekt sätt att behandla personuppgifter.
Det förefaller osäkert om den uttryckliga bestämmelsen i EG-direktivet om att personuppgifter skall behandlas på ett korrekt och lagligt sätt har någon självständig betydelse. Vi har emellertid för säkerhets och fullständighets skull valt att i den föreslagna persondatalagen ta med en sådan bestämmelse och därvid erinra om det viktiga kravet att den persondataansvarige skall hämta in samtycke när så krävs.
12.4.3. Ändamålet med behandlingen
I EG-direktivet finns en bestämmelse om att personuppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Den bestämmelsen kompletteras av den viktiga regeln att efter insamlingen får behandling av uppgifterna inte ske på ett sätt som är oförenligt med de ursprungliga ändamålen.
Dessa bestämmelser har förts över mer eller mindre ordagrant till den föreslagna persondatalagen.
Bestämmelserna innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Ändamålen måste då anges uttryckligen. Det finns inte något krav på att ändamålsangivelsen skall nedtecknas.
Att ändamålen skall vara särskilda, innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Hur pass detaljerad ändamålsangivelsen skall vara för att uppfylla den föreslagna lagens och direktivets krav på att vara särskild får avgöras i praxis. Regeringen och Datainspektionen kan också utfärda mer preciserade regler, t.ex. för olika typsituationer.
Det är möjligt att ange flera ändamål när uppgifterna samlas in. I EG-direktivet anges att de ändamål för vilka uppgifterna samlas in skall vara berättigade. I vilka fall det är berättigat att samla in och behandla personuppgifter framgår av den föreslagna persondatalagen och anknytande lagstiftning. Det förefaller osäkert om bestämmelsen om berättigade ändamål har någon självständig betydelse. Vi har ändå valt att för säkerhets och fullständighets skull ta med den bestämmelsen i den föreslagna persondatalagen.
De insamlade personuppgifterna får behandlas för andra ändamål än de för vilka uppgifterna samlades in bara om de nya ändamålen – och de nya sätten att behandla uppgifterna – inte är oförenliga med de ursprungliga
ändamålen. Vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspektionen kan utfärda. I vad mån uppgifter som inte har samlats in för ändamål som har med direkt marknadsföring att göra ändå kan användas eller lämnas ut för sådana ändamål får t.ex. bestämmas på detta sätt.
Behandlingen för nya ändamål måste givetvis, liksom behandlingen för de ursprungliga ändamålen, kunna hänföras under något av de tillåtna fall av behandling som anges i artikel 7 och, om känsliga personuppgifter skall behandlas, kunna tillåtas i enlighet med artikel 8.
Det bör betonas att även ett utlämnande till annan av uppgifterna måste vara förenligt med de ursprungliga ändamålen. Det bör därför inte vara möjligt att kringgå reglerna genom att en persondataansvarig lämnar ut uppgifterna till en annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprungliga.
Senare behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål tas upp i det följande i ett särskilt avsnitt. Betydelsen av ändamålet med behandlingen har vidare berörts särskilt såvitt avser forskning och statistik i avsnitt 11.6.5.
12.4.4. Personuppgifternas kvalitet och omfattning
I EG-direktivet finns bestämmelser om att personuppgifterna skall vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka uppgifterna behandlas. Där finns vidare bestämmelser om att uppgifterna skall vara riktiga och, om det är nödvändigt, aktuella; uppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka uppgifterna behandlas accepteras inte, och den persondataansvarige måste vidta alla rimliga åtgärder för att utplåna eller rätta sådana uppgifter.
Dessa bestämmelser har så gott som ordagrant förts över till den föreslagna persondatalagen. I lagtextförslaget har dock blockering angetts som ett alternativ till utplånande och rättelse av felaktiga, missvisande eller ofullständiga uppgifter. Skälen till detta framgår av vad som anförs i avsnitt 12.8. I det avsnittet redogörs också för ytterligare bestämmelser om rättelse m.m. För att förtydliga har vi i detta sammanhang i lagtextförslaget vidare nämnt, förutom felaktiga och ofullständiga uppgifter, även missvisande uppgifter.
Det bör i sammanhanget understrykas vikten av att de behandlade uppgifterna håller en hög kvalitet. Användningen av felaktiga, missvisande eller ofullständiga uppgifter kan förorsaka registrerade och andra stora
skador och stor förtret i övrigt. Sådana olägenheter kan förebyggas genom en sund källkritik parad med nödvändig noggrannhet och genom att det dokumenteras varifrån olika uppgifter har hämtats.
Här kan avslutningsvis finnas anledning att återge ett utdrag ur ett färskt beslut av Justitiekanslern i ett ärende om skadestånd där slutsatsen blev att
23 § datalagen inte var tillämplig (beslut 1996-12-12, dnr 1645-96-21).
Den utredning som föreligger i ärendet visar att [X] i den särskilda självdeklarationen vid 1995 års taxering fyllt i uppgift om folkpension i ruta 1 a istället för i ruta 3 a; han har sålunda tagit upp folkpensionen som lön. När han därefter ansökte om förtida återbetalning beträffande den av honom beräknade överskjutande skatten observerade skatteförvaltningen inte denna förväxling beträffande lön och pension. [X] kom därmed att tillgodoräknas ett för högt grundavdrag vilket i sin tur ledde till att ett för stort belopp återbetalades till honom. Vid taxeringen upptäcktes förväxlingen mellan folkpension och lön vilket ledde till att [X] påfördes kvarstående skatt motsvarande vad han tidigare erhållit för mycket jämte kvarskatteavgift.
[X:s] uppgifter i den särskilda självdeklarationen registrerades i det centrala skatteregistret. Till följd härav kom registret att innehålla en uppgift som visserligen överensstämde med den särskilda självdeklarationen men som inte var i överensstämmelse med verkliga förhållanden. Sedermera registrerades också beslutet om förtida återbetalning. Även härigenom kom det centrala skatteregistret att innehålla en uppgift som inte var korrekt i förhållande till vad som borde ha blivit registrerat om den föreliggande bristen i deklarationen hade upptäckts. Frågan uppkommer då huruvida bestämmelsen i 23 § datalagen om skadestånd vid oriktig eller missvisande uppgift i personregister kan vara tillämplig.
[…] I förevarande fall har skatteregistret kommit att innehålla en uppgift om [X:s] inkomstförhållanden som överensstämt med den av honom avlämnade självdeklarationen men som senare vid taxeringsarbetet visat sig vara felaktig. Som Riksskatteverket framhållit borde skatteförvaltningen i samband med prövningen av ansökningen om förtida återbetalning av skatt ha upptäckt denna felaktighet. Denna försummelse ledde till att beslutet om förtida återbetalning av skatt blev oriktigt.
Skatteregistrets syfte är […] att bl.a. vara till hjälp vid taxering och uppbörd. I registret registreras bl.a. uppgifter från självdeklarationen och de beslut som meddelas i samband härmed. Skatteregistret får således förutsättas korrekt återge de uppgifter den skattskyldige lämnar i sin självdeklaration, oavsett om dessa är riktiga eller inte. Det fortsatta gransknings- och taxeringsarbetet går bl.a. ut på att korrigera sådana felaktigheter i självdeklarationen. I registret registreras också de beslut som meddelas under taxerings- och uppbördsarbetet.
Mot bakgrund av det anförda kan uppgiften om [X:s] inkomstförhållanden inte anses innefatta en sådan felaktig eller missvisande uppgift som avses i datalagen. Inte heller kan registreringen av det visserligen materiellt oriktiga men formellt korrekta beslutet om återbetalning medföra att registret tillfogats en felaktig eller missvisande uppgift. Den skada som kan ha tillfogats [X] har heller inte orsakats av registreringen som sådan utan föranletts av skattemyndighetens felaktiga handläggning av ärendet om återbetalning av skatt.
12.4.5. Personuppgifterna får inte sparas längre än nödvändigt
Enligt EG-direktivet får personuppgifter – dvs. upplysningar i sådan form att enskilda kan identifieras – lagras bara så länge det är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Därefter måste personuppgifterna alltså avidentifieras eller förstöras.
Även denna bestämmelse om gallring har förts över till den föreslagna persondatalagen.
Lagring av personuppgifter under längre tid för historiska, statistiska och vetenskapliga ändamål tas upp i nästa avsnitt.
12.4.6. Behandling för historiska, statistiska och vetenskapliga ändamål
12.4.6.1 Inledning
Enligt EG-direktivet är lagring och annan behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål särskilt gynnad. Senare behandling för sådana ändamål skall inte anses oförenlig med de ursprungliga ändamål för vilka uppgifterna samlades in, och det är också til??låtet att för sådana ändamål spara personuppgifter under längre tid. Det nu sagda gäller under förutsättning att staten beslutar om eller vidtar lämpliga skyddsåtgärder.
I avsnitt 11 berörs behandling för forskning och statistik.
12.4.6.2 Särskilt om arkiv
När det gäller behandling för historiska ändamål, är det i första hand bevarandet av arkiv som kommer i blickfånget. Det kan visserligen inte uteslutas att bevarandet för framtiden av en enstaka personuppgift någon gång skulle kunna ske för sådana historiska ändamål som avses. Men huvudfallet är nog ändå det bevarande av uppgiftssamlingar för framtiden som myndigheter och enskilda kan ägna sig åt.
Myndigheternas arkiv
Myndigheternas arkiv har tagits upp i avsnitt 9.4. Av vad som anförs där framgår att vi föreslår en uttrycklig bestämmelse i persondatalagen om att lagen inte hindrar en myndighet att bevara allmänna uppgifter eller att ar-
kivmaterial tas om hand av en arkivmyndighet. Vår bedömning är, i enlighet med vad som anförs i det berörda avsnittet, att det bevarande av allmänna uppgifter som myndigheterna utför är förenlig med EG-direktivet.
Vi har vidare när det gäller myndigheternas bevarande av uppgifter inte funnit anledning att i vårt förslag till persondatalag införa en generell regel om i vad mån myndigheters uppgifter i register eller handlingar skall förstöras (gallras) av integritetsskäl efter en viss tid.301 Någon sådan generell regel finns inte i dag och behöver inte heller införas på grund av EG-direktivet. Enligt vår mening står sig den bedömning som departementschefen gjorde i samband med antagandet av 1990 års arkivlag, nämligen att regler om gallring av integritetsskäl bör tas in i de särskilda lagar som reglerar integritetskänsliga akter och register, eftersom reglerna därmed bäst kan anpassas efter vad det speciella materialet kräver.302 Utvecklingen har nu nått dithän att det stora flertalet känsliga myndighetsregister regleras av särskilda registerförfattningar, vilka innehåller nödvändiga särregler om gallring.
Det sagda innebär sammanfattningsvis att den föreslagna persondatalagen inte hindrar att myndigheterna bevarar allmänna uppgifter och att lagen inte heller innehåller någon reglering som innebär att allmänna uppgifter måste förstöras (gallras) efter en viss tid. I vad mån myndigheterna är skyldiga att spara allmänna uppgifter eller förstöra dem framgår av annan lagstiftning.
Enskildas arkiv
Det återstår att ta upp det bevarande av uppgifter som enskilda ägnar sig åt.
Med bevarande avses i detta sammanhang att uppgifter läggs till ett arkiv för att sparas under längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna i övrigt behandlas. Om t.ex. personuppgifter samlas in för att användas för fakturerings- och redovisningsändamål, är enligt vår mening det sparande av uppgifterna som måste ske under viss tid på grund av skatte- och bokföringslagstiftning nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen. Bara om uppgifterna sparas under längre tid än så, blir det alltså fråga om bevarande i den mening vi avser här.
301 Datalagsutredningens slutbetänkande innehåller i avsnitt 15 en beskrivning av gällande ordning och överväganden rörande gallring. 302 Prop. 1989/90:72 s. 32, jämför KrU 1989/90:29 s. 12 f.
Liksom när det gäller myndigheternas bevarande av uppgifter bör man uppställa ett krav på att enskildas bevarande av uppgifter skall ske planmässigt. Finns det inte någon plan för vilka uppgifter som skall bevaras för framtiden och hur bevarandet skall gå till, är det svårt att med fog hävda att bevarandet sker för sådana historiska ändamål som avses i EG-direktivet. Planen måste också vara av viss kvalitet och gå ut på att uppgifterna bevaras för överskådlig framtid. En plan som går ut på bara att alla uppgifter som finns på en hårddisk skall sparas så länge hårddisken håller uppfyller uppenbarligen inte detta kvalitetskrav. Bevarandet av en mängd uppgifter får däremot anses i sin helhet ske för historiska ändamål även om planen går ut på att vissa uppgifter skall förstöras efter en viss tid medan andra uppgifter skall bevaras under längre tid.
Det ligger i sakens natur att en plan för hur uppgifter skall bevaras under en längre tid måste ha nedtecknats.
Att enskildas bevarande av uppgifter uppfyller de grundläggande kraven i artikel 6 är inte i sig tillräckligt för att bevarandet skall få äga rum. Den behandling som bevarandet innebär måste också kunna hänföras till något av de til??låtna fallen av uppgiftsbehandling som anges i artikel 7. I vissa fall kan bevarandet betraktas som en arbetsuppgift av allmänt intresse (artikel 7 e). Det kan t.ex. finnas ett sådant allmänt intresse av att uppgifter om föreningslivets, t.ex. arbetarrörelsens, och näringslivets verksamhet bevaras för framtiden. Ibland kan bevarandet också anses tillåtet efter en intresseavvägning (artikel 7 f).
I vilka fall uppgiftsbehandling är tillåten berörs närmare i avsnitt 12.5. Där framgår att avsikten är att regeringen eller Datainspektionen närmare skall precisera i vilka fall uppgiftsbehandling kan tillåtas. Enskilda subjekts arkiv förefaller vara ett sådant område där det är önskvärt med mera preciserade regler som fastslår tillåtligheten av från allmän synpunkt viktig privat arkivverksamhet. Vid utformningen av sådana regler bör givetvis Riksarkivets särskilda kompetens på området utnyttjas.
Skall känsliga personuppgifter bevaras, måste vidare behandlingen kunna tillåtas i enlighet med artikel 8. Under vissa förutsättningar kan således politiska, filosofiska, religiösa och fackliga organisationer behandla känsliga personuppgifter om sina medlemmar (artikel 8.2 d). I vissa fall kan bevarandet dessutom anses utgöra ett sådant viktigt allmänt intresse att ett undantag kan göras från det principiella förbudet mot behandling av känsliga personuppgifter (artikel 8.4). Avsikten är att regeringen och Datainspektionen skall kunna föreskriva sådana undantag (se avsnitt 12.5.3.3).
Även om enskildas bevarande av känsliga uppgifter inte skulle kunna tillåtas i enlighet med vad som nyss sagts, finns möjlighet att lämna över materialet till en arkivmyndighet (se avsnitt 9.4). Att uppgifter som enskilda har samlat in lämnas över till en arkivmyndighet för bevarande kan inte anses oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in.
Vi har, slutligen, inte heller beträffande enskildas bevarande av uppgifter funnit anledning att föreslå någon generell regel om gallring av integritetsskäl i persondatalagen. För att känsliga personuppgifter över huvud taget skall få bevaras av enskilda krävs att bevarandet kan tillåtas i enlighet med de stränga reglerna i artikel 8.
Det sagda innebär sammanfattningsvis att enskildas bevarande av personuppgifter som sker seriöst och planmässigt inte hindras av den föreslagna persondatalagen under förutsättning att den behandling som bevarandet innebär är tillåten enligt de allmänna reglerna i lagen om när behandling kan tillåtas. Det finns inte någon reglering i den föreslagna persondatalagen som innebär att personuppgifter som på detta sätt bevaras skall förstöras efter en viss tid.
12.4.6.3 Lämpliga skyddsåtgärder
När det gäller behandling för historiska, statistiska eller vetenskapliga ändamål, skall staten besluta om eller vidta lämpliga skyddsåtgärder. I fråga om säkerheten vid behandlingen kan regeringen eller Datainspektionen besluta om generella föreskrifter, och Datainspektionen kan också besluta om vilka åtgärder som skall vidtas i det enskilda fallet (se avsnitt 12.10.3).
Härutöver bör det – såsom en lämplig skyddsåtgärd – i själva persondatalagen tas in regler som garanterar att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål inte används för att fatta beslut om eller annars vidta åtgärder beträffande de registrerade. Undantag bör bara medges när den registrerade har lämnat sitt samtycke till att åtgärder vidtas, vilket förekommer vid viss forskningsverksamhet, eller när några vitala intressen står på spel, exempelvis då det vid behandling av medicinska personuppgifter för vetenskapliga ändamål upptäcks att vissa registrerade lider av en allvarlig sjukdom som kräver behandling. Frågan har såvitt avser forskning och statistik berörts i avsnitt 11.6.5.2.
Beträffande personuppgifter i en myndighets arkiv finns det, såsom nämnts i avsnitt 9.4, redan bestämmelser om lämpliga skyddsåtgärder, t.ex. regler om sekretess och skydd för arkiv. Den nu berörda regeln i den före-
slagna persondatalagen bör bl.a. därför inte gälla för sådana personuppgifter som finns i en myndighets arkiv.
De personuppgifter som behandlas för t.ex. ändamål som har med en viss verksamhet att göra får givetvis behandlas för att i enlighet med dessa ändamål vidta åtgärder beträffande de registrerade, även om samma uppgifter samtidigt behandlas för att t.ex. framställa verksamhetsstatistik.
12.5. När behandling av personuppgifter skall vara tillåten
I persondatalagen bör tas in en uppräkning av i vilka fall behandling av personuppgifter är tillåten. Det bör vidare införas ett principiellt förbud mot att behandla känsliga personuppgifter om t.ex. politiska åsikter och hälsa. Från förbudet bör i lagen göras ett antal undantag, och regeringen och Datainspektionen bör ges befogenhet att för viktiga allmänna intressen föreskriva ytterligare undantag. Den föreslagna regleringen ansluter nära till EG-direktivet.
12.5.1. Allmänna förutsättningar för när personuppgifter får behandlas
12.5.1.1 Inledning
I artikel 7 i EG-direktivet räknas det upp i vilka fall behandling av personuppgifter är tillåten. Personuppgifter får inte behandlas i några andra fall. Är det känsliga personuppgifter som skall behandlas, måste behandlingen också kunna godtas i enlighet med bestämmelserna i artikel 8, se avsnitt 12.5.3.3.
Bestämmelserna i artikel 7, som finns under rubriken Principer som gör att uppgiftsbehandling kan tillåtas, har redovisats i avsnitt 3.5. Bestämmelserna har förts över till den föreslagna persondatalagen. I vissa fall har vissa språkliga förenklingar gjorts utan att någon ändring i sak är avsedd.
Vi föreslår således att persondatalagen skall innehålla en bestämmelse om att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig
a) för att fullgöra ett avtal med den registrerade,
b) för att på den registrerades begäran vidta åtgärder innan ett avtal
träffas,
c) för att den persondataansvarige skall kunna fullgöra en rättslig skyl-
dighet,
d) för att skydda vitala intressen för den registrerade,
e) för att utföra en arbetsuppgift av allmänt intresse,
f) för att den persondataansvarige, eller en tredje man till vilken person-
uppgifter lämnas ut, skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
g) för ändamål som rör berättigade intressen hos den persondataansvarige,
eller sådana tredje män till vilka personuppgifter lämnas ut, när detta intresse väger tyngre än den registrerades intresse.
Avsikten är att regeringen eller Datainspektionen inom ramen för dessa allmänna bestämmelser skall närmare precisera i vilka fall behandling av personuppgifter är tillåten. De särskilda registerförfattningarna kan vidare ses såsom närmare preciseringar av i vilka fall och under vilka former behandling av personuppgifter är tillåten. Huruvida en viss behandling kan anses tillåten enligt denna bestämmelse får ytterst avgöras i svensk domstol, som i förekommande fall kan begära ett s.k. förhandsavgörande av EG-domstolen.
12.5.1.2 Samtycke
Den först angivna omständigheten som medför att behandling av personuppgifter är tillåten är att den registrerade har lämnat sitt samtycke till behandlingen. Innebörden av begreppet samtycke har redogjorts för i avsnitt 12.2.9.
Det får anses ligga i sakens natur att samtycke måste finnas från alla registrerade vilkas personuppgifter berörs av en behandling; samtycke från en registrerad verkar inte kunna berättiga behandling av uppgifter om någon annan än just denne.
I avsnitt 12.5.2.2 berörs den situationen att den registrerade tar tillbaka ett lämnat samtycke.
12.5.1.3 Nödvändighetskravet
De andra fallen – förutom samtycke – där det är tillåtet att behandla personuppgifter förutsätter samtliga att behandlingen är nödvändig för olika uppgifter.
Vad nödvändighetskravet närmare innebär är inte helt klart. De flesta uppgifter kan rent faktiskt utföras manuellt utan personregister även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt.
Som vi ser det kan nödvändighetskravet inte rimligen innebära att det skall vara faktiskt omöjligt att utföra en uppgift utan sådan behandling av personuppgifter som omfattas av EG-direktivet och den föreslagna lagen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna; det kanske går nästan lika bra att använda anonyma uppgifter.
12.5.1.4 I samband med avtal
Behandling av personuppgifter kan vara tillåten i samband med avtal, när det krävs för att fullgöra ett avtal med den registrerade eller när det behövs för att på dennes begäran vidta åtgärder innan ett avtal träffas.
När det gäller fullgörelse av ett avtal krävs det att den registrerade själv är avtalspart. Ett avtal mellan en persondataansvarig och en juridisk person kan således inte enligt denna bestämmelse rättfärdiga behandling av personuppgifter, t.ex. uppgifter om de som är anställda hos den juridiska personen.
I fråga om åtgärder som vidtas innan ett avtal träffas krävs det att den registrerade har begärt att de åtgärder som gör det nödvändigt att behandla personuppgifter skall vidtas. Det verkar inte krävas att avsikten skall vara att den registrerade skall bli part i det tilltänkta avtalet; den småföretagare som äger alla aktier i sitt bolag kan således begära att åtgärder vidtas innan bolaget träffar ett avtal.
I vissa fall kan fullgörandet av ett avtal med en registrerad göra det nödvändigt att behandla uppgifter om någon annan person. Ett försäkringsbolag kan behöva registrera uppgifter om den försäkrades förmånstagare, en blomsteraffär kan behöva registrera till vem beställda blommor skall levereras osv. I dessa fall torde behandlingen i och för sig vara tillåten med stöd av bestämmelsen om en intresseavvägning (se avsnitt 12.5.1.8), men frågan är om ett avtal i här avsedda fall kan ge stöd för behandlingen utan att en avvägning av de inblandades intressen behöver göras.
Det kan inte anses klart om ett avtal med en registrerad kan berättiga en persondataansvarig att behandla uppgifter om andra än avtalsparten. Ordalydelsen av direktivet utesluter inte att behandling av uppgifter om (vilka)
personer (som helst) kan tillåtas under förutsättning att ”behandlingen” är nödvändig för att fullgöra ett avtal med ”den registrerade”, men användningen av begreppet ”den registrerade” leder onekligen tanken till att det är bara denne som får ”registreras” på grund av avtalet. Det är vidare inte antagligt att avsikten med denna bestämmelse om avtal är att ett avtal mellan en ”registrerad” och en persondataansvarig om direkt marknadsföring i sig skall berättiga den persondataansvarige att behandla uppgifter om tusentals personer för att fullgöra avtalet och sända ut reklamen. Vi anser oss inte ha något egentligt underlag för ytterligare uttalanden om bestämmelsens innebörd på denna punkt.
12.5.1.5 Rättslig skyldighet
Personuppgifter får behandlas om behandlingen är nödvändig för att den persondataansvarige skall kunna fullgöra en rättslig skyldighet (förpliktelse) som åvilar honom eller henne. Den rättsliga skyldigheten måste åvila den persondataansvarige och inte någon annan.
Begreppet rättslig skyldighet (förpliktelse) torde i och för sig ha en EGgemensam innebörd, men olika rättsliga skyldigheter kan givetvis åvila persondataansvariga i skilda medlemsstater. De nationella rättsordningarna bestämmer vilka rättsliga skyldigheter som åvilar persondataansvariga, och ibland kan EG-rätten direkt eller indirekt också innebära sådana skyldigheter som är aktuella i detta sammanhang.303
Inte bara författningsbestämmelser som i Sverige betraktas som offentligrättsliga kan enligt vår mening grunda sådana rättsliga skyldigheter som avses. De – civilrättsliga – turordningsbestämmelser som gäller vid uppsägning av arbetstagare på grund av arbetsbrist kan t.ex. sägas innebära en rättslig skyldighet för arbetsgivare att upprätta listor över sina anställda.
Huruvida författningsbestämmelser om myndigheters verksamhet, t.ex. myndighetens instruktion, kan anses grunda sådana rättsliga skyldigheter för myndigheten som avses i detta sammanhang är osäkert; behandling av personuppgifter i samband med myndighetsutövning omfattas av en annan bestämmelse.
Det står som vi ser det klart att lagar och förordningar och författningar av lägre valör kan grunda sådana rättsliga skyldigheter som avses i detta
303 Se t.ex. beträffande s.k. expositionsregister på arbetsmiljöområdet prop. 1991/92:170 Bilaga 9 s. 12 f.
sammanhang. Även förpliktelser som har ålagts genom myndighetsbeslut i enskilda fall kan innebära sådana rättsliga skyldigheter som avses.
Det förefaller däremot oklart om en förpliktelse som någon har åtagit sig genom avtal med annan kan vara en sådan rättslig skyldighet som avses i detta sammanhang; behandling av personuppgifter för att fullgöra ett avtal med den registrerade omfattas av en annan bestämmelse.
12.5.1.6 För att skydda vitala intressen
I den svenska översättningen av EG-direktivet talas det om att personuppgifter får behandlas om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade. I andra språkversioner av direktivet används i stället uttryck som vitala eller livsviktiga intressen. Det är därför oklart om bestämmelsen i direktivet syftar bara på det som är livsviktigt (gäller liv eller död) eller om även sådant som är ”bara” av grundläggande betydelse avses, se närmare avsnitt 3.5.5. På grund härav har vi valt att i den föreslagna svenska lagtexten använda uttrycket vitala intressen, som även i svenskan kan ha såväl en snävare som en bredare innebörd.
12.5.1.7 Myndighetsutövning eller allmänt intresse
Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift av allmänt intresse. Sådan behandling får också ske om den är nödvändig för att utföra en arbetsuppgift i samband med myndighetsutövning. Myndighetsutövningen skall då utföras av den persondataansvarige själv eller av en tredje man till vilken uppgifterna har lämnats ut.
Som exempel på arbetsuppgifter som kan vara av allmänt intresse kan nämnas arkivering, forskning och framställning av statistik. Ett annat exempel kan vara etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mästerskap eller innehar svenskt rekord i erkända sportgrenar. Också den registrering som sker av personer som har fått allmänt erkända utmärkelser, t.ex. Nobelpris, kan vara en arbetsuppgift av allmänt intresse.
Arbetsuppgiften kan utföras av en myndighet eller något enskilt subjekt. Att någon själv kan tjäna pengar på att utföra arbetsuppgiften utesluter inte att den ändå kan vara av allmänt intresse, såsom när uppgifter som tidigare skötts av det allmänna läggs ut på privata företag som drivs i vinstsyfte.
Begreppet myndighetsutövning har som vi ser det en EG-gemensam innebörd, men till dess annat framkommer genom EG-domstolens praxis eller eljest bör man kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller under begreppet. Myndighetsutövningen kan utövas av en myndighet eller vara anförtrodd något enskilt subjekt.
12.5.1.8 Efter en intresseavvägning
Personuppgifter får behandlas om en intresseavvägning ger vid handen att den persondataansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse. Med den persondataansvarige jämställs härvid sådana tredje män till vilka uppgifterna lämnas ut.
Det ligger i sakens natur att behandlingen bara får avse uppgifter om sådana registrerade vars intresse inte väger lika tungt som den persondataansvariges. Om en registrerad meddelar den persondataansvarige att han eller hon inte vill att behandlingen fortsätter, får den registrerades intresse av att slippa fortsatt behandling som regel anses väga över den persondataansvariges intresse av fortsatt behandling; bara i synnerliga undantagsfall bör den persondataansvariges intresse av behandlingen anses väga över intresset hos en registrerad som uttryckligen motsatt sig behandlingen. Finns inte längre förutsättningar för att behandla personuppgifter efter en intresseavvägning – och kan behandlingen inte tillåtas enligt någon annan bestämmelse – måste de behandlade uppgifterna förstöras eller avidentifieras; även lagring av personuppgifter anses nämligen som en form av behandling.
Vissa företag vill ofta utnyttja personuppgifter för att kunna tjäna pengar. Det kan t.ex. gälla företag som sysslar med direkt marknadsföring eller som upprättar och säljer listor och förteckningar av olika slag. I vilka fall dessa företags kommersiella intressen väger över de registrerades ideella intresse av att få ha sina personuppgifter i fred får avgöras efter en helhetsbedömning. När det särskilt gäller direkt marknadsföring bör vid intresseavvägningen kunna beaktas den registrerades ovillkorliga rätt att motsätta sig behandlingen (se avsnitt 12.5.2.3); intresset hos de registrerade som inte har motsatt sig behandling av personuppgifter för direkt marknadsföring kan ofta antas väga ganska lätt i jämförelse med den persondataansvariges kommersiella intressen.
När t.ex. kommersiella intressen skall vägas mot enskildas intresse av att få ha sina uppgifter i fred, bör det i allmänhet krävas att de kommersiella intressena på ett tydligt sätt överväger.
Det kan också ligga ideella motiv bakom utnyttjandet av personuppgifter. Politiska rörelser eller organisationer kan t.ex. vilja utnyttja personuppgifter för att skapa opinion eller sprida politisk propaganda eller för att på något annat sätt främja vissa ideella syften. Föreningar kan exempelvis behöva registrera vilka som deltar i föreningsaktiviteter.
I detta sammanhang bör nämnas Europarådets rekommendation om skydd för personuppgifter som används för ändamål som har med direkt marknadsföring att göra. Rekommendationen finns intagen som bilaga 3.2.3 till Datalagsutredningens slutbetänkande (SOU 1993:10), och dess innehåll finns presenterat i avsnitt 4.3.3 i det betänkandet.
Datainspektionen bör ha ett särskilt ansvar för att ge persondataansvariga råd och vägledning i fråga om intresseavvägningen; avsikten är som sagt också att regeringen och inspektionen skall utfärda närmare föreskrifter om i vilka fall behandling av personuppgifter kan anses tillåten efter en intresseavvägning.
Hänvisningar till S12-5-1
- Prop. 1997/98:44: Avsnitt Författningskommentar till 10 § personuppgiftslag
12.5.2. När den registrerade motsätter sig behandling av personuppgifter
12.5.2.1 Inledning
I artikel 14 i EG-direktivet finns bestämmelser om den registrerades rätt att göra invändningar mot behandling av personuppgifter. Bestämmelserna har redovisats närmare i avsnitt 3.7.
Bestämmelserna i direktivet innebär att det beträffande behandling för direkt marknadsföring skall finnas en rätt för den registrerade att motsätta sig behandlingen, men att medlemsstaterna i övrigt fritt kan genom lagstiftning bestämma i vad mån en registrerad skall ha rätt att motsätta sig en behandling som är laglig och tillåten enligt direktivet.
Enligt datalagen finns inte någon generell rätt för den registrerade att motsätta sig en behandling som är laglig.
Datalagsutredningen föreslog inte att det skulle införas någon generell rätt att motsätta sig en behandling som var befogad enligt de regler som utredningen föreslog. Inte heller vi har funnit tillräckliga skäl för att föreslå att en sådan rätt skall införas. På grund av utformningen av EG-direktivet måste det dock genom den föreslagna lagen slås fast i vad mån den registrerade har rätt att motsätta sig behandling av personuppgifter.
Av vad som anförts i avsnitt 12.5.1.8 framgår att den registrerade i de fall där en behandling bara är tillåten efter en intresseavvägning i praktiken
i de flesta fall kan få behandlingen att upphöra genom att meddela den persondataansvarige att han eller hon motsätter sig behandlingen.
Ett fall som bör tas upp här är den situationen att en registrerad som en gång har lämnat samtycke till en behandling tar tillbaka sitt samtycke. Den situationen tas upp i nästa avsnitt. Därefter redogörs för hur rätten att motsätta sig behandling beträffande direkt marknadsföring bör utformas.
12.5.2.2 Samtycke återkallas
I de fall där en viss behandling är tillåten bara under förutsättning att den registrerade har lämnat sitt samtycke uppkommer frågan vad som skall gälla om den registrerade tar tillbaka ett lämnat samtycke. Svaret på den frågan kan inte direkt utläsas av EG-direktivet, vilket enligt vår mening innebär att medlemsstaterna själva får välja en lösning.
Man kan här tänka sig åtminstone tre olika lösningar:
a) Samtycket är oåterkalleligt. Den som en gång har gått med på att en
viss behandling av personuppgifter sker skulle alltså få finna sig i att behandlingen genomförs som planerat.
b) Samtycket kan fritt återkallas med verkan att behandlingen inte längre
anses laglig, vilket skulle innebära att de insamlade uppgifterna genast måste förstöras eller avidentifieras.
c) Samtycket kan i och för sig återkallas, men det påverkar inte behand-
lingen av de uppgifter som redan har hunnit samlas in med stöd av samtycket. Ytterligare uppgifter får däremot inte samlas in eller i övrigt behandlas.
Vi har kommit fram till att det sista alternativet (c) innebär en lämplig avvägning mellan den registrerades och den persondataansvariges intressen. Lösningen innebär att den registrerades självbestämmanderätt beträffande vilka uppgifter som får samlas in respekteras samtidigt som den persondataansvariges befogade anspråk på att få behandla färdigt de uppgifter som han eller hon kommit över med stöd av ett frivilligt lämnat samtycke kan tillgodoses.
Sedan den persondataansvarige på något sätt fått kännedom om att ett lämnat samtycke inte längre gäller, får några nya uppgifter om den berörde inte samlas in eller annars behandlas. Däremot får behandlingen av redan insamlade uppgifter fortsätta som planerat.
I avsnitt 11.6.6 har särskilt berörts frågan om strykningsrätt vid behandling av personuppgifter för forskning och statistik.
12.5.2.3 Direkt marknadsföring
Bestämmelsen i artikel 14 första stycket b om den registrerades rätt att motsätta sig behandling av personuppgifter för direkt marknadsföring har berörts i avsnitt 3.7.3. Bestämmelsen är inte otvetydig, varför det finns anledning att här återge den:
Den registrerade skall ha rätt att efter anmodan och utan kostnader motsätta sig behandling av sådana
personuppgifter som rör honom eller henne och som den persondataansvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring,
eller att bli informerad innan personuppgifter för första gången lämnas ut till
tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring, och att uttryckligen få ett erbjudande om att utan kostnad motsätta sig ett sådant utlämnande eller sådan användning.
Medlemsstaterna verkar således ha två alternativ för att genomföra rätten att motsätta sig behandling. Vi anser att det första alternativet bör väljas, eftersom det är det minst komplicerade samtidigt som det ger den registrerade fullgoda möjligheter att förhindra oönskad behandling för direkt marknadsföring.
Vi föreslår således att det införs en bestämmelse om att personuppgifter inte får behandlas för ändamål som rör direkt marknadsföring sedan den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Enligt vår mening kan det vara lämpligt – för att underlätta hanteringen för de persondataansvariga och främja ordning och reda – att föreskriva att den registrerades skriftliga anmälan skall vara undertecknad av den registrerade själv. Sådana ordningsföreskrifter, vilka inte kan anses otillåtna enligt EG-direktivet, kan lämpligen ges inte i lag utan i av regeringen utfärdad förordning.
Begreppet direkt marknadsföring har förmodligen en EG-gemensam innebörd. Huruvida de riktade marknadsföringsaktiviteterna sker via vanlig post, e-post, telefon eller telefax saknar betydelse.
Förandet av ett register eller liknande över dem som har lämnat in en anmälan i syfte att utesluta dessa personer från planerade marknadsföringsaktiviteter kan uppenbarligen inte anses vara en sådan behandling
”för ändamål som rör direkt marknadsföring” som förbjuds genom bestämmelsen.
Enligt artikel 14 andra stycket skall medlemsstaterna vidta nödvändiga åtgärder för att säkerställa att de registrerade känner till den nu aktuella rätten att motsätta sig behandling av personuppgifter för direkt marknadsföring. Det får ankomma på Datainspektionen att vidta de informationsåtgärder som behövs i detta hänseende.
I detta sammanhang bör avslutningsvis nämnas Europarådets rekommendation om skydd för personuppgifter som används för ändamål som har med direkt marknadsföring att göra. Rekommendationen finns intagen som bilaga 3.2.3 till Datalagsutredningens slutbetänkande (SOU 1993:10), och dess innehåll finns presenterat i avsnitt 4.3.3 i det betänkandet.
Vad som är direkt marknadsföring kan inom den ram den föreslagna lagen och direktivet ger preciseras genom föreskrifter av t.ex. Datainspektionen.
12.5.3. Ett principiellt förbud mot behandling av känsliga personuppgifter
12.5.3.1 Inledning
Enligt datalagen gäller särskilda regler för personregister som innehåller uppgifter om N andra än medlemmar, anställda eller kunder hos den registeransvarige
eller personer som har annan därmed jämställd anknytning till denne, N att någon misstänks eller dömts för brott, N att någon avtjänat straff eller undergått annan påföljd för brott, N att någon varit föremål för tvångsingripande enligt viss lagstiftning, N att någon fått ekonomisk hjälp eller vård inom socialtjänsten, N att någon varit föremål för åtgärd enligt utlänningslagen, N någons sjukdom, hälsotillstånd eller sexualliv, N någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt
och N någon som utgör omdöme eller annan värderande upplysning.
Enligt artikel 8 i EG-direktivet skall medlemsstaterna införa ett principiellt förbud mot behandling av sådana uppgifter som enligt direktivet är att anse som känsliga personuppgifter. Detta förbud skall dock inte gälla i de fall som särskilt räknas upp i artikeln. Beträffande uppgifter om lagöverträdel-
ser m.m. finns det särskilda regler i artikeln. Bestämmelserna i artikel 8 har redovisats i avsnitt 3.6.
Bestämmelserna i artikel 8 har som vi ser det till största delen en EGgemensam innebörd. Vårt förslag innebär att de materiella bestämmelserna i artikel 8 bör föras över mer eller mindre ordagrant till persondatalagen. Avsikten är att de begrepp som används skall ha samma innebörd som enligt EG-direktivet.
En del av det som i dag omfattas av särskilda regler enligt datalagen kommer med vårt förslag, som bygger på EG-direktivet, inte att omfattas av bestämmelserna om känsliga personuppgifter. Det skulle som vi ser det vara oförenligt med direktivet att utvidga tillämpningsområdet för direktivets bestämmelser om känsliga uppgifter till att omfatta allt det som regleras av särskilda regler enligt datalagen, dvs. uppgifter som ibland är helt artskilda i förhållande till de som i direktivet definieras som känsliga; att göra så skulle onekligen hindra det fria flödet av sådana uppgifter inom EG. Emellertid innebär de regler vi föreslår om när behandling av personuppgifter över huvud taget kan tillåtas t.ex. att enskilda som regel inte får behandla uppgifter om att någon fått socialhjälp eller varit intagen ens om enskilda med hänsyn till de sekretessbestämmelser som gäller kan få tag på sådana uppgifter.
Det bör i detta sammanhang också nämnas att det i 2 kap. 3 § första stycket regeringsformen finns en bestämmelse om att anteckning om medborgare i allmänt register inte utan samtycke från den berörda medborgaren får grundas enbart på hans eller hennes politiska åskådning. Det kan inte anses otillåtet enligt EG-direktivet att ha kvar den grundlagsbestämmelsen.
I det följande berörs först den definition av känsliga personuppgifter som avses i direktivet och som måste införas i svensk rätt. Därefter redogörs för vilka undantag från förbudet mot behandling av känsliga personuppgifter som bör gälla. Avslutningsvis kommenteras frågan om direktivets särregler om uppgifter om lagöverträdelser m.m.
12.5.3.2 Definitionen av känsliga personuppgifter
Direktivet innebär att det måste införas ett förbud mot att behandla personuppgifter som avslöjar N ras, N etniskt ursprung, N politiska åsikter, N religiös övertygelse, N filosofisk övertygelse eller N medlemskap i fackförening eller som rör N hälsa eller N sexualliv.
Enligt kommissionens förklaring till direktivförslaget skulle vidare en uppgift om att en person inte alls har någon religiös övertygelse vara en sådan känslig personuppgift som avses.
Huruvida en bild på en persons ansikte kan anses avslöja den personens ras eller etniska ursprung i den mening som avses i direktivet får anses osäkert. Det får också anses osäkert om en bild på den som är fysiskt handikappad eller ser sjuk (eller frisk) ut innefattar uppgifter som rör den personens hälsa. Enligt vår mening förefaller det dock rimligt att anse att bilder på människor i mera ”normala” sammanhang inte på avsett sätt avslöjar några känsliga personuppgifter.
En isolerad uppgift om vilket kön en person har kan inte anses vara en uppgift som rör dennes sexualliv. Däremot är förmodligen en uppgift om att någon har bytt kön en uppgift som kan anses röra den personens hälsa eller sexualliv.
Inte heller en uppgift om civilstånd kan enligt vår mening i sig anses vara en sådan uppgift som rör den registrerades sexualliv.
12.5.3.3 Undantag från förbudet
I artikel 8.2 räknas upp ett antal undantag från förbudet mot att behandla känsliga personuppgifter. Undantagen gäller N samtycke från den registrerade, N offentliggörande av den registrerade, N inom arbetsrätten, N inom ideella organisationer, N beträffande rättsliga anspråk och N skydd för vitala intressen.
I artikel 8.3 finns ytterligare ett undantag beträffande hälso- och sjukvård. Enligt artikel 8.4 kan medlemsstaterna vidare föreskriva ytterligare undantag av hänsyn till viktiga allmänna intressen.
För att känsliga personuppgifter skall få behandlas trots förbudet krävs inte bara att behandlingen faller under något undantag i artikel 8. Behandlingen måste också vara tillåten enligt artikel 7 (se avsnitt 12.5).
I vissa fall gäller enligt artikel 8 att en behandling måste vara nödvändig för vissa ändamål för att kunna godtas. Ett sådant nödvändighetskrav finns beträffande behandling inom arbetsrätten, inom hälso- och sjukvård, för att skydda vitala intressen och beträffande rättsliga anspråk. Nödvändighetskravet har berörts i avsnitt 12.5.1.3. Eftersom det – förutom vid samtycke – krävs att behandlingen är nödvändig för att den över huvud taget skall kunna tillåtas enligt artikel 7, är det oklart vad det har för betydelse att det beträffande en del undantag enligt artikel 8 saknas ett uttryckligt nödvändighetskrav.
Regeringen eller Datainspektionen kan beträffande de undantag som anges i den föreslagna persondatalagen genom föreskrifter närmare precisera i vilka fall behandling av personuppgifter är tillåten. Frågan om regeringens och Datainspektionens möjligheter att komplettera regleringen i persondatalagen har berörts i avsnitt 12.1.2.
I det följande berörs under skilda rubriker de olika undantagen i den föreslagna lagen från förbudet mot att behandla känsliga personuppgifter.
Samtycke
Förbudet mot att behandla känsliga personuppgifter gäller inte om den registrerade har lämnat sitt samtycke till behandlingen. En medlemsstat kan dock i sin lagstiftning bestämma att förbudet inte kan upphävas ens med den registrerades samtycke.
Vi anser att möjligheten att lagstifta bort verkan av den registrerades samtycke inte bör användas i persondatalagen. I detta avseende bör den enskilde, vars personliga integritet skall skyddas, få bestämma helt själv. Den registrerade vet själv bäst vad han eller hon anser vara en känslig personuppgift och vilka behandlingar han eller hon vill att en sådan uppgift skall utsättas för.
Begreppet samtycke berörs i avsnitt 12.2.9. I avsnitt 12.5.2.2 kommenteras den situationen att den registrerade tar tillbaka ett lämnat samtycke.
Offentliggörande
Förbudet mot att behandla känsliga personuppgifter gäller inte om behandlingen rör uppgifter som den registrerade har offentliggjort på ett tydligt sätt.
Det måste således vara fråga om uppgifter som den registrerade själv har offentliggjort. Uppgifter som någon annan har avslöjat för offentligheten omfattas inte, om inte den registrerade själv offentligt bekräftar uppgifterna.
Det förekommer att vissa personer tillåts eller till och med uppmuntras att ”tala ut” i massmedier om sitt sexualliv eller sin hälsa. Uppgifter som offentliggjorts av den registrerade själv på detta sätt omfattas således inte av förbudet mot att behandla känsliga personuppgifter. Inte heller omfattas t.ex. uppgift om partitillhörighet hos den som ställer upp i ett val som genomförs offentligt eller hos den som offentligt företräder ett politiskt parti.
Inom arbetsrätten
Förbudet mot att behandla känsliga personuppgifter gäller inte om behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den persondataansvarige inom arbetsrätten. Detta gäller dock bara i den mån behandlingen är tillåten enligt nationell lagstiftning som föreskriver lämpliga skyddsåtgärder.
I vårt förslag till persondatalag har vi, utan att någon saklig skillnad är avsedd, använt ett något förkortat uttryckssätt; behandlingen är tillåten om den är nödvändig för att den persondataansvarige inom arbetsrätten skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter.
I detta sammanhang bör också nämnas Europarådets rekommendation om skydd för personuppgifter som används för anställningsändamål. Rekommendationen finns intagen som bilaga 3.2.1 till Datalagsutredningens slutbetänkande (SOU 1993:10), och dess innehåll finns presenterat i av-
snitt 4.3.1 i det betänkandet.304 En bakgrundsbeskrivning och Datalagsutredningens överväganden rörande behandling av känsliga personuppgifter för anställningsändamål finns i avsnitt 11 i det nyss nämnda betänkandet.305
De avsedda skyldigheterna och rättigheterna inom arbetsrätten måste åligga eller tillkomma den persondataansvarige och inte någon annan.
Det förefaller något oklart vad som menas med skyldigheter och rättigheter ”inom arbetsrätten”. Rättsområdet arbetsrätten har – liksom de flesta andra rättsområden – i Sverige inte någon klar eller en gång för alla given gräns. Ett exempel är att utbetalningen i vissa fall av pengar till sjuka arbetstagare för några år sedan lades över från det allmänna till arbetsgivare. Den gräns runt arbetsrätten som kan finnas i en rättsordning behöver vidare inte sammanfalla med den gräns som finns i en annan rättsordning. Det bör också noteras att i den engelska versionen av direktivet används uttrycket ”employment law”, vilket är betydligt snävare än det svenska uttrycket ”arbetsrätt”.
Enligt vår mening bör dock uttrycket ”inom arbetsrätten” inte ges en alltför snäv betydelse. I stort sett alla skyldigheter och rättigheter för arbetsgivare beträffande de anställda och deras organisationer bör som vi ser det kunna i detta sammanhang innefattas i uttrycket ”inom arbetsrätten”. Även skyldigheter och rättigheter för fackliga organisationer i förhållande till arbetsgivare och deras organisationer bör kunna innefattas.
Vi har övervägt att i stället för uttrycket ”inom arbetsrätten” använda något motsvarande uttryck, t.ex. ”på arbetslivets område”, men stannat för att i detta hänseende hålla oss till det uttryck som används i den svenska översättningen av direktivet.
304 Även på det internationella planet har arbetstagarnas behov av integritet nyligen uppmärksammats, se den ”Code of practice on the protection of worker’s personal data” som ILO:s styrelse antog i november 1996. 305 Frågor om den personliga integriteten på arbetslivets område har för svensk del berörts – förutom i Datalagsutredningens betänkanden – i Ds 1989:24 och i Reinhold Fahlbeck, ”Employee Privacy in Sweden” i Comparative Labor Law Journal, volym 17, nr 1, 1995, s. 139 ff. – jämför densamme i JT 1991–92 s. 41 ff. – samt, beträffande medicinska undersökningar i arbetslivet, i SOU 1996:63. EGdirektivet och arbetsmarknaden har för dansk rätts del berörts i Peter Blume, ”Arbejdsmarked og persondatabeskyttelse” i UfR B 1996 s. 427 ff. Se beträffande Finland Antti Suviranta, ”Workers Privacy in Finland” i Comparative Labor Law Journal, volym 17, nr 1, 1995, s. 45 ff. och Anders von Koskull, ”Personvärn och personalrekrytering, eller transformation och skygglappar” i FJFT 1996 s. 391 ff.
Behandling får ske bara om den är tillåten enligt nationell lagstiftning. Den bestämmelse om att känsliga personuppgifter får behandlas när behandlingen är nödvändig för att den persondataansvarige inom arbetsrätten skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter som vi föreslår skall tas in i persondatalagen utgör en sådan nationell bestämmelse som tillåter behandling. Det krävs alltså inte att behandlingen är tillåten enligt någon bestämmelse i lagstiftningen ”inom arbetsrätten”. I många fall följer det dock av lagstiftningen inom arbetsrätten att vissa uppgifter måste behandlas för att lagstadgade skyldigheter skall kunna fullgöras, t.ex. i samband med sjuklön eller rehabilitering av arbetstagare eller fullgörande av förhandlingsskyldighet. Men också skyldigheter och rättigheter inom arbetsrätten som följer av avtal – kollektivavtal eller andra avtal – eller myndighetsbeslut i enskilda fall avses med den föreslagna bestämmelsen i persondatalagen. Har en arbetsgivare genom avtal t.ex. åtagit sig att göra avdrag på lön för fackföreningsavgift, får således uppgifter om fackföreningsmedlemskap behandlas för att arbetsgivaren skall kunna fullgöra sin avdragsskyldighet.
Enligt direktivet räcker det emellertid inte att behandlingen är tillåten enligt den nationella lagstiftningen. Den nationella lagstiftningen måste också föreskriva ”lämpliga skyddsåtgärder”. Vad som är lämpliga skyddsåtgärder bör enligt vår mening i första hand bedömas mot bakgrund av förhållandena i respektive medlemsstat.
Vi anser att det är tillräckligt att såsom en lämplig skyddsåtgärd i den föreslagna persondatalagen föreskriva att de behandlade uppgifterna får lämnas ut till tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för den persondataansvarige att göra det eller den registrerade har samtyckt till utlämnandet. Genom denna föreskrift om att skyldigheten inom arbetsrätten att lämna ut uppgifterna skall anges uttryckligen garanteras att den känsliga frågan om spridningen av uppgifterna får särskild uppmärksamhet vid utformningen av kollektivavtal och lagstiftning.306 En arbetsgivare får t.ex. inte utan vidare lämna ut uppgifter om en tidigare anställds sjukfrånvaro till en annan arbetsgivare. Av vad som anförts i avsnitt 9.2 framgår att bestämmelserna i den föreslagna persondatalagen inte
306 En uttrycklig skyldighet för den persondataansvarige att lämna ut vissa uppgifter som finns i ett avtal med den registrerade, t.ex. ett enskilt anställningsavtal, omfattas i och för sig också, men i detta fall är det kanske mera naturligt att tala om ett uttryckligt samtycke som den registrerade har lämnat frivilligt.
inskränker myndigheternas skyldigheter att lämna ut personuppgifter enligt 2 kap. TF.
Det bör nämnas att det i annan lagstiftning än den föreslagna persondatalagen givetvis också finns bestämmelser om sådant som kan betraktas som lämpliga skyddsåtgärder. De sekretessregler som gäller för det allmänna och i vissa fall för enskilda utgör ett exempel. Också t.ex. reglerna om föreningsrätt i 7–9 §§ medbestämmandelagen307 kan anses föreskriva lämpliga skyddsåtgärder mot missbruk av uppgifter om fackföreningsmedlemskap.
Ett särskilt problem som bör beröras i detta sammanhang är att en uppgift om fackföreningsmedlemskap enligt EG-direktivet skall betraktas som en sådan känslig uppgift att behandling av den i princip är förbjuden. I Sverige – och inom Norden i övrigt – betraktas i dag en sådan uppgift inte som särskilt känslig. De allra flesta arbetstagare tillhör någon av det fåtal fackliga huvudorganisationer som finns.308 När uppgifter om fackföreningsmedlemskap behandlas utanför arbetsrättens område krävs alltså efter genomförandet av direktivet särskild eftertanke. I många fall kan förmodligen undantaget beträffande rättsliga anspråk användas (se nedan). Ett exempel kan vara den behandling som skedde inom skatterätten när det fanns möjlighet att göra avdrag vid inkomstbeskattningen för fackföreningsavgift. Ett annat exempel kan vara när, inom socialrätten, ersättning i form av socialbidrag ges för sådan avgift för att en skälig levnadsnivå skall uppnås. Ytterligare exempel är den registrering av medlemskap som t.ex. privata företag kan ägna sig åt till följd av att fackliga organisationer avtalar om individuella eller kollektiva förmåner eller tjänster för sina medlemmar, t.ex. gruppförsäkring.
Ideella organisationer
Förbudet mot att behandla känsliga personuppgifter gäller inte när behandlingen utförs inom ramen för berättigad verksamhet hos ett icke vinstdrivande organ som har ett politiskt, filosofiskt, religiöst eller fackligt syfte. Behandlingen får dock bara avse uppgifter om sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta. De behandlade uppgifterna får inte heller lämnas ut till tredje man utan den registrerades samtycke.
307 Lagen (1976:580) om medbestämmande i arbetslivet. 308 Över 85 procent av arbetskraften är fackligt organiserad.
Den svenska översättningen av direktivet kan tolkas så att en icke vinstdrivande organisation med angivet syfte skulle kunna få behandla uppgifter om medlemmar i en annan sådan organisation som också har ett syfte av angiven art. En jämförelse med de engelska, franska och tyska språkversionerna ger dock vid handen att en sådan tolkning inte är avsedd; en organisation får bara behandla uppgifter om sina egna medlemmar (och om personer som på grund av organisationens ändamål har regelbunden kontakt med denna).
Däremot får organisationen i fråga om medlemmarna och sådana personer som på grund av organisationens ändamål har regelbunden kontakt med denna i princip behandla uppgifter av vilket slag som helst oavsett om personuppgifterna har någon anknytning till organisationens syfte; de bestämmelser som uppställer grundläggande krav på all behandling av personuppgifter och de som anger när sådan behandling över huvud taget skall vara tillåten torde dock som regel innebära att behandling av helt ovidkommande uppgifter inte tillåts, t.ex. en fackförenings behandling av uppgifter om medlemmarnas sexuella läggning.
Frågan om en person är medlem i en organisation eller inte får avgöras enligt vanliga regler med ledning av bl.a. innehållet i organisationens stadgar. En organisation får inte på grund av nu aktuellt undantag behandla känsliga uppgifter om en person som – t.ex. efter utträde eller uteslutning – inte längre är medlem (och inte heller på grund av organisationens ändamål har regelbunden kontakt med denna).
Kravet att behandlingen skall ske inom ramen för en berättigad verksamhet innebär enligt vår mening att verksamheten inte får vara olaglig eller klart oförenlig med goda seder. I övrigt får det vara upp till organisationen själv att bestämma vilken verksamhet som får bedrivas.
Det krävs alltså i princip individuellt samtycke av de registrerade för att känsliga personuppgifter – t.ex. uppgift om medlemskap i en facklig eller politisk organisation – skall få lämnas ut till tredje man av organisationen. Organisationen får således inte lämna ut sitt medlemsregister för att t.ex. ett privat företag skall kunna rikta erbjudanden till medlemmarna. Är utlämnandet däremot tillåtet enligt någon annan bestämmelse i artikel 8 kan uppgifterna givetvis lämnas ut. Träffar organisationen avtal med annan om kollektiva förmåner för sina medlemmar – t.ex. en gruppförsäkring eller en kollektiv anslutning till annan organisation – kan således medlemsregistret lämnas ut om det är nödvändigt för att de rättsliga anspråk som avtalet ger medlemmarna skall kunna fastslås eller göras gällande (se nedan). Krävs det en uppgift om någon är eller inte är medlem i en fackförening för att
fastställa vid vilken instans talan skall väckas eller föras309, bör organisationen kunna lämna ut uppgiften, eftersom den på avsett sätt är nödvändig för att kunna fastslå om någon har rätt att föra talan vid en viss instans.
I sammansatta organisationsstrukturer med flera juridiska personer, t.ex. fristående regionala organisationer och en centralorganisation, kan man fråga sig om varje juridisk person skall ses som tredje man eller om det är möjligt att tillämpa ett annat synsätt. Den frågan berörs i avsnitt 12.2.6.
Den ideella organisationen måste som nämnts ha ett politiskt, filosofiskt, religiöst eller fackligt syfte för att få behandla känsliga personuppgifter om sina medlemmar. Enligt vår mening bör man när det gäller organisationens syfte kunna göra en ganska vidsträckt tolkning. Om en organisation på något sätt vill påverka samhället, bör organisationen som vi ser det i detta sammanhang kunna anses ha ett sådant politiskt syfte som avses i bestämmelsen. Med en sådan tolkning bör i flertalet fall ideella sammanslutningar av t.ex. utlänningar, invandrare eller personer med viss sexuell läggning eller viss sjukdom kunna behandla (känsliga) personuppgifter om sina medlemmars egenskaper.
De arbetslöshetskassor som är nära knutna till de fackliga organisationerna får i Sverige anses ha ett sådant fackligt syfte som avses i direktivet.
Rättsliga anspråk
Förbudet mot att behandla känsliga personuppgifter gäller inte om behandlingen rör uppgifter som är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.
Att en person har en sådan egenskap som avses med definitionen av känsliga personuppgifter kan vara en förutsättning för att denne skall ha rätt till en förmån eller ha en rättslig skyldighet gentemot någon annan. I sådana fall får uppgifter om den rättsligt relevanta egenskapen behandlas.
Att någon är sjuk kan t.ex. ha betydelse för rätten att få försäkringsersättning. Och det förhållandet att någon är medlem i svenska kyrkan har betydelse för vilken skatt den registrerade är skyldig att betala in till skattemyndigheten. I vissa försäkringssammanhang är det vidare en förutsättning för att få teckna viss försäkring att uppgifter om hälsa lämnas eller
309 Se t.ex. 2 kap. lagen (1974:371) om rättegången i arbetstvister.
inhämtas. Också i detta fall får registreringen som regel anses nödvändig för rättsliga anspråk på det sätt som direktivet kräver.
För att skydda vitala intressen
Förbudet mot att behandla känsliga personuppgifter gäller inte när den registrerade är rättsligt eller fysiskt förhindrad att lämna samtycke och behandlingen är nödvändig för att skydda den registrerades eller någon annans vitala intressen.
I den svenska översättningen av direktivet talas det om ”grundläggande intressen”. Anledningen till att vi valt att i den föreslagna lagtexten i stället använda uttrycket ”vitala intressen” och möjliga tolkningar har redogjorts för i avsnitt 12.5.1.6.
Frågan om när den registrerade skall anses rättsligt förhindrad att lämna samtycke har berörts i avsnitt 12.2.9.
Det bör noteras att behandling kan ske också för att skydda vitala intressen hos någon annan än den registrerade. Ett exempel kan vara när hälsouppgifter om en medvetslös och svårt skadad potentiell organdonator behandlas för att hitta en lämplig mottagare för organet.
Hälso- och sjukvård
Förbudet mot att behandla känsliga personuppgifter gäller inte när behandlingen är nödvändig med hänsyn till N förebyggande hälso- och sjukvård, N medicinska diagnoser, N vård eller behandling eller N administration av hälso- och sjukvård.
Förbudet gäller inte heller när uppgifterna behandlas av någon som är N yrkesmässigt verksam inom hälso- och sjukvårdsområdet och N underkastad tystnadsplikt enligt nationell lagstiftning eller bestämmelser
som har antagits av behöriga nationella organ.
De nu nämnda bestämmelserna i EG-direktivet har förts över nästan ordagrant till den föreslagna persondatalagen. Bestämmelserna verkar täcka all den behandling av känsliga personuppgifter som sker inom hälso- och sjukvårdsområdet, även t.ex. den tillsyn som sker över hälso- och sjukvården och dess personal.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får således alltid behandla känsliga personuppgifter. Bestämmelser om tystnadsplikt inom hälso- och sjukvård finns i Sverige bl.a. i sekretesslagen och lagen (1994:953) om åligganden för personal inom hälso- och sjukvården samt lagen (1996:786) om tillsyn över hälso- och sjukvården.310
Bestämmelsen om att vissa personer med tystnadsplikt får behandla känsliga personuppgifter innebär inte nödvändigtvis att den personen blir att betrakta som persondataansvarig. Personen kan t.ex. behandla uppgifterna inom ramen för sin anställning hos den persondataansvarige. Bestämmelsen medför vidare att en persondataansvarig för vilken något annat undantag i artikel 8 inte gäller kan anlita en sådan person som avses i bestämmelsen för att behandla känsliga personuppgifter. Den anlitade kan då sägas vara en sådan person som under den persondataansvariges direkta ansvar har befogenhet att behandla personuppgifter, dvs. vad vi i det föregående kallat för medhjälpare (se avsnitt 12.2.6).
Slutligen finns i den nu aktuella artikeln i EG-direktivet (artikel 8.3) en bestämmelse om att förbudet mot att behandla känsliga personuppgifter inte heller skulle gälla om uppgifterna behandlas av ”en annan person som är ålagd en liknande tystnadsplikt”. Språkligt sett innebär bestämmelsen att känsliga personuppgifter skulle få behandlas av den som N inte är yrkesmässigt verksam inom hälso- och sjukvårdsområdet, N men ändå är underkastad en tystnadsplikt som liknar den som gäller en-
ligt nationell lagstiftning, eller bestämmelser som har antagits av behöriga nationella organ, för personer som är yrkesmässigt verksamma inom hälso- och sjukvårdsområdet.
Vi har inte ansett det lämpligt eller nödvändigt att i den föreslagna persondatalagen ta in en så generell bestämmelse vars närmare tillämpningsområde framstår som ganska oklart.
Forskning och statistik
Av vad som anförs i avsnitt 11 framgår att vi föreslår att det beträffande behandling av känsliga personuppgifter för forskning och statistik skall redan i den föreslagna persondatalagen införas ett sådant undantag för vik-
310 Se senast prop. 1995/96:176 s. 94 f.
tiga allmänna intressen som direktivet tillåter. Beträffande utformningen av det undantaget får hänvisas till det nämnda avsnittet.
Ytterligare undantag för viktiga allmänna intressen
Enligt artikel 8.4 i EG-direktivet får medlemsstaterna av hänsyn till ett viktigt allmänt intresse göra ytterligare undantag från förbudet mot att behandla känsliga personuppgifter. Detta kan ske antingen i nationell lagstiftning eller genom beslut av den nationella tillsynsmyndigheten. En förutsättning för att ytterligare undantag skall få göras är dock att det finns lämpliga skyddsåtgärder. De undantag som görs skall – enligt artikel 8.6 – anmälas till kommissionen. Enskildas rent kommersiella intressen torde i allmänhet inte ensamma kunna anses som sådana viktiga allmänna intressen att undantag får göras.
I den föreslagna persondatalagen har vi därför tagit in ett bemyndigande för regeringen – eller den myndighet regeringen bestämmer – att föreskriva sådana undantag. Frågan om regeringens och Datainspektionens möjligheter att komplettera regleringen i den föreslagna persondatalagen har berörts i avsnitt 12.1.2.
12.5.3.4 Uppgifter om brott
I artikel 8.5 i EG-direktivet finns det bestämmelser om behandling av personuppgifter om N lagöverträdelser, N brottmålsdomar och N säkerhetsåtgärder.
Sådana uppgifter omfattas inte av definitionen av känsliga personuppgifter, men det finns alltså ändå särregler i direktivet för dessa uppgifter. Huvudregeln är att sådana uppgifter får behandlas endast under kontroll av en myndighet. Därutöver finns en något svårtolkad regel som verkar innebära att sådana uppgifter får behandlas utan myndighetskontroll under förutsättning att det är tillåtet enligt nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock under inga omständigheter föras annat än under kontroll av en myndighet.
Det är slutligen enligt direktivet tillåtet för medlemsstaterna att föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.
De nationella bestämmelser som medlemsstaterna beslutar enligt artikel 8.5 torde – enligt artikel 8.6 – behöva anmälas till kommissionen.
Vi anser att möjligheten att ha regler om myndighetskontroll för behandling av uppgifter om administrativa sanktioner och domar i tvistemål inte bör utnyttjas genom att särregler tas in i den föreslagna persondatalagen. Den viktigaste och känsligaste formen för behandling av sådana uppgifter – kreditupplysning – regleras i dag i en särskild lag som för närvarande håller på att ses över.311
När det sedan gäller uppgifter om lagöverträdelser, brottmålsdomar och säkerhetsåtgärder är det som vi ser det rimligt med särregler. Sådana uppgifter är otvivelaktigt av så känslig natur att vem som helst inte bör få hantera uppgifterna hur som helst. Å andra sidan står det klart att myndigheter mycket ofta behöver hantera just sådana uppgifter för att kunna fullgöra de samhällsuppdrag som lagts på dem. I vad mån myndigheter får hantera sådana uppgifter framgår av de föreskrifter som reglerar respektive myndighets verksamhet.
Det sagda leder oss till slutsatsen att det i den föreslagna persondatalagen bör tas in en grundläggande bestämmelse om att det är förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser och domar och säkerhetsåtgärder i brottmål. Eftersom det kan finnas fall där det är befogat att enskilda behandlar sådana uppgifter, bör bestämmelsen kompletteras med ett bemyndigande för regeringen och Datainspektionen att föreskriva undantag från förbudet. Det får förutsättas att undantag föreskrivs på det sätt som krävs enligt EG-direktivet när enskilda har ett befogat intresse av behandlingen och den står under tillfredsställande kontroll av en myndighet.
Som exempel på fall där det kan vara befogat att regeringen eller Datainspektionen föreskriver undantag kan nämnas den behandling av uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem kan behöva utföra för att vårda och behandla den dömde på ett effektivt sätt. Också för försäkringsbolagens kravhantering kan det enligt vår mening vara befogat med undantag. Det är ofta försäkringsbolagen som i första hand får betala för de ekonomiska skador som kriminaliteten vållar, och när försäkringsbolaget väl har betalat den skadade, tar bolaget regelmässigt över kravet mot brottslingen. Eftersom det är viktigt att den som på ett kriminellt sätt har skadat någon annan också får svara fullt ut för vad han
311 Se SOU 1993:110 och prop. 1996/97:65.
eller hon ställt till med, kan det vara befogat att försäkringsbolagen får registrera sådana uppgifter om brottsligheten att krav kan framställas på ett effektivt sätt mot den som bör få betala.
De begrepp som används i bestämmelsen – lagöverträdelser, brottmålsdomar och säkerhetsåtgärder – har som vi ser det en EG-gemensam innebörd.
Med lagöverträdelser avses förmodligen bara överträdelse av straffsanktionerade bestämmelser. På motsvarande sätt får det anses att bara säkerhetsåtgärder i brottmålsförfaranden avses, t.ex. häktning, beslag eller kvarstad.
En uppgift om att någon har eller kan ha begått stöld utgör otvivelaktigt en uppgift om lagöverträdelse även om det inte finns någon dom beträffande brottet; uppgiften har kvalificerats till att avse något visst brott. Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska iakttagelser kan anses utgöra uppgifter om lagöverträdelser, t.ex. en uppgift om att någon använt narkotika, en uppgift om att någon kört bil mellan två orter med viss (för hög) genomsnittlig hastighet, en uppgift om att någon som arbetar med att tömma parkeringsautomater har privat växlat in stora mängder mynt i bank osv. Elektronisk övervakningsutrustning, t.ex. kameror, installeras vidare ofta i privat verksamhet just i det befogade syftet att förr eller senare registrera lagöverträdelser, och det skulle givetvis innebära olägenheter om registreringen blev olaglig och skadeståndsgrundande i samma ögonblick som syftet med den uppnåtts, dvs. när genomförandet av t.ex. ett rån registrerats. Detta talar starkt för att uppgifter om faktiska iakttagelser om en persons handlande inte rimligen kan anses som uppgifter om lagöverträdelser i alla de fall handlandet kan innebära en lagöverträdelse. Var gränsen går får avgöras i praxis eller genom de närmare föreskrifter som kan utfärdas.
12.6. Användning av personnummer
Reglerna om användning av personnummer i datalagen bör föras över till den nya persondatalagen. Detta innebär att uppgifter om personnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Enligt artikel 8.7 i EG-direktivet skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.
Bestämmelsen berör för svensk del bara personnummer; något annat vedertaget sätt för identifiering finns inte i Sverige som vi ser det. Bestämmelsen innebär bara att Sverige måste ha regler för när personnummer får behandlas. Däremot får Sverige och de andra medlemsstaterna fritt bestämma det materiella innehållet i reglerna.
Det finns redan en reglering av användningen av personnummer i datalagen. Enligt 7 § andra stycket får registrering av personnummer ske bara när det klart är motiverat med hänsyn till registrets ändamål, vikten av en säker identifiering eller av något annat beaktansvärt skäl. Vidare gäller att personnummer får återges på datautskrifter bara när det finns särskilda skäl.
Frågan om en reglering av användningen av personnummer utreddes av den parlamentariskt sammansatta Data- och offentlighetskommittén som år 1987 lämnade två alternativa förslag till reglering.312 Några år senare – i slutet av 1990 – kunde regeringen, sedan utredningsförslagen fått ett blandat mottagande av remissinstanserna, presentera sitt förslag som byggde på ett av utredningsförslagen.313 Konstitutionsutskottet begärde därefter att lagrådet skulle yttra sig över det andra utredningsförslaget. Utskottets majoritet förordade emellertid regeringens förslag, men gjorde en viss omformulering av lagtexten.314 Det omformulerade förslaget antogs av riksdagen.
312 Se SOU 1987:31. 313 Se prop. 1990/91:60 s. 60 ff. 314 Se KU 1990/91:11.
I februari 1993 beslutade den dåvarande regeringen att en särskild utredare skulle tillkallas med uppdrag att utreda frågan om en begränsad användning av personnummer.315 I maj 1994 överlämnade Personnummerutredningen ett omfattande betänkande med förslag till en särskild lag om användning av personnummer.316 Förslaget har inte lett till lagstiftning, och den regering som tillträdde på hösten 1994 har uttalat att det inte är aktuellt att införa någon lagstiftning om användningen av personnummer.317
I våra utredningsdirektiv omnämns inte särskilt frågan om användning av personnummer.
Vi finner mot den nu redovisade bakgrunden att det inte kan anses ankomma på oss att göra en ny utredning om användningen av personnummer annat än vad vårt uppdrag att lämna förslag till genomförande av EG-direktivet föranleder.
EG-direktivet kräver att det finns en reglering av användningen av personnummer som omfattar den behandling av personuppgifter som avses i direktivet. Den reglering av användningen av personnummer som i dag finns i datalagen bör därför föras över till den föreslagna persondatalagen, som skall ha ett tillämpningsområdet som i enlighet med vad som anförs i avsnitt 7 har anpassats till direktivets. Eftersom den uttryckliga regeln om att personnummer får återges på datautskrifter bara om det finns särskilda skäl passar dåligt in i en generell lag som i viss mån omfattar även manuell behandling av personuppgifter (på papper), har vi emellertid valt att inte ta med den regeln i vårt förslag till ny lag. Detta är dock inte avsett att innebära någon ändring i sak. För att en uppgift om personnummer över huvud taget skall få behandlas – t.ex. genom att fästas på en datautskrift – krävs ju med den föreslagna lagen att behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl.
315 Se dir. 1993:7. 316 Se SOU 1994:63. 317 Se prop. 1994/95:100 Bilaga 3 s. 14.
Hänvisningar till S12-6
- Prop. 1997/98:44: Avsnitt Författningskommentar till 22 § personuppgiftslag
12.7. Information till den registrerade
Den persondataansvarig som hämtar in personuppgifter bör självmant lämna de registrerade viss information rörande behandlingen. Undantag från informationsskyldigheten bör gälla när de registrerade redan känner till informationen, när det finns författningsreglering och när det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att informera. Den registrerade bör vidare ha rätt att en gång per kalenderår på begäran gratis få information om de uppgifter som behandlas. Informationen skall lämnas skriftligen inom en månad efter ansökan. De regler om sekretess och tystnadsplikt som finns gäller alltid framför rätten till information enligt den föreslagna persondatalagen.
12.7.1. Inledning
I artikel 10–12 i EG-direktivet finns bestämmelser om att information skall lämnas till den registrerade dels självmant när en persondataansvarig samlar in personuppgifter, dels när den registrerade begär att få ta del av de uppgifter som en persondataansvarig har registrerat. Bestämmelserna har berörts i avsnitt 3.9 och 3.10. I det följande tas dessa två situationer upp under skilda rubriker. Avslutningsvis berörs, under en särskild rubrik, frågan hur reglerna i direktivet och den föreslagna persondatalagen förhåller sig till bestämmelser om sekretess och tystnadsplikt.
12.7.2. När uppgifterna samlas in
12.7.2.1 Inledning
I artikel 10–11 i EG-direktivet finns bestämmelser om den information som en persondataansvarig skall lämna självmant till den registrerade i samband med att han eller hon samlar in personuppgifter.
Artikel 10 rör den situationen att uppgifterna samlas in från den registrerade själv, medan artikel 11 gäller när uppgifterna hämtas in från något annat håll. I båda fallen skall den persondataansvarige lämna informationen självmant. Det krävs alltså inte att den registrerade begär att få information. Något annat som är gemensamt för de båda fallen är att den per-
sondataansvarige aldrig är skyldig att lämna information om sådant som den registrerade redan känner till.
I avsnitt 9.2 har vi berört hur man kan se på informationsskyldigheten för myndigheter med hänsyn till skyldigheten att enligt offentlighetsprincipen lämna ut uppgifter till den som begär det.
12.7.2.2 När skall informationen lämnas
Samlas personuppgifterna in från den registrerade själv skall, såsom vi har uppfattat direktivet, informationen alltid lämnas i samband därmed; samlar den persondataansvarige in uppgifter från de registrerade utan att då berätta vad uppgifterna skall användas till, kan behandlingen av personuppgifterna inte anses ha gått korrekt till.
När personuppgifterna hämtas in från något annat håll, skall informationen enligt direktivet lämnas ”vid registreringen”. Kan det vid detta tillfälle förutses att uppgifterna kommer att lämnas ut till tredje man, är det dock tillåtet att vänta med informationen ända till dess att uppgifterna lämnas ut för första gången.
Dessa bestämmelser bör föras över till den föreslagna persondatalagen. Det finns som vi ser det inte någon skyldighet för en persondataansvarig att lämna sådan information som nu avses mer än en gång beträffande de personuppgifter som samlas in vid ett tillfälle. De insamlade uppgifterna kan således under den tid det är nödvändigt behandlas för de ändamål som angetts vid insamlingen och för alla andra ändamål som inte är oförenliga med de ursprungliga ändamålen utan att de registrerade behöver informeras på nytt. Ny information behöver vidare inte lämnas varje gång uppgifter lämnas ut till tredje man (under förutsättning att information om åtminstone de aktuella kategorierna av mottagare har lämnats). Lämnas uppgifterna ut till tredje man för vidare behandling, måste givetvis denne informera de registrerade om sin behandling av uppgifterna i den mån de registrerade inte redan känner till informationen (genom den information de fått från den förste persondataansvarige eller eljest).
I en del fall är avsikten dock att den persondataansvarige fortlöpande skall samla in uppgifter om en och samma person. Det kan t.ex. vara fråga om en bank som regelbundet för kontoredovisning m.m. hämtar in uppgifter om vilka betalningstransaktioner den registrerade har gjort i olika affärer eller i andra banker. I sådana fall bör det, som vi ser saken, vara möjligt att lämna information bara en gång – innan uppgifter registreras första gången – under förutsättning att den registrerade då får information om
bl.a. vilka kategorier av uppgifter som kommer att hämtas in och behandlas; genom den information som lämnas innan den första registreringen sker får den registrerade kännedom om de behandlingar som kommer att utföras fortlöpande och vilka kategorier av uppgifter dessa kommer att avse, och den persondataansvarige är som sagt aldrig skyldig att lämna information om sådant som den registrerade redan känner till.
När det gäller insamling av personuppgifter i samband med användningen av Internet, BBS:er eller liknande elektroniska tjänster, t.ex. i form av s.k. loggar, är det viktigt att de personer som utnyttjar tjänsterna informeras om utnyttjandet av de s.k. elektroniska spår som de omedvetet kan ha lämnat. Eftersom de elektroniska tjänsterna i allmänhet går ut på att förmedla information i ett eller annat avseende, borde det inte innebära några särskilda problem att lämna information även i detta hänseende. IT-utredningen har för övrigt redan föreslagit att den som tillhandahåller en tjänst för elektronisk förmedling av meddelanden skall informera användarna bl.a. om vem som tillhandahåller tjänsten och i vilken utsträckning inkomna meddelanden blir tillgängliga för andra användare.318 Det kan – särskilt mot bakgrund av att IT-utredningen också i viss utsträckning föreslagit undantag från datalagen för elektroniska förmedlingstjänster – enligt vår mening finnas anledning att överväga om inte utredningens förslag borde kompletteras med en skyldighet att lämna information även i de hänseenden som avses i EG-direktivet.
12.7.2.3 Vilken information skall lämnas
Av EG-direktivet följer att information skall lämnas om
a) den persondataansvariges – och dennes eventuella företrädares – iden-
titet,
b) ändamålen med den behandling för vilka uppgifterna är avsedda, och
c) all ytterligare information i den utsträckning informationen – med hän-
syn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
Med att information skall lämnas om den persondataansvariges identitet avses förmodligen att uppgift skall lämnas om namn och adress beträffande den fysiska eller juridiska person som är persondataansvarig.
318 Se 4 § i den av utredningen föreslagna lagen om elektroniska förmedlingstjänster och SOU 1996:40 s. 186 ff.
I direktivet finns vidare en exemplifiering av information enligt punkt c. Beträffande det fallet att uppgifterna samlas in från den registrerade själv anges som exempel N mottagarna eller de kategorier som mottar uppgifterna, N huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt
eventuella följder av att inte svara och N förekomsten av rättigheter att få tillgång till och att få rättelse av upp-
gifter.
För det fallet att uppgifterna hämtas in på något annat sätt anges som exempel N de kategorier av uppgifter som behandlingen gäller, N mottagarna eller de kategorier som mottar uppgifterna och N förekomsten av rättigheter att få tillgång till och att få rättelse av upp-
gifter.
Vi har i den föreslagna persondatalagen mer eller mindre ordagrant tagit in de grundläggande bestämmelserna om den information som skall lämnas (punkt a–c ovan); beträffande punkten c har vi dock – för att förtydliga – valt att tala om all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information. Avsikten är att de mer preciserade anvisningar om informationslämnandet som kan behövas skall tas in i föreskrifter som utfärdas av regeringen eller Datainspektionen. Frågan om regeringens och Datainspektionens möjligheter att komplettera regleringen i den föreslagna persondatalagen har berörts i avsnitt 12.1.2.
Det finns inte något krav på att informationen skall lämnas skriftligen. Det är dock den persondataansvarige som har att visa att varje registrerad har fått den information som krävs om det blir tvist om den saken, vilket kan antas medföra att de flesta väljer att om möjligt lämna informationen skriftligen och på en framträdande plats.
12.7.2.4 Undantag från informationsskyldigheten
Vi har tidigare nämnt att den persondataansvarige inte i något fall är skyldig att lämna information om sådant som den registrerade redan känner till. Av vad som anförs i avsnitt 12.7.4 framgår dessutom att bestämmelser om tystnadsplikt och sekretess gäller framför den föreslagna persondatalagen.
För det fallet att personuppgifterna hämtas in från något annat håll än den registrerade själv finns det vidare i artikel 11.2 undantag från skyldigheten att informera. Undantagen gäller
a) när det visar sig vara omöjligt eller skulle innebära en oproportionerligt
stor ansträngning att lämna information och
b) när registreringen eller utlämnandet uttryckligen föreskrivs i författ-
ning
För dessa undantagsfall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.
De två undantagen bör föras över till den föreslagna persondatalagen. Vi har dock – utan att någon saklig skillnad är avsedd – valt att i lagtextförslaget tala om arbetsinsats i stället för ansträngning.
I punkt 40 i ingressen till direktivet finns det vissa riktlinjer för bedömningen av när det kan innebära en oproportionerligt stor ansträngning att lämna information (se avsnitt 3.9). Vår avsikt är att regeringen eller Datainspektionen skall kunna närmare precisera när det kan anses att informationslämnandet innebär en oproportionerligt stor arbetsinsats eller vad som krävs för att det skall anses visat att det är omöjligt att lämna information.
I många författningar finns det föreskrifter om att uppgifter skall eller får registreras av t.ex. någon myndighet eller att vissa uppgifter skall eller får lämnas ut till vissa personer eller myndigheter. Den som enligt en sådan föreskrift har rätt eller skyldighet att registrera vissa uppgifter behöver inte lämna information när uppgifterna hämtas in (från annat håll än den registrerade själv). Inte heller den som enligt en sådan föreskrift har rätt att få ut vissa uppgifter behöver informera om sin (efterföljande) behandling av uppgifterna; däremot kan givetvis den som lämnar ut uppgifterna ha varit skyldig att lämna information i samband med att han eller hon samlade in uppgifterna (om inte något undantag gällde beträffande den insamlingen).
Registreringen eller utlämnandet måste vara uttryckligen föreskrivet i författning. Offentlighetsprincipen innebär att vem som helst har rätt att få ut uppgifter från myndigheter. Enligt vår mening är de föreskrifter som utgör offentlighetsprincipen inte så preciserade i fråga om till vilka personer uppgifterna skall lämnas ut eller vilka uppgifter som skall lämnas ut att de kan anses uppfylla kraven på en sådan uttrycklig föreskrift som avses i EG-direktivet. Den som hämtar in personuppgifter med stöd av offentlighetsprincipen måste således informera de registrerade om sin vidare behandling av uppgifterna (om inte något annat undantag är tillämpligt).
Däremot är enligt vår mening de bestämmelser som finns om arkivmyndigheternas omhändertagande av arkivmaterial tillräckligt preciserade. När
en arkivmyndighet med stöd av författningsbestämmelser tar emot arkivmaterial från myndigheter eller enskilda, behöver arkivmyndigheten således inte informera de registrerade.
För de fall där någon av de två undantagsreglerna är tillämplig skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.
När det finns bestämmelser om registreringen eller utlämnandet i en författning torde det finnas mekanismer eller föreskrifter i den aktuella författningen som förhindrar missbruk och som får anses vara tillräckliga för att uppfylla direktivets krav på lämpliga skyddsåtgärder. Det är vidare enligt vår mening i alla fall bättre att i förekommande fall ta in regler om lämpliga skyddsåtgärder i den aktuella författningen än att försöka utforma en generell lösning i den föreslagna persondatalagen för alla de olika fall där det finns särskild författningsreglering.
När det sedan gäller det fallet att det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna information verkar det vara nödvändigt att i den föreslagna persondatalagen – eller anslutande författningar – ta in bestämmelser om sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet. Enligt vår mening är det i detta hänseende tillräckligt att i den föreslagna persondatalagen föreskriva att information alltid skall lämnas senast i samband med att de aktuella uppgifterna används för att vidta åtgärder beträffande de registrerade. Därmed finns det en garanti för att den registrerade inte utsätts för en åtgärd utan att få reda på vilken uppgiftsbehandling som ligger bakom den. Om en persondataansvarig för utskick för direkt marknadsföring hämtat in uppgifter om så många personer att det skulle innebära en oproportionerligt stor arbetsinsats att informera dem alla redan när uppgifterna registreras, måste således information lämnas (senast) i de handlingar som sänds ut.
Hänvisningar till S12-7-2
- Prop. 1997/98:44: Avsnitt Författningskommentar till 23 § personuppgiftslag, Författningskommentar till 24 § personuppgiftslag
12.7.3. På ansökan av den registrerade
Enligt artikel 12 a skall medlemsstaterna säkerställa att varje registrerad har rätt att från den persondataansvarige få viss information. Informationen behöver – såsom direktivet måste tolkas – lämnas bara efter begäran från den registrerade. Informationen skall då lämnas N utan hinder, N med rimliga intervall, N utan större tidsutdräkt och N utan större kostnader.
Den registrerade har för det första rätt att få bekräftelse på om uppgifter som rör honom eller henne behandlas eller inte. I övrigt – naturligen bara för det fallet att uppgifter om den registrerade behandlas – skall information lämnas om åtminstone N ändamålen med behandlingen, N de berörda uppgiftskategorierna, N mottagarna eller till vilka kategorier av mottagare som uppgifterna läm-
nas ut, N vilka uppgifter som behandlas och N varifrån uppgifterna kommer.
Informationen om vilka uppgifter som behandlas skall vara begriplig för den registrerade. När det gäller information om varifrån uppgifterna kommer, behöver den persondataansvarige bara lämna all den information som finns tillgänglig för honom eller henne; den persondataansvarige behöver således inte hålla reda på varifrån uppgifterna har hämtats, men vet han eller hon det (fortfarande) när den registrerade begär information skall det uppges.
Dessa bestämmelser har i princip förts över till den föreslagna persondatalagen. I samband därmed har vissa preciseringar gjorts, vilket får anses tillåtet enligt EG-direktivet.
Vi föreslår således att det – i enlighet med vad som gäller i dag beträffande registerutdrag enligt 10 § datalagen – skall föreskrivas att den registrerades ansökan om information skall göras skriftligen hos den persondataansvarige och vara undertecknad av den registrerade själv. De föreslagna reglerna syftar till att skapa ordning och reda och garantera att det är den registrerade och inte någon annan som får tillgång till informationen. De ytterligare bestämmelser som kan behövas beträffande ansökan, t.ex. att den skall innehålla uppgift om den registrerades namn och adress kan lämpligen ges av regeringen genom förordning. Sådana bestämmelser underlättar för den persondataansvarige att ta fram och distribuera informationen.
Vi föreslår vidare att den registrerade skall ha rätt att få information en gång per kalenderår och att informationen skall lämnas ut gratis. Om uppgifter om den registrerade behandlas, skall informationen lämnas skriftligen. Informationen skall vidare som huvudregel lämnas inom en månad från det att ansökan gjordes. Det skall dock enligt vårt förslag vara tillåtet att lämna information bara vid tre över året jämnt fördelade tillfällen, om det finns särskilda skäl för det. Sådana särskilda skäl kan vara att person-
uppgifterna är krypterade, att sökmöjligheterna annars är begränsade eller att den persondataansvarige har många personuppgifter uppdelade på olika register eller andra datasamlingar.
När det gäller personuppgifter i löpande text som inte har fått sin slutliga utformning, t.ex. i ett ordbehandlingsdokument under arbete, och personuppgifter i löpande text som utgör minnesanteckning eller liknande finns det anledning att ha särskilda regler.
Regleringen i 2 kap. TF – i såväl gällande som den lydelse vi föreslår – innebär att en myndighet inte är skyldig att på grund av offentlighetsprincipen lämna ut t.ex. utkast under arbete och minnesanteckningar eller liknande som inte skall bevaras för framtiden. Det är tydligt att en ordning som innebär att ofärdiga alster och minnesanteckningar eller liknande inte behöver lämnas ut har goda skäl för sig på såväl den offentliga som den privata sidan.
Vi föreslår därför för det första att information inte skall behöva lämnas beträffande personuppgifter i löpande text som när ansökan om information gjordes inte har fått sin slutliga utformning. Har uppgifterna i den löpande texten behandlats under så lång tid som ett år utan att texten färdigställts, får dock den registrerades intresse av att få ta del av sina uppgifter anses väga tyngre än den persondataansvariges intresse av att utan insyn få ytterligare fördröja färdigställandet av texten. Personuppgifter i löpande text som, när ansökan gjordes, har behandlats under längre tid än ett år utan att texten har fått sin slutliga utformning bör därför lämnas ut, om inte den persondataansvarige väljer att i stället utplåna personuppgifterna i den ofärdiga texten. Den registrerade bör också ha rätt att få reda på uppgifterna, om den persondataansvarige har spritt dem till utomstående. Information bör således lämnas om uppgifterna i den ofärdiga löpande texten redan har lämnats ut till tredje man när ansökan om information gjordes; har den persondataansvarige när ansökan görs inte längre kvar de utlämnade uppgifterna, kan information givetvis inte lämnas.
Vi föreslår för det andra att information inte skall behöva lämnas beträffande personuppgifter i löpande text som utgör minnesanteckning eller liknande, t.ex. en föredragningspromemoria, under förutsättning att personuppgifterna, när ansökan gjordes, inte har lämnats ut till tredje man. De minnesanteckningar eller liknande som det finns goda skäl för att undanta från den registrerades insyn är sådana som används för att förbereda ett ärende eller liknande för avgörande. Sparas sådana handläggningshjälpmedel sedan ärendet har avgjorts eller annars slutbehandlats, bör den registrerade få ta del av uppgifterna på motsvarande sätt som allmänheten har rätt
att ta del av uppgifter i myndigheters minnesanteckningar eller liknande vilka tagits om hand för arkivering. Information bör således lämnas beträffande personuppgifter i minnesanteckningar eller liknande som, när ansökan gjordes, bara behandlas för historiska, statistiska eller vetenskapliga ändamål.
Vi har inte ansett det nödvändigt med någon definition i den föreslagna persondatalagen av begreppet löpande text. Med detta begrepp avses detsamma som enligt den av IT-utredningen nyligen föreslagna lagen om elektroniska förmedlingstjänster, dvs. information som inte har strukturerats så att sökning av personuppgifter underlättas.319
Det bör påpekas att våra förslag innebär att en registrerad i vissa fall kan ha rätt att med stöd av den föreslagna persondatalagen få ta del av uppgifter om sig själv som allmänheten inte har rätt att få ta del av med stöd av offentlighetsprincipen enligt 2 kap. TF; den registrerade har i viss utsträckning rätt att få del av uppgifter som inte är allmänna. Men när handlingen med informationen om uppgifterna har expedierats till den registrerade, blir uppgifterna å andra sidan genast allmänna och tillgängliga för var och en i den utsträckning sekretess inte gäller. Det kan vidare inte anses obefogat att den som uppgifterna rör i vissa fall har rätt att få ta del av dessa tidigare än allmänheten. Härtill kommer att vi med hänsyn till EG-direktivet inte har ansett oss kunna gå ännu längre när det gäller att begränsa den registrerades grundläggande rätt att få ta del av sina uppgifter även om dessa finns i löpande text.
Avsikten är att regeringen eller Datainspektionen skall kunna meddela de närmare föreskrifter som kan behövas rörande informationslämnandet. Frågan om regeringens och Datainspektionens möjligheter att komplettera regleringen i den föreslagna persondatalagen har berörts i avsnitt 12.1.2.
I vissa fall har en persondataansvarig så många olika samlingar av personuppgifter och så dåliga sökmöjligheter att det i praktiken är omöjligt att få fram alla uppgifter om den registrerade som behandlas. Arkivmyndigheterna, som tar emot samlingar av uppgifter med olikartad struktur från många håll, kan vara ett exempel.
För t.ex. en persondataansvarig myndighet kan vidare enligt särskild registerförfattning gälla sökbegränsningar. Även om det vore tekniskt möjligt, får myndigheten inte i dessa fall utföra vissa sökningar.
319 Se SOU 1996:40 särskilt s. 165 ff.
EG-direktivet kan inte anses kräva att en persondataansvarig ordnar sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka fram alla uppgifter om en registrerad som behandlas. Ett införande eller tillåtande av sådana sök- och sammanställningsmöjligheter, som inte behövs av något annat skäl, skulle i själva verket kunna hota den personliga integriteten; det skulle då bli enkelt att kartlägga en person.
Enligt vår mening är det inte rimligt att utforma informationsskyldigheten på ett sådant sätt att den tvingar fram förfaranden som i själva verket kan hota den personliga integriteten. Den persondataansvarige bör, som vi ser det, bara vara skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon faktiskt och rättsligt har tillgång till för att få fram information att lämna till den registrerade. Därmed garanteras att den registrerade får tillgång till all information som den persondataansvarige faktiskt kan få fram om den registrerade, vilket måste anses tillräckligt; inte ens EG-rätten kan tvinga någon att göra det som i praktiken är omöjligt.
Den som har en stor mängd ordbehandlingsdokument och som bara har en funktion för att söka i öppnade dokument kan exempelvis i praktiken inte få fram alla uppgifter om en person som kan finnas i dokumenten. En persondataansvarig med hundratals anställda med persondatorer vilka kan sökas igenom en och en kan inte heller i praktiken söka fram de personuppgifter som kan finnas i alla datorerna, om det inte finns några mera centraliserade sökmöjligheter. Möjligheterna att söka bland datorlagrade uppgifter utvecklas dock ständigt, och det finns redan i dag i standardprogram funktioner för att snabbt söka igenom alla dokument på en hårddisk eller via nät efter viss text, t.ex. ett namn eller personnummer. Med den föreslagna ordningen kommer den registrerades rätt att få information att utvidgas i precis samma takt som de persondataansvarigas möjligheter att göra integritetskänsliga sökningar och sammanställningar utvecklas. Det finns inte anledning att driva på utvecklingen och användningen av möjligheterna att göra känsliga sammanställningar.
En persondataansvarig som behandlar många personuppgifter i olika konstellationer, exempelvis Statistiska centralbyrån, kan med den föreslagna ordningen ändå behöva göra stora ansträngningar för att pröva alla sök- och sammanställningsmöjligheter som faktiskt finns. Men den som samlar på sig stora mängder personuppgifter får som regel finna sig i att också behöva göra stora ansträngningar för att kunna tillgodose de registrerades grundläggande rättigheter.
Ett särskilt problem i integritetshänseende utgör emellertid det mer eller mindre unika svenska systemet med särskilda arkivmyndigheter, där otroliga mängder personuppgifter samlas på ett ställe. Riksarkivet har exempelvis tagit emot ungefär 5 000 statistikregister från Statistiska centralbyrån och dessutom tusentals dataregister från andra myndigheter, t.ex. skattemyndigheterna och universiteten; härtill kommer allt pappersmaterial med personuppgifter som har strukturerats på ett sådant sätt att det utgör register i den föreslagna persondatalagens mening. Hos Riksarkivet förvaras registren oftast i ett särskilt format, och det tar från en halvtimme till en hel arbetsdag att göra ett enda register läsbart; härtill kommer en hanteringstid om ungefär en timme för att plocka fram och sätta tillbaka datamedierna. Att söka igenom bara alla de datoriserade personregister som samlats hos Riksarkivet skulle förmodligen ta mer än ett år, även om all arkivpersonal hjälpte till.
Skyldigheten att i dag lämna registerutdrag enligt 10 § datalagen gäller inte för uppgifter i personregister som har tagits emot för förvaring av en arkivmyndighet (10 § 3 st. datalagen). Undantaget har motiverats just av att en tillämpning av 10 § datalagen skulle få betydande negativa konsekvenser för arkivmyndigheternas verksamhet samtidigt som enskilda med stöd av offentlighetsprincipen kan få del av sina uppgifter (om de kan precisera sin begäran).320
Det kan inte anses ligga inom ramen för vårt uppdrag att av integritetshänsyn lämna förslag till en uppsplittring av de omfattande persondatamängder som har samlats hos arkivmyndigheterna. Vi måste därför hitta en annan lösning på problemet att arkivmyndigheterna inte en gång per år kan på begäran lämna information till registrerade, eftersom det förmodligen tar mer än ett år att ta fram informationen.
En användbar lösning är att föreskriva att den registrerade i sin ansökan till en arkivmyndighet måste uppge vilken arkivbildare (dvs. i praktiken oftast ursprungsmyndigheten) och vilket register eller liknande ansökan avser. En ansökan som inte preciserats på detta sätt skulle arkivmyndigheten inte vara skyldig att efterkomma. Denna lösning tillgodoser på ett bättre sätt än det rena undantag som finns i dag såväl de registrerades som arkivmyndigheternas intressen. Den föreslagna regleringen innebär i praktiken inte heller i fråga om arbete för en arkivmyndighet mera än vad de registrerade redan i dag (och även med vårt förslag beträffande offentlig-
320 Se prop. 1981/82:189 s. 35 ff.
hetsprincipen i IT-samhället) kan kräva av myndigheten med stöd av offentlighetsprincipen.
Det nu sagda bör givetvis gälla bara beträffande arkivmaterial som arkivmyndigheten har tagit emot för förvaring; arkivmyndigheterna bör således vara skyldiga att, liksom varje annan persondataansvarig, på begäran lämna information om den behandling av personuppgifter som så att säga sker för arkivmyndighetens egen räkning, t.ex. avseende register över myndighetens personal. När annan än arkivmyndighet använder arkivmaterialet på sådant sätt att denne blir persondataansvarig, t.ex. när Statistiska centralbyrån lånar tillbaka ett statistikregister, gäller de vanliga reglerna för honom eller henne.
Vi föreslår att det i persondatalagen tas in ett uttryckligt bemyndigande för regeringen att meddela föreskrifter om vad en ansökan skall innehålla. De detaljregler som behövs för att undvika orimliga konsekvenser för arkivmyndigheterna kan således lämpligen meddelas av regeringen genom förordning.
I avsnitt 11.6.7 berörs närmare frågan om registerutdrag i samband med behandling för forskning och statistik.
Hänvisningar till S12-7-3
- Prop. 1997/98:44: Avsnitt Författningskommentar till 26 § personuppgiftslag
12.7.4. Förhållandet till bestämmelser om sekretess och tystnadsplikt
Enligt artikel 13 i EG-direktivet får medlemsstaterna i sin lagstiftning göra nödvändiga begränsningar i rätten för den registrerade att få information med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter.
Skyldigheten enligt 10 § datalagen att lämna registerutdrag gäller i dag inte uppgifter som enligt lag eller annan författning eller enligt myndighets beslut som har meddelats med stöd av författning inte får lämnas ut till den registrerade (10 § 3 st. datalagen).
De bestämmelser om sekretess och tystnadsplikt som finns i Sverige får anses vara uppställda till skydd för sådana fri- och rättigheter som avses i direktivet.321 Ibland hindrar sådana bestämmelser att den registrerade får tillgång till vissa uppgifter om sig själv.322 Enligt vår mening är det nöd-
321 Detta får anses gälla även t.ex. bestämmelsen i 7 kap. 20 § försäkringsrörelselagen (1982:713) om att förmånstagare till försäkring i vissa fall inte har rätt att i förväg av försäkringsbolaget få veta att han eller hon verkligen är förmånstagare. 322 Se t.ex. 7 kap. 3 § sekretesslagen.
vändigt att dessa särskilda bestämmelser om att den registrerade i undantagsfall inte har rätt till viss information får gälla framför den generella rätt till information om behandlade uppgifter som annars skall gälla enligt direktivet och den föreslagna lagen. Vi anser således att det i den föreslagna persondatalagen bör införas en bestämmelse om att rätten att få information i samband med insamling av uppgifter och på begäran inte gäller i den utsträckning det finns en föreskrift om att uppgifterna inte får lämnas ut till den registrerade. Sådana föreskrifter kan finnas i lag eller annan författning eller i beslut som har meddelats med stöd av författning, t.ex. beslut om förbehåll enligt 14 kap.9–10 §§sekretesslagen.
I 6 kap. sekretesslagen finns det bestämmelser om sekretess med hänsyn till det allmännas ekonomiska intresse. På grund av dessa bestämmelser kan det allmänna under vissa förutsättningar hemlighålla uppgifter bl.a. i samband med rättsliga tvister och fackliga förhandlingar.
På den privata sidan, där offentlighetsprincipen inte gäller, finns det däremot i allmänhet inte några motsvarande författningsbestämmelser om sekretess och tystnadsplikt. Reglerna om information i den föreslagna persondatalagen innebär att ett slags ”offentlighetsprincip” gentemot den registrerade kommer att gälla i vissa avseenden även på den privata sidan. Den föreslagna persondatalagen omfattar vidare – till skillnad från datalagen – i princip alla datorlagrade personuppgifter. För att skydda viktiga intressen för de persondataansvariga på den privata sidan eller andra kan det därför finnas anledning att göra vissa undantag från informationsskyldigheten enligt den föreslagna persondatalagen. Grund för detta finns i artikel 13 i EG-direktivet som ger medlemsstaterna rätt att föreskriva sådana undantag för vissa angivna ändamål. Flertalet av dessa hänför sig normalt till allmän verksamhet. Några kan dock vara av vikt även för enskilda.
Enskilda kan exempelvis i lika hög grad som myndigheter ha ett befogat intresse av att kunna hemlighålla personanknuten information som samlats in inför en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra den enskildes ställning som part i rättegången. I försäkringsverksamhet finns inte sällan uppgift om att en registrerad person misstänks för försäkringsbedrägeri eller annan brottslig verksamhet. Internationella organisationer – vi tänker här särskilt på Amnesty International – kan ha sammanställningar av uppgifter om personer som misstänks ha gjort sig skyldiga till brott mot de mänskliga rättigheterna. Uppgifterna bör naturligtvis inte lämnas ut medan utredning pågår. Vi föreslår därför att regeringen – eller Datainspektionen – bemyndigas att medge undantag från informationsskyldigheten, om det behövs för att
skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott. Enligt vår mening bör undantag medges i situationer liknande dem som avses i exempelvis 5 kap. 1 §, 6 kap. 7 § och 7 kap. 20 §sekretesslagen.
12.8. Rättelse
Den persondataansvarige bör vara skyldig att på begäran av den registrerade rätta, utplåna eller blockera sådana personuppgifter som är felaktiga, missvisande eller ofullständiga eller annars inte har behandlats i enlighet med den föreslagna persondatalagen eller anknytande föreskrifter. De som redan har fått del av uppgifterna bör underrättas om korrigeringsåtgärden, om den registrerade begär det eller om en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Undantag från underrättelseskyldigheten bör gälla om det visar sig vara omöjligt att underrätta eller om det skulle innebära en oproportionerligt stor arbetsinsats att underrätta.
Hänvisningar till S12-8
- Prop. 1997/98:44: Avsnitt Författningskommentar till 28 § personuppgiftslag
12.8.1. Inledning
Såsom nämnts i avsnitt 12.4.4 är det – enligt artikel 6.1 d i EG-direktivet – ett grundläggande krav på den persondataansvarige vid behandling av personuppgifter att alla rimliga åtgärder vidtas för att utplåna eller rätta sådana personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka uppgifterna behandlas.
I artikel 12 b–c i EG-direktivet finns ytterligare bestämmelser om rättelse m.m. Enligt dessa bestämmelser skall medlemsstaterna säkerställa att varje registrerad har rätt att i förekommande fall få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade. Detta skall gälla särskilt när uppgifterna är ofullständiga eller felaktiga. Varje registrerad skall vidare ha rätt att kräva att den persondataansvarige underrättar sådana tredje män till vilka berörda uppgifter har lämnats ut om genomförda rättelser, utplånanden och blockeringar. Denna underrättelseskyldighet gäller dock inte om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträng-
ning att underrätta. Bestämmelserna i artikel 12 i EG-direktivet har berörts i avsnitt 3.10.
Det kan noteras att möjligheten att blockera felaktiga eller ofullständiga personuppgifter inte nämns i den grundläggande bestämmelsen om den persondataansvariges skyldigheter vid behandling av personuppgifter (artikel 6.1 d). Vi anser emellertid – med stöd av den mer preciserade regeln om rättelse m.m. i artikel 12 – att blockering alltid bör kunna användas som ett alternativ till rättelse och utplånande. Vi har också utformat den föreslagna lagtexten, som inför artikel 6.1 d, i enlighet med den uppfattningen.
I avsnitt 9.3 berörs särskilt frågan om rättelse m.m. av uppgifter hos myndigheter, och i avsnitt 12.14.1 tas upp frågan om Datainspektionens möjligheter att få personuppgifter utplånade.
12.8.2. Korrigeringsregeln
12.8.2.1 Inledning
Vi föreslår att det – för att uppfylla de skyldigheter som framgår av artikel 12 b – i lagtexten slås fast att den persondataansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med den föreslagna lagen eller föreskrifter som har utfärdats med stöd av lagen.
I artikel 12 b talas det om uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet, medan det i flera andra artiklar används uttryckssätt som de nationella bestämmelser som har antagits till följd av direktivet, se t.ex. artikel 23 och 24. Vi har emellertid utgått från att det även beträffande artikel 12 b är tillräckligt att föreskriva korrigering av uppgifter som inte har behandlats i enlighet med de svenska föreskrifter som antagits till följd av direktivet.
Till följd av utformningen av direktivet verkar det vidare vara nödvändigt att utforma den föreslagna lagtexten så att den angivna korrigeringsskyldigheten omfattar alla uppgifter som inte har behandlats i enlighet med alla bestämmelser om behandlingen i de svenska föreskrifterna. Det bör dock, såsom vi har tolkat direktivet, inte vara otillåtet att läka brott mot vissa föreskrifter genom andra åtgärder än de angivna. Har personuppgifter behandlats utan att en nödvändig anmälan till tillsynsmyndighet gjorts, bör den persondataansvarige således kunna undvika ”rättelse, utplånande eller blockering” av uppgifterna genom att skyndsamt lämna in en anmälan. På
motsvarande sätt bör man kunna resonera när personuppgifter har behandlats i strid med de bestämmelser som finns om en lämplig säkerhetsnivå vid behandlingen eller om den information om behandlingen som skall lämnas till den registrerade. Har uppgifter i ett personregister behandlats manuellt när detta inte kan tillåtas, bör den persondataansvarige vidare kunna nöja sig med att förstöra registerstrukturen på ett sådant sätt att manuell behandling av uppgifterna inte (längre) omfattas av direktivet och den föreslagna lagen (se rörande registerbegreppet avsnitt 12.2.8).
12.8.2.2 På begäran av den registrerade
Den persondataansvarige är enligt den nu aktuella bestämmelsen bara skyldig att vidta korrigeringsåtgärder på begäran av den registrerade. En sådan begäran om korrigering kan t.ex. vara resultatet av en granskning av den information om de behandlade uppgifterna som den registrerade har fått efter ansökan därom (se rörande informationsskyldigheten avsnitt 12.7.3).
Den registrerades begäran om korrigering kan framställas formlöst till den persondataansvarige eller någon som företräder denne. Det räcker att det av begäran framgår att den registrerade är missnöjd med behandlingen i något visst avseende och vill att korrigering skall vidtas. Framställs en sådan begäran måste den persondataansvarige skyndsamt utreda om de framförda anmärkningarna är befogade och, om så skulle vara fallet, vidta korrigering.
Det ligger i sakens natur att korrigering alltid måste vidtas så snart det är möjligt. Den persondataansvarige får således inte av bekvämlighetsskäl vänta med att korrigera till dess att uppgifterna ändå skall uppdateras, om det är möjligt att göra korrigeringen tidigare.
Den persondataansvarige är inte till följd av en begäran från en person skyldig att korrigera uppgifter beträffande andra personer. Eftersom den persondataansvarige enligt den föreslagna lagen ansvarar för att alla de behandlingar han eller hon utför sker i överensstämmelse med tillämplig lagstiftning, får det dock förutsättas att alla nödvändiga åtgärder vidtas när den persondataansvarige på ett eller annat sätt uppmärksammas på t.ex. mer generella brister i hanteringen.
12.8.2.3 Valet av korrigeringsmetod
Vi har inte funnit anledning att i den föreslagna lagen ta in bestämmelser om vilken korrigeringsmetod – rättelse, utplånande eller blockering – som
skall användas i olika fall. I avsaknad av föreskrifter i detta hänseende får den persondataansvarige själv välja metod, vilket inte kan anses oförenligt med EG-direktivet. I vissa fall kan det dock på annat håll finnas bestämmelser som i praktiken kan påverka eller bestämma den persondataansvariges val av korrigeringsmetod, t.ex. när det gäller korrigering av uppgifter i bokföring. I andra fall åter kan det följa av sakens natur att en viss korrigeringsmetod i praktiken är utesluten; när känsliga personuppgifter har behandlats trots att det varit förbjudet kan det t.ex. knappast vara aktuellt att ”rätta” personuppgifterna. Jämför vidare vad som sagts i avsnitt 12.8.2.1 om den persondataansvariges möjligheter att läka brott mot vissa bestämmelser genom andra åtgärder än rättelse, utplånande eller blockering.
I avsnitt 9.3 berörs särskilt frågan om myndigheters val av korrigeringsmetod.
12.8.2.4 Rättelse
Såsom angetts i avsnitt 9.3 får rättelse av en uppgift anses innebära att den ursprungliga, felaktiga, missvisande eller ofullständiga uppgiften ersätts av en uppgift om de rätta förhållandena eller att uppgifterna annars kompletteras. Det finns inte något krav på att den felaktiga uppgiften skall utplånas. Det bör vara upp till den persondataansvarige att avgöra hur rättelsen skall göras. Det enda kravet är – om den felaktiga uppgiften inte utplånas – att det i alla sammanhang klart skall framgå att den felaktiga uppgiften har ersatts eller kompletterats av en annan uppgift och vilka de rätta förhållandena är. Om utlämnande till tredje man skulle bli aktuellt, finns det således inget hinder mot att lämna ut såväl den (tydligt markerade) felaktiga uppgiften som de riktiga uppgifterna och upplysning om den rättelse som skett.
Det är den persondataansvarige som har bevisbördan för att en uppgift är korrekt. Kan inte rätta förhållandet utrönas, får uppgiften utplånas eller blockeras. Institutet rättelse kan bara användas när en felaktig uppgift kan ersättas eller kompletteras med en uppgift som är korrekt.
12.8.2.5 Utplånande
Utplånande innebär som vi ser det att de aktuella uppgifterna förstörs så att de inte kan återskapas, dvs. vad som i arkivsammanhang brukar kallas gallring.
Det står klart att uppgifterna inte har utplånats på avsett sätt om de kan återskapas genom sådana metoder som mera allmänt förekommer på marknaden. Det finns t.ex. på konsumentmarknaden programvara för att enkelt återskapa raderade filer eller datamedier. Det finns å andra sidan inom t.ex. kriminaltekniken och hos specialiserade företag särskilt utvecklade tekniker som syftar till att återskapa information som i någon mening har blivit ”förstörd”. Även på detta område går utvecklingen av nya tekniker fort, och det som anses ohjälpligt ”förstört” i dag kan kanske återskapas i morgon. Frågan om vad som krävs i det enskilda fallet för att uppgifter skall anses utplånade får överlämnas åt praxis. Regeringen eller Datainspektionen kan tid efter annan ge närmare föreskrifter om under vilka förutsättningar uppgifter skall anses vara utplånade.
Uppgifter på datamedium kan förstöras genom såväl logiska som fysiska åtgärder. Med logiska åtgärder avses att programvara används för att radera uppgifterna så att de inte kan återskapas. Fysiska åtgärder innebär att datamediet fysiskt påverkas så att uppgifterna (och kanske också själva mediet) förstörs, t.ex. genom magnetism, brand eller sönderslagning. Uppgifter på papper torde bara kunna utplånas genom att fysiska åtgärder vidtas med papperet.
Utplånande kan användas t.ex. i fall där uppgifter har behandlats trots att den aktuella behandlingen inte kan tillåtas under några förutsättningar.
12.8.2.6 Blockering
Med blockering avses – i enlighet med vad som framgår av kommissionens förklaring till direktivförslaget – varje åtgärd som kan vidtas för att de aktuella personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och anledningen till spärren och för att uppgifterna inte skall lämnas ut till tredje man (annat än med stöd av bestämmelserna om offentlighetsprincipen i 2 kap. TF). Den definitionen har förts in i förslaget till persondatalag, se avsnitt 12.2.3.
Såsom anförts i avsnitt 9.3 kan blockering användas t.ex. när det inte är naturligt att rätta en felaktig uppgift, exempelvis när de rätta förhållandena inte kan utredas.
12.8.3. Underrättelse till tredje man om korrigeringen
Vi föreslår att persondatalagen, för att uppfylla kraven i artikel 12 c i EGdirektivet, skall innehålla en bestämmelse om att den persondataansvarige
på begäran av den registrerade skall underrätta de tredje män till vilka uppgifterna har lämnats ut om korrigeringsåtgärden. Eftersom det är viktigt att på alla sätt förhindra användning av felaktiga, missvisande eller ofullständiga uppgifter, föreslår vi emellertid såsom en rent inhemsk reglering att den persondataansvarige – oavsett om den registrerade begärt underrättelse eller inte – skall vara skyldig att lämna sådan underrättelse om det skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Någon underrättelse skall dock enligt vårt förslag inte behöva lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Den persondataansvarige behöver således för det första underrätta om den registrerade begär det. Något formkrav gäller inte för den registrerades begäran. Begäran kan således framställas såväl muntligen som skriftligen till den persondataansvarige eller någon som företräder denne. Det ligger i sakens natur att underrättelsen skall ske så snart det är möjligt efter begäran.
Den persondataansvarige är vidare under alla förhållanden skyldig att underrätta, om det kan antas att en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. En felaktig, känslig personuppgift, t.ex. om att den registrerade är sjuk eller har en extrem politisk övertygelse, kan regelmässigt antas föranleda sådan skada eller olägenhet som avses, om de tredje män som fått den felaktiga uppgiften inte underrättas. Gäller det däremot en mera harmlös uppgift, t.ex. om den registrerades adress, bör det som regel krävas någon särskild omständighet för att man skall kunna anta att en underrättelse skulle kunna undvika sådan skada eller olägenhet som avses. Det måste vidare kunna antas att underrättelsen medför att skadan eller olägenheten kan undvikas. Detta är inte fallet när det är känt att aktuella tredje män redan har korrigerat uppgiften.
Det finns inte något formkrav beträffande den persondataansvariges underrättelse till dem som mottagit personuppgifterna. Det vanligaste torde dock bli att underrättelsen lämnas skriftligen.
I underrättelsen skall anges den åtgärd som den persondataansvarige har vidtagit beträffande personuppgifterna. I detta krav på att åtgärden skall anges innefattas att information skall lämnas om anledningen till åtgärden, t.ex. att de tidigare uppgifterna var felaktiga eller ofullständiga. Har en felaktig uppgift rättats måste vidare, om det är nödvändigt underrättelse lämnas om såväl den tidigare, felaktiga uppgiften som den nya, riktiga uppgiften. Avsikten med underrättelseskyldigheten får anses vara
att de som har tagit emot en uppgift som har korrigerats i sin tur skall kunna på lämpligt sätt korrigera den mottagna uppgiften (och eventuella åtgärder som har vidtagits med ledning av uppgiften), och underrättelsen måste därför innehålla sådan information som gör detta möjligt. Rör felaktigheten exempelvis en uppgift som mottagaren kan antas använda som enda sökbegrepp, t.ex. namn eller personnummer, är det nödvändigt att den felaktiga uppgiften anges för att mottagaren i praktiken skall kunna göra en rättelse i sin tur.
Det finns inte någon formell skyldighet att självmant underrätta i flera led. En tredje man som fått en underrättelse och som själv är persondataansvarig, är således inte rättsligt förpliktad att underrätta de tredje män till vilka han eller hon i sin tur kan ha lämnat ut uppgiften bara på grund av att han eller hon till följd av en underrättelse självmant har rättat uppgiften. Det får dock förutsättas att de persondataansvariga frivilligt på lämpligt sätt ser till att mildra skadeverkningarna av felaktiga, missvisande eller ofullständiga uppgifter som självmant rättats.
Underrättelse behöver aldrig lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Det finns inte någon skyldighet för den persondataansvarige att hålla reda på till vilka vissa uppgifter lämnas ut. Och vet den persondataansvarige inte (längre) till vilka uppgifterna har lämnats ut, är det givetvis omöjligt att i efterhand underrätta dem. Har uppgifterna lämnats ut till många, torde det kunna anses att det skulle innebära en oproportionerligt stor arbetsinsats att underrätta dem alla.
Det finns i direktivet inte någon närmare vägledning för tolkningen av den nu aktuella undantagsbestämmelsen, och vi anser oss därför inte ha någon egentlig grund för att göra ytterligare uttalanden om tolkningen. Frågan får överlämnas åt rättstillämpningen. Regeringen eller Datainspektionen kan vidare genom föreskrifter närmare precisera när det kan anses att en underrättelse innebär en oproportionerligt stor arbetsinsats eller vad som krävs för att det skall anses visat att det är omöjligt att underrätta.
12.9. Automatiserade beslut
Den som märkbart påverkas av vissa beslut som grundas enbart på automatisk databehandling, t.ex. därför att de har rättsliga följder, bör ha möjlighet att på begäran få beslutet omprövat på manuell väg. Den som utsatts för ett sådant beslut bör också på ansökan kunna få information om vilka regler som har styrt den automatiska behandling som lett fram till beslutet.
Hänvisningar till S12-9
- Prop. 1997/98:44: Avsnitt Författningskommentar till 29 § personuppgiftslag
12.9.1. EG-direktivet
Artikel 15 i EG-direktivet – med underrubriken Databehandlade beslut – innehåller bestämmelser om skydd för den registrerade mot vissa automatiserade beslut. Bestämmelserna har berörts i avsnitt 3.8.
Bestämmelserna i EG-direktivet innebär att medlemsstaterna i princip skall ge var och en rätt att slippa bli föremål för vissa automatiserade beslut. Medlemsstaterna är dock förpliktade att – om inte något annat följer av övriga regler i direktivet – föreskriva att en person faktiskt får bli föremål för automatiserade beslut i två fall.
De beslut som avses i bestämmelserna är sådana som har rättsliga följder för någon eller som annars märkbart påverkar någon. Beslutet måste vidare grundas enbart på automatisk behandling. Dessutom krävs att de uppgifter på vilka den automatiska behandlingen grundas är sådana som är avsedda att bedöma vissa personliga egenskaper hos den som är föremål för beslutet, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. Det är bara sådana beslut som uppfyller samtliga rekvisit som här nämnts som omfattas av huvudregeln och som var och en skall ges en principiell rätt att slippa.
Från den principiella huvudregeln skall medlemsstaterna i två fall föreskriva undantag, dvs. medge att en person i dessa fall faktiskt får utsättas för automatiserade beslut.
Det första fallet (artikel 15.2 a) gäller sådana automatiserade beslut som fattas som ett led i ingåendet eller fullgörandet av ett avtal. Sådana beslut skall tillåtas om de är positiva för den registrerade – dvs. när den registrerades begäran om ingående eller fullgörande av ett avtal har bifallits – eller om det vidtas lämpliga åtgärder för att skydda den registrerades berättigade intressen. Som exempel på lämpliga åtgärder att vidta
nämns i direktivet att den registrerade har möjlighet att göra sin uppfattning gällande.
Det andra fallet (artikel 15.2 b) där automatiserade beslut skall godtas är när sådana beslut har tillåtits i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen.
I artikel 12 a tredje strecksatsen i EG-direktivet föreskrivs att medlemsstaterna skall säkerställa att varje registrerad har rätt att från den persondataansvarige – utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader – få kännedom om den logik som används när uppgifter som rör den registrerade behandlas på automatisk väg. Av bestämmelsen framgår vidare att den rätten får begränsas till att avse bara sådana automatiserade beslut som berörs i artikel 15.1. I punkt 41 i ingressen till direktivet framhålls att den nu aktuella rätten inte får inkräkta på några affärshemligheter eller på upphovsrätten till t.ex. programvaran; den registrerade bör dock inte nekas all information. De nu aktuella bestämmelserna i EG-direktivet har berörts i avsnitt 3.8.
12.9.2. Vårt förslag
Bestämmelserna i EG-direktivet innebär att det i Sverige måste införas en reglering av automatiserade beslut.
Ett samhälle består av människor som interagerar. När maskiner kommer in i bilden är det viktigt att de inte får övertaget. Att det är en maskin som slutligt bestämmer kan skapa en särskild känsla av maktlöshet hos många människor. Detta talar för att det är rimligt att ha särskilda regler för sådana på maskinell väg genererade beslut som direktivet omfattar, även om det alltid är en människa eller organisation som i någon mening ansvarar för och står bakom beslutet.
Samtidigt är det – såsom framhålls i våra utredningsdirektiv – viktigt att användningen av ny teknik inte hämmas i onödan. Det är viktigt att regleringen blir enkel att förstå och lätt att tillämpa; onödigt komplicerade regler hämmar såväl användningen av ny teknik som samhällsutvecklingen i övrigt. Definitionen av automatiserade beslut i EG-direktivet är vidare generellt utformad, och det är svårt att ha någon föreställning om alla de olika beslut som i dag och i framtiden kan komma att omfattas. Enligt vår mening bör man därför inrikta sig på en generell lösning som ställer upp ett minimiskydd för den som blir utsatt för en maskins beslutsfattande.
Automatiserade beslut bör, som vi ser det, i och för sig få användas. Flertalet torde avse ekonomiska förhållanden som skatter och tullar. I de –
troligen ganska ovanliga – fall då de grundas på personuppgifter vilka är avsedda att bedöma egenskaper hos den berörde personen, bör den enskilde ha rätt att på begäran dels få reda på vilka regler som har styrt den automatiska behandling som har lett fram till beslutet, dels få beslutet omprövat på manuell väg. Vi föreslår att bestämmelser med den innebörden förs in i persondatalagen.
De föreslagna bestämmelserna skall ses som sådana bestämmelser i lagstiftningen som – i enlighet med vad som krävs enligt artikel 15.2 b – dels tillåter automatiserade beslut, dels föreskriver lämpliga åtgärder till skydd för den registrerades berättigade intressen.
Definitionen av automatiserade beslut i den föreslagna bestämmelsen skall ha samma innebörd som enligt EG-direktivet.
Att den registrerade skall ha rätt att på begäran få det automatiserade beslutet omprövat på manuell väg innebär en rätt att få beslutet granskat av en människa som har makt att ersätta det automatiserade beslutet med ett annat. För den offentliga förvaltningen finns ofta föreskrifter om en rätt till omprövning av beslut, se t.ex. 27 § förvaltningslagen. Den föreslagna bestämmelsen i persondatalagen innebär bara att det skall finnas en rätt att få manuell omprövning. I den mån det i lag eller förordning finns särskilda regler om t.ex. förfarandet vid omprövning, gäller dessa föreskrifter framför persondatalagen (se avsnitt 8.2.2).
Rätten till manuell omprövning innebär inte att det automatiserade beslutet måste ersättas av ett nytt beslut, bara att beslutet skall granskas av en människa. Utgångspunkten bör dock vara att det automatiserade beslutet skall ersättas av ett nytt om den manuella granskningen visar att det är befogat. I vissa fall torde det emellertid ligga i sakens natur att ett redan fattat (och verkställt) automatiserat beslut inte kan i efterhand ersättas av ett nytt beslut. Medicinsk utrustning kan t.ex. på grundval av automatiskt behandlade uppgifter om en patients hälsotillstånd ha gett denne en viss injektion, vilket märkbart påverkat patienten i positiv eller negativ riktning. I sådana fall torde den manuella omprövningen närmast få ta sikte på att undvika felaktiga automatiserade beslut i framtiden.
Det har inte i den föreslagna persondatalagen tagits in något formkrav för den registrerades begäran om omprövning.
Rätten för den registrerade att på ansökan få information om de regler som har styrt den automatiska behandling som lett fram till det automatiserade beslutet innebär att den registrerade skall få begriplig information om logiken bakom beslutet. Den registrerade bör få reda på åtminstone vilka kategorier av uppgifter som har använts och i stora drag vilken betydelse
de olika uppgiftskategorierna haft för beslutet. Däremot finns det inte något absolut krav på att information skall lämnas om t.ex. olika gränsvärden som haft betydelse för beslutet; sådan information kan vara en affärshemlighet eller behöva skyddas för att inte äventyra säkerheten.
Det bör vara möjligt för den som använder sig av ett system för automatiserade beslut att utforma och lämna samma information om logiken till alla som berörs av besluten. Det finns inte något som hindrar att informationen lämnas utan ansökan, t.ex. som tryckt information på de beslut som meddelas de berörda. Därmed får den enskilde reda på att han eller hon blivit utsatt för ett automatiserat beslut och kan utnyttja sin rätt till omprövning; i annat fall kan den som misstänker att han eller hon blivit utsatt för ett automatiserat beslut alltid begära information från den persondataansvarige för att få reda på om beslutet varit automatiserat eller inte.
I fråga om den registrerades ansökan och den persondataansvariges lämnande av information bör i tillämpliga delar gälla samma procedurregler som beträffande övrig information som skall lämnas på begäran (se avsnitt 12.7.3). Detta innebär bl.a. att informationen skall lämnas skriftligen inom en månad efter ansökan.
Enligt EG-direktivet är det tillåtet att införa en rätt för den registrerade att på begäran få kännedom om den logik som ligger bakom även annan automatisk behandling än sådan som har lett fram till ett automatiserat beslut. Vi anser emellertid att det inte är nödvändigt att införa en sådan generell rätt. Den registrerade har med vårt förslag redan rätt att få veta vilka uppgifter som behandlas och för vilka ändamål behandlingen äger rum (se avsnitt 12.7.3). Vi har svårt att se att det från integritetsskyddssynpunkt skulle vara nödvändigt eller befogat att föreskriva att den registrerade därutöver skall ha rätt att få kännedom om t.ex. den logik som kan ligga bakom alla de statistiska beräkningar som Statistiska centralbyrån utsätter hans eller hennes personuppgifter för. En sådan rätt skulle i vart fall, som vi ser det, innebära kostnader och besvär för de persondataansvariga som inte vägs upp av eventuella vinster från integritetsskyddssynpunkt.
12.10. Säkerhet och sekretess vid behandlingen
Den som arbetar med personuppgifter bör bara få behandla dessa i enlighet med instruktioner från den persondataansvarige. Den persondataansvarige bör vara skyldig att vidta tekniska och organisatoriska åtgärder för att skydda personuppgifterna; målet är att åstadkomma en lämplig säkerhetsnivå. När den persondataansvarige anlitar ett persondatabiträde för att utföra behandling av personuppgifter, bör det finnas ett skriftligt avtal som särskilt reglerar säkerhetsfrågorna. Den persondataansvarige bör också vara skyldig att se till att persondatabiträdet verkligen vidtar nödvändiga säkerhetsåtgärder.
12.10.1. Inledning
I artikel 16–17 i EG-direktivet finns det bestämmelser om säkerhet och sekretess vid behandling av personuppgifter. Bestämmelserna har presenterats närmare i avsnitt 3.12.
12.10.2. Behandling får bara utföras enligt instruktion från den persondataansvarige
Bestämmelserna i artikel 16 i EG-direktivet innebär att de personer som arbetar med personuppgifter får behandla uppgifterna bara enligt instruktioner från den persondataansvarige. Här gäller dock ett undantag som innebär att om någon enligt lag är skyldig att behandla personuppgifter, får han eller hon göra det även utan instruktioner från den persondataansvarige. Om den persondataansvarige anlitar ett persondatabiträde, skall det vidare av det skriftliga avtalet mellan dem framgå att biträdet får agera bara enligt instruktioner från den ansvarige (artikel 17.3 första strecksatsen och artikel 17.4).
Dessa bestämmelser bör i princip föras över till den föreslagna persondatalagen.
Vi föreslår således att det införs en bestämmelse om att persondatabiträdet eller den eller de personer som arbetar under dennes eller den persondataansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den persondataansvarige. Om det finns avvikande regler i annan lagstiftning om att någon är skyldig att utföra en behandling,
får behandlingen dock utföras utan särskilda instruktioner; avvikande regler i annan lagstiftning skall ju med vårt förslag generellt sett ta över reglerna i persondatalagen (se avsnitt 8.2.2).
Eftersom utlämnande av personuppgifter till tredje man innefattas i begreppet behandling, innebär bestämmelsen ett slags tystnadsplikt. Med hänsyn till att det gäller särskilda regler om sekretess och tystnadsplikt i det allmännas verksamhet, vilka bl.a. innebär att den grundlagsfästa s.k. meddelarfriheten ibland tar över tystnadsplikten, bör det såsom ett förtydligande föreskrivas att bestämmelserna i sekretesslagen skall tillämpas i stället för bestämmelsen i persondatalagen i fråga om sekretess och tystnadsplikt i det allmännas verksamhet. Därmed garanteras att statstjänstemän liksom hittills kan prata med journalister med flera om sekretessbelagda uppgifter. Detta bör, såsom vi ser det, kunna tillåtas enligt EG-direktivet.
Vi har beträffande privat verksamhet inte funnit anledning att föreslå uttryckliga föreskrifter om tystnadsplikt för enskilda personer. Den persondataansvarige får bara lämna ut personuppgifter om utlämnandet inte är oförenligt med de ändamål för vilka uppgifterna samlades in323, och skulle någon som arbetar för den persondataansvarige lämna ut uppgifter i strid med vad som sålunda gäller är det den persondataansvarige som bär ansvaret gentemot den registrerade (se närmare avsnitt 12.13 om sanktioner). I vad mån den persondataansvarige i sin tur kan vidta någon åtgärd mot den som lämnade ut uppgiften i strid med givna instruktioner framgår av de bestämmelser som reglerar förhållandet mellan den persondataansvarige och medhjälparen, t.ex. avtalet med ett persondatabiträde eller arbetsrättsliga bestämmelser.324 De allmänt hållna bestämmelserna i den föreslagna persondatalagen kan däremot inte anses innebära en sådan plikt att hemlighålla uppgifter som medför att straffstadgandet om brott mot tystnadsplikt i 20 kap. 3 § brottsbalken kan bli tillämpligt.
Det framgår inte klart av EG-direktivet hur pass utförliga instruktioner den persondataansvarige måste lämna sina medhjälpare. Den persondataansvarige bär i princip ansvaret för att instruktionerna är så tydliga att otillåten behandling inte kommer att utföras. Syftet med bestämmelserna
323 I vissa fall får känsliga personuppgifter bara lämnas ut med stöd av den registrerades samtycke, se artikel 8.2 d i EG-direktivet och avsnitt 12.5.3.3. 324 Jämför AD 1996 nr 23 – det fanns inte grund för att avskeda en polisman som dömts för tjänstefel och dataintrång för det att han upprepade gånger gjort obefogade registerslagningar.
får antas vara bl.a. att var och en som arbetar med personuppgifter skall veta åtminstone vilka ändamålen med behandlingen är och att behandling som är oförenlig med dessa ändamål är förbjuden.
Även regeln om att det skriftliga avtalet mellan den persondataansvarige och persondatabiträdet skall innehålla föreskrifter om att biträdet bara får behandla personuppgifterna i enlighet med instruktioner från den ansvarige bör som sagt föras över till den föreslagna persondatalagen. I den mån det skulle anses otillåtet enligt grundlag med sådana avtalsföreskrifter (vilka till viss del kan ses som en avtalad tystnadsplikt), tar grundlagen över bestämmelserna i persondatalagen och någon särskild erinran om detta har inte ansetts nödvändig.
Hänvisningar till S12-10-2
- Prop. 1997/98:44: Avsnitt Författningskommentar till 30 § personuppgiftslag
12.10.3. Säkerhetsåtgärder
I EG-direktivet finns det i artikel 17.1 allmänt hållna regler om de säkerhetsåtgärder som skall vidtas, se närmare avsnitt 3.12. Reglerna innebär i korthet följande.
Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Dessa åtgärder skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av N de tekniska möjligheter som finns, N vad det skulle kosta att genomföra åtgärderna, N de särskilda risker som finns med behandlingen av personuppgifterna
och N hur pass känsliga de behandlade personuppgifterna är
Dessa regler har förts över till den föreslagna persondatalagen.
Uppräkningen av de faktorer som skall beaktas är allmänt hållen och kortfattad. Som exempel på en faktor som berör de särskilda risker som finns med behandlingen kan nämnas antalet personer som de behandlade uppgifterna avser. Skadorna av t.ex. ett angrepp kan givetvis bli mera omfattande när det är uppgifter om många personer som behandlas på en gång. En angripare kan vidare antas vara beredd att lägga ned mera resurser på ett intrång om han eller hon på en gång kan komma åt uppgifter om många.
Även om de tekniska möjligheterna skall beaktas – t.ex. vilka fysiska och logiska säkerhetshjälpmedel som finns tillgängliga på marknaden – är det väsentliga naturligtvis att en lämplig säkerhetsnivå uppnås oavsett om denna kommer till stånd genom tekniska hjälpmedel eller genom organisa-
toriska åtgärder och t.ex. undvikande av nätverksuppkopplingar; målet är det viktiga, inte vilka medel som används för att nå dit. Fullständig säkerhet mot t.ex. otillåtna intrång kan aldrig uppnås i en (verklig eller virtuell) verklighet som inte är perfekt. Det måste alltid bli fråga om en avvägning för att åstadkomma en lämplig säkerhetsnivå, dvs. en säkerhet som med beaktande av samtliga omständigheter får anses tillräcklig. Kostnaden och ansträngningen för den som på ett otillåtet vis vill komma åt uppgifterna, bör t.ex. vara så hög att den avskräcker alla som inte är beredda att satsa orimligt mycket på ett försök till intrång.
De allmänt hållna reglerna beskriver på ett kortfattat och bra sätt de överväganden som måste göras i fråga om säkerhetsåtgärder, men reglerna ger givetvis inte tillräcklig vägledning för den persondataansvarige för att avgöra vilka säkerhetsåtgärder som bör vidtas i det enskilda fallet. Avsikten är att regeringen eller kanske snarare Datainspektionen skall meddela de närmare föreskrifter om säkerhetsåtgärder som behövs. Datainspektionen bör också i rimlig utsträckning kunna lämna råd i säkerhetsfrågor.
Vi har vidare valt att i förslaget till persondatalag ta med en uttrycklig bestämmelse om att Datainspektionen får meddela föreskrifter också i enskilda fall. Säkerhetsbrister är i princip oacceptabla, och det är därför viktigt att Datainspektionen har tydliga befogenheter just när det gäller säkerheten. Genom en föreskrift i det enskilda fallet får en persondataansvarig preciserat exakt vilka åtgärder han eller hon måste vidta för att uppfylla säkerhetskraven. Följs inte föreskriften frivilligt i det enskilda fallet, bör Datainspektionen ha möjlighet att föreskriva vite för att få den genomförd, se närmare avsnitt 12.14.1 om Datainspektionens befogenheter.
Datainspektionens beslut om säkerhetsåtgärder i det enskilda fallet skall riktas mot den persondataansvarige även när ett persondatabiträde har anlitats.
Bestämmelser om säkerhetsåtgärder kan även finnas i annan lagstiftning, t.ex. i arkivlagen med anknytande författningar. Sådana bestämmelser kommer att gälla vid sidan av de bestämmelser om skyddsåtgärder som kan gälla enligt den föreslagna persondatalagen med anknytande författningar och beslut. Den persondataansvarige måste således uppfylla alla de regler om säkerhets- eller skyddsåtgärder som kan ha meddelats för hans eller hennes verksamhet. Det är därför viktigt att alla de instanser som kan utfärda regler om säkerhets- eller skyddsåtgärder för en viss verksamhet samråder med varandra i nödvändig utsträckning, bl.a. så att det sammanlagda resultatet av reglerna inte blir orimligt för den enskilde; enligt vad vi erfarit har i dag t.ex. Datainspektionen och Riksarkivet ett gott samarbete.
Hänvisningar till S12-10-3
- Prop. 1997/98:44: Avsnitt Författningskommentar till 32 § personuppgiftslag
12.10.4. När den persondataansvarige anlitar ett persondatabiträde
I artikel 17.2–4 i EG-direktivet finns det bestämmelser i fråga om säkerhet för den situationen att den persondataansvarige anlitar ett persondatabiträde, se närmare avsnitt 3.12. Bestämmelserna kan i korthet sägas innebära följande.
När den persondataansvarige anlitar ett persondatabiträde, skall den persondataansvarige förvissa sig om att persondatabiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att persondatabiträdet verkligen vidtar åtgärderna. Det skall vidare finnas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I det avtalet skall det särskilt föreskrivas dels att persondatabiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den persondataansvarige (se avsnitt 12.10.2), dels att persondatabiträdet är skyldigt att vidta de säkerhetsåtgärder som den persondataansvarige är skyldig att vidta i enlighet med vad som sagts i närmast föregående avsnitt.
Dessa bestämmelser har förts över till den föreslagna persondatalagen. Det är den persondataansvarige som har ansvaret gentemot den registrerade även när ett persondatabiträde har anlitats. I vad mån den persondataansvarige i sin tur kan utkräva ansvar av ett anlitat persondatabiträde följer av avtalet med denne och allmänna bestämmelser.
12.11. Överföring av personuppgifter utanför EU
EG-direktivet innehåller komplicerade regler om överföring av personuppgifter till tredje land som måste införas i Sverige. Vi anser att det bör ske genom att ett principiellt förbud mot sådan överföring tas in i persondatalagen samtidigt som regeringen och Datainspektionen ges så vidsträckta möjligheter som tillåts enligt direktivet att medge undantag från förbudet. Vissa viktiga undantag från förbudet bör dock skrivas in i själva lagen.
12.11.1. Inledning
Bestämmelser rörande utlämnande av personuppgifter till utlandet finns i dag i 11 § datalagen för privat verksamhet och i 7 kap. 16 § andra stycket sekretesslagen för verksamhet inom det allmänna. Bestämmelserna innebär bl.a. att det för ett utlämnande alltid krävs ett medgivande från Datainspektionen, om det kan antas att de utlämnade uppgifterna kommer att användas för automatisk databehandling i en stat som inte har anslutit sig till Europarådets konvention (se om konventionen avsnitt 4.3).
I artikel 25–26 i EG-direktivet finns det bestämmelser om överföring av personuppgifter till tredje land. Bestämmelserna har berörts närmare i avsnitt 3.14. Begreppet tredje land har berörts i avsnitt 12.2.11.
Såsom framgår av vad som anförs i avsnitt 3.14 är bestämmelserna på detta område komplicerade. Överföring av personuppgifter är enligt huvudregeln i direktivet bara tillåten till tredje land som har en adekvat skyddsnivå. Det finns därvid regler om en särskild beslutsprocedur för att konstatera om ett land har en sådan skyddsnivå. Överföring av personuppgifter till ett tredje land med en så dålig skyddsnivå att den inte kan anses adekvat skall dock tillåtas under vissa i direktivet uppräknade omständigheter; en av dessa omständigheter är att överföringen är nödvändig med hänsyn till ett viktigt allmänt intresse. Därutöver kan en persondataansvarig tillåtas överföra personuppgifter om han eller hon kan ställa upp tillräckliga garantier för de registrerades rättigheter, t.ex. med stöd av avtalsklausuler rörande behandlingen i tredje land; kommissionen kan med bindande verkan besluta att vissa standardavtalsklausuler erbjuder tillräckliga garantier.
Enligt vår mening bör man inte i lagstiftningen införa mer komplicerade regler än vad som är nödvändigt med hänsyn till EG-direktivet. EGdirektivet kräver att det i den svenska lagstiftningen införs ett visst förbud mot överföring av personuppgifter till tredje land och vissa i direktivet angivna undantag från detta förbud. I övrigt bör det, som vi ser saken, vara möjligt att undvika detaljregler i lagstiftningen genom att låta regeringen eller i vissa fall Datainspektionen meddela föreskrifter om när överföring till tredje land är tillåten. Regeringen och Datainspektionen måste då vid utarbetandet av föreskrifterna givetvis beakta de komplicerade reglerna i direktivet om bl.a. särskild beslutsprocedur.
De föreslagna bestämmelserna i persondatalagen bör ersätta de regler i datalagen och sekretesslagen som nu finns rörande utlämnande av personuppgifter för behandling i utlandet. Detta innebär bl.a. att de särskilda bestämmelserna rörande behandling i utlandet i 7 kap. 16 § andra stycket sekretesslagen bör upphävas.
12.11.2. Ett principiellt förbud mot överföring
I den föreslagna persondatalagen har vi tagit in ett principiellt förbud mot att till tredje land föra över personuppgifter som behandlas. Det förbudet bör – i enlighet med vad som krävs enligt EG-direktivet – gälla också överföring av personuppgifter för behandling i tredje land, t.ex. överföring av ifyllda formulär med personuppgifter, som inte behandlas här men som är avsedda att behandlas i tredje land.
Begreppet överföring – och det motsvarande uttrycket föra över – har enligt vår mening en EG-gemensam innebörd. Det verkar innebära att personuppgifter som i någon mening finns i Sverige eller i någon annan medlemsstat lämnas ut på ett sådant sätt att uppgifterna efter utlämnandet kan sägas finnas (också) i tredje land. Att någon ges möjlighet att från tredje land komma åt personuppgifter som finns i Sverige eller i någon annan medlemsstat via telekommunikation eller datanätverk är förmodligen ett exempel på överföring av uppgifterna till tredje land.
Förbudet verkar träffa överföring av personuppgifter som är föremål för en sådan behandling som omfattas av EG-direktivet och den föreslagna lagen samt – såsom tidigare nämnts – överföring av personuppgifter i syfte att låta dessa i tredje land undergå en sådan behandling som omfattas av de materiella bestämmelserna i direktivet. Också det förfarandet att personuppgifter som undergår automatisk behandling i Sverige förs över till tredje land i form av en pappersutskrift verkar omfattas av förbudet. Över-
föring på papper av personuppgifter som inte har behandlats automatiskt eller ingått i ett manuellt register omfattas däremot som regel inte av förbudet. Helt manuell adressering av post till privatpersoner i tredje land kan vara ett exempel.
Hänvisningar till S12-11-2
- Prop. 1997/98:44: Avsnitt Författningskommentar till 33 § personuppgiftslag
12.11.3. Undantag i persondatalagen från förbudet
Vi har i den föreslagna persondatalagen tagit med de undantag från förbudet mot överföring som särskilt räknas upp i EG-direktivet.
Förbudet skall sålunda inte gälla när den registrerade har samtyckt till överföringen. Begreppet samtycke har berörts i avsnitt 12.5.1.2, och det fallet att ett lämnat samtycke återkallas berörs i avsnitt 12.5.2.2.
Förbudet skall vidare enligt vårt förslag inte gälla när behandlingen är nödvändig för att
a) fullgöra ett avtal mellan den registrerade och den persondataansvarige,
b) på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c) ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och
tredje man som är i den registrerades intresse,
d) kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller
e) skydda vitala intressen för den registrerade.
Nödvändighetskravet har – i ett något annorlunda sammanhang – berörts i avsnitt 12.5.1.3. De uppräknade förutsättningarna för undantag liknar till stor del de förutsättningar som uppställts i fråga om när behandling av personuppgifter över huvud taget skall vara tillåten och när känsliga personuppgifter kan få behandlas trots förbudet mot behandling av sådana uppgifter. Vi kan därför hänvisa till vad som har anförts om dessa förutsättningar i avsnitt 12.5. Avsikten är här – liksom när det gäller motsvarande förutsättningar i andra sammanhang – att regeringen eller Datainspektionen inom ramen för de angivna bestämmelserna skall kunna närmare precisera i vilka fall och under vilka förutsättningar överföring av personuppgifter till tredje land kan tillåtas. Frågan om regeringens och Datainspektionens möjligheter att precisera regleringen har berörts i avsnitt 12.1.2.
För att personuppgifter skall få föras över till tredje land krävs inte bara att överföringen faller under något av de undantag från förbudet som anges i den föreslagna lagen. Den behandling som överföringen av personuppgifter till tredje land utgör måste också vara tillåten enligt artikel 7 i direktivet och, om känsliga personuppgifter skall föras över, kunna tillåtas i enlighet
med artikel 8, se avsnitt 12.5 om under vilka förutsättningar behandling av personuppgifter över huvud taget är tillåten.
I EG-direktivet finns utöver de undantag som nu nämnts ytterligare ett – något kryptiskt utformat – undantag från förbudet mot överföring när ”överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen”. Avsikten verkar vara att medlemsstaterna skall kunna i sin lagstiftning ta in ytterligare undantag från förbudet mot överföring när det är nödvändigt med hänsyn till viktiga allmänna intressen. Möjligheten att med stöd av denna bestämmelse medge ytterligare undantag berörs i nästa avsnitt.
När det gäller överföring av personuppgifter till tredje land måste vidare beaktas Sveriges skyldigheter enligt Europarådets konvention. Av artikel 12 i den konventionen följer att Sverige inte av integritetsskyddsskäl får hindra att personuppgifter förs över till en konventionsstat för att användas där. Av punkt 11 i ingressen till EG-direktivet framgår vidare att direktivet innehåller preciseringar och förstärkningar av de principer som Europarådskonventionen innehåller. Det är inte antagligt att medlemsstaterna inom EG, varav de allra flesta har anslutit sig till konventionen, genom direktivet skulle ha tillskapat en ordning som vore oförenlig med åtagandena enligt konventionen. De stater som anslutit sig till Europarådets konvention får anses ha en sådan adekvat skyddsnivå som krävs enligt EGdirektivet. I enlighet med det sagda och Sveriges förpliktelser enligt konventionen föreslår vi att det i persondatalagen tas in en uttrycklig bestämmelse om att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention.
Hänvisningar till S12-11-3
- Prop. 1997/98:44: Avsnitt Författningskommentar till 34 § personuppgiftslag
12.11.4. Behörighet att medge ytterligare undantag
När det gäller frågan om vilka möjligheter som bör finnas att göra andra undantag än de som nämns i den föreslagna lagtexten gör vi följande överväganden.
Eftersom EG-direktivet kräver att överföring av personuppgifter tillåts till stater som i viss ordning konstaterats ha en adekvat skyddsnivå, bör för det första regeringen ges behörighet att föreskriva generella undantag från förbudet för överföring till vissa stater. EG-direktivet får vidare anses kräva att överföring skall tillåtas om överföringen regleras av ett avtal som innehåller vissa standardavtalsklausuler till skydd för de registrerades rättigheter; vilka klausuler det gäller skall bestämmas i särskild i direktivet angiven ordning. Regeringen bör därför ges behörighet att föreskriva gene-
rella undantag från förbudet också när överföringen regleras av ett avtal som innehåller vissa bestämmelser.
Behörigheten att undanta vissa stater från förbudet berör Sveriges förhållande till främmande makt. Därför bör behörigheten inte kunna delegeras av regeringen till Datainspektionen. Också behörigheten att föreskriva generella undantag beträffande vissa avtalsklausuler har – med hänsyn bl.a. till den särskilda beslutsprocedur som gäller enligt EG-direktivet – sådan betydelse för Sveriges utrikespolitiska förhållanden att den inte bör kunna delegeras till Datainspektionen. Av vad som anförs i avsnitt 8.2.3 framgår att Datainspektionen skall höras när författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter.
Regeringen eller, om regeringen bestämmer det, Datainspektionen bör vidare ges behörighet att medge undantag från förbudet när det behövs med hänsyn till sådana viktiga allmänna intressen som avses i direktivet. Som exempel på fall där det kan vara befogat med ett generellt undantag enligt denna bestämmelse kan nämnas adressering av meddelanden – vilka inte avser direkt marknadsföring – till personer i tredje land. Det får nämligen anses vara ett viktigt allmänt intresse att kontakterna via t.ex. e-post med utlänningar eller svenskar i utlandet inte försvåras mer än vad som är nödvändigt.
Regeringen eller, om regeringen bestämmer det, Datainspektionen bör – slutligen – ges behörighet att medge undantag från förbudet mot överföring av personuppgifter till tredje land under förutsättning att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Medlemsstaterna får nämligen enligt artikel 26.2 i EG-direktivet tillåta överföring av personuppgifter till tredje land om den persondataansvarige ”ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter”. Sådana garantier kan framgå av lämpliga avtalsklausuler. Den medlemsstat som beslutar att tillåta en överföring med stöd av denna bestämmelse skall informera kommissionen och de övriga medlemsstaterna om beslutet (artikel 26.3 1 st.). Som exempel på fall där det kan vara befogat med undantag under vissa förutsättningar kan nämnas överföring av personuppgifter mellan enheter inom en och samma internationella koncern.
Sammanfattningsvis kan alltså sägas att det bör vara möjligt att medge undantag från förbudet mot överföring av personuppgifter till tredje land när överföringen
a) sker till vissa stater,
b) regleras av ett avtal som innehåller vissa klausuler,
c) behövs med hänsyn till ett viktigt allmänt intresse eller
d) sker under sådana omständigheter att det finns tillräckliga garantier till
skydd för de registrerades rättigheter.
I fallen a och b avses bara generella föreskrifter som meddelas av regeringen i en förordning; regeringen skall med beaktande av de åtaganden för Sverige som följer av bl.a. EG-direktivet ange vilka stater respektive avtalsklausuler som avses.
I fallen c och d kan undantagen vara antingen generella eller avse ett enskilt fall. Har regeringen i dessa fall delegerat sin behörighet att medge undantag till Datainspektionen, skall enligt vårt förslag inspektionens beslut att vägra medge undantag i ett enskilt fall kunna överklagas till länsrätten (se avsnitt 12.14.2 ) ; det får därvid förutsättas att regeringen låter den rättsliga domstolsprövningen ha sin gång och inte utnyttjar sin formella behörighet att i det fallet medge undantag.
Hänvisningar till S12-11-4
- Prop. 1997/98:44: Avsnitt Författningskommentar till 35 § personuppgiftslag
12.12. Anmälningsbyråkrati eller tillsyn
Vi anser att skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen bör begränsas till ett minimum. På grund av EG-direktivet måste det dock i lagstiftningen införas en principiell skyldighet att anmäla alla automatiska behandlingar till inspektionen. De undantag från den skyldigheten som EG-direktivet medger bör emellertid utnyttjas så långt det är möjligt, genom generella undantag för vissa sektorer och genom att det införs en möjlighet att tillsätta särskilda persondataombud för att slippa anmäla varje behandling. Datainspektionen bör föra ett register över anmälda behandlingar, och allmänheten bör ha rätt att på begäran få upplysningar om andra behandlingar direkt från den persondataansvarige. Regeringen bör få bestämma att särskilt integritetskänsliga behandlingar skall anmälas till Datainspektionen för förhandskontroll tre veckor i förväg.
Hänvisningar till S12-12
- Prop. 1997/98:44: Avsnitt Författningskommentar till 36 § personuppgiftslag
12.12.1. Våra utgångspunkter
Datalagen bygger på att all automatisk databehandling av personregister skall anmälas på förhand till Datainspektionen för licens. I många fall krävs det dessutom att personregistreringen förhandskontrolleras av inspektionen och att ett tillstånd ges. Datainspektionens medgivande krävs vidare i vissa fall när uppgifter från ett personregister skall lämnas ut för automatisk databehandling i utlandet, t.ex. genom att göras tillgängliga på ett internationellt datanätverk såsom Internet.
Datalagsutredningen förordade en övergång från ett system med licens och tillstånd till ett renodlat tillsynssystem; behandling av känsliga personuppgifter skulle dock enligt utredningens förslag anmälas på förhand till Datainspektionen.325 Förslaget att gå ifrån systemet med licens och tillstånd mottogs positivt av remissinstanserna, medan förslaget om att införa en anmälningsplikt för behandling av känsliga personuppgifter föranledde kritik från de flesta remissinstanser som yttrade sig i saken.326
Vi anser för egen del att det är hög tid att skära bort den onödiga byråkrati som omgärdar behandling av personuppgifter. Byråkratin innebär kostnader och besvär som inte på långa vägar uppvägs av eventuella förde-
325 Se avsnitt 13 och 14 i SOU 1993:10. 326 Se avsnitt 2.2.4.
lar för integritetsskyddet. Integritetsskyddet stärks inte i sig av att Datainspektionen hanterar anmälningar, licenser och tillstånd. Det som har betydelse för integritetsskyddet är att de persondataansvariga följer de materiella reglerna för uppgiftsbehandlingar, inte att de sänder in en massa papper till Datainspektionen. Inspektionens verksamhet bör i stället koncentreras till att ge råd och sprida kunskap om de materiella reglerna och att utöva tillsyn över att reglerna följs. Det är som regel bäst för integritetsskyddet att Datainspektionen koncentrerar sig på att titta på den verklighet som har betydelse för medborgarna i stället för på de papper som lämnas in av (laglydiga) persondataansvariga.
Ett system som innebär att behandlingar anmäls till Datainspektionen kan visserligen vara berättigat på den grunden att inspektionen därigenom kan få kännedom om den uppgiftsbehandling som sker på olika håll och anpassa sin tillsyn. Datalagsutredningen uppskattade emellertid att bara omkring tio procent av alla licenspliktiga personregister verkligen anmäldes till inspektionen,327 och det finns inte anledning att tro att situationen skulle ha förbättrats sedan dess. Datainspektionen får alltså genom licenssystemet kännedom om bara en bråkdel av den personregistrering som förekommer. Man kan vidare på goda grunder anta att det är de som följer de formella reglerna och gör en anmälan som också bäst följer de materiella reglerna om uppgiftsbehandlingen.
Vår slutsats är att det inte är befogat att föreskriva en anmälningsplikt bara för att Datainspektionen skall få underlag för den viktiga tillsynsverksamheten. En expertmyndighet som dagligen sysslar med konkreta dataskyddsfrågor borde kunna skaffa sig den nödvändiga överblicken på annat sätt än genom att hantera en stor mängd anmälningsblanketter. Datainspektionen anser för övrigt själv att inkomna anmälningar och registreringen av dem inte utgör någon särskilt viktig källa till kunskap om den uppgiftsbehandling som inspektionen borde granska närmare.
De anmälningar som lämnas in till Datainspektionen kan inte heller anses ge de registrerade tillgång till någon särskilt värdefull – eller heltäckande – kunskap om var deras personuppgifter behandlas. I vårt förslag finns dessutom regler om att den registrerade själv automatiskt skall få information om behandlingen direkt från den persondataansvarige, se avsnitt 12.7.2.
327 Se SOU 1993:10 s. 259.
Vi känner inte till någon i Sverige som förordar att systemet med omfattande anmälningsplikt och omfattande tillståndsplikt behålls. Datainspektionen själv anser att man bör gå ifrån det systemet och i stället koncentrera verksamheten till tillsyn.
Vår slutsats är att det från svenska utgångspunkter är önskvärt att antalet anmälningar och förhandskontroller av behandlingar av personuppgifter begränsas till ett minimum och att Datainspektionens resurser i stället används för att ge råd, sprida kunskap och utöva tillsyn; inspektionens uppgifter i dessa hänseenden berörs närmare i avsnitt 12.14.1. Av vad som anförs i avsnitt 11.6.3.4 framgår att vi dock föreslår att det genom förordning införs en obligatorisk skyldighet att för förhandskontroll anmäla sådana – automatiska eller icke automatiska – behandlingar av känsliga personuppgifter för forsknings- eller statistikändamål som utförs utan samtycke av de registrerade och utan att projektet har godkänts av en forskningsetisk kommitté.
Vi övergår nu till att beröra hur det som således är önskvärt från svenska utgångspunkter skall kunna förenas med de skyldigheter som Sverige har enligt EG-direktivet.
12.12.2. Genomförandet av EG-direktivet
12.12.2.1 EG-direktivet i korthet
Enligt EG-direktivet skall medlemsstaterna föreskriva att den persondataansvarige i förväg skall till tillsynsmyndigheten anmäla alla automatiska behandlingar som skall genomföras. Däremot får medlemsstaterna själva välja om och i vilken utsträckning den persondataansvarige skall anmäla icke automatiska behandlingar. Tillsynsmyndigheten skall föra ett allmänt register över alla behandlingar som har anmälts. Det är under vissa förutsättningar tillåtet för medlemsstaterna att föreskriva undantag från anmälningsskyldigheten. När en behandling inte omfattas av anmälningsskyldighet, skall den persondataansvarige själv, eller något annat organ, lämna information om de behandlingar som genomförs till den som begär sådan information. Medlemsstaterna skall vidare säkerställa att särskilt riskfyllda behandlingar kontrolleras på förhand; vilka behandlingar som är särskilt riskfyllda får medlemsstaterna dock själva bestämma.
De ganska detaljerade bestämmelserna i EG-direktivet rörande anmälan har närmare berörts i avsnitt 3.13.
12.12.2.2 En principiell anmälningsskyldighet måste införas
EG-direktivet kräver således att det i Sverige införs en principiell skyldighet att anmäla all automatisk behandling av personuppgifter till Datainspektionen. Vi har därför – motvilligt – i vårt förslag till persondatalag tagit med en sådan skyldighet. Däremot anser vi, i enlighet med våra redovisade utgångspunkter, att möjligheten enligt EG-direktivet att föreskriva anmälningsskyldighet även för icke automatisk behandling inte bör utnyttjas. Ett undantag utgörs dock som nämnts av sådana icke automatiska behandlingar av känsliga personuppgifter för forsknings- eller statistikändamål som utförs utan samtycke av de registrerade och utan att projektet har godkänts av en forskningsetisk kommitté.
När nu en principiell anmälningsskyldighet måste införas, är det enligt vår mening viktigt att de möjligheter till undantag från anmälningsskyldigheten som EG-direktivet medger utnyttjas fullt ut. Hur detta lämpligen bör ske redogör vi för i det följande.
Anmälningsskyldigheten gäller för sådan behandling som är helt eller delvis automatisk. Begreppet automatisk behandling har berörts i avsnitt 12.2.12. Anmälan skall göras innan behandlingen genomförs. Det går bra att på en gång anmäla en hel serie behandlingar som har samma eller liknande ändamål, t.ex. alla behandlingar som behövs för att försäkringsavtal skall kunna ingås och hanteras.
Anmälan skall göras till Datainspektionen och skall, enligt vårt förslag, vara skriftlig.
Enligt EG-direktivet skall anmälan innehålla åtminstone vissa i direktivet angivna uppgifter; i övrigt är det medlemsstaternas skyldighet att precisera vilka uppgifter en anmälan skall innehålla och vilka villkor som skall gälla när ändringar i uppgifterna skall anmälas, se om reglerna i EGdirektivet avsnitt 3.13.2. Enligt vårt förslag överlåts det åt regeringen och Datainspektionen att meddela sådana enligt EG-direktivet nödvändiga detaljföreskrifter.
12.12.2.3 Undantag från anmälningsskyldigheten
Såsom närmare framgår av avsnitt 3.13.3 finns det möjlighet för medlemsstaterna att föreskriva undantag från anmälningsskyldigheten
a) när det inte är sannolikt att den registrerades rättigheter kränks,
b) när ett uppgiftsskyddsombud har utsetts,
c) beträffande författningsreglerade register för allmänheten (se avsnitt
3.13.3.4) och
d) för sådan behandling av känsliga personuppgifter om medlemmar m.fl.
som vissa typer av ideella organisationer utför.
Vi anser, som nämnts, att dessa möjligheter till undantag bör utnyttjas fullt ut.
För att undantag skall få göras med stöd av punkt a ovan krävs enligt EGdirektivet att det anges en rad uppgifter rörande den undantagna typen av behandling. Sålunda måste beträffande behandlingstypen anges N behandlingens ändamål, N vilka uppgifter eller kategorier av uppgifter som behandlas, N vilka registrerade eller kategorier av registrerade som avses, N till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut
och N hur länge uppgifterna skall bevaras.
Det är således en ganska stor mängd detaljuppgifter som måste anges när undantag görs genom författning enligt punkt a. Att införa alla dessa nödvändiga uppgifter i lagen – eller i en bilaga till den – är som vi ser det olämpligt. Vi har därför – och då vi med hänsyn till den korta utredningstiden haft svårt att överblicka alla undantag som kan få göras – valt att i den föreslagna lagen i stället ta in ett allmänt bemyndigande för regeringen och Datainspektionen att föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Avsikten är att detta bemyndigande skall kunna användas också för att i förekommande fall föreskriva sådana tillåtna undantag som avses i punkt c och d ovan. De behandlingar som i dag omfattas av Datainspektionens generella föreskrifter eller föreskrifter om ett förenklat ansökningsförfarande torde exempelvis kunna undantas, liksom behandlingar som genomförs inom ramen för ett projekt som godkänts av en forskningsetisk kommitté. Ytterligare exempel kan vara N framställning av korrespondens, N framställning av promemorior och annan löpande text, N inspelning av ljud eller bild avseende personer som känner till att in-
spelningen sker och hur den skall spridas, t.ex. sångare och skådespelare, N vissa avlönings- och personalregister, N register över kunder, elever, motparter, hyresgäster och leverantörer som
den persondataansvarige har en naturlig anknytning till, N medlemsregister, N behandling av personuppgifter inom hälso- och sjukvård av enbart per-
sonal som har tystnadsplikt och N lagring av personuppgifter hos arkivmyndigheter.
När det föreskrivs undantag för en viss typ av behandling, kan det givetvis anges under vilka förutsättningar behandlingstypen är undantagen, dvs. vad den persondataansvarige måste uppfylla för att slippa anmäla.
Vi anser vidare att även möjligheten att föreskriva undantag med stöd av punkt b bör utnyttjas. Vi har visserligen i Sverige inte någon tradition med uppgiftsskyddsombud av det slag som finns i t.ex. Tyskland. Det finns dock i 8 § fjärde stycket datalagen redan regler om att den registeransvarige skall utse en eller flera personer med uppgift att hjälpa de registrerade. Enligt vår mening bör man kunna bygga vidare på dessa regler och införa en möjlighet för persondataansvariga att undvika anmälningsskyldighet genom att utse en person som skall arbeta med persondataskydds-
frågorna. Det vore för övrigt, med de utgångspunkter vi har, dumt att låta undantagsmöjligheten beträffande uppgiftsskyddsombud gå oss ur händerna bara därför att vi inte har någon starkare tradition på området. Emellertid bör – bl.a. för att undvika sammanblandning med de skyddsombud som arbetar med arbetsmiljön – i Sverige uppgiftsskyddsombudet lämpligen benämnas persondataombud.
Det förhållandet att vi inte har någon tradition på området bör däremot beaktas såtillvida att det inte införs någon skyldighet för persondataansvariga att utse persondataombud. Ett effektivt integritetsskydd torde i och för sig förutsätta att det hos de organ som behandlar personuppgifter finns en medvetenhet om och ett intresse för persondataskyddsfrågor som får genomslag i det dagliga arbetet, och i detta hänseende kan ett särskilt persondataombud säkert göra mycket nytta i många fall. Men det bör som vi ser det liksom hittills vara upp till den persondataansvarige hur han eller hon vill organisera sitt arbete med persondataskyddsfrågorna.
12.12.2.4 Särskilt om persondataombud
Vi har således i vårt förslag till persondatalag tagit in en bestämmelse om att anmälan till Datainspektionen inte behöver göras när den persondataansvarige har offentliggjort en uppgift om att ett persondataombud har utsetts och vem det är.
Kravet på offentliggörande innebär att den persondataansvarige måste ha vidtagit någon åtgärd för att uppgifterna skall komma till allmänhetens kännedom. Uppgifterna kan t.ex. anges på den information som lämnas till de registrerade eller anslås i lokaler som allmänheten har tillträde till.
Det är bara behandlingar som påbörjas efter det att uppgifterna om persondataombudet har offentliggjorts som är undantagna från anmälningsskyldigheten; för behandlingar som påbörjats innan persondatalagen trätt i kraft räcker dock att uppgifterna offentliggjorts före ikraftträdandet, se om föreslagna övergångsbestämmelser till persondatalagen avsnitt 12.15.
Persondataombudet skall vara en fysisk person. Enligt EG-direktivet krävs det att det utsedda persondataombudet har vissa befogenheter och skyldigheter, se närmare avsnitt 3.13.3.3. Reglerna om detta har förts över till den föreslagna persondatalagen. För att stärka persondataombudets ställning och de positiva effekter för persondataskyddet som tillsättandet av ett sådant ombud kan ha föreslår vi emellertid att det införs regler om ombudets befogenheter och skyldigheter som går längre än vad direktivet kräver.
Persondataombudet skall enligt vårt förslag för det första ha till uppgift att självständigt se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt.
Enligt EG-direktivet skall persondataombudet ”på ett oberoende sätt” kunna kontrollera den persondataansvarige. Det är detta som vi avser med det självständighetskrav som vi föreslår skall uppställas. Den persondataansvarige får alltså inte utse ett ombud som har en alltför underordnad ställning. Ombudet kan vara en anställd hos den persondataansvarige, men måste då ges en sådan ställning att befogenheterna som persondataombud kan utövas på ett självständigt sätt i förhållande till arbetsgivaren. Ett anlitat persondatabiträde – eller någon anställd hos biträdet – kan utses till persondataombud under förutsättning att den utsedde ges förutsättningar att utöva sitt uppdrag självständigt. Däremot kan en persondataansvarig givetvis inte utse sig själv till persondataombud.
I självständighetskravet ligger också att persondataombudet skall ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter. Något krav på genomgång av viss utbildning i persondataskyddsfrågor har dock inte uppställts.
Persondataombudet skall se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt, vilket innebär att ombudet måste förvissa sig om att den persondataansvarige följer bestämmelserna i den föreslagna persondatalagen och anknytande lagstiftning. Hur pass omfattande kontrollen bör vara får avgöras efter omständigheterna i det enskilda fallet. Ombudet bör i vart fall granska rutinerna för informationsbehandling och de krav på kvalifikationer, lämplighet och kunskap som den persondataansvarige ställer på den personal som tillåts behandla personuppgifter. Kontrollen skall avse all behandling av personuppgifter som faller under den föreslagna lagen.
Om persondataombudet upptäcker brister i uppgiftsbehandlingen, bör ombudet i första hand påpeka detta för den persondataansvarige. Om den persondataansvarige inte därefter vidtar rättelse så snart det kan ske, bör persondataombudet ha skyldighet att anmäla bristerna till Datainspektionen. Hur snart rättelse kan ske efter ett påpekande får bero av omständigheterna i det särskilda fallet. Att det kan ta någon tid att rätta till upptäckta brister bör i allmänhet accepteras, särskilt om det upprättas en konkret plan för hur bristerna skall kunna åtgärdas inom rimlig tid. Men dröjer det alltför länge innan något görs, bör ombudet göra en anmälan till Datainspektionen.
De regler om behandling av personuppgifter som måste införas till följd av EG-direktivet är tämligen komplicerade. Vi har bl.a. därför funnit anledning att i den föreslagna lagen ta in en uttrycklig bestämmelse om att persondataombudet skall samråda med Datainspektionen vid tveksamhet om tillämpningen av de bestämmelser som gäller för uppgiftsbehandlingen.
I enlighet med vad som gäller enligt datalagen i dag bör persondataombudet vidare ha till uppgift att hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga, missvisande eller ofullständiga.
Persondataombudet bör också – i enlighet med vad som krävs enligt EG-direktivet – ha till uppgift att föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Denna förteckning skall omfatta alla de uppgifter som en anmälan skulle ha innehållit. Förteckningen kan föras manuellt eller med hjälp av dator. Persondataombud inom det allmänna har beträffande förteckningen att följa de bestämmelser som gäller om allmänna uppgifter. Ombud på den privata sidan bör spara anteckningar i förteckningen om behandlingar så länge som de behandlade personuppgifterna inte har förstörts eller avidentifierats.
När uppgifter om tillsättandet av ett persondataombud offentliggjorts, behöver den persondataansvarige som nämnts inte anmäla de behandlingar som genomförs till Datainspektionen. Några andra lättnader i fråga om den persondataansvariges skyldigheter enligt den föreslagna persondatalagen innebär dock inte tillsättandet av ett persondataombud.
Skulle den persondataansvarige utse ett persondataombud som inte är tillräckligt självständigt eller som inte på ett tillfredsställande sätt utför de uppgifter som ankommer på ombudet, kan Datainspektionen ingripa genom att kräva – ytterst genom att vite föreläggs – att de behandlingar som genomförs anmäls. Om en behandling inte genomförs i enlighet med de föreskrifter som gäller, kan inspektionen givetvis ingripa mot det missförhållandet oavsett om behandlingen har anmälts eller inte och oavsett om det finns eller inte finns ett persondataombud. Frågan om Datainspektionens befogenheter berörs närmare i avsnitt 12.14.1.
Den persondataansvarige är givetvis ansvarig i fråga om de behandlingar han eller hon utför även när ett persondataombud utsetts och behandlingarna granskats av denne. Det är t.ex. den persondataansvarige och inte persondataombudet som kan komma att åläggas skadeståndsskyldighet gentemot registrerade. I vad mån den persondataansvarige kan få er-
sättning för t.ex. utbetalade skadestånd av ett försumligt persondataombud följer av det avtal som kan finnas med ombudet och allmänna regler.
12.12.2.5 Förhandskontroll av särskilt integritetskänsliga behandlingar
Enligt EG-direktivet skall medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades rättigheter och säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Det är tillsynsmyndigheten som skall utföra förhandskontrollen sedan en anmälan kommit in. Det är dock i enlighet med vad som närmare framgår av direktivet tillåtet för medlemsstaterna att i stället utföra förhandskontrollen som ett led i lagstiftningsprocessen.
I Sverige kan en sådan förhandskontroll som avses i EG-direktivet sägas ske i samband med att särskilda registerförfattningar beslutas av riksdagen eller regeringen. Detta får anses gälla även i de fall då en registerförfattning införs beträffande ett befintligt register. Någon särskild författningsreglering behövs inte i fråga om den förhandskontroll som sker i samband med att särskilda registerförfattningar beslutas. Av vad som anförs i avsnitt 8.2.3 framgår att Datainspektionen skall höras i samband med att sådana författningar beslutas.
Däremot kräver EG-direktivet att det införs bestämmelser om vilka behandlingar som annars skall kontrolleras på förhand; det skulle som vi ser det vara oförenligt med EG-direktivet att införa en bestämmelse om att inga behandlingar måste kontrolleras på förhand.
Uppgiften att bestämma vilka behandlingar som skall kontrolleras på förhand kan enligt vår mening lämpligen anförtros åt regeringen. Vi har därför i vårt förslag till persondatalag tagit in ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till Datainspektionen tre veckor i förväg. Har regeringen bestämt att en viss behandling skall kontrolleras på förhand, måste sådana behandlingar givetvis anmälas även om den persondataansvarige annars skulle vara undantagen från anmälningsskyldigheten därför att det finns ett persondataombud.
Som exempel på behandling som kan behöva kontrolleras på förhand kan nämnas behandling av uppgifter om genetiska anlag. Av vad som anförs i avsnitt 11.6.3.4 framgår vidare att vi föreslår att det genom förordning införs en obligatorisk skyldighet att för förhandskontroll anmäla så-
dana – automatiska eller icke automatiska – behandlingar av känsliga personuppgifter för forsknings- eller statistikändamål som utförs utan samtycke av de registrerade och utan att projektet har godkänts av en forskningsetisk kommitté.
Om Datainspektionen vid sin förhandskontroll kommer fram till att personuppgifter kan komma att behandlas på ett olagligt sätt, kan inspektionen ingripa, ytterst genom att vid vite förbjuda den persondataansvarige att påbörja behandlingen (se närmare om Datainspektionens befogenheter avsnitt 12.14.1.2).
12.12.2.6 Upplysningar skall på begäran lämnas om behandlingar som inte anmälts
Enligt EG-direktivet skall den persondataansvarige till var och en som begär det på lämpligt sätt lämna viss information om sådana behandlingar som inte omfattas av anmälningsplikt.
Denna bestämmelse har förts över till förslaget till persondatalag. Där finns således en bestämmelse om att den persondataansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar som inte har anmälts till Datainspektionen. Upplysningarna skall – i enlighet med vad som krävs enligt EG-direktivet – omfatta det som en anmälan till Datainspektionen skulle ha omfattat, dock att upplysningar aldrig behöver lämnas om vidtagna säkerhetsåtgärder.
Det krävs inte att upplysningarna lämnas skriftligen. De kan således lämnas muntligen, om det är lämpligt.
I den utsträckning den persondataansvarige har anmält sina behandlingar till Datainspektionen behöver han eller hon inte lämna allmänheten upplysningar enligt denna bestämmelse. Den persondataansvarige kan då i stället hänvisa den som frågar till Datainspektionen.
12.12.2.7 Datainspektionens register över anmälda behandlingar
Enligt EG-direktivet skall medlemsstaterna föreskriva att tillsynsmyndigheten är skyldig att föra ett allmänt register med vissa uppgifter över de behandlingar som har anmälts.
Enligt vår mening kan Datainspektionens förande av ett register över anmälda behandlingar lämpligen, liksom i dag, regleras i en av regeringen utfärdad förordning. Vi har därför inte tagit med några bestämmelser om det registret i vårt förslag till persondatalag.
12.13. Sanktioner
Den registrerade bör ha rätt till ersättning av den persondataansvarige för den skada som en behandling av personuppgifter i strid med den föreslagna persondatalagen eller anknytande författningar för med sig. Också ideellt skadestånd bör betalas för den kränkning av den personliga integriteten som behandlingen har inneburit. Det bör finnas möjlighet att jämka ersättningsskyldigheten när den felaktiga behandlingen bevisligen inte berodde på den persondataansvarige. Den som lämnar osanna uppgifter i information eller anmälan enligt den föreslagna persondatalagen bör straffas med böter eller fängelse i högst sex månader eller, om brottet är grovt, fängelse i högst två år.
12.13.1. Inledning
12.13.1.1 EG-direktivet
I artikel 22–24 i EG-direktivet finns bestämmelser om sanktioner för brott mot de nationella bestämmelser som inför direktivet. Bestämmelserna har berörts i avsnitt 3.15.
Var och en skall för det första ha rätt att föra talan inför domstol om kränkningar av sina rättigheter. Den som har lidit skada till följd av en otillåten behandling eller någon annan åtgärd som är oförenlig med bestämmelserna om behandlingen skall vidare ha rätt till ersättning av den persondataansvarige för den lidna skadan. Den persondataansvarige kan dock helt eller delvis befrias från sin ersättningsskyldighet, om han eller hon bevisar att han eller hon inte var ansvarig för den händelse som orsakade skadan.
Det finns dessutom en skyldighet för medlemsstaterna att anta lämpliga bestämmelser för att säkerställa att direktivet genomförs fullständigt. Medlemsstaterna skall därvid särskilt besluta om de sanktioner som skall användas vid överträdelse av bestämmelserna om behandling.
12.13.1.2 Datalagen
I datalagen finns i dag bestämmelser om straff – som regel böter eller fängelse i högst ett år – för den som uppsåtligen eller av oaktsamhet bryter mot en rad bestämmelser i lagen (20 §). Det är således kriminaliserat att N inrätta eller föra ett personregister utan licens eller tillstånd när detta
krävs, N bryta mot Datainspektionens föreskrifter om
— ändamålet med ett tillståndspliktigt personregister — inhämtande av uppgifter för personregistret — vilka personuppgifter som får ingå i personregistret — utförandet av den automatiska databehandlingen — den tekniska utrustningen — de bearbetningar av personuppgifterna i personregistret som får
göras med automatisk databehandling — underrättelse till berörda personer — de personuppgifter som får göras tillgängliga — utlämnande och annan användning av personuppgifter — bevarande och gallring av personuppgifter — kontroll och säkerhet — rättelse och andra åtgärder i fråga om oriktiga och missvisande
uppgifter,
N bryta mot ett av Datainspektionen meddelat förbud mot fortsatt förande
av personuppgifter (dock inte om inspektionen förenat förbudet med vite), N lämna ut personuppgift, trots att det funnits anledning att anta att uppgif-
ten skulle användas för automatisk databehandling i strid med datalagen, N lämna ut personuppgift utan Datainspektionens medgivande, trots att det
funnits anledning att anta att uppgiften skulle användas för automatisk databehandling i utlandet (dock inte om uppgiften skall användas för automatisk databehandling enbart i en stat som anslutit sig till Europarådets konvention), N inte anmäla till Datainspektionen att förandet av ett personregister har
upphört, N i ett personregister ha kvar personuppgift, som kan hänföras till den som
avses med uppgiften, trots att uppgiften inte längre behövs med hänsyn till ändamålet med registret eller trots att den registeransvarige upphört att föra personregistret (dock inte om uppgiften enligt lag eller annan författning eller enligt myndighets beslut, som har meddelats med stöd av lag, skall bevaras), N lämna osann uppgift till en registrerad om att han eller hon inte före-
kommer i ett personregister,
N lämna osann uppgift (i ett registerutdrag) till en registrerad om inne-
hållet i personuppgift som ingår i personregister och som innefattar upplysning om honom eller henne, N lämna osann uppgift i fråga om en myndighets rätt att sälja uppgifter ur
ett personregister, N lämna osann uppgift när Datainspektionen för sin tillsyn begär uppgifter
rörande automatisk databehandling, N inte föra en s.k. registerförteckning med vissa uppgifter, N inte hålla registerförteckningen tillgänglig för Datainspektionen och N inte ge in registerförteckningen till Datainspektionen när inspektionen
begär det.
Den registeransvarige är också ansvarig för skada som tillfogas någon genom ett sådant brott och för sådan skada som tillfogas en registrerad genom att ett personregister innehåller en oriktig eller missvisande uppgift. Skadeståndsansvaret är rent strikt. Det krävs alltså inte – såvitt avser oriktiga eller missvisande uppgifter i personregister – att den registeransvarige ville skada någon (hade uppsåt) eller att han eller hon varit slarvig (visat oaktsamhet), utan ansvaret uppkommer bara därför att den registrerade skadats genom att registret innehållit en felaktig uppgift. Den registeransvarige är ersättningsskyldig inte bara för ekonomisk skada utan också för ideell skada, dvs. hänsyn skall tas även till lidande och andra omständigheter av annan än rent ekonomisk betydelse. (23 §.)
12.13.1.3 Datalagsutredningens förslag
Datalagsutredningen föreslog att de bestämmelser som i dag finns i datalagen skulle föras över i princip oförändrade till den nya datalag som utredningen föreslog.328
12.13.1.4 Skrivelse från Landstingsförbundet
Regeringen har till oss överlämnat en skrivelse från Landstingsförbundet om översyn av 23 § datalagen.329 Bakgrunden till förbundets skrivelse är det rättsfall som finns refererat i NJA 1994 A 3. I det rättsfallet fick en person ideellt skadestånd med 10 000 kr för det att ett landsting hade i ett per-
328 Se avsnitt 19.2 i SOU 1993:10. 329 Regeringsbeslut 1996-03-07, dnr Ju 95/4244.
sonregister tagit in oriktiga uppgifter om att han var intagen på sjukhus; den person som egentligen var intagen hade utnyttjat hans personuppgifter.
12.13.2. Vår bedömning
12.13.2.1 Omfattningen av skadeståndsskyldigheten
Den föreslagna lagen syftar till att skydda människor mot otillbörligt intrång i den personliga integriteten vid behandling av personuppgifter. Rätten till personlig integritet är en immateriell rättighet. När den rättigheten kränks, behöver det inte uppkomma någon ekonomisk skada. Därför bör den enskilde, som drabbas av en olaglig behandling, liksom hittills ha rätt till ekonomisk kompensation för själva kränkningen förutom rätt till ersättning för personskada, sakskada och ren förmögenhetsskada.330 Det kan inte anses oförenligt med EG-direktivet att införa en skyldighet att betala även skadestånd för kränkningen.
Datalagen innebär att ersättning skall utgå för oriktiga eller missvisande uppgifter samt för vissa brott enligt datalagen. EG-direktivet kräver att det i Sverige föreskrivs att alla åtgärder som är oförenliga med de svenska bestämmelser som inför direktivet kan leda till skadeståndsskyldighet. Ersättningsskyldigheten är alltså mer vidsträckt enligt direktivet. Å andra sidan är datalagens skadeståndsansvar strikt medan EG-direktivet ger den persondataansvarige en möjlighet att helt eller delvis undgå skadeståndsansvar om han eller hon bevisar att han eller hon inte är ansvarig för den händelse som orsakade skadan.
I överensstämmelse med EG-direktivet föreslår vi att den persondataansvarige skall ersätta den registrerade för skada som en behandling av personuppgifter i strid med lagen – eller föreskrifter som meddelats med stöd av lagen – har fört med sig. Som nyss nämnts skall ersättning också betalas för den kränkning av den personliga integriteten som behandlingen har inneburit, något som stämmer överens med datalagens skadeståndsbestämmelser. Genom de föreslagna skadeståndsbestämmelserna får enskilda på det sätt EG-direktivet förutsätter möjlighet att vid (allmän) domstol föra talan om kränkningar av alla de rättigheter som direktivet och den svenska lagstiftning som inför direktivet ger enskilda. Å andra sidan och eftersom detta innebär en viss utvidgning av rätten till skadestånd enligt datalagen,
330 Jämför prop. 1986/87:116 s. 22.
anser vi att de möjligheter som EG-direktivet ger till jämkning av skadeståndet bör utnyttjas. Eftersom dessa möjligheter inte har något att göra med jämkningsreglerna i skadeståndslagen, krävs särskilda bestämmelser härom i persondatalagen.
Skadeståndsansvaret bör omfatta persondataansvariga inom såväl den privata som offentliga sektorn.
Skadeståndet för kränkningen bör uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. Därvid bör beaktas bl.a. sådana faktorer som om det funnits risk för otillbörlig spridning av känsliga eller felaktiga uppgifter och om den registrerade på grund av den felaktiga behandlingen blivit utsatt för något beslut eller några åtgärder som kunnat innebära något negativt för honom eller henne. Har den registrerade själv lämnat en oriktig, missvisande eller ofullständig uppgift till den persondataansvarige, kan den persondataansvariges behandling av denna uppgift givetvis inte anses innebära någon sådan kränkning av den personliga integriteten som bör föranleda skadestånd för kränkning. Skadeståndet för kränkning bör i princip fastställas för varje kränkt registrerad för sig.
12.13.2.2 Jämkning
I dag är skadeståndsansvaret – såvitt avser oriktiga eller missvisande uppgifter i personregister – rent strikt. I enlighet med regeln i artikel 23.2 i EG-direktivet bör det dock enligt vår mening införas en möjlighet att helt eller delvis jämka skadeståndet, om den persondataansvarige kan visa att den felaktiga behandlingen inte berodde på honom eller henne. Jämkning bör emellertid ske bara i den utsträckning det är skäligt.
Skadeståndsansvaret bör således även med den föreslagna persondatalagen i princip vara rent strikt, men det bör – för att undvika oskäliga resultat – införas en möjlighet till jämkning i de fall den persondataansvarige kan visa att felet inte beror på honom eller henne. Därmed kan en nyanserad bedömning göras i sådana fall där den persondataansvarige bevisligen har gjort så gott han eller hon kunnat, bl.a. i sådana situationer som Landstingsförbundet har pekat på i sin skrivelse.
Eftersom ansvaret fortfarande bör vara i princip rent strikt, behöver den registrerade liksom hittills bara bevisa att det från den persondataansvariges sida har förekommit en felaktig behandling av den registrerades personuppgifter och att denna behandling har skadat honom eller henne. Därefter bör det vara upp till den persondataansvarige att bevisa att den felak-
tiga behandlingen inte berodde på honom eller henne. Lyckas den persondataansvarige med detta, får i sista hand en domstol eller skiljenämnd med vårt förslag bedöma huruvida och i vilken utsträckning det kan vara skäligt att skadeståndet sätts ned.
Den persondataansvarige bör gentemot den registrerade i och för sig ansvara för all den behandling som han eller hon har ansvaret för, även när ett persondatabiträde eller annan hjälp anlitas. Ett fel av t.ex. ett anlitat persondatabiträde bör således anses bero på den persondataansvarige. En annan sak är att den persondataansvarige i allmänhet kan få ersättning av ett försumligt persondatabiträde för skadestånd som måste betalas till registrerade; däremot kan den persondataansvarige som regel inte med framgång kräva försumliga arbetstagare på någon ersättning.331
I punkt 55 i ingressen till EG-direktivet anges som exempel på fall där den persondataansvarige kan befrias från ersättningsskyldighet att ett fel har begåtts av den registrerade och att det är fråga om force majeure.
När det är den registrerade som t.ex. har lämnat felaktiga uppgifter vilket lett till en felaktig behandling, kan den felaktiga behandlingen i allmänhet inte anses bero på den persondataansvarige. Om det är den registrerade som, t.ex. genom att lämna oriktiga uppgifter, har föranlett en felaktig behandling, kan det vara skäligt att helt befria den persondataansvarige från ansvar för skada som dennes användning av uppgifterna kan ha förorsakat den registrerade.
En felaktig behandling som beror på felaktigheter i den utrustning som den persondataansvarige ansvarar för får som regel anses bero på den persondataansvarige. Bara i särpräglade fall kan den persondataansvarige anses oskyldig till den felaktiga behandlingen, t.ex. om uppgifter på ett helt oförutsett vis förvanskas till följd av ett blixtnedslag eller avbrott eller felaktigheter i ett publikt datanätverk. I sådana fall av helt oförutsedda händelser kan det vara skäligt att mildra ansvaret.
En felaktig behandling av den persondataansvarige som beror på att han eller hon har hämtat in felaktiga uppgifter från någon annan persondataansvarig kan inte anses bero på den persondataansvarige, om han eller hon inte hade någon anledning att misstänka att uppgifterna var felaktiga. I vilken utsträckning ansvaret för den persondataansvarige skall mildras i sådana fall bör således vara en skälighetsfråga. Har den persondataansvarige t.ex. hämtat in tusentals adressuppgifter från någon vanligtvis tillför-
331 Se 4 kap. 1 § skadeståndslagen (1972:207).
litlig källa, exempelvis ett allmänt register såsom statens person- och adressregister, kan det vara skäligt att mildra ansvaret; det kan då inte rimligen krävas att den persondataansvarige skulle ha kontrollerat alla adresser. Om den persondataansvarige däremot har hämtat uppgifter från en källa som framstår som otillförlitlig, kan bedömningen bli en annan. Har en myndighet fått in uppgifter på grund av uppgiftsskyldighet för enskilda som är föreskriven i författning, får myndigheten emellertid som regel anses ha haft anledning att lita på uppgifterna.
En felaktig behandling på grund av att personuppgifterna utan den persondataansvariges instruktioner har kommit ut till utomstående, t.ex. genom ett brottsligt intrång i ett datasystem, kan inte anses bero på den persondataansvarige, om denne i enlighet med bestämmelserna i lagstiftningen har en lämplig säkerhetsnivå och intrånget har kunnat komma till stånd genom att angriparen varit beredd att satsa extremt mycket för att komma åt informationen. Då kan det vara skäligt att mildra ansvaret. Har den persondataansvarige å andra sidan försummat säkerheten, får den felaktiga behandlingen anses bero på honom eller henne.
Vid den skälighetsbedömning som bör göras i de fall där den felaktiga behandlingen bevisligen inte beror på den persondataansvarige bör beaktas också den registrerades behov av skadestånd och den persondataansvariges förmåga att betala skadestånd. Om den registrerade drabbas av en stor ekonomisk skada till följd av att hans eller hennes personuppgifter har behandlats felaktigt, kan det vara skäligt att den som är ansvarig för behandlingen får ersätta åtminstone en viss del av skadan, trots att den felaktiga behandlingen egentligen inte berodde på honom eller henne. Å andra sidan bör en skadebringande felaktig behandling som t.ex. en småföretagare egentligen är oskyldig till som regel inte skäligen föranleda en sådan ersättningsskyldighet att företaget går i konkurs eller får allvarliga ekonomiska svårigheter.
Storleken av skadeståndet för kränkningen bör, som nämnts, redan från början uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. I allmänhet finns därför inte anledning att tillämpa jämkningsregeln på sådan ersättning. I det fallet att en viss felaktig behandling har omfattat uppgifter om många människor, bör man dock vid skälighetsbedömningen såvitt avser skadeståndet för kränkning kunna ta hänsyn till att det samlade skadeståndet för den persondataansvarige inte
blir orimligt stort332; på det sättet kan den föreslagna jämkningsregeln få betydelse också för det ideella skadeståndet för kränkning.
12.13.2.3 Förhållandet till andra skadeståndsbestämmelser
De föreslagna skadeståndsbestämmelserna i persondatalagen utgör sådana specialbestämmelser som tar över de allmänna skadeståndsregler som finns i skadeståndslagen (1972:207), se 1 kap. 1 § i den lagen. Eftersom huvudregeln enligt skadeståndslagen är att ersättning för ren förmögenhetsskada utgår när sådan vållas genom brott och då vårt förslag (se avsnitt 12.13.2.4) innebär en omfattande avkriminalisering utan att vi avser att härigenom åstadkomma en ändring av skadeståndsansvaret, bör i persondatalagen anges att ersättning utgår även för ren förmögenhetsskada. I den utsträckning en skadeståndsfråga inte berörs i den föreslagna persondatalagen – t.ex. frågan om hur skadeståndet för en personskada eller sakskada skall beräknas (5 kap. skadeståndslagen) eller frågan om ansvaret när det finns flera skadeståndsskyldiga (6 kap. 3 § skadeståndslagen) – bör givetvis de allmänna reglerna i skadeståndslagen tillämpas. Frågan om jämkning av skadeståndet (jämför 6 kap.1–2 §§skadeståndslagen), t.ex. på grund av medvållande, får anses reglerad i den föreslagna persondatalagen. I den utsträckning ett förfarande i strid med bestämmelserna enligt den föreslagna persondatalagen ingår som ett led i ett sådant brott som avses i 1 kap. 3 § skadeståndslagen, kan däremot ideellt skadestånd för lidande respektive kränkning utgå enligt såväl den nyss nämnda bestämmelsen som den föreslagna persondatalagen.
Av vad som anförs i avsnitt 8.2.2 framgår i vilken utsträckning bestämmelser i särskilda registerförfattningar (om t.ex. skadestånd) bör ta över reglerna i den föreslagna persondatalagen. Det bör i sammanhanget framhållas att det med den föreslagna persondatalagen torde krävas en uttrycklig hänvisning i de särskilda registerförfattningarna till skadeståndsbestämmelserna i den föreslagna persondatalagen, om det inte anses befogat med särskilda skadeståndsbestämmelser i den författningen. Den föreslagna persondatalagen innehåller nämligen – till skillnad från datalagen – inte någon allmängiltig skadeståndsbestämmelse utan bara en bestämmelse
332 En felaktighet, som drabbat alla personuppgifter i statens person- och adressregister, skulle med ett ideellt skadestånd för kränkning om 1 000 kr per registrerad medföra en sammanlagd skadeståndsskyldighet i detta hänseende om ungefär 8 miljarder kronor.
om skadestånd för behandling i strid med lagen eller föreskrifter som har meddelats med stöd av lagen (och inte någon bestämmelse om skadestånd för behandling i strid med bestämmelser i särskilda registerförfattningar som i stället avviker från lagen).
12.13.2.4 Övriga sanktioner
EG-direktivet kräver att medlemsstaterna särskilt beslutar om de sanktioner som skall användas vid överträdelse av de nationella bestämmelser som inför direktivet.
Av vad som anförs i avsnitt 12.14.1 framgår att vi föreslår att Datainspektionen skall få effektiva möjligheter att ingripa med bl.a. vitesförelägganden när persondataansvariga inte uppfyller sina skyldigheter. Sådana vitesförelägganden – och utdömandet av förelagda viten – får anses utgöra sådana särskilda sanktioner som avses i EG-direktivet.
Även de bestämmelser om ideellt skadestånd för kränkning och ett principiellt rent strikt ansvar som vi föreslår får anses utgöra sådana sanktioner som avses i EG-direktivet; EG-direktivet torde nämligen inte kräva att skadeståndsansvaret skall vara rent strikt och att även icke ekonomisk skada skall ersättas. Ett skadestånd som utgår vid brott mot reglerna om behandling av personuppgifter trots att ingen har skadats fysiskt eller ekonomiskt och trots att den persondataansvarige inte haft uppsåt att göra fel eller varit försumlig vid behandlingen, har – sett från den persondataansvariges synpunkt – en klart bestraffande karaktär och innebär en effektiv sanktion mot varje överträdelse av reglerna. Härtill kommer att den aktuella lagstiftningen bör övervakas av en kompetent myndighet, som bl.a. bör ha till uppgift att upplysa enskilda om deras rättigheter bl.a. i fråga om ideellt skadestånd för kränkning, och att enskilda kan få rättshjälp av staten för att i domstol driva sina krav (mot staten själv eller andra).
Det behövs således inte några särskilda straffbestämmelser med hänsyn till EG-direktivet. Det får också anses ligga i linje med utvecklingen på senare år i Sverige att avkriminalisera, särskilt när det gäller att få befolkningen att följa lagstiftning som i likhet med den föreslagna persondatalagen skall tillämpas i vardagslag på många olika håll och kanske också hemma i folks vardagsrum.
Vite har vidare fördelar som sanktion jämfört med straff. Ett vite har som primärt syfte att få överträdelser att upphöra, medan straffet till sin karaktär är rent repressivt. Vitet kan också på ett annat sätt än straff anpassas till vad som behövs för att åstadkomma eftersträvat resultat i det
enskilda fallet. En straffbestämmelse måste vara generellt utformad, medan ett vitesföreläggande skall ange ganska precist vad adressaten skall göra eller låta bli. Detta har särskild betydelse när det, såsom i detta fall, gäller en lagstiftning vars materiella regler är ganska vaga till sin natur och ibland har karaktären av avvägningsnormer. Den föreslagna lagstiftningen, som bl.a. bygger på begrepp med EG-gemensam innebörd, är alltså ganska svårtillämpad. När man inte direkt av lagstiftningen kan utläsa exakt hur man skall förfara i olika situationer och då Datainspektionen med det föreslagna systemet inte längre skall utfärda tillstånd med preciserade villkor för respektive personregister, är det bättre med preciserade vitesförelägganden i enskilda fall än med generella straffbestämmelser.
När straff (med fängelse i straffskalan) är föreskrivet, kan förundersökning inledas och beslag och husrannsakan komma i fråga. Detta är inte möjligt med bara vite. Datainspektionen kan dock anlita biträde av polismyndighet, om det är nödvändigt med hänsyn till utredningen av vitesfrågan.333 Såsom närmare utvecklas i avsnitt 12.14.1 har vi funnit att det är olämpligt med regler som innebär att polisen kan gå in och leta igenom t.ex. en bostad på grund av en misstanke om att olaglig behandling av personuppgifter förekommer där, eftersom det skulle kunna leda till ett större intrång i den personliga integriteten än det intrång som persondataskyddslagstiftningen avser att förebygga.334 Reglerna om beslag kan i sin tur sägas motsvaras av de bestämmelser som vi föreslår om att Datainspektionen i brådskande fall kan meddela tillfälliga beslut om vite och ansöka om utplånande av olagligt behandlade personuppgifter, se avsnitt 12.14.1. Det bör i detta sammanhang också påpekas att de allra värsta formerna av olaglig behandling av personuppgifter ofta ingår som ett led i annan brottslighet, t.ex. systematiskt ofredande eller barnpornografibrott, och att behandlingen då givetvis kan stävjas genom de utredande och bestraffande insatser som görs mot den brottsligheten.
Vi anser med stöd av det anförda att det i den föreslagna persondatalagen inte behöver finnas någon så omfattande straffkatalog som den som finns i datalagen i dag; de övriga sanktioner som vi föreslår ger effektiva möjligheter att komma till rätta med sådana missförhållanden som upptäcks och innebär tillräckliga garantier för att lagstiftningen kommer att följas.
333 10 § lagen (1985:206) om viten. 334 Jämför beträffande husrannsakan 28 kap. 3 a § rättegångsbalken.
Vi anser som nämnts att antalet anmälningar till och förhandskontroller av Datainspektionen bör begränsas till ett minimum. Med den inställningen är det naturligt att inte föreslå någon straffbestämmelse som motsvarar de som gäller i dag vid underlåtenhet att ha licens eller tillstånd. När det – i ett sådant undantagsfall där anmälan bör krävas enligt det föreslagna systemet – upptäcks att en persondataansvarig inte gjort anmälan, räcker de vitesmöjligheter m.m. Datainspektionen bör ha; den som inte gör anmälan riskerar att bli vid vite förbjuden att behandla personuppgifter och att få de behandlade uppgifterna utplånade. Motsvarande gäller för övrigt för den som inte på begäran lämnar upplysningar om sådana behandlingar som inte har anmälts, varför inte heller de straffbestämmelser som finns i dag beträffande s.k. registerförteckningar kan anses nödvändiga med det nya systemet.
De straffbestämmelser som finns i dag för det fallet att en registeransvarig inte följer de föreskrifter Datainspektionen har meddelat i ett enskilt fall är inte riktigt relevanta med det föreslagna systemet, eftersom det inte bygger på att inspektionen efter en förhandskontroll meddelar föreskrifter i enskilda fall. Datainspektionen bör dock enligt det föreslagna systemet ha möjlighet att meddela föreskrifter om vilka säkerhetsåtgärder som skall vidtas i enskilda fall. Dessa föreskrifter kan förenas med vite, vilket får anses vara en tillräcklig sanktion. En allmän princip är ju för övrigt att vite och straff inte bör utdömas för samma sak. Därför är det inte heller nödvändigt att såsom i dag ha en straffbestämmelse för det fallet att en persondataansvarig bryter mot ett förbud mot att behandla personuppgifter.
Den straffbestämmelse som finns i dag för det fallet att någon lagrar personuppgifter längre än vad som är tillåtet torde inte vara nödvändig med det nya systemet, eftersom det enligt detta system bör finnas möjlighet att få de lagrade uppgifterna utplånade efter domstolsbeslut, se avsnitt 12.14.1.3.
Den som bryter mot den föreslagna persondatalagen med anknytande författningar t.ex. genom att lämna ut uppgifter trots att det inte varit tillåtet kan drabbas av skadestånd – även ideellt sådant för kränkning – och kan vid vite förbjudas att fortsätta att behandla personuppgifter. Dessa sanktioner får anses så effektiva att det inte såsom i dag behövs någon straffbestämmelse för den som lämnar ut personuppgifter trots att det inte är tillåtet. Det viktiga måste vara att förhindra ett oriktigt utlämnande, inte i sig att bestraffa någon när ett oriktigt utlämnande väl skett. Och de sanktioner som vi föreslår får anses väl så avskräckande som den straffbestämmelse som finns i dag.
Ett missförhållande som dock kan vara svårt att komma åt med annan sanktion än ett ganska rejält straff är att folk ibland ljuger när det kan passa dem. Vi föreslår därför att den skall straffas med böter eller längst sex månaders fängelse som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i föreskriven information till registrerade, i en anmälan till Datainspektionen eller när Datainspektionen begär information för sin tillsyn. Är det fråga om ett grovt brott bör dock straffskalan innefatta bara fängelse och sluta vid två års fängelse. Straffskalan för grovt brott respektive brott av normalgraden motsvarar den som gäller vid brottet osant intygande enligt 15 kap. 11 § brottsbalken.
12.14. Datainspektionens uppgifter och finansiering
De flesta regler om Datainspektionens uppgifter bör föras in i inspektionens instruktion. I den föreslagna persondatalagen bör tas in bara regler om inspektionens befogenheter att i samband med tillsyn begära upplysningar m.m. och att vid vite förbjuda persondataansvariga att fortsätta att behandla personuppgifter. Inspektionen bör också ha möjlighet att ansöka om utplånande av personuppgifter. Inspektionens beslut bör kunna överklagas till länsrätten. Vår principiella inställning är att Datainspektionens verksamhet bör finansieras av de persondataansvariga.
12.14.1. Datainspektionens uppgifter och befogenheter
12.14.1.1 EG-direktivet
I artikel 28 i EG-direktivet finns det bestämmelser om tillsynsmyndighet. Bestämmelserna har berörts i avsnitt 3.17. Av dessa bestämmelser – och vissa andra bestämmelser – framgår sammanfattningsvis att den tillsynsmyndighet som skall utses i Sverige skall ha följande befogenheter, uppgifter och egenskaper. N Övervaka tillämpningen på svenskt territorium av de svenska be-
stämmelser som inför direktivet. N Skall fullständigt oberoende utföra sina uppgifter.
N Skall höras när sådana författningar utarbetas som rör skyddet av en-
skilda personers fri- och rättigheter med avseende på behandling av personuppgifter. N Skall kontrollera förslag till uppförandekodexar (artikel 27.2). N Skall föra ett allmänt register över anmälda behandlingar (artikel 21.2). N Skall i vissa fall utföra förhandskontroll av anmälda behandlingar
(artikel 20.2). N Skall ha undersökningsbefogenheter:
— Befogenhet att få tillgång till uppgifter som behandlas. — Befogenhet att inhämta alla uppgifter som är nödvändiga för till-
synen.
N Skall ha effektiva befogenheter att ingripa:
— Kunna avge och offentliggöra yttranden i samband med förhands-
kontroll av anmälda behandlingar. — Kunna besluta om blockering, utplånande eller förstöring av
uppgifter. — Kunna besluta om tillfälligt eller slutligt förbud mot behandling. — Kunna ge den persondataansvarige varning eller tillrättavisning
eller kunna hänvisa saken till riksdagen eller till någon annan politisk institution.
N Befogenhet att inleda rättsliga förfaranden när de svenska bestämmelser
som inför direktivet har överträtts eller befogenhet att uppmärksamma de rättsliga myndigheterna på sådana överträdelser. N Skall ta emot anmälningar från enskilda eller deras organisationer och
informera de berörda om vilka följder anmälan fått (artikel 28.4). N Skall samarbeta med övriga tillsynsmyndigheter inom Europeiska unio-
nen, särskilt genom att utbyta användbar information. N Skall ingå med en företrädare i en internationell arbetsgrupp med före-
trädare för tillsynsmyndigheterna inom Europeiska unionen och kommissionen (artikel 29.2). N Skall regelbundet upprätta och offentliggöra en rapport om sin verksam-
het.
Tillsynsmyndighetens ledamöter och personal skall ha tystnadsplikt beträffande förtrolig information som de har fått tillgång till. Den tystnadsplikten skall gälla även efter det att anställningen vid tillsynsmyndigheten har upphört.
12.14.1.2 Datainspektionens befogenheter enligt datalagen
Enligt datalagen har Datainspektionen rätt att för tillsyn få tillträde till lokal där automatisk databehandling utförs eller där datamaskin eller utrustning eller upptagning för automatisk databehandling förvaras. Inspektionen har också rätt att få tillgång till handling som rör automatisk databehandling och att föranstalta om körning av datamaskin.
Den registeransvarige eller den som för dennes räkning handhar personregister skall lämna Datainspektionen de uppgifter rörande den automatiska behandlingen som inspektionen begär för sin tillsyn. Den registeransvarige är vidare skyldig att på Datainspektionens begäran sända in den s.k. registerförteckning som skall föras.
Datainspektionen har dessutom under vissa förutsättningar rätt att vid vite ge föreskrifter rörande personregister. Om det inte går att skydda den personliga integriteten mot otillbörliga intrång på något annat sätt, får Datainspektionen vid vite förbjuda fortsatt förande av ett personregister eller återkalla ett meddelat tillstånd.
Det finns slutligen möjlighet för domstol att förklara ett personregister förverkat, om det inte är uppenbart obilligt.
12.14.1.3 Våra överväganden
Regeringen har redan utsett Datainspektionen till tillsynsmyndighet.335Flera av de bestämmelser i EG-direktivet som avser tillsynsmyndighetens uppgifter kan enligt vår mening lämpligen införas genom av regeringen beslutad förordning, företrädesvis genom en instruktion för Datainspektionen. Utöver de uppgifter för Datainspektionen som följer av EG-direktivet bör inspektionen särskilt ha till uppgift att informera om gällande regler om behandling av personuppgifter och att på lämpligt sätt ge råd och hjälp åt såväl registrerade som persondataansvariga. Datainspektionens tillsyn och befogenheter bör avse såväl den privata som den offentliga sektorn. Inspektionen bör – om inte annat följer av vad som föreskrivs i särskilda registerförfattningar – ha till uppgift att utöva tillsyn över tillämpningen av såväl den föreslagna generella persondatalagen som de särskilda registerförfattningarna. Med hänsyn till Sveriges åtaganden enligt Europarådets
335 Regeringsbeslut 1996-01-18, Dnr Ju 96/176.
konvention bör Datainspektionen vidare liksom i dag särskilt ha till uppgift att lämna bistånd till sådana registrerade som är bosatta utomlands.336
Mot bakgrund av det sagda koncentrerar vi oss i det följande på sådana bestämmelser om Datainspektionens befogenheter m.m. som bör ha lagform.
För att Datainspektionen på ett så effektivt sätt som möjligt skall kunna utöva tillsyn över den behandling av personuppgifter som förekommer bör inspektionen för sin tillsyn ha rätt att på begäran få N tillgång till de personuppgifter som behandlas, N upplysningar och dokumentation rörande behandlingen av personupp-
gifter och säkerheten vid denna och N tillträde till sådana lokaler som har anknytning till behandlingen av per-
sonuppgifter.
Rätten att få tillgång till behandlade personuppgifter innefattar naturligtvis en rätt att beordra de körningar och andra åtgärder som behövs för att få fram alla de personuppgifter som behandlas.
För den händelse den persondataansvarige skulle obstruera och inte ge Datainspektionen det den behöver för tillsynen, måste inspektionen ha maktmedel att ta till. Eftersom sådan behandling av personuppgifter som omfattas av den föreslagna lagen kan förekomma t.ex. i någons hem eller i en dator som någon bär på sig och då det i en och samma dator kan förekomma såväl behandling som omfattas av lagen som rent privat behandling av högst personliga uppgifter som inte omfattas av lagen, har vi funnit att det är olämpligt med regler som innebär att inspektionen skulle få genomdriva sina rättigheter med t.ex. polishjälp; det skulle kunna leda till ett större intrång i den personliga integriteten än det intrång som inspektionens tillsynsverksamhet syftar till att förebygga. Enligt vår mening bör man gå en annan väg i stället.
Syftet med Datainspektionens tillsyn och inspektionens rättigheter i samband med den är ytterst att inspektionen skall kunna konstatera om den behandling som utförs är laglig. Kan inspektionen inte på begäran få tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig, bör inspektionen kunna vid vite förbjuda den persondataansvarige att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem. Den som obstruerar riskerar således att bli förbjuden att i fortsättningen
336 Se i dag 15 § dataförordningen.
behandla personuppgifter. Den risken kan med fog antas medföra att de persondataansvariga blir tillräckligt benägna att ge inspektionen det underlag den behöver.
Datainspektionen kan på olika sätt få reda på att personuppgifter behandlas – eller kan komma att behandlas – på ett olagligt sätt. Sådan information kan framkomma i samband med ett tillsynsbesök, framgå av en insänd anmälan om behandlingen eller av ett klagomål från någon registrerad. I sådana fall bör inspektionen i första hand försöka att åstadkomma rättelse genom påpekanden eller liknande förfaranden. Men går det inte att få rättelse på annat sätt, bör myndigheten kunna vid vite förbjuda den persondataansvarige att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem. Om det är riskfyllt att vänta, bör Datainspektionen genast kunna ingripa på detta sätt.
Av vad som anförs i avsnitt 12.10.3 framgår att Datainspektionen bör kunna fatta beslut om vilka skyddsåtgärder som en persondataansvarig skall vidta. Det beslutet bör kunna överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. Om den persondataansvarige inte följer ett beslut om skyddsåtgärder som har vunnit laga kraft, bör Datainspektionen kunna föreskriva vite för att beslutet skall genomföras.
I fråga om Datainspektionens möjligheter att föreskriva vite bör generellt gälla att den persondataansvarige skall få tillfälle att yttra sig innan inspektionen föreskriver vite. Om det är riskfyllt att vänta med beslutet om vite till dess den persondataansvarige fått möjlighet att yttra sig, bör inspektionen dock få fatta ett tillfälligt beslut om vite. Det tillfälliga beslutet bör i sådana fall prövas om när yttrandetiden har gått ut och det finns ett mera fullständigt underlag.
Allmänna bestämmelser om vite finns i lagen (1985:206) om viten. Av
2 § fjärde stycket i den lagen framgår att ett vitesföreläggande skall delges adressaten. Enligt vår mening bör i fråga om delgivningen gälla samma regler som för delgivning av en stämning i ett tvistemål, se 33 kap. 6 § andra stycket rättegångsbalken. Delgivning enligt 12 § delgivningslagen (1970:428), som innebär att delgivningshandlingen lämnas till någon annan fysisk person än den som söks för delgivning, bör således få användas bara under förutsättning att den persondataansvarige har avvikit eller håller sig undan på något annat sätt.
Av lagen om viten framgår att frågan om utdömande av ett förelagt vite prövas av länsrätten (i Stockholm) på ansökan av Datainspektionen, som får anlita biträde av polismyndighet om det är nödvändigt med hänsyn till utredningen.
Av lagen om viten framgår vidare att vite inte skall dömas ut, om ändamålet med vitet har förlorat sin betydelse. Av allmänna principer torde dessutom följa att Datainspektionen skall återkalla ett meddelat vitesföreläggande så snart den persondataansvarige har gjort vad som krävs av honom eller henne. Ett förbud vid vite att behandla personuppgifter på annat sätt än genom att lagra dem kommer alltså att gälla bara till dess den persondataansvarige har botat den försummelse som föranledde förbudet.
Vi föreslår också att Datainspektionen skall kunna ansöka hos länsrätten (i Stockholm) om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Den möjligheten kan användas t.ex. när känsliga personuppgifter har behandlats trots att den persondataansvarige inte alls har haft rätt att behandla sådana uppgifter. Det ligger i sakens natur att möjligheten att ansöka om utplånande av personuppgifter bör användas bara i sådana fall där det inte genom andra åtgärder är möjligt att förena behandlingen av uppgifterna med de regler som gäller. Vi föreslår också en uttrycklig regel om att domstolen inte får besluta om utplånande, om det skulle vara oskäligt. Dessa föreslagna bestämmelser om utplånande kan sägas motsvara de regler som finns i dag om förverkande av personregister. Innebörden av att personuppgifter utplånas har berörts i avsnitt 12.8.2.5. Av vad som anförs i avsnitt 9.4 framgår att bestämmelserna i den föreslagna persondatalagen inte hindrar att en myndighet arkiverar och bevarar sina allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet.
Enligt EG-direktivet skall tillsynsmyndighetens ledamöter och personal ha tystnadsplikt beträffande förtrolig information som de har fått tillgång till. Den tystnadsplikten skall gälla även efter det att anställningen vid tillsynsmyndigheten har upphört.
I 9 kap. 6 § sekretesslagen finns bestämmelser om den sekretess som gäller hos Datainspektionen för uppgifter om enskilds personliga eller ekonomiska förhållanden. Sekretessen gäller i ärenden om tillstånd eller tillsyn, som enligt lag ankommer på Datainspektionen, och i ärenden som sådant bistånd som avses i Europarådets konvention, om det kan antas att den enskilde eller någon som står honom eller henne nära lider skada eller men om uppgifterna avslöjas. Uppgifter om en registrerads förhållanden får tjänstemännen på inspektionen inte ens lämna ut till massmedier för publicering (16 kap. 1 § sekretesslagen). Av 1 kap. 6 § sekretesslagen följer att sekretessen gäller även efter det att en anställning eller ett uppdrag hos Datainspektionen har upphört.
Bestämmelserna i sekretesslagen får anses utgöra sådana regler om tystnadsplikt som avses i direktivet. I ärende om anmälan enligt den föreslagna lagen torde det inte förekomma några sådana uppgifter som bör sekretessbeläggas.
Hänvisningar till S12-14-1
- Prop. 1997/98:44: Avsnitt Författningskommentar till 47 § personuppgiftslag
12.14.2. Överklagande
Enligt artikel 28.3 sista stycket i EG-direktivet skall ett beslut av tillsynsmyndigheten som har gått en part emot kunna överklagas till domstol.
I dag gäller enligt datalagen att Datainspektionens beslut överklagas hos länsrätten. När en annan statlig myndighet är registeransvarig, skall dock beslutet i stället överklagas till regeringen. I dag har vidare Justitiekanslern rätt att överklaga Datainspektionens beslut för att ta till vara allmänna intressen.
Enligt vår mening bör Datainspektionens beslut enligt den föreslagna persondatalagen – i fråga om annat än generella föreskrifter – kunna överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. För överklagande av länsrättens domar och beslut till kammarrätten bör det krävas prövningstillstånd.
Det förefaller i och för sig ändamålsenligt att regeringen – och inte en oberoende domstol – får hantera den osämja som kan uppkomma mellan statens olika skepnader i form av myndigheter. Eftersom EG-direktivet tydligt anger att beslut av tillsynsmyndigheten som går någon part emot skall kunna överklagas till domstol, har vi emellertid inte sett någon möjlighet att behålla regeln om att regeringen skall slita interna statliga tvister. Om rätten till personlig integritet vid behandling av personuppgifter – såsom enligt EG-direktivet – uppfattas som en grundläggande mänsklig rättighet, är det också naturligt att det är en oberoende domstol och inte ett verkställande politiskt organ som ytterst skyddar rättigheten och gör en avvägning mellan den rättigheten och andra motstridiga grundläggande mänskliga rättigheter.
Justitiekanslern har sällan funnit anledning att – mot bakgrund av de intressen han skall ta till vara – överklaga Datainspektionens beslut, och Justitiekanslern anser att det inte finns något egentligt behov av att i en ny persondatalag ta in en sådan möjlighet till överklagande som finns i dag. Vi har därför i vårt förslag inte heller tagit med någon möjlighet för Justitiekanslern att överklaga Datainspektionens beslut.
Hänvisningar till S12-14-2
- Prop. 1997/98:44: Avsnitt Författningskommentar till 51 § personuppgiftslag
12.14.3. Datainspektionens finansiering och organisation
12.14.3.1 Finansieringen i dag
Under ett år kostar Datainspektionens hela verksamhet ungefär 23 miljoner kronor. Vid inspektionen finns ungefär 40 anställda. Inspektionen har även andra uppgifter än sådana som direkt omfattas av vårt uppdrag, t.ex. avseende kreditupplysnings- och inkassoverksamhet. Från dessa andra uppgifter bortses i det följande.
Datainspektionens verksamhet finansieras inte direkt över statsbudgeten. I stället får inspektionen ta ut dels en årlig licensavgift, dels avgifter för handläggningen av tillståndsärenden och andra ärenden.337 Som exempel kan nämnas att vår kommitté måste betala licensavgift om 410 kr per år för att få ha det personregister som används främst för att adressera brev till dem som ingår i kommittén. Kommittén var dessutom tvungen att betala en handläggningsavgift om 620 kr för att få lägga ut information om namnen på dem som ingår i kommittén på vår s.k. hemsida på Internet.
Under ett år uppgår licensavgifterna för drygt 50 000 anmälda register till omkring 22 miljoner kronor och handläggningsavgifterna till omkring 1 miljon kronor, dvs. sammanlagt de cirka 23 miljoner kronor Datainspektionens verksamhet kostar årligen.
Ungefär en fjärdedel av handläggningsavgifterna betalas av statliga myndigheter.
Bara omkring 6 procent av licensavgifterna betalas av den offentliga sektorn. Statliga myndigheter betalar bara ungefär 1,5 procent av de totala licensavgifterna. Antal licenser Statliga myndigheter 829 Kommuner 2 183 Landsting 203 Kommunalförbund 41 Övriga (dvs. den privata sektorn) 51 410
Totalt 54 666
Det kostar inspektionen uppskattningsvis ungefär 1,5 miljoner kronor per år att driva in licensavgifterna.
337 Se förordningen (1982:481) om avgifter för Datainspektionens verksamhet.
Datalagsutredningen uppskattade att bara omkring 10 procent av alla licenspliktiga register anmäldes till Datainspektionen. Det skulle – något tillspetsat – kunna sägas innebära att en laglydig minoritet betalar för inspektionens arbete med att bl.a. söka rätt på den majoritet som utnyttjar personregister i det fördolda.
12.14.3.2 Våra överväganden
EG-direktivet kräver att det utses en tillsynsmyndighet med vissa uppgifter och befogenheter. Direktivet hindrar dock inte att den utsedda myndigheten har även andra uppgifter och befogenheter. Däremot torde det vara nödvändigt att varje utsedd tillsynsmyndighet inom sitt verksamhetsområde har alla de befogenheter och uppgifter som krävs enligt direktivet.
Det har i Sverige under årens lopp förts fram olika förslag om att föra över Datainspektionens uppgifter på andra myndigheter, och flera lösningar kan övervägas i detta hänseende, t.ex. en sammanslagning med exempelvis Riksarkivet, Finansinspektionen eller Konsumentverket. I våra utredningsdirektiv nämns dock inte särskilt frågan om Datainspektionens organisation. Vi har för egen del funnit anledning att utgå från att Datainspektionen bör finnas kvar som en fristående myndighet och att den myndigheten inte bör ha en utpräglad ombudsmannafunktion.
Med det föreslagna systemet blir Datainspektionen huvuduppgifter: N Information och rådgivning i persondataskyddsfrågor i allmänhet och
tillämpningen av persondatalagen med anknytande författningar i synnerhet. N Tillsyn. N Utarbetande av föreskrifter.
Uppgifterna för Datainspektionen med det föreslagna systemet får anses mera krävande och kvalificerade än de uppgifter inspektionen utför i dag. En utökad tillsynsverksamhet och en i vart fall inledningsvis omfattande föreskriftsverksamhet ställer andra och större krav på personalen och organisationen än en verksamhet som till stor del går ut på hantering enligt utarbetade mallar av inkomna ansökningar.
För en myndighet med tillsynsansvar finns som regel inte någon naturlig övre gräns beträffande behov av personal och övriga resurser; myndigheten har i allmänhet inga svårigheter att göra av med alla de pengar den får på tillsynsverksamhet. Det måste därför göras en politisk bedömning av vilka resurser som bör tilldelas myndigheten, varvid myndigheten givetvis
måste få tillräckliga resurser för att kunna upprätthålla en rimlig nivå på verksamheten. Enligt vår mening bör en personalstyrka av ungefär nuvarande storlek – omkring 40 personer – ge Datainspektionen rimliga förutsättningar att klara uppgifterna med det föreslagna systemet. Däremot torde det krävas att kompetensnivån hos personalen höjs för att motsvara de ökade krav som det föreslagna systemet innebär.
Det kan således inte antas att kostnaderna för Datainspektionens verksamhet i enlighet med en ny persondatalag skulle – i vart fall inledningsvis – kunna bli mindre än med dagens system. Det torde i stället vara så att inspektionens förändrade uppgifter ställer krav på något ökade resurser i form av bl.a. kompetenshöjning för att klara av den intensifierade tillsynsverksamheten, den ökade föreskriftsgivningen och de utvidgade informationsbehoven.
Vår principiella inställning är att Datainspektionens verksamhet bör bekostas av de som förorsakar kostnaderna, nämligen av de som behandlar personuppgifter.
Datainspektionen finansieras i dag huvudsakligen av licensavgifter från privata registeransvariga som har anmält sig till inspektionen. Det nya tillsynssystem som vi föreslår (se avsnitt 12.12) innebär att det inte längre bör finnas någon registrering av alla eller ens en betydande del av de persondataansvariga. Med det nya systemet kan man således inte veta från vilka en avgift kan tas ut för Datainspektionens verksamhet. Frågan är hur man då skall kunna finansiera inspektionens verksamhet. Vi har övervägt olika lösningar på det problemet.
Med det föreslagna tillsynssystemet skall Datainspektionen självständigt välja ut hos vilka persondataansvariga inspektion skall ske. Det torde därför kunna riktas avgörande principiella invändningar mot att något slags ”tillsynsavgift” tas ut bara från de persondataansvariga som Datainspektionen själv väljer ut. Att av finansieringsskäl ge Datainspektionen en ombudsmannafunktion med rätt att föra talan mot persondataansvariga som bryter mot den föreslagna lagen om ett allmänt skadestånd eller liknande, som skall betalas inte till de integritetsskadade utan till inspektionen eller statskassan, förefaller också olämpligt.
Datainspektionen bör i och för sig i viss utsträckning kunna ta ut avgifter för vissa prestationer som enskilda har begärt av inspektionen, t.ex. avgift för skrifter, informationsmaterial, kurser, kvalificerad rådgivning och medverkan vid konferenser. Sådana avgifter torde dock inte på långa vägar räcka till för att finansiera inspektionsverksamheten.
Det kan i och för sig tyckas naturligt att Datainspektionens verksamhet för att skydda den personliga integriteten i samhället finansieras med skattemedel. Dagens ansträngda budgetläge gör dock att det inte framstår som helt realistiskt att föra fram en sådan lösning utan att kunna peka på från vilka budgetposter pengarna skulle kunna komma.338
Datainspektionens verksamhet skulle kunna finansieras genom att det införs en särskild avgift. Den avgiften borde i så fall utgå på något som brukar ha med behandling av personuppgifter att göra, t.ex. datorer eller medier för lagring av digitala signaler.339 Avgiften borde av effektivitetsskäl betalas av ett ganska hanterligt antal skattesubjekt som har möjlighet att föra kostnaden vidare på flera. Avgiften kunde dock inte tas ut från bara persondataansvariga, eftersom man i sådant fall skulle behöva registrera dessa, vilket man ju enligt vår mening bör undvika. En nackdel med en avgift av föreslagen art är att kostnaderna för att administrera avgiften torde bli stora i förhållande till de jämförelsevis obetydliga belopp som behöver tas ut.
Var och en av de angivna finansieringsmöjligheterna är sålunda förenad med betydande nackdelar. Den minst dåliga förefaller trots allt vara att Datainspektionens verksamhet finansieras över budgeten. Vi har emellertid inte tillräcklig överblick för att kunna föreslå vilka budgetposter som i stället skulle kunna minskas. Frågan torde därför få lösas under den fortsatta beredningen av våra förslag i regeringskansliet.
338 Jämför också dir. 1994:23. 339 Jämför, beträffande ett färskt förslag om civilrättslig ersättning rörande anordningar för ljud- och bildupptagningar, Ds 1996:61.
12.15. Ikraftträdande och övergångsbestämmelser
Den nya persondatalagen bör träda i kraft den 1 januari 1999, samtidigt med de grundlagsändringar vi föreslår. För behandlingar som pågår då bör dock den nya lagen börja tillämpas först den 1 oktober 2001. Vissa bestämmelser i den nya lagen bör emellertid inte tillämpas på pågående manuell behandling av personuppgifter förrän den 1 oktober 2007. Dessa bestämmelser bör inte heller tillämpas på pågående lagring av personuppgifter för historisk forskning förrän uppgifterna börjar behandlas på något annat sätt.
12.15.1. EG-direktivet
I artikel 32 i EG-direktivet finns bestämmelser om när direktivets regler skall vara införda i den nationella lagstiftningen och om när den nationella lagstiftningen måste börja tillämpas. Bestämmelserna har berörts närmare i avsnitt 3.20.
När de svenska författningar som inför EG-direktivet offentliggörs, skall de innehålla eller åtföljas av en hänvisning till direktivet. Bestämmelser om detta finns i Sverige i 18 a § författningssamlingsförordningen (1976:725).340 Texten till den lagstiftning som införs i Sverige inom det område som omfattas av EG-direktivet skall vidare överlämnas till kommissionen. Sverige måste också i vissa andra avseenden lämna information eller anmälan till kommissionen om genomförandelagstiftningen m.m., se artikel 8.6, 25.3 och 26.3. Sverige måste dessutom utse en företrädare till den kommitté som skall bildas enligt artikel 31, och Datainspektionen har haft att utse en företrädare till den arbetsgrupp som bildats enligt artikel 29. Sverige har, som tidigare nämnts, redan utsett Datainspektionen till tillsynsmyndighet.
Av EG-direktivet följer att de författningar som inför direktivet måste träda i kraft senast måndagen den 24 oktober 1998. De behandlingar som påbörjas efter ikraftträdandet måste genast uppfylla alla bestämmelser i genomförandelagstiftningen.
340 Jämför också Statsrådsberedningens PM 1996:4 s. 22 ff.
Genomförandelagstiftningen behöver inte tillämpas på sådana behandlingar som redan pågår när lagstiftningen träder i kraft förrän inom tre år efter ikraftträdandet.
Bestämmelserna i artikel 6–8 i EG-direktivet – dvs. de bestämmelser om grundläggande krav på all behandling av personuppgifter och om när sådan behandling är tillåten som berörts i avsnitt 12.4 och 12.5 – behöver dock inte tillämpas förrän senast onsdagen den 24 oktober 2007 på sådana uppgifter som redan finns i manuella register när genomförandelagstiftningen träder i kraft. Sverige måste emellertid i sådant fall ge den registrerade rätt att på begäran – särskilt när han eller hon utövar rätten att få tillgång till uppgifterna – få rättelse, utplånande eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den persondataansvarige vill uppnå.
Sverige får vidare föreskriva att de nyss nämnda bestämmelserna i artikel 6–8 i EG-direktivet inte behöver tillämpas på uppgifter som bara bevaras för historisk forskning. I sådant fall måste det i Sverige dock också finnas lämpliga skyddsåtgärder.
12.15.2. Våra överväganden
12.15.2.1 Dagen för ikraftträdandet
Den svenska lagstiftning som inför EG-direktivet skall enligt direktivet träda i kraft senast den 24 oktober 1998.
Trots att den nuvarande datalagen är så föråldrad att den i och för sig bör ersättas så snart som möjligt, anser vi att det finns betydande fördelar med att den föreslagna persondatalagen träder i kraft samtidigt som de grundlagsändringar och övriga följdändringar som vi föreslår; de författningsförslag som vi lämnar kan ses som en enhet. Av konstitutionella och praktiska skäl bör grundlagsändringarna träda i kraft den 1 januari 1999. Vi anser att det – trots Sveriges åtaganden gentemot EU – borde vara möjligt att låta också den föreslagna persondatalagen, jämte anknytande författningsändringar, träda i kraft den dagen. Det kan för övrigt behövas ganska gott om tid för alla berörda att sätta sig in i det nya systemet för persondataskydd.
Vi föreslår således att den nya persondatalagen skall träda i kraft den 1 januari 1999.
12.15.2.2 Behandling som pågår vid ikraftträdandet
Den föreslagna persondatalagen bör således ersätta den nuvarande datalagen per den 1 januari 1999. Behandling av personuppgifter – automatisk eller manuell – som pågår vid det tillfället bör dock – i enlighet med vad som är tillåtet enligt EG-direktivet – inte omfattas av några bestämmelser i den föreslagna lagen förrän den 1 oktober 2001. Dessförinnan får behandlingen i förekommande fall alltjämt regleras av datalagen. Därmed får persondataansvariga en behövlig respit för att anpassa sin behandling av personuppgifter till de nya bestämmelserna. Detta innebär också – på grund av den bestämmelse om företräde för avvikande lagstiftning som såväl den nuvarande datalagen som den föreslagna persondatalagen innehåller (se avsnitt 8.2.2) – att den föreslagna persondatalagen inte kommer att tillämpas ens subsidiärt förrän den 1 oktober 2001 på sådan behandling enligt särskilda registerförfattningar som pågår den 1 januari 1999. Därmed finns det tid att anpassa de särskilda registerförfattningarna till EG-direktivet.
Det framgår inte av EG-direktivet vad som närmare avses med ”en behandling som redan pågår” när lagstiftningen träder i kraft. Om personuppgifter vid midnatt nyårsaftonen 1998 bara behandlas genom att de lagras, skulle man med en snäv tolkning kunna säga att den nya lagen skall börja tillämpas redan på måndagsmorgonen när arbetet med att behandla uppgifterna på andra sätt – t.ex. genom sökningar, ändringar och kompletteringar – påbörjas (eller återupptas). Enligt vår mening bör man dock kunna använda en betydligt vidare tolkning. Har väl en serie behandlingar påbörjats före ikraftträdandet, bör den behandlingsserien kunna fortsätta oberörd av den nya lagen ända till den 1 oktober 2001, trots att bara viss typ av behandling – t.ex. insamling – utförts före ikraftträdandet. På motsvarande sätt bör man kunna resonera när en persondataansvarig inom ramen för en serie behandlingar, som påbörjats före den 1 januari 1999, därefter registrerar uppgifter om personer som inte tidigare varit registrerade, t.ex. när uppgifter om nya brottslingar tillförs ett kriminalregister.
En konsekvens av den föreslagna övergångsordningen är att det under en tid kan komma att gälla skilda regelsystem för olika aktörer. För aktörer med befintliga register gäller de tillstånd och villkor som har meddelats enligt datalagen, medan nya aktörer kan oberoende av sådana tillstånd och villkor inrätta nya register i enlighet med den föreslagna nya lagstiftningen. Även den som har ett register som regleras av datalagen kan givetvis efter ikraftträdandet bygga upp ett helt nytt register som då kommer att regleras enbart av den föreslagna nya lagstiftningen, och i den me-
ningen är alla aktörer likställda. Det kan emellertid inte helt uteslutas att det kan finnas en risk för att konkurrensen kan vridas snett när olika regelsystem i princip gäller för skilda aktörer som verkar på en och samma marknad. Sådana problem har uppkommit förut när regelsystemet ändrats, och problemen har då i praxis hanterats genom att konkurrensaspekterna har beaktats vid utformningen av villkoren för registret.341 Vi förutsätter att eventuella problem i detta hänseende även nu kommer att hanteras på motsvarande sätt, t.ex. vid bedömningen av en begäran om ändrade villkor för ett befintligt register.
12.15.2.3 Manuell behandling som pågår vid ikraftträdandet
I Sverige har manuell behandling av personuppgifter inte tidigare reglerats av persondataskyddslagstiftningen. Detta talar starkt för att den respit till i oktober 2007 som EG-direktivet medger för sådan behandling bör utnyttjas.
De bestämmelser i den föreslagna persondatalagen som inför artikel 6– 8 i EG-direktivet – se avsnitt 12.4 och 12.5 – bör således börja tillämpas först den 1 oktober 2007 på sådan manuell behandling av personuppgifter som pågår den 1 januari 1999. Andra bestämmelser i den föreslagna lagen, t.ex. bestämmelserna om information till den registrerade och om rättelse, bör dock tillämpas redan från den 1 oktober 2001 i enlighet med den övergångsbestämmelse som tidigare berörts och som gäller för alla typer av behandlingar som pågår vid ikraftträdandet.
I närmast föregående avsnitt har berörts innebörden av kravet att behandlingen redan pågår den 1 januari 1999.
12.15.2.4 Personuppgifter som lagras för historisk forskning
Bestämmelserna i artikel 6–8 i EG-direktivet – se avsnitt 12.4 och 12.5 – behöver inte tillämpas på personuppgifter som bara bevaras för historisk forskning, om det finns lämpliga skyddsåtgärder. Detta undantag torde enbart gälla så länge personuppgifterna bara lagras (bevaras) för (att i framti-
341 Se särskilt regeringsbeslut 1996-10-03, dnr Ju 93-2947. Ärendet gällde registrering av uppgifter om personnummer i ett privatägt telebolags kundregister. Regeringen beaktade att ett statsägt sådant bolag sedan tidigare opåtalat hade registrerat sådana uppgifter i sitt kundregister och uttalade bl.a.: ”Det är av största vikt att myndigheternas rättstillämpning inte medför en snedvridning av konkurrensen mellan företag inom samma bransch.”
den användas för) historisk forskning. När forskningen sedan påbörjas avseende de lagrade uppgifterna, måste den behandling av uppgifterna som forskningen innebär vara förenlig även med bestämmelserna i artikel 6–8 i EG-direktivet; en annan tolkning skulle innebära att de uttryckliga specialreglerna i artikel 6 för behandling för historiska och vetenskapliga ändamål vore överflödiga.
Det nu sagda kan uttryckas så att de bestämmelser i den föreslagna persondatalagen som inför artikel 6–8 i EG-direktivet behöver tillämpas beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning först när uppgifterna börjar behandlas på något annat sätt. En övergångsbestämmelse av den innebörden bör införas. Sådan lagring som här avses kan dock i dag regleras av datalagen. Därför bör övergångsbestämmelsen kompletteras med en regel om att de bestämmelser i datalagen som motsvarar artikel 6–8 i EG-direktivet skall gälla till dess de nya bestämmelserna skall börja tillämpas. Om den aktuella behandlingen omfattas av någon av de två övergångsbestämmelser som tidigare berörts, dvs. om lagringen av uppgifterna pågick den 1 januari 1999, bör dock den övergångsbestämmelse gälla som innebär längst respit med att tillämpa de nya bestämmelserna i den föreslagna persondatalagen.
De bestämmelser om säkerheten vid behandling som föreslås i den nya persondatalagen (se avsnitt 12.10) får, tillsammans med de sekretessbestämmelser som kan gälla, anses utgöra sådana lämpliga skyddsåtgärder som avses i EG-direktivet.
12.15.2.5 Vissa övriga övergångsfrågor
När den nya lagen träder i kraft beträffande en behandling som tidigare omfattades av datalagen, bör de tillstånd och föreskrifter som Datainspektionen kan ha meddelat i det aktuella fallet anses förlora sin verkan per ikraftträdandedagen.
Den anmälan som en registeransvarig gjort enligt datalagen bör inte ha någon verkan enligt den nya lagen; anmälan måste således, i den mån sådan alls behövs enligt den nya lagen, göras om, bl.a. eftersom delvis andra uppgifter krävs i en anmälan enligt den nya lagen. För att förenkla övergången till det nya systemet bör dock föreskrivas att en anmälan enligt den nya lagen kan göras före ikraftträdandet.
Några licensavgifter bör inte betalas tillbaka. Ett samtycke från den registrerade som uppfyller de krav som ställs enligt den nya lagen bör gälla även om samtycket lämnats innan lagen trädde
i kraft för den aktuella behandlingen. Återkallas samtycket före ikraftträdandet, bör återkallelsen få verkningar enligt den nya lagen efter ikraftträdandet.
Har den persondataansvarige före ikraftträdandet offentliggjort en uppgift om att ett sådant persondataombud som avses i den nya lagen utsetts, bör det offentliggörandet medföra verkningar enligt den nya lagen redan från ikraftträdandet (se avsnitt 12.12.2.4). I den förteckning över behandlingar som genomförs bör persondataombudet vid ikraftträdandet ta upp alla de behandlingar som pågår då.
Bestämmelserna i den nya lagen om skriftligt avtal mellan den persondataansvarige och ett persondatabiträde bör gälla även avtal som träffats före ikraftträdandet, om det avtalet uppfyller bestämmelserna i den nya lagen.
Den nya lagen bör inte omfatta s.k. automatiserade beslut som har fattats före ikraftträdandet.
Bestämmelserna i den nya lagen om att den persondataansvarige självmant skall lämna information till den registrerade när uppgifterna samlas in från denne eller hämtas in från något annat håll bör gälla bara beträffande uppgifter som insamlas eller inhämtas efter ikraftträdandet.
En begäran om registerutdrag enligt 10 § datalagen som kommit in före ikraftträdandet men som inte expedierats före ikraftträdandet bör anses vara en sådan ansökan om information som avses i den nya lagen. Den persondataansvarige bör således lämna information efter ikraftträdandet trots att begäran (ansökan) kom in dessförinnan.
Om en registrerad före ikraftträdandet har anmält att han eller hon motsätter sig behandling för direkt marknadsföring på det sätt som krävs enligt den nya lagen, bör anmälan få verkningar enligt den nya lagen från ikraftträdandet.
Det bör, på det sätt som är brukligt vid införandet av ändrade skadeståndsbestämmelser, föreskrivas att den nya lagens bestämmelser om skadestånd bara skall tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträdandet; i annat fall skall bestämmelserna i datalagen tillämpas.
Det bör här avslutningsvis åter igen betonas att de särskilda registerförfattningarna inte omfattas av vårt uppdrag, men att dessa författningar måste ses över och anpassas till den föreslagna persondatalagen och EGdirektivet senast per den 1 oktober 2001. Skulle en sådan anpassning till någon del inte hinnas med till dess, bör det – genom en ändring av våra föreslagna övergångsbestämmelser – föreskrivas att behandlingen av per-
sonuppgifter enligt de aktuella registerförfattningarna alltjämt skall regleras av den gamla datalagen.
13. Regler i datalagen som bör flyttas till andra lagar
Regeln om viss dokumentationsskyldighet för myndigheter (14 §) bör flyttas till 15 kap. sekretesslagen, regeln om straff för dataintrång (21 §) till brottsbalken och reglerna om det statliga person- och adressregistret (26– 28 §§) till en ny särskild registerförfattning.
Hänvisningar till S13
- Prop. 1997/98:97: Avsnitt 5.5
13.1. Inledning
I det föregående har vi redogjort för vilka bestämmelser som bör ingå i en ny persondatalag. De föreslagna bestämmelserna motsvarar och ersätter de regler som i dag finns i 1–13, 15–20 och 22–25 §§ datalagen. I datalagen finns emellertid också vissa andra regler som inte har ett sådant omedelbart samband med persondataskyddet att de bör finnas i en ny persondatalag. Det gäller reglerna om N viss dokumentationsskyldighet för myndigheter som använder automa-
tisk databehandling vid ärendehandläggning (14 §), N straff för dataintrång (21 §) och N det statliga person- och adressregistret (26–28 §§).
Dessa regler bör föras över till annan lagstiftning.
13.2. Dokumentationsskyldighet
I 14 § datalagen finns en regel om viss dokumentationsskyldighet för myndigheter. Om en myndighet för handläggningen av mål eller ärende använder sig av upptagning för automatisk databehandling, skall upptagningen tillföras handlingarna i målet eller ärendet i läsbar form, om inte särskilda skäl föranleder annat.
Datalagsutredningen ansåg att en regel av sådan innebörd får anses höra mera hemma i 15 kap. sekretesslagen än i en ny datalag.342 IT-utredningen ansåg å sin sida visserligen att regeln borde upphävas såsom överflödig, men anförde samtidigt att ett upphävande borde kombineras med betydande informationsinsatser.343
Vi anser för egen del att det är bäst att behålla en uttrycklig regel av nu avsedd innebörd; därmed slipper man bl.a. lägga ned pengar på att informera om att ett borttagande inte innebär någon saklig ändring. Vi anser vidare i likhet med Datalagsutredningen att regeln bör placeras i 15 kap. sekretesslagen.
I avsnitt 21.4.3 berörs närmare våra förslag rörande reglerna i 15 kap. sekretesslagen, inklusive den nu aktuella regeln.
13.3. Straff för dataintrång
I 21 § datalagen finns en bestämmelse om straff för dataintrång. Datastraffrättsutredningen har redan föreslagit att den bestämmelsen förs över till brottsbalken.344 Vi instämmer i det förslaget.
13.4. Det statliga person- och adressregistret
I 26–28 §§ datalagen finns bestämmelser om det statliga person- och adressregistret (SPAR). Dessa bestämmelser kan – tillsammans med en anknytande förordning i ämnet – sägas utgöra en särskild registerförfattning som har tagits in i den i övrigt generella datalagen.
Enligt vår mening bör de nu aktuella bestämmelserna brytas ut ur den generella persondataskyddslagstiftningen och placeras i en särskild registerförfattning. Mot bakgrund av att alla särskilda registerförfattningar torde behöva ses över före ikraftträdandet av en ny persondatalag och att en översyn av dessa författningar inte kan anses ingå i vårt uppdrag (se avsnitt 8.2.1), lämnar vi inte något utarbetat förslag till särskild registerförfattning
342 Se SOU 1993:10 s. 468. 343 Se SOU 1996:40 s. 264. 344 Se SOU 1992:110, särskilt s. 182 ff. Frågan bereds för närvarande inom Justitiedepartementet.
för SPAR, lika litet som till andra registerförfattningar. Eftersom det är fråga om bestämmelser som nu ingår i datalagen har vi emellertid ansett oss böra lämna synpunkter på förhållandet mellan SPAR och EG-direktivet.
Vid den praktiska tillämpningen av datalagen tilldrog sig redan tidigt förekomsten av s.k. befolkningsregister särskild uppmärksamhet. Datalagen i dess ursprungliga lydelse reglerade inte särskilt tillåtligheten av register som upptar stora delar av befolkningen inom hela riket eller delar av det. Datainspektionen var emellertid från början restriktiv och iakttog den principen att ingen, vare sig en myndighet eller ett företag, borde ha fler personer registrerade än vad som överensstämde med registrets ändamål. För företagens och organisationernas del innebar synsättet att endast personer som redan var kunder, anställda eller medlemmar eller som frivilligt medgett registrering fick registreras. Sedan regeringen i ett besvärsärende underkänt Datainspektionens dåvarande praxis blev frågan föremål för lagstiftning. Riksdagen intog ståndpunkten att inga personregister som fördes med automatisk databehandling borde få innehålla uppgifter om andra fysiska personer än som svarade mot myndigheternas eller organisationernas arbetsuppgifter eller verksamhetsområden. Det ansågs naturligt att ställa upp den presumtionen att den som bedriver en viss verksamhet saknar anledning att registrera alla eller ett betydande antal av de personer som är bosatta inom riket eller ett visst område. Det antogs vidare, att om ett centralt statligt personregister för registeraktualisering, personnummersättning, personnummerkontroll och urvalsdragning inrättades, så skulle vissa befolkningsregister bli obehövliga eller kunna inskränkas till sitt innehåll.
Riksdagen beslöt år 1976 inrättande av SPAR och antog en ny paragraf, 3 a §, i datalagen. Enligt den nuvarande lydelsen av denna paragraf får tillstånd att inrätta och föra personregister som omfattar andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning till denne meddelas endast om särskilda skäl föreligger. I datalagen infördes vidare, dock först år 1980, i 26–28 §§ särskilda bestämmelser om SPAR.
Statens person- och adressregisternämnd (SPAR-nämnden) är huvudman och registeransvarig myndighet för SPAR. Drift och marknadsföring av SPAR sköts för närvarande av Sema Group Infodata AB. SPAR får användas av såväl enskilda som myndigheter. Uppgifterna i SPAR hämtas från skatteförvaltningens register. Utlämnande från SPAR är avgiftsbelagt.
Grunddatabasutredningen (Fi 1996:06) överväger för närvarande hur vissa centrala databasers tillgänglighet, service och kvalitet skall förbättras
samtidigt som uppgiftslämnandet effektiviseras, samhällets kostnader minskas och integritets- och säkerhetsaspekter beaktas. Uppdraget omfattar bl.a. SPAR.
När SPAR kom till ansågs ett särskilt register för det breda tillhandahållandet vara bäst från integritetssynpunkt. Huruvida detta fortfarande är den bästa lösningen torde Grunddatabasutredningen komma att ta ställning till. Alltjämt synes dock gälla att det från integritetssynpunkt inte torde vara önskvärt att ett flertal personregister över totalbefolkningen kommer till stånd. SPAR synes därjämte fungera väl och tillgodose de behov som finns.
Tidigare torde det inte ha funnits skäl att frukta tillkomsten av privata register över totalbefolkningen. Tekniska skäl har hindrat en sådan utveckling. Läget är nu ett annat. Visserligen kan elektroniska uttag ur register inom det allmänna med tillämpning av de ändrade regler vi föreslår för offentlighetsprincipen förhindras genom en uttrycklig bestämmelse därom i en registerlag för SPAR eller andra stora register inom det allmänna. Enligt offentlighetsprincipen måste dock de allmänna uppgifter som inte är sekretessbelagda lämnas ut på pappersmedier. Tekniken medger nu att sådana pappersbaserade uppgifter skannas in på elektroniska medier med påföljd att tanken på privata register över totalbefolkningen inte längre är opraktisk.
Tillkomsten av elektroniska register över totalbefolkningen kan därför bara förhindras i den mån EG-direktivet medger det. Ett ändamål enligt artikel 6 för insamling av personuppgifter skulle kunna sägas vara affärsverksamhet för tillhandahållande av uppgifter om t.ex. namn eller adress rörande befolkningen i dess helhet till dem som har behov av sådana uppgifter.
Den bestämmelse som skulle kunna utgöra grund för upprättande av privata totalregister över befolkningen – ett offentligt sådant torde vara av allmänt intresse och därför kunna inrättas enligt punkten e i artikel 7 – är punkten f) i samma artikel, som anger att personuppgifter får behandlas om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1 (som särskilt innefattar rätten till privatliv).
För många europeiska länder torde den omfattande svenska personregistreringen framstå som främmande. Det säger sig själv att det knappast kan
ha föresvävat direktivets upphovsmän att direktivet skulle framtvinga ett svenskt medgivande till att antalet sådana register väsentligt utvidgas.
Enligt punkt 22 i ingressen till direktivet bör medlemsstaterna i sin lagstiftning eller genom andra bestämmelser som antas för att genomföra direktivet närmare ange de allmänna villkoren för att en behandling skall vara tillåten; särskilt artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att, oavsett de allmänna regler som gäller, ange särskilda villkor för behandlingen av uppgifter på särskilda områden och för de olika kategorier av uppgifter som behandlas i artikel 8.
Enligt vår mening bör en avvägning enligt artikel 7 punkt f) med hänsyn till behovet av skydd för privatlivet leda till att antalet register över totalbefolkningen eller andra stora befolkningsgrupper begränsas så mycket som möjligt. Allas behov bör kunna tillgodoses av det eller de allmänna register som kan bli resultatet av Grunddatabasutredningens arbete. Erforderlig konkurrens kan tillgodoses i samband med upphandlingen av driftansvariga för sådana register. Vi förordar att i en registerlag rörande befolkningsregister införs bestämmelser som står i samklang med 3 a och 26–28 §§ datalagen. Vi vill understryka att, i likhet med vad som gäller för närvarande, sådana bestämmelser inte kan hindra utlämnande av personuppgifter enligt offentlighetsprincipen.
H UVUDRUBRIKER :
OFFENTLIGHETSPRINCIPEN I IT-SAMHÄLLET........................465
14 Offentlighetsprincipen ........................................................................................... 467 15 Konsekvenser och utgångspunkter ........................................................................ 479 16 En ny begreppsapparat ........................................................................................... 493 17 Sökningar och sammanställningar ......................................................................... 521 18 Utlämnande av allmänna uppgifter........................................................................ 533 19 Biblioteksregeln ..................................................................................................... 553 20 Myndigheters datorprogram................................................................................... 557 21 Myndigheternas registrerings- och dokumentationsskyldighet.............................. 571 22 Följdändringar i arkivlagen och sekretesslagen ..................................................... 581
KONSEKVENSERNA AV FÖRSLAGEN.................................................................. 591 FÖRFATTNINGSKOMMENTARER ......................................................................... 597 RESERVATIONER...................................................................................................... 667 SÄRSKILDA YTTRANDEN....................................................................................... 677
BILAGA 1: UTREDNINGSDIREKTIVEN................................................................ 709 BILAGA 2: EG-DIREKTIVET ................................................................................... 721 BILAGA 3: CYBERSPACE, REAL LIFE OCH JURIDIKEN — Rapport av
Christian Wettergren och Björn Pehrson ................................................. 763
BILAGA 4: PERSONLIG INTEGRITET — Rapport av Göran Collste .................... 785 BILAGA 5: ALLMÄNHETENS INSTÄLLNING — Rapport av Johan Åhlfeldt ..... 809 BILAGA 6: LITTERATURFÖRTECKNING............................................................. 853 BILAGA 7: SUMMARY IN ENGLISH ..................................................................... 865
D ETALJERAD INNEHÅLLSFÖRTECKNING :
OFFENTLIGHETSPRINCIPEN I IT-SAMHÄLLET........................465
14 Offentlighetsprincipen................................................................467 14.1 Allmänt..........................................................................................467 14.2 Offentlighetsprincipens syften......................................................468 14.3 Motstående intressen.....................................................................469 14.4 Nuvarande ordning........................................................................470 14.4.1 Allmänt .....................................................................470 14.4.2 Handlingsbegreppet ..................................................471
14.4.2.1 Pappershandlingar.................................................................. 471 14.4.2.2 Upptagningar .......................................................................... 471
14.4.3 Förvarad ....................................................................472
14.4.3.1 Inledning ................................................................................. 472 14.4.3.2 Pappershandlingar.................................................................. 472 14.4.3.3 Upptagningar .......................................................................... 472 14.4.3.4 Teknisk bearbetning eller lagring ........................................... 473
14.4.4 Inkommen .................................................................473
14.4.4.1 Inledning ................................................................................. 473 14.4.4.2 Pappershandlingar.................................................................. 473 14.4.4.3 Upptagningar .......................................................................... 474 14.4.4.4 Särskilda regler ....................................................................... 474
14.4.5 Upprättad ..................................................................475 14.4.6 Sökningar och sammanställningar............................475
14.4.6.1 Pappershandlingar.................................................................. 475 14.4.6.2 Upptagningar .......................................................................... 476
14.4.7 Utlämnande...............................................................477
15 Konsekvenser och utgångspunkter ...........................................479 15.1
IT då och nu ..................................................................................479
15.2 Konsekvenser ................................................................................481 15.2.1 Allmänt .....................................................................481 15.2.2 Skillnaden mellan förvaring och tillgänglighet........482 15.2.3 Potentiella handlingar...............................................484 15.2.4 Sammanfattning ........................................................485 15.3 En framtidsvision ..........................................................................486 15.4 Uppdraget......................................................................................487 15.5 Våra utgångspunkter .....................................................................489 15.6 Ärendeinsyn – verksamhetsinsyn – kunskapsinsyn .....................490
16 En ny begreppsapparat ..............................................................493 16.1 Handlingsbegreppet ......................................................................493 16.1.1 Inledning ...................................................................493
16.1.2 Närmare om handlingsbegreppet i TF......................494
16.1.2.1 Handlingar .............................................................................. 494 16.1.2.2 Upptagningar .......................................................................... 495 16.1.2.3 Register ................................................................................... 496
16.1.3 Allmänna uppgifter...................................................497 16.1.4 Handlingar och databaser .........................................500
16.1.4.1 Hur förvaras uppgifter? .......................................................... 500 16.1.4.2 En definition av handlingsbegreppet ...................................... 502 16.1.4.3 Andra uppgiftssammanställningar – databaser ...................... 503 16.1.4.4 Gränsdragningen mellan handlingar och databaser .............. 504 16.1.4.5 Flera databaser ....................................................................... 504 16.1.4.6 När blir uppgifterna offentliga?.............................................. 505
16.1.5 Följdändringar ..........................................................505 16.1.6 Sammanfattning ........................................................507 16.2 Förvaring .......................................................................................508 16.2.1 Allmänt .....................................................................508 16.2.2 Myndighetsgränserna bör inte suddas ut..................508 16.2.3 Ett nytt sätt att avgränsa ...........................................511 16.2.4 Fysiskt och logiskt förvar .........................................513 16.2.5 Gemensamt förvar.....................................................515 16.2.6 Den lagtekniska lösningen........................................516 16.3 Inkommen......................................................................................516 16.3.1 Inledning ...................................................................516 16.3.2 Förslag på angränsande områden .............................517 16.3.3 Vårt förslag ...............................................................518 16.4 Upprättad.......................................................................................519
17 Sökningar och sammanställningar............................................521 17.1 Bakgrund .......................................................................................521 17.2 Utgångspunkter .............................................................................523 17.3
Förhållandet mellan databas och sökning.....................................525
17.4 Skyldigheten att införa nya sök- och sammanställningsmöjligheter – vårt förslag.................................526 17.5 Rättsliga begränsningar som gäller för myndigheten...................528 17.5.1 Sökbegränsningar måste finnas även i fortsättningen ............................................................528 17.5.2 Begränsningarna bör finnas i registerförfattningar ..................................................529 17.5.3 Begränsningar av hänsyn till enskildas personliga integritet ..................................................529 17.5.4 Preciserade begränsningar ........................................530 17.5.5 Sammanfattning ........................................................531
18 Utlämnande av allmänna uppgifter ..........................................533 18.1 Uppdraget......................................................................................533 18.2
Den offentliga informationen – en kommersiell tillgång .............534
18.3 Myndigheternas service ................................................................535 18.4 Behovet av elektronisk åtkomst....................................................536 18.5 Elektronisk presentation ...............................................................538 18.5.1 Vid den aktuella myndigheten..................................538 18.5.2 Vid andra myndigheter .............................................539 18.6 Elektroniskt utlämnande ...............................................................539 18.6.1 Elektroniskt utlämnande huvudregel........................539 18.6.2 Elektroniskt innehav är en förutsättning ..................540 18.6.3 Skyldigheten följer myndighetens tekniska utvecklingstakt..........................................................540 18.6.4 Sättet för utlämnande................................................542
18.6.4.1 On-lineuppkopplingar ............................................................. 542 18.6.4.2 Format..................................................................................... 543
18.6.5 Massuttag ..................................................................544 18.7 Avgifter .........................................................................................547 18.7.1 Avgifter för utlämnande enligt 2 kap TF .................547 18.7.2 Försäljning av personuppgifter.................................548 18.8 Sammanfattning ............................................................................549 18.9 En preliminär sekretessprövning ..................................................549 18.9.1 Elektroniska handlingar............................................549 18.9.2 Databaser ..................................................................550 18.9.3 Sammanfattning ........................................................551
19 Biblioteksregeln ...........................................................................553 19.1 Bakgrund .......................................................................................553 19.2 Överväganden ...............................................................................554 19.2.1 Allmänt .....................................................................554 19.2.2 Vårt förslag ...............................................................554
20 Myndigheters datorprogram .....................................................557 20.1 Inledning .......................................................................................557 20.2
Det upphovsrättsliga skyddet av datorprogram............................558 20.2.1 Allmänt .....................................................................558 20.2.2 Ensamrätten ..............................................................559 20.2.3 Specialregler för datorprogram ................................560
20.2.3.1 Kopieringsförbud .................................................................... 560 20.2.3.2 Exemplaranvändning .............................................................. 560
20.2.4 Upphovsrätten till allmänna handlingar ...................561 20.2.5 Registerbeskrivningar...............................................562
20.2.6 Konflikten mellan offentlighetsprincipen och upphovsrätten............................................................563
20.2.6.1 Användning av program för att tillgodose rätten att enligt offentlighetsprincipen ta del av sakuppgifter................ 563 20.2.6.2 Rätten att ta del av programkod.............................................. 564
20.3 Överväganden ...............................................................................565 20.3.1 Konflikten mellan offentlighetsprincipen och upphovsrätten............................................................565 20.3.2 Myndigheterna bör inte vara skyldiga att lämna ut datorprogram i elektronisk form ..........................565 20.3.3 Allmänhetens insynsrätt bör förstärkas ....................566 20.3.4 Uppgifter om programmen kan vara offentliga även om inte programmen är det ..............................568 20.3.5 Vilka program omfattas? ..........................................568 20.3.6 Kraven på dokumentationen.....................................569 20.3.7 Den lagtekniska utformningen .................................570
21 Myndigheternas registrerings- och dokumentationsskyldighet .........................................................571 21.1 Allmänt..........................................................................................571 21.2 Registreringsskyldigheten.............................................................572 21.3 Dokumentationsskyldigheten .......................................................573 21.4 Överväganden ...............................................................................574 21.4.1 Allmänt .....................................................................574 21.4.2 Registreringsskyldigheten ........................................574
21.4.2.1 Konsekvenser av den gällande ordningen............................... 574 21.4.2.2 Nya sökverktyg ........................................................................ 575 21.4.2.3 Registrering av handlingar ..................................................... 576 21.4.2.4 Databaser behöver inte beskrivas särskilt .............................. 576 21.4.2.5 Den lagtekniska utformningen ................................................ 578
21.4.3 Dokumentationsskyldigheten ...................................578
22 Följdändringar i arkivlagen och sekretesslagen ......................581 22.1
En anpassning av arkivlagen ........................................................581 22.1.1 Inledning ...................................................................581 22.1.2 Förslag till ändringar av arkivregler.........................582
22.1.2.1 Anknytningen till TF bör förstärkas........................................ 582 22.1.2.2 Avgränsningen av arkivet........................................................ 583 22.1.2.3 Allmänna uppgifter tillhör omedelbart arkivet ....................... 584
22.2 En anpassning av sekretesslagen ..................................................586 22.3 En samordning av arkivlagen och 15 kap sekretesslagen ............587
KONSEKVENSERNA AV FÖRSLAGEN ...........................................591
Inledning....................................................................................................591 E
N NY PERSONDATALAG
.............................................................................591
Ekonomiska konsekvenser ...........................................................591 Konsekvenser för jämställdhetspolitiken .....................................592 Konsekvenser för regionalpolitiken .............................................593 Konsekvenser för brottsligheten och brottsförebyggandet ..........593
OFFENTLIGHETSPRINCIPEN I IT-SAMHÄLLET...............................................593
Ekonomiska konsekvenser ...........................................................593 Konsekvenser för jämställdhetspolitiken .....................................595 Konsekvenser för regionalpolitiken .............................................595 Konsekvenser för brottsligheten och brottsförebyggandet ..........595
FÖRFATTNINGSKOMMENTARER..................................................597
a) Persondatalagen ............................................................................597
b) Tryckfrihetsförordningen..............................................................601
c) Regeringsformen ...........................................................................635
d) Yttrandefrihetsgrundlagen ............................................................637
e) Sekretesslagen...............................................................................639
f) Arkivlagen.....................................................................................661
RESERVATIONER ................................................................................667
Reservation av ledamöterna Anders Christner (kd), Tomas
Ohlin (fp) och Inger René (m) ........................................667
Reservation av ledamoten Bo Edvardsson (mp).......................................673
SÄRSKILDA YTTRANDEN .................................................................677
Särskilt yttrande av ledamoten Bo Edvardsson (mp)................................677 Särskilt yttrande av experten Jan Evers med instämmande av
experten Rolf Nygren................................................693
Särskilt yttrande av experten Barbro Fischerström...................................699 Särskilt yttrande av experten Anders S Forsberg......................................701 Särskilt yttrande av experten Jan Freese ...................................................703 Särskilt yttrande av experten Margareta Åberg ........................................705
BILAGOR
BILAGA 1: UTREDNINGSDIREKTIVEN................................................................ 709 BILAGA 2: EG-DIREKTIVET ................................................................................... 721 BILAGA 3: CYBERSPACE, REAL LIFE OCH JURIDIKEN — Rapport av
Christian Wettergren och Björn Pehrson ................................................. 763
BILAGA 4: PERSONLIG INTEGRITET — Rapport av Göran Collste .................... 785 BILAGA 5: ALLMÄNHETENS INSTÄLLNING — Rapport av Johan Åhlfeldt ..... 809 BILAGA 6: LITTERATURFÖRTECKNING............................................................. 853 BILAGA 7: SUMMARY IN ENGLISH ..................................................................... 865
OFFENTLIGHETS-
PRINCIPEN I
IT-SAMHÄLLET
14. Offentlighetsprincipen
14.1. Allmänt
Den ursprungliga formen för offentlighetsprincipen är den s.k. förhandlingsoffentligheten. Denna form av offentlighet kan sägas gå tillbaka till den tid när tingsmenigheten tog verksam del i avgörandet av rättsliga tvister och allmänna angelägenheter på häradsting och landsting. Förhandlingsoffentligheten kommer numera till uttryck i bl.a. 2 kap. 11 § andra stycket RF där det står att förhandling vid domstol skall vara offentlig. I huvudsak är även sammanträdena med de beslutande politiska församlingarna offentliga. Yttrande- och informationsfriheten liksom meddelarfriheten brukar också anses utgöra inslag i offentlighetsprincipen. Det som i första hand förknippas med offentlighetsprincipen är emellertid rätten att ta del av allmänna handlingar som regleras utförligt i 2 kap. TF. Vi kommer i detta sammanhang uteslutande att behandla denna del av offentlighetsprincipen.
Beträffande handlingsoffentligheten ges i TF bestämmelser om vilka slag av handlingar som skall anses som allmänna och därmed vara tillgängliga för offentlighetsinsyn samt om hur sådana handlingar skall tillhandahållas den som vill ta del av dem. Där ges vidare grundläggande bestämmelser om vilka begränsningar som får göras i handlingsoffentligheten. Närmare bestämmelser om detta finns i sekretesslagen, som också innehåller andra bestämmelser som kompletterar 2 kap. TF, bl.a. regler om skyldighet för myndigheterna att registrera allmänna handlingar och att lämna ut uppgifter ur allmänna handlingar till allmänheten. I arkivlagen med anknytande författningar finns bestämmelser om myndigheternas skyldigheter att arkivera och bevara allmänna handlingar.
14.2. Offentlighetsprincipens syften
Principen om allmänna handlingars offentlighet har lång tradition i vårt land. Reglerna om allmänna handlingars offentlighet har alltsedan 1766 funnits i TF.345 Den då införda tryckfriheten syftade till att tillgodose kravet på upplysning om allmänna angelägenheter. I det sammanhanget utgör rätten att trycka och sprida myndigheternas handlingar ett väsentligt inslag. I ett demokratiskt samhälle, som bygger på att medborgarna gör vissa val, är sådan information nödvändig. En vidsträckt yttrande- och informationsfrihet utgör en av grundvalarna för ett demokratiskt samhällsskick.
Syftet med offentlighetsprincipen anges i nuvarande 2 kap. 1 § TF vara att främja ett fritt meningsutbyte och en allsidig upplysning. Genom allmänhetens insyn kan missförhållanden, felaktigheter eller ineffektivitet uppdagas. Offentlighetsprincipen leder inte till att varje åtgärd som vidtas av en myndighet blir föremål för insyn och kontroll, långt därifrån. Vetskapen om att allmänheten har möjlighet till insyn är emellertid ägnad att förebygga felaktigheter och sporra till grundlighet och omtanke i myndigheternas verksamhet. Offentlighetsprincipen sägs på detta sätt garantera effektivitet i förvaltningen. Vidare sägs offentlighetsprincipen vara en förklaring till att korruption inom statsförvaltningen inte har fått något nämnvärt fäste i vårt land.
Principen brukar också framföras som en garanti för enskildas rättssäkerhet.346 Insynsrätten i myndigheternas handläggning av ärenden skall motverka rättsövergrepp. Här spelar den svenska myndighetsstrukturen också en viktig roll. Myndigheterna har en självständig roll, och ärenden kan inte formlöst föras över från en myndighet till en annan, genom underhandsdirektiv eller dylikt. Härav följer också att beslut i stor utsträckning måste få skriftlig form och att de som regel kan ställas under en annan, överordnad myndighets prövning genom överklagande.347 Även övriga kontakter myndigheter emellan måste dokumenteras. Förekomsten rent allmänt av dokumenterade beslut, yttranden osv. har stor betydelse för offentlighetsprincipen. Rätten att ta del av allmänna handlingar vore ju intet värd om det inte i grunden fanns en skyldighet för myndigheterna att framställa sådana.
345 För en historisk beskrivning se SOU 1988:64 s. 19–30. 346 SOU 1975:22 s. 87. 347 SOU 1980:31 s. 176.
Rätten att ta del av allmänna handlingar tillkommer visserligen varje medborgare men i praktiken är det främst via massmedia som informationen når en bred allmänhet. Liksom meddelarfriheten utgör rätten att ta del av allmänna handlingar en av huvudkällorna för nyhetsinformationen. Detta är förklaringen till varför reglerna om offentlighetsprincipen finns i en grundlag om tryckfrihet.
För vårt fortsatta resonemang kan det vara viktigt att peka på att offentlighetsprincipen, framför allt under de senare årtiondena, har genomgått en förändring. Principens grundläggande syfte har varit att ge allmänheten möjlighet att få insyn i och kontrollera myndigheternas verksamhet. Numera fyller offentlighetsprincipen också ett syfte som informationsförsörjare i en vidare mening. Inom myndigheterna finns riklig tillgång till uppgifter både om förhållandena inom den offentliga verksamheten och på det privata området. Genom att åberopa offentlighetsprincipen kan bl.a. forskare, privata företag, journalister m.fl. få fram uppgifter som man sedan kan utnyttja för den egna verksamheten, t.ex. för kommersiella syften. Via databaser knutna till nät har mediaföretag i allt högre grad kommit att tillhandahålla information som hämtats från myndigheter och förädlats för skilda syften. Offentlighetsprincipen har alltså stor betydelse också för forskningen, kulturen och vissa delar av näringslivet samt rent allmänt för ett öppet samhälle.
Numera ägnar sig många myndigheter åt en omfattande egen informationsspridning. Den information som en myndighet själv sprider får dock i första hand antas vara inriktad antingen på materiella frågor som myndigheten ägnar sig åt (t.ex. nya regler om förmåner eller skyldigheter för medborgarna) eller på myndighetens verksamhet i stort. Sådan information innehåller antagligen mycket få kritiska inslag. Verksamhet av detta slag kan aldrig ersätta den rätt som medborgarna har att enligt 2 kap. TFkräva att få ta del av allmänna handlingar. Sett i ett större sammanhang har sådan informationsspridning ändå betydelse för den offentliga insynen (se även avsnitt 15.6).
14.3. Motstående intressen
Offentlighetsprincipen kan inte vara undantagslös. Av hänsyn till allmänna och enskilda intressen gäller en rad undantag som är tillkomna efter en avvägning mellan motstående intressen. Grundläggande bestämmelser om sekretess finns i TF medan de mer detaljerade sekretessreglerna har brutits
ut ur TF och numera finns i sekretesslagen. Rätten att ta del av allmänna handlingar får begränsas endast om det är påkallat av hänsyn till N rikets säkerhet m.m., N rikets centrala finanspolitik, N myndighets verksamhet för inspektion, kontroll eller annan tillsyn, N intresset att förebygga eller beivra brott, N det allmännas ekonomiska intresse, N skyddet för enskilds personliga eller ekonomiska förhållanden eller N intresset att bevara djur- eller växtart (2 kap. 2 § TF).
Sekretesslagen innehåller i särskilda kapitel bestämmelser som närmare anger omfattningen av sekretessen. Vi kommer i vissa sammanhang in på frågor kring prövning av sekretess men gör inga överväganden när det gäller omfattningen av sekretesskyddet som sådant.
Offentlighetsprincipen ställs också – särskilt i IT-sammanhang – mot önskemålet att skydda den enskilde mot otillbörligt integritetsintrång. Det allmänna skall enligt RF värna den enskildes privatliv och familjeliv (1 kap. 2 §). I kapitlet om de grundläggande fri- och rättigheterna har vidare införts en bestämmelse om skydd för den enskildes personliga integritet vid dataregistrering av personuppgifter (2 kap. 3 § 2 st. RF). En viss begränsning av offentlighetsinsynen har också, som kommer att framgå av det följande, gjorts beträffande upptagningar som ingår i personregister (2 kap. 3 § 2 st. TF).
Rätten till offentlighetsinsyn kan också föra med sig praktiska olägenheter för myndigheterna. Att tillgodose krav på utfående av handlingar tar allmänna resurser i anspråk. Behovet av arbetsro hos myndigheterna kan kanske därför också sägas kollidera med offentlighetsprincipen, men detta utgör naturligtvis inte tillräckliga skäl för inskränkningar i den.
14.4. Nuvarande ordning
14.4.1. Allmänt
Offentlighetsprincipen ger en rätt för var och en att hos myndigheter och likställda organ ta del av handlingar som är allmänna och som inte är föremål för sekretess. Den grundläggande förutsättningen för att en handling skall vara allmän är att den förvaras hos en myndighet. Därutöver krävs att den är att anse som inkommen till eller upprättad hos myndigheten (2 kap.
3 § 1 st. 2 men. TF). Det är däremot inte nödvändigt att handlingen rör allmänna angelägenheter eller att myndigheten kan anses äga handlingen.
14.4.2. Handlingsbegreppet
14.4.2.1 Pappershandlingar
Med handling förstås i traditionell miljö framställning i skrift eller bild (2 kap. 3 § 1 st. 1 men. TF). Någon närmare definition av sådana handlingar finns inte i lagen, och det finns inte några krav på att handlingar skall vara undertecknade eller på annat sätt försedda med uppgift om ursprung. Sådana krav kan dock följa av bestämmelser utanför TF. Det som utmärker en traditionell handling kan sägas vara bl.a. att den har ett visst innehåll som går att uppfatta direkt med mänskligt sinne och att innehållet är definitivt (fixerat).
14.4.2.2 Upptagningar
Begreppet handling i TF innefattar emellertid även upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Det som kännetecknar en sådan upptagning är alltså att det normalt krävs ett tekniskt hjälpmedel för att den skall kunna läsas eller annars uppfattas.348 Den avgörande skillnaden brukar sägas vara att begreppet handling i traditionell miljö tar sikte på bäraren av informationen medan de ITbaserade motsvarigheterna (upptagningarna) avser själva informationsinnehållet. Det finns inte något originalexemplar av en upptagning. Varje ”exemplar” som görs läsbart t.ex. på en bildskärm eller i en utskrift håller lika hög kvalitet. Man brukar därför i stället tala om originalinnehåll. Eftersom informationen inte är knuten till bäraren, är det vidare möjligt att ta fram de befintliga uppgifterna (eller vissa av dem) i helt nya konstellationer. Sådana sammanställningar brukar kallas potentiella handlingar; sammanställningarna finns inte förrän någon med tekniskt hjälpmedel tar fram dem.
14.4.3. Förvarad
14.4.3.1 Inledning
Bara handlingar som förvaras hos en myndighet anses som allmänna handlingar hos denna (2 kap. 3 § 1 st. TF).
14.4.3.2 Pappershandlingar
En traditionell handling anses förvarad hos en myndighet om den rent fysiskt finns hos myndigheten.349 Handlingar som förväntas inkomma till eller upprättas hos en myndighet kan inte begäras ”i förväg”. Offentlighetsprincipen ger således ingen rätt att få kontinuerlig tillgång till en viss typ av inkommande handlingar.350
14.4.3.3 Upptagningar
Beträffande upptagningar gäller i stället att de anses förvarade hos en myndighet, om de är tillgängliga för myndigheten med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att de kan läsas, avlyssnas eller uppfattas på annat sätt (2 kap. 3 § 2 st. 1 men. TF). Det har inte någon betydelse om lagringen av data faktiskt sker i myndighetens lokaler eller om myndigheten bara har tillgång till data via uppkoppling. Denna tillgänglighetsprincip innebär att varje konstellation av sakligt sammanhängande uppgifter är att betrakta som en handling och skall vara tillgänglig för envar i samma utsträckning som för myndigheten själv.351 En sådan upptagning anses tillgänglig om den kan tas fram med rutinbetonade åtgärder352 (se vidare angående detta begrepp nedan, avsnitt 14.4.6). Detta gäller oavsett om myndigheten själv använder en viss funktion i datorprogrammet eller ej.
Insynen kan beträffande personuppgifter vara begränsad på grund av författningsbestämmelser eller föreskrifter som har meddelats av Datain-
349 Detta får emellertid inte uppfattas så snävt att handlingen alltid måste finnas i myndighetens egna lokaler för att anses förvarad hos denna (prop. 1975/76:160 s. 122, jämför Bohlin, Allmänna handlingar, s. 74 ff. med hänvisningar). 350 RÅ 1981 Ab 283. 351 SOU 1988:64 s. 88. 352 Prop. 1990/91:60 s. 29.
spektionen (2 kap. 3 § 2 st. TF). En upptagning som ingår i personregister anses nämligen inte förvarad hos en myndighet om den enligt lag eller förordning eller särskilt beslut, som grundar sig på lag, saknar befogenhet att överföra upptagningen till läsbar form. Sådana begränsningar i rätten att göra upptagningar läsbara är vanliga i registerförfattningar (se vidare avsnitt 17.1). Datainspektionen får enligt 6 § första stycket datalagen meddela föreskrifter angående bl.a. de bearbetningar i ett register som får göras med ADB, de personuppgifter som får göras tillgängliga och om utlämnande och annan användning av personuppgifter. Föreskrifterna skall ha till syfte att förebygga otillbörliga integritetsintrång. En begränsning av t.ex. tillåtna söknycklar måste gälla lika för myndigheten och den enskilde.
14.4.3.4 Teknisk bearbetning eller lagring
En speciell regel finns i 2 kap. 10 § TF som innebär att en handling inte är allmän hos en myndighet som förvarar den enbart som ett led i teknisk bearbetning eller lagring för annans räkning. Regeln har tillkommit särskilt med tanke på upptagningar för automatisk databehandling, men träffar även konventionella handlingar. 353
14.4.4. Inkommen
14.4.4.1 Inledning
För att en handling eller upptagning skall vara allmän krävs vidare att den antingen är inkommen till eller upprättad hos myndigheten (2 kap. 3 § 1 st. TF).
14.4.4.2 Pappershandlingar
En traditionell handling anses inkommen när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa (2 kap. 6 § 1 st. 1 men. TF). Begreppet inkommen har i TF en snävare innebörd än i 33 kap. 3 § rättegångsbalken, 44 § förvaltningsprocesslagen (1971:291) och 10 § förvaltningslagen (1986:223).354 Enligt dessa bestämmelser anses en handling inkommen redan när en avi om postförsändelse som inne-
353 Prop. 1975/76:160 s. 171. 354 Bohlin, Offentlighetsprincipen, 4 uppl., s. 49.
håller handlingen har anlänt till myndigheten. För handlingsoffentligheten är det av förklarliga skäl så att handlingen även rent fysiskt måste befinna sig hos myndigheten. En handling anses också inkommen om den lämnats till behörig befattningshavare, även om denne inte då befann sig i myndighetens lokaler. Det krävs inte att handlingen har diarieförts för att den skall anses vara inkommen.
14.4.4.3 Upptagningar
En upptagning anses inkommen till myndigheten när någon annan har gjort den tillgänglig för myndigheten så att den kan läsas, avlyssnas eller uppfattas på annat sätt (2 kap. 6 § 1 st. 2 men. TF). Det kan t.ex. gälla uppgifter som inkommer till en myndighet via elektronisk post eller annars via nät. Att en handling som är en upptagning anses allmän så snart den har gjorts tillgänglig för en myndighet innebär också att handlingen anses inkommen så fort någon behörig tjänsteman kan ”ta fram” uppgiften i en form som går att uppfatta.
När det gäller en myndighets åtkomst till externa databaser begränsas offentlighetsprincipen av den s.k. biblioteksregeln (se nedan avsnitt 19). I övrigt gäller att i den mån en myndighet ansluter sig till en extern databas (t.ex. en annan myndighet), blir de upptagningar som förekommer där att betrakta som inkomna till den första myndigheten och således allmänna hos myndigheten.355
14.4.4.4 Särskilda regler
För vissa typer av handlingar eller upptagningar gäller vidare särskilda regler. Tävlingsskrifter, anbud m.m. skall i vissa fall inte anses inkomna före den tidpunkt som har bestämts för öppnandet (2 kap. 6 § 2 st. TF). Att någon har vidtagit en åtgärd endast som ett led i en teknisk bearbetning eller teknisk lagring av en handling åt en myndighet, medför inte att handlingen anses inkommen när den återkommer till myndigheten (6 § 3 st. TF).356
355 SOU 1988:64 s. 36, prop. 1990/91:60 s. 31. 356 Prop. 1975/76:160 s. 137–138.
14.4.5. Upprättad
Bestämmelser om när handlingar skall anses upprättade finns i 2 kap. 7 § TF. En handling är att anse som allmän när den har expedierats. Om den inte har expedierats, är den upprättad när ärendet är slutbehandlat. Hör den inte till något bestämt ärende anses den upprättad när den har justerats eller färdigställts på annat sätt. Diarier, journaler och liknande handlingar, där anteckningar görs fortlöpande, anses upprättade i och med att de är färdigställda att användas. Domar och beslut med tillhörande protokoll är upprättade när domarna eller besluten har avkunnats eller expedierats. Andra protokoll och liknande handlingar är i regel upprättade när de är justerade eller färdigställda på annat sätt. Utkast, koncept och minnesanteckningar är inte allmänna handlingar om de inte tas om hand för arkivering (2 kap. 9 § TF). Med minnesanteckningar avses promemorior och andra anteckningar som görs under beredningen av ett ärende som inte tillför ärendet några nya sakuppgifter. Avsikten med denna regel är att skapa nödvändig arbetsro för myndigheten. Myndigheten kan även skicka handlingen ”på delning” för synpunkter till utomstående utan att handlingen därmed blir allmän.
Ingen av dessa regler tar särskilt sikte på handlingar som utgör tekniska upptagningar. Samma regler gäller för dessa som för traditionella handlingar. Här bör dock nämnas att ADB-upptagningar som utgör register som förs fortlöpande och där uppgifter kontinuerligt förs in och ändras anses, precis som register i pappersform, upprättade redan när registren tas i bruk (2 kap. 7 § 2 st. 1 p. TF).357
14.4.6. Sökningar och sammanställningar
14.4.6.1 Pappershandlingar
En begäran att få en viss handling utlämnad måste vara någorlunda preciserad. En myndighet kan inte anses skyldig att göra omfattande efterforskningar för att få fram handlingar som sökanden inte kan beskriva närmare.358 Allmänheten anses visserligen ha en generell rätt att få ta del av alla handlingar som har inkommit till myndigheten en viss dag, ”dagens
357 SOU 1988:64 s. 37. 358 NJA 1985 s. 537.
post”. Men om myndigheten inte har som rutin att samla in allt som kan anses ingå i ”dagens post” har den inte heller någon skyldighet att lämna ut den, eftersom begäran då inte anses tillräckligt preciserad. Offentlighetsprincipen ger inte heller allmänheten någon rätt att söka efter handlingar i myndighetens arkiv eller bland akter. Allmänheten har således inte rent faktiskt samma möjlighet som myndigheten att ta fram handlingar. Reglerna i 15 kap. sekretesslagen om registrering av allmänna handlingar innebär emellertid att handlingar måste hållas ordnade så att en viss sökning blir möjlig.
14.4.6.2 Upptagningar
När det gäller sökningar bland och sammanställningar av elektroniskt lagrade uppgifter gäller den s.k. tillgänglighetsprincipen i 2 kap. 3 § TF. Likställighetsprincipen spelar också en central roll i sammanhanget; det elektroniska material som är tillgängligt för myndigheten måste myndigheten på begäran av en enskild söka bland med alla de sök- och sammanställningsmöjligheter som myndigheten genom rutinbetonade åtgärder har tillgång till. Är sökrutinen tillgänglig för myndigheten, så skall den vara det för allmänheten. Enligt motiven till bestämmelsen är myndigheten därutöver skyldig att utföra de sökningar och sammanställningar som kan utföras med rutinbetonade åtgärder. Detta innebär bl.a. att myndigheten kan vara skyldig att låta göra ett nytt datorprogram om en begäran om utlämnande förutsätter detta, men endast om programmet kan upprättas inom myndigheten genom en enkel arbetsinsats och utan nämnvärda kostnader och andra komplikationer.359
Utvecklingen mot elektronisk dokumenthantering har också lett till att lagstiftaren har infört begränsningar i rätten för myndigheterna att utföra sökningar. Tanken har varit den att s.k. känsliga uppgifter varken kan förbjudas eller sorteras bort vid en helt elektronisk ärendehandläggning. Även om saken är känslig måste den naturligtvis få behandlas i elektroniska inlagor och beslutsmotiveringar. Därför har i vissa registerlagar som sökbegrepp endast tillåtits mål- eller ärendebeteckning eller beteckning på handlingar i elektroniska akter. De sökningar som behövs får i stället ske i elektroniska diarier och liknande förteckningar, som hänvisar till de elektroniska handlingarna.360 I den mån sökbegränsningar gäller för en myn-
359 Prop. 1975/76:160 s. 90 f. 360 Prop. 1994/95:93 s. 32 och prop. 1994/95:168 s. 24.
dighet anses upptagningen inte förvarad hos myndigheten, vilket medför att allmänheten inte får ta del av uppgiftssammanställningar som förutsätter att förbjudna sökningar utförs (se närmare om begreppet förvarad avsnitt 14.4.3).
14.4.7. Utlämnande
En begäran att få ta del av en allmän handling skall vanligtvis göras hos den myndighet som förvarar handlingen. Myndigheten får inte efterforska vem sökanden är eller vilket syfte han har med sin begäran, i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att lämna ut handlingen (2 kap. 14 § TF).
Det finns två alternativa förfaranden för den som vill få ut en handling. Antingen kan handlingen utan avgift begäras ut på stället, dvs. hos myndigheten, eller också kan sökanden mot avgift få en avskrift eller en kopia av handlingen (2 kap. 12 och 13 §§ TF).361
En myndighet är inte skyldig att lämna ut en handling på stället, om betydande hinder möter. Detsamma gäller beträffande upptagning, om sökanden utan beaktansvärd olägenhet kan ta del av upptagningen hos en närbelägen myndighet. Kan en handling inte tillhandahållas utan att sekretessbelagda uppgifter röjs, skall den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia.
ADB-upptagningar behöver aldrig lämnas ut i annan form än utskrift. Denna bestämmelse har införts i syfte att förhindra att utlämnade kopior brukas på ett sätt som medför otillbörligt intrång i de registrerades personliga integritet; jämför 7 kap. 16 § sekretesslagen. Det finns också ett undantag från rätten att få kopia av karta, ritning, bild och vissa upptagningar, om svårighet möter och handlingen kan tillhandahållas på stället.
361 Här bör också nämnas myndigheternas skyldighet enligt 15 kap. 4 § sekretesslagen (1980:100) att på begäran lämna uppgift ur allmän handling som förvaras hos myndigheten i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.
15. Konsekvenser och utgångspunkter
IT-utvecklingen har medfört att reglerna i 2 kap. TF i viss mån kommit att framstå som orimliga och till och med omöjliga att tillämpa. Det är framför allt den s.k. tillgänglighetsprincipen som fått helt andra konsekvenser än som var avsett från början. Vår uppgift är inte att förändra offentlighetsprincipen utan att anpassa reglerna till denna utveckling. Vi har satt upp två utgångspunkter för vår översyn: Offentlighetsprincipen skall vara så vid som möjligt. Reglerna skall vara så tydliga och enkla som möjligt.
15.1. IT då och nu
När de grundläggande reglerna för ADB-upptagningars offentlighet utarbetades fanns ett fåtal stordatorer i slutna miljöer. De flesta myndigheterna hade alltså inte egen dator, utan anlitade en servicebyrå eller en annan myndighet, i den mån någon databehandling förekom. Dessutom genomfördes databehandlingen vanligtvis ”klumpvis” så att alla aktuella ”körningar” för en period gjordes vid ett visst tillfälle och överlämnades t.ex. i form av en utskrift. Om de efterfrågade uppgifterna inte blev framtagna fick man göra en ny ”körning”, med den tidsutdräkt det innebar. De uppgifter som registrerades valdes vidare ut efter vissa kriterier. Bara vissa i förväg utvalda uppgifter registrerades – t.ex. ett bilnummer eller en fastighetsbeteckning – och uppgifterna kunde sorteras och hämtas fram bara i vissa konstellationer. Tekniken för lagring och bearbetning var uppbyggd så att den erbjöd endast ett fåtal alternativ för sökning och sammanställning av data.
Om någon myndighet undantagsvis hade åtkomst till en annan myndighets dator skedde detta via terminal – ett hjälpmedel som till skillnad
från en persondator kan användas endast för att kommunicera med en dator, inte för lagring och bearbetning av data362 – och det fanns oftast ett självklart samband mellan de båda myndigheternas verksamheter. En uppkoppling föregicks vanligtvis av noggranna överväganden rörande vilka uppgifter som skulle vara åtkomliga bl.a. med hänsyn till gällande sekretessregler. Det sågs därför inte som främmande att uppfatta informationsmängder, vilka fysiskt förs och används hos en annan myndighet i dess verksamhet, som en del också av de informationstillgångar som tillhör den terminalanslutna myndigheten.
Numera torde alla myndigheter ha datorer och IT används inom nära nog samtliga verksamhetsområden. Visserligen anlitas fortfarande företag (och myndigheter) för delar av myndigheters databehandling, men den myndighet som anlitar hjälpen torde som regel ha direkt åtkomst till sina data och kunna – sekundsnabbt – behandla dem som om datorn fanns i myndighetens lokaler.
Egentliga register – dvs. strukturerade samlingar av uppgifter såsom t.ex. bil- och fastighetsregistren som blir tillgängliga genom att man använder vissa sökbegrepp – utgör ett viktigt användningsområde för IT. Det har emellertid blivit allt vanligare med ordbehandling, elektronisk post m.m. för att producera löpande text363 och liknande noteringar.364 Rutinerna syftar därvid inte till att skapa egentliga register för sammanställningar och bearbetningar, utan till att bevara viss text, på motsvarande sätt som en text dokumenterad på papper med bläck och försedd med underskrift vid behov kan tas fram oförändrad. Vidare har tekniken för att lagra och ta fram data blivit allt mer flexibel. Övergången till modern teknik ger helt nya möjligheter att sammanställa och bearbeta data – i det närmaste oberoende av datas fysiska plats eller ordning.365
En betydelsefull sida av IT-utvecklingen är övergången till s.k. öppna system. Det är numera snarare regel än undantag att myndigheternas datorer är kopplade i nät och att tjänstemännen vid en myndighet kan nå såväl myndighetens egna datorer som datorer hos andra myndigheter och en-
362 Numera används inte särskilda terminaler utan persondatorer förses med programvaror så att de fungerar som en ”dum” terminal. 363 Angående detta begrepp samt egentliga register, se avsnitt 16.1.2.3 och SOU 1996:40 s. 166. 364 Som exempel kan nämnas EKG och andra uppteckningar av vissa förlopp. 365 Som exempel kan nämnas s.k. relationsdatabaser där uppgifter lagras i tabeller så att de kan sammanställas i nära nog oändliga alternativa uppgiftskonstellationer.
skilda, oberoende av om lagrade data har någon anknytning till myndigheten och dess verksamhet. Det finns planer på att varje enhet inom förvaltningen skall kunna nås med elektronisk post under år 1996.366
Den ursprungliga utgångspunkten, att myndigheter gavs åtkomst till andra myndigheters eller enskildas data endast efter närmare överväganden, har således ersatts av tekniska möjligheter att ta del av enorma datamängder, särskilt för de myndigheter som har anslutit sig till Internet eller andra globala kommunikationsleder. Gällande sekretessregler måste emellertid iakttas när en myndighet gör uppgifter tillgängliga via nät för andra myndigheter och enskilda.
De tekniska möjligheterna till egna behandlingar av data har också ökat genom att myndigheterna numera har persondatorer, inte terminaler kopplade till en stordator. Användarna kan, om begränsningar inte görs, hämta data via nät och hos sig utföra bearbetningar med egna program.
15.2. Konsekvenser
15.2.1. Allmänt
Eftersom IT-utvecklingen inneburit att allt mera extern information har blivit tillgänglig för myndigheterna, har allmänhetens möjligheter att med stöd av offentlighetsprincipen via myndigheterna få tillgång till information vidgats betydligt. Detta följer av tillgänglighetsprincipen som infördes på 1970-talet; de uppgifter som en myndighet har tillgång till, är myndigheten i princip skyldig att på begäran lämna ut till allmänheten.
Myndigheternas tillgång till allt mer extern och ostrukturerad information har å andra sidan inneburit att det blivit allt svårare för myndigheterna och allmänheten att hitta just den information som är relevant. Myndigheterna har inte – och kan inte ha – någon kontroll eller överblick över all den information hos andra som kan nås via de externa nätverk som myndigheten har tillgång till. Det kan vara svårt – ofta omöjligt – för myndigheterna att redogöra för vilka uppgifter de har tillgång till. Detta kan i praktiken innebära svårigheter för allmänheten att utöva sina rättigheter enligt offentlighetsprincipen.
366 Se vidare Toppledarforums rapport Elektronisk post och katalog i offentlig förvaltning – En förstudie, s. 10.
15.2.2. Skillnaden mellan förvaring och tillgänglighet
Myndigheterna hade tidigare åtkomst bara till sådana uppgifter som hade anknytning till verksamheten även om den skedde över nät.367 Vid sådana förhållanden uppfattades det inte som onaturligt att det var den tekniska åtkomstmöjligheten som fick bilda utgångspunkt för bedömningen av om en upptagning skulle anses ”förvarad” hos myndigheten (2 kap. 3 § 2 st. TF).
Regeln att en upptagning är förvarad hos en myndighet om den är ”tillgänglig för myndigheten för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas”368, kom därmed att innefatta så vitt skilda situationer som att N myndigheten lagrar en upptagning i anslutning till myndighetens egen
utrustning, N myndigheten kan ta del av en upptagning i läsbar form via terminalför-
bindelse med en dator hos ett annat organ, N myndigheten på begäran enligt avtal med annan kan få en upptagning
överförd till papper och sänd till myndigheten, och N en (arkiv)myndighet innehar datamediet men inte egen dator eller avtal
om överföring till läsbar form.
Regleringen har vidare inneburit att gränser som tidigare uppfattades som närmast givna och självklara med tiden har brutits igenom. Handlingar som är tekniskt åtkomliga för en myndighet anses vara allmänna hos den myndigheten även om de varken finns hos myndigheten eller annars har någon anknytning till denna. Att utgå från vad som är tekniskt tillgängligt, i stället för vad som i vid mening kan ses som förvarat i en myndighets informationslager, har därmed fört med sig att en myndighet inte längre kan veta vilka allmänna handlingar den har. Tillgänglighetsrekvisitet har därmed fört med sig en frikoppling från vad som brukar uppfattas som en viss myndighets informationstillgångar till skillnad från en annans.
Frågan om en upptagning skall anses inkommen har som framgått tidigare (se avsnitt 14.4.4) samordnats med förvaringsrekvisitet. Som exempel på att denna reglering bygger på ett föråldrat synsätt brukar nämnas att alla databaser som blir tekniskt tillgängliga när en myndighets datorer har
367 Som exempel kan nämnas rättsväsendets informationssystem där arbete via terminal mot datorer belägna på annan plats tidigt infördes. 368 2 kap. 3 § 2 st. 1 men. TF i dess lydelse före den 1 januari 1992.
kopplats till nät skall anses vara tillgängliga för offentlighetsinsyn hos myndigheten – med undantag för sådana som omfattas av den så kallade biblioteksregeln i 2 kap. 11 § TF.369 Det har i olika sammanhang uttalats att en sådan reglering inte är rimlig och att myndigheterna uppenbarligen inte kan fullgöra sina skyldigheter enligt 15 kap. sekretesslagen beträffande de oräkneliga upptagningar som kan nås via t.ex. Internet: Hur skall myndigheterna kunna registrera allmänna handlingar, ordna dem med beaktande av den i TF stadgade rätten att ta del av allmänna handlingar och lämna de särskilda upplysningar som den enskilde behöver för att kunna ta del av dem, när myndigheten inte ens vet om att – och var – upptagningarna finns?
På senare tid har också ifrågasatts om denna tolkning av rekvisitet inkommen i 2 kap. 6 § TF är riktig. IT-utredningen har påpekat att en upptagning – enligt lagtextens ordalydelse – är inkommen först ”när annan har gjort den tillgänglig för myndigheten på sätt som angives i 3 § andra stycket”, och att det inte redan genom en inkoppling av en databas mot t.ex. Internet kan sägas att annan har gjort upptagningarna i databasen tillgängliga ”för myndigheten”. Tolkningen av bestämmelsen skulle annars, enligt IT-utredningen, leda långt bort från den avsedda samordningen med vad som gäller för traditionella handlingar och från offentlighetsinsynens syften.370 Justitieombudsmannen har på en förfrågan om innehållet på Internet utgör allmän handling svarat att detta torde omfattas av biblioteksregeln och därför normalt inte utgöra allmän handling.371 På motsvarande sätt har det i en promemoria som nyligen upprättats inom statsrådsberedningen ifrågasatts om en handling som ett statsråd endast läser när han eller hon ”surfar” på Internet, men inte ”hämtar”, skall ses som en allmän handling.
369 Denna situationen där handlingar i en databas blir tillgängliga för myndigheter utan att den som tillhandahåller databasen har en tanke på att göra upptagningar tillgängliga för en viss myndighet nämns inte i lagmotiven. Vanligtvis har myndighetens överenskommelse med ett företag som tillhandahåller nätanslutningen inget samband med de databaser som tillhandahålls i större, kanske världsomspännande nät. Myndigheternas avsikt med sådana uppkopplingar är vanligtvis endast att sända och ta emot meddelanden. Den nättjänst och de programvaror som myndigheten har tillgång till kan emellertid ge tekniska möjligheter att få tillgång till omfattande datamängder. 370 SOU 1996:40 s. 103. 371 Beslut 1996-08-19, Dnr 3034-1996.
Sammanfattningsvis kan alltså sägas att de tekniska möjligheterna till åtkomst är avgörande för om en upptagning skall anses vara förvarad och inkommen i TF:s mening. Möjligheterna till åtkomst har ökat dramatiskt, bl.a. genom införandet av nya former för IT-baserad kommunikation. Sedan offentlighetsinsynen, genom att vissa myndigheters datorer kopplats till t.ex. Internet, har inneburit en närmast global åtkomst till vad som tekniskt kan göras tillgängligt har reaktioner dock framträtt. Det har inte setts som rimligt att allmänheten skall kunna begära att hos en myndighet få ta del av en tillgänglig ”upptagning” som kan finnas på andra sidan jordklotet, bara för att myndigheten råkar ha tillgång till ett modem för datakommunikation (eller för den delen en TV-apparat eller en radio).
15.2.3. Potentiella handlingar
En annan grundläggande fråga sammanhänger med att användaren inte kan läsa digitala mönster på databärare.372 Dessa mönster måste översättas till läsbar eller annars uppfattbar form på t.ex. papper eller bildskärm. Denna skillnad mellan lagrad form och läsbar form, och de därmed sammanhängande möjligheterna till sökningar och sammanställningar, leder beaktad fullt ut till att varje sammanställning av sakligt sammanhängande uppgifter som en myndighet kan göra med hjälp av tillgängliga program anses utgöra en handling (s.k. potentiella handlingar). Detta synsätt, som utarbetades mot bakgrund av de begränsade sök- och sammanställningsmöjligheter som förelåg förr, avser en IT-användning hårt knuten till egentliga register (se beträffande begreppet register avsnitt 16.1.2.3).
En synnerligen snabb utveckling har också skett mot i det närmaste obegränsade möjligheter att sammanställa och bearbeta lagrade data till nya uppgiftskonstellationer i läsbar eller annars uppfattbar form. Från att tidigare ha varit koncentrerad till hantering av egentliga register, används den nya tekniken numera också för behandling av löpande text såsom elektronisk post, elektroniska ansökningar och elektroniska beslut. Numera fattas också beslut med automatik av datorer.373
Den avgörande skillnaden mellan egentliga register och löpande text är att lagringsenheten vid löpande text inte har strukturerats på ett sätt som
372 De digitala mönstren utgörs av elektroniska impulser, ”ettor och nollor”. 373 Se t.ex. prop. 1993/94:224 och Cecilia Magnusson Sjöberg, Rättsautomation – Särskilt om statsförvaltningens datorisering.
gör det enkelt att automatiskt sammanställa och bearbeta uppgifter.374Syftet med den löpande texten är oftast i stället att, precis som i en traditionell pappersurkund, bevara den dokumenterade informationen oförändrad (se vidare avsnitt 16.1.4.3).
Som exempel kan nämnas skatteförvaltningens ursprungliga IT-användning, där egentliga register skapades genom att vissa uppgifter valdes ut och registrerades så att myndigheten vid behov enkelt kunde ta fram viss utvald information. Skatteregisterlagen (1980:343) har emellertid ändrats så att – utöver egentliga register – de elektroniska handlingar som inkommer eller upprättas vid skattemyndigheternas ärendehandläggning och som motsvarar traditionella pappersurkunder, får databehandlas i princip oberoende av vad de innehåller. Även handlingar som innehåller s.k. känsliga personuppgifter får alltså registreras; jämför 4 § och 6 § andra stycket datalagen samt 11 § andra stycket skatteregisterlagen (1980:343). Från rättssäkerhets- och informationssäkerhetssynpunkt har dessutom införts krav på elektronisk signering av sådana handlingar för att säkerställa att de omanipulerat härrör från den som framstår som utställare.
IT-anpassningen av 2 kap. TF har alltså hittills hårt knutits till egentliga register. Offentlighetsinsynen rörande löpande text i elektronisk form har fått följa samma synsätt. Standardprogram ger sedan länge betydande möjligheter att skapa olika typer av sammanställningar. Detta innebär exempelvis att en enskild som begär att få ta del av t.ex. e-meddelanden eller elektroniskt lagrade beslut i princip har rätt att begära att datorprogrammen skall användas så att nya uppgiftskonstellationer skapas, trots att e-post och myndighetsbeslut knappast är meningsfulla från informationssynpunkt om de har ”manipulerats”.375
Här har således de tekniska möjligheterna, inte det ursprungliga syftet med användningen av IT – att bevara den löpande texten omanipulerad på motsvarande sätt som text på ett papper– fått fälla avgörandet.
15.2.4. Sammanfattning
Bestämmelserna om ADB-upptagningar har baserats på den traditionella terminologin – handling, förvarad, inkommen och upprättad. Dessa begrepp ger vissa närmast självklara associationer, som dock leder tanken fel
374 Se vidare IT-utredningens gränsdragning mellan egentliga register och löpande text (SOU 1996:40 s. 166). 375 En sådan ändring av en traditionell handling skulle ses som förfalskning.
i IT-miljö.376 Exempelvis innefattar begreppet ”handling”, som framgått, något helt annat än vad gemene man förutsätter, nämligen ett närmast oändligt antal möjliga uppgiftskonstellationer (”potentiella handlingar”). Vidare kan en handling anses vara ”förvarad” hos en myndighet, trots att den finns i ett elektroniskt förvar med vilket myndigheten inte har något samröre; det föreligger endast teknisk åtkomst. Handlingen anses därmed också ”inkommen” till myndigheten, trots att det inte har förts över något till myndigheten – det har endast öppnats en möjlighet att hämta handlingar, på motsvarande sätt som det är möjligt för vaktmästaren att hämta vanlig post som har avskilts för myndigheten på närmaste postkontor.
Regleringen i 2 kap. TF är alltså tämligen komplicerad och på åtskilliga punkter oklar när det gäller upptagningar.
15.3. En framtidsvision
Det är allmänt svårt att sia om framtiden. Den snabba tekniska utvecklingen gör det inte enklare. Vad som främst kommer att påverka den fortsatta utvecklingen kan dock antas vara följande.
IT har kraftfullt medverkat till den sedan decennier pågående exempellösa globaliseringen. I en framtid kan alla – myndigheter, företag och enskilda – antas vara anslutna till något slags globalt nätverk, en informationsmotorväg så att alla kan få tag i information ”överallt”. Informationen kommer att kunna hämtas från flera olika ställen för att sammanställas när den behövs. Alla uppgifter som upprättas av och de flesta uppgifter som kommer in till en myndighet kommer att ha elektronisk form och det blir enkelt och billigt att hantera stora informationsmängder. Det blir vidare tekniskt enkelt att söka bland de elektroniska uppgifter som finns hos olika myndigheter.
IT börjar också att mogna som teknologi. Detsamma gäller människan som användare. Kunskapen och förmågan att hantera IT blir större för varje kull av ungdomar som framöver lämnar skolan. De kommer att sätta
376 I tilläggsdirektiv (dir. 1984:48, avsnitt 3.1) till Data- och offentlighetskommittén anförde departementschefen bl.a. att den innebörd handlingsbegreppet har fått när det gäller information på ADB-medium otvivelaktigt har medfört vissa problem, och att svårigheterna framför allt torde hänga samman med att ett existerande regelsystem, på ett i viss mån konstlat sätt, har överförts till ett område det inte har varit avsett för.
sin prägel på IT-användningen. Dessutom sammanförs IT i en och samma utrustning. Faxkortet sitter sedan länge i PC:n, TV-bilden går redan att fånga på PC-skärmen. Fax, TV, radio och telefon kommer att ingå i PC:n eller någon annan apparat som blir en centralenhet på arbetet och i hemmet.
Detta bidrar till de förändringar av arbete, organisationer och verksamheter som redan har inletts. Traditionella organisationer – myndigheter såväl som företag – kommer att bli delvis virtuella, dvs. en fast liten stab kompletteras temporärt med inlejda fysiska eller juridiska personer, nationellt eller internationellt, som samverkar till dess ett projekt har slutförts, för att sedan skingras och ingå i nya sådana sammanhang.
Till detta kommer att IT hittills har utnyttjats endast som ett redskap för att rationalisera ett manuellt uppbyggt och manuellt administrerat samhälle. Särskilt ungdomarna kommer att ifrågasätta detta. Även om ett förändrat synsätt redan kan skönjas kommer utvecklingen med stor styrka att präglas av att vi alltmer börjar använda IT med utgångspunkt direkt i IT:s möjligheter; dvs. att vi undviker en omväg över det manuella samhället.
Synen på arbete, arbetsplatser, fritid etc. förändras därmed och traditionella gränser mellan bl.a. organisationer, verksamheter och medier luckras upp på ett sätt som är rationellt. Nya strukturer och avgränsningar växer fram som en följd av en mer mogen IT-användning. De elektroniska förvaren och de tekniska resurserna görs tillgängliga via nät närmast oberoende av var datorer och data fysiskt finns och frågor om informationssäkerhet blir alltmer betydelsefulla.
Det är omöjligt att sia om hur samhället kommer att te sig i ett perspektiv om 10–20 år. Så mycket torde dock kunna hävdas att IT – liksom industrialiseringen på sin tid – kommer att kraftfullt påverka de närmaste decenniernas utveckling och det samhälle som är i vardande, och förändringstakten kan antas komma att öka.
15.4. Uppdraget
Vi skall enligt direktiven (bilaga 1) se över TF:s regler om allmänna handlingar med hänsyn till utvecklingen på IT-området och föreslå de ändringar som är motiverade för att grundlagsregleringen skall bli anpassad till den nya tekniken och terminologin på området. En förändring av TF:s grundbegrepp eller rent av införandet av en ny begreppsapparat sägs i direktiven kunna bli aktuell. Vi ges vidare i uppdrag att särskilt överväga om be-
greppet handling i TF är ändamålsenligt och att – utifrån utvecklingen mot globala nätverk – analysera innebörden av den s.k. biblioteksregeln.
En sådan anpassning skulle i och för sig kunna ges en radikal utformning och innebära att offentlighetsprincipen inte längre skulle vara knuten till myndigheternas dokumentation över huvud taget. Insyns- och kontrollfunktionen skulle kunna få nya former t.ex. genom ökad lekmannamedverkan hos myndigheterna eller införande av nya allmänna organ för insyn. Några sådana överväganden skall vi enligt utredningsdirektiven dock inte göra. Syftet med översynen är, enligt vad som uttryckligen anges i direktiven, inte att förändra offentlighetsprincipen utan att anpassa den till dagens förhållanden.
Det bör därvid övervägas om regleringen kan göras enklare. Bland annat har Lagrådet, i yttrande över de förslag som låg till grund för 1992 års ändringar i 2 kap. TF, erinrat om att särskilda krav på tydlighet och överskådlighet måste gälla just för lagstiftningen om tryckfrihet och sekretess. Även om utbildningsinsatser kan lösa en del problem när det gäller myndigheternas hantering av offentlighetsfrågorna återstår det inte minst viktiga, nämligen att innehållet i reglerna skall kunna uppfattas av den som vill göra sin rätt enligt offentlighetsprincipen gällande, fortsatte Lagrådet. Även i andra sammanhang har påtalats att bestämmelserna är svåra att tränga igenom.377 Riksdagen godtog visserligen år 1991 Data- och offentlighetskommitténs förslag i slutbetänkandet Integritetsskyddet i informationssamhället 5 (SOU 1988:64) att inte göra några ändringar i de grundläggande begreppen i TF såvitt avser ADB-upptagningar. Sedan dess har emellertid den tekniska utvecklingen fortsatt med ständigt ökande hastighet.
Enligt våra direktiv skall regleringen vidare utformas så oberoende som möjligt av tekniska begrepp och termer och vara anpassad inte bara till dagens förhållanden utan om möjligt även till framtidens.
Vårt uppdrag kan alltså sammanfattningsvis sägas bestå i att finna enkla, varaktiga och teknikneutrala lösningar inom ramen för en alltmer föränderlig och komplicerad användning av datorer och telekommunikationer.
377 Se vidare angående lagrådets bedömning prop. 1990/91:60 s. 111 f., jämför departementschefens uttalande i tilläggsdirektiv (dir. 1984:48, avsnitt 3.1) till Data- och offentlighetskommittén att ”systemet har varit svårt att förstå och (att) det har lett till problem i den praktiska tillämpningen.”
15.5. Våra utgångspunkter
Vi har satt upp två utgångspunkter för vårt arbete med översynen av 2 kap. TF.
För det första strävar vi efter en så vid offentlighet som möjligt. Som tidigare har framgått utgör offentlighetsprincipen en av de viktigaste grundpelarna i vår demokrati. Den demokratiska ordningen kräver att myndigheternas verksamhet kan kontrolleras av medborgarna. Ett av offentlighetsprincipens huvudsyften är just att möjliggöra denna kontroll (se även avsnitt 14.2). Den ökade datoriseringen som effektiviserar myndigheternas verksamhet bör enligt vår mening kunna utnyttjas för att förbättra och vidga den offentliga insynen.
En allt mer omfattande och effektiv behandling av personuppgifter hos myndigheterna leder emellertid även till en ökad spridning av personuppgifter i samhället. Detta får närmast ses som en oundviklig konsekvens av offentlighetsprincipen som kanske inte alltid är önskvärd. Syftet med offentlighetsprincipen är inte i första hand att enskilda, företag eller myndigheter skall få del av integritetskänsliga uppgifter om enskilda människor, utan att ge allmänheten rätt till insyn i myndigheternas verksamhet. Införandet av den digitala tekniken kan generellt sett sägas ha haft en negativ inverkan på skyddet för den personliga integriteten. Dessa problem måste enligt vår mening lösas i första hand med hjälp av regler vars syfte är att skydda enskilda378, inte genom inskränkningar i offentlighetsprincipen.
Den andra utgångspunkten för vår översyn är att skapa ordning och reda. Som tidigare nämnts (se avsnitt 15.2) har tillgänglighetsprincipen på senare tid inneburit att myndigheterna får allt svårare att avgöra vilka handlingar som är deras och över huvud taget vilka handlingar de har.
Detta är inte en ordning som befrämjar offentlighet. Om inte myndigheten själv vet vilka handlingar den har, hur skall då allmänheten kunna ta reda på det? Vidare framgår för offentlighetsprincipen centrala bestämmelser, som det nu är, inte direkt av lagen utan endast av dess förarbeten. Det är enligt vår mening önskvärt att lagen formuleras tydligt och på ett så full-
378 Sådana regler finns t.ex. i de registerförfattningar som styr myndigheternas elektroniska uppgiftsbehandling och i de lagar som reglerar masspridning av uppgifter, TF och YGL .
ständigt sätt som möjligt. Begreppsbildningen när det gäller elektroniska uppgifter måste också bli tydligare och mera lättillämpad.
15.6. Ärendeinsyn – verksamhetsinsyn – kunskapsinsyn
Data- och offentlighetskommittén ansåg att offentlighetsinsynen i gällande rätt är uppbyggd av de två grundstenarna ärendeinsyn och verksamhetsinsyn med vissa inslag av kunskapsinsyn.379 Man skulle kunna tänka sig att låta offentlighetsprincipen vara ärendestyrd. Detta skulle innebära att det blev möjligt att ta del endast av uppgifter som är hänförliga till ett visst ärende. Principen skulle vara tydlig; allmänheten skulle få ta del av uppgifter bara ”ärende för ärende” och inte få söka i flera ärenden samtidigt. Insynen skulle bli ”vertikal”. Ett sådant system skulle dock innebära en inskränkning av den nuvarande offentlighetsprincipen som inte kan accepteras. Avgränsningen skulle inte heller vara tillräcklig. Även inom ärendekretsen finns behov att hålla t.ex. utkast och annat arbetsmaterial inom myndigheten.
Verksamhetsinsyn ger en mer omfattande tillgång till uppgifter och förutsätter inte att de begärda handlingarna har anknytning till något visst angivet ärende. Om man tillämpar en renodlad verksamhetsinsyn ligger det en begränsning i att syftet med utfåendet av handlingen måste vara att ge möjligheter till inblick i myndighetens verksamhet. Verksamhetsinsyn innebär en möjlighet att få insyn i myndigheternas ärenden även ”horisontellt” t.ex. genom sökning på olika kriterier (alla mål som rör en viss person, alla ärenden som rör fastigheter av visst slag osv.). Insyn av denna sort omfattar emellertid myndighetens verksamhet även utanför själva ärendehanteringen. Den medger insyn bl.a. i planering, handläggningsrutiner och ekonomiadministration.380 Myndighetens fastställda arbetsordning kan t.ex. vara föremål för insyn. Exakt hur långt denna insynsrätt sträcker sig är inte klart uttalat, utan är mera en följd av de praktiska regler i 2 kap. TF som avgör när handlingen som sådan är allmän.381 Den
379 SOU 1988:64 s. 68. 380 SOU 1980:31 s. 176. 381 Förhållandet framgår i lagtexten egentligen endast av 2 kap. 4 § TF som talar om handling som gäller ärende eller annan fråga som ankommer på myndigheten.
osäkerhet som finns är inte ny utan förekommer även i det nuvarande systemet. Vad som kan vara intressant att notera är att den nya tekniken ger ökade möjligheter att få fram uppgifter om verksamheten i stort. Det kan gälla t.ex. statistiska uppgifter som tas fram löpande ur systemet. Verksamhetsinsynen ger antagligen också en principiell rätt att ta del av sådana handlingar som myndigheten använder för att få den information och kunskap som krävs i verksamheten. Biblioteksregeln i 11 § har uppenbarligen tillkommit för att åstadkomma en praktisk inskränkning i insynsrätten.
Myndigheternas handlingar innehåller vidare en rik fond av fakta i de mest skilda samhällsangelägenheter. Det är i princip möjligt att låta alla uppgifter som en myndighet har tillgång till omfattas av offentlighetsprincipen oavsett om de förekommer i handlingar eller i digital form och om de har något samband med myndighetens verksamhet. Var och en skulle kunna få ta del av dem i vilka konstellationer som helst. Sådana tankegångar presenterades i en artikel den 10 april 1996 i Dagens Nyheter, där det under rubriken ”Den svenska offentlighetsprincipen skakar”, uttalas bl.a. att det är uppenbart att den nya tekniken kan användas för att fördjupa insyn och andra demokratiska grundfunktioner och att det inte är svårt att föreställa sig vilket kraftfullt instrument en överallt och för alla tillgänglig databas med samtliga offentliga handlingar skulle kunna vara. Naturligtvis skulle tillgången till ”fri samhällsinformation”, ett uttryck som används i artikeln, ytterligare vidgas om alla privata databaser som är tillgängliga via nät också var åtkomliga med stöd av offentlighetsprincipen. En sådan fullständig kunskapsinsyn skulle dock innebära en kraftig utvidgning av offentlighetsprincipen, och den skulle antagligen inte vara möjlig att genomföra i praktiken bl.a. eftersom den skulle kräva en total revidering av hela sekretessregleringen. Vi har inte heller fått i uppdrag att föreslå sådana förändringar.
Inte desto mindre ser vi det som ett viktigt resultat av vårt arbete, om möjligheterna till kunskapsinsyn i offentlig verksamhet kan förstärkas. Saken kan ses från två olika håll. För det första är kunskap alltid värdefull. Hos de statliga myndigheterna har enorma mängder av uppgifter sammanbragts på det allmännas bekostnad, och det är önskvärt att dessa kunskaper skall kunna användas till medborgarnas nytta. För det andra är det så att det krävs kunskap hos den som efterfrågar allmänna uppgifter. Om den allmänna kunskapen ökar om myndigheternas verksamhet så ökar också den offentliga insynen och därmed kontrollen över myndigheterna. Detta
stärker i sin tur demokratin. Genom en ökad kunskap kan man också påverka samhällsutvecklingen i stort.
Utan att föregripa den kommande diskussionen vill vi peka på möjligheten att man genom att slå fast att offentlighetsinsynen avser uppgifterna som sådana, dvs. innehållet i det samlade kunskapsmaterialet, kan förändra tänkandet i riktning mot krav på en ökad kunskapsinsyn. Förslaget implicerar en utvidgning från teknisk tillgång till innehållsmässig tillgång. Initiativet flyttas ut till allmänheten. En annan möjlighet att vidga kunskapsinsynen är att låta allmänheten få ut allmänna uppgifter i elektronisk form. Gränsen mellan verksamhetsinsyn och kunskapsinsyn är inte skarp men våra förslag bör kunna bidra till att flytta den.
Alltfler myndigheter använder den nya tekniken bl.a. för att informera om sig själva och sin verksamhet. Denna informations- och kunskapsspridning är positiv och kan kanske i viss mån sägas fylla samma syften som offentlighetsprincipen, utan att för den skull på något sätt ersätta den. I så måtto utgör dock sådan kunskapsspridning en länk till rätten att få ut allmänna uppgifter, att den som har kunskap om myndigheter och deras verksamhet har större förutsättningar att efterfråga uppgifter.
16. En ny begreppsapparat
Vi föreslår att grundbegreppet för offentlighetsinsynen i 2 kap. TF skall vara ”allmän uppgift”. Sådana uppgifter som förvaras hos myndigheten i handlingar eller databaser skall vara allmänna. Genom den föreslagna konstruktionen behåller man handlingsbegreppet – som fortfarande spelar en central roll – samtidigt som man inför de nya teknikneutrala begreppen uppgift och databas. Vi föreslår vidare att den s.k. tillgänglighetsprincipen ersätts med en regel om att en uppgift anses förvarad hos en myndighet om den fysiskt finns hos myndigheten eller om den finns i myndighetens elektroniska arkiv. På motsvarande sätt bör en handling anses vara inkommen när den har anlänt till myndighetens lokaler eller nått fram till ett elektroniskt förvar som tillhör myndigheten.
16.1. Handlingsbegreppet
16.1.1. Inledning
Vi skall särskilt överväga om handlingsbegreppet är ändamålsenligt eller om det bör ersättas. I våra direktiv påpekas det förhållandet att handlingsbegreppet kommit att omfatta varje sammanställning av sakligt sammanhängande uppgifter som en myndighet kan göra med tillgängliga program, under förutsättning att det kan ske med en begränsad arbetsinsats och utan nämnvärda kostnader (rutinbetonade åtgärder). Som tidigare har påpekats (se avsnitt 15.2.3) kan det ifrågasättas om en sådan definition är hållbar i en teknisk miljö av modernt slag. Dessutom är det enligt vår mening olämpligt att den avgränsning som ligger i begreppet rutinbetonade åtgärder inte framgår av lagen utan bara av dess förarbeten. För att hitta andra gränser för allmänhetens insynsrätt, är det emellertid nödvändigt att först analysera vissa för 2 kap. TF centrala begrepp något.
16.1.2. Närmare om handlingsbegreppet i TF
16.1.2.1 Handlingar
Allmänhetens rätt enligt TF att ta del av allmänna uppgifter hos myndigheterna har från början gällt traditionella handlingar, vanligen papper eller liknande med skriven text.382 Någon definition av de traditionella handlingarna ges dock inte i TF, utöver en hänvisning till ”framställning i skrift”. Ett tillägg genom 1949 års TF rörande kartor, ritningar och bilder – ”framställning i bild” – har endast inneburit en precisering eller utvidgning av ett handlingsbegrepp som uppfattats som givet.383 Allmänhetens rätt att ta del av ”framställning i skrift eller bild” är alltså knuten till handlingen som ett konkret föremål.
Det är beträffande traditionella handlingar självklart att de skall ha en fysisk existens där texten slutligt har fixerats på bäraren så att innehållet ”låsts”.384 Regleringen i TF är alltså inriktad på fysiska föremål som förmedlar ett föreställningsinnehåll genom användning av tecken, såsom skrift med bokstäver eller siffror.385 TF:s handlingsbegrepp innefattar även framställning i bild.
En handling enligt TF måste visserligen vara bärare av ett informationsinnehåll men det krävs inte att den är försedd med utställarangivelse; den behöver alltså inte vara undertecknad eller annars försedd med äkthetstecken såsom stämplar eller tryckta logotyper. Även preliminära utkast, ofullständiga anteckningar och siffersammanställningar är att anse som handlingar enligt TF.386 Om exempelvis en papperslapp utan utställarangivelse och i övrigt med ofullständiga anteckningar har kommit in till en myndighet utgör den alltså en allmän handling.
Under senare år har det skett en snabb utveckling mot elektronisk dokumenthantering såväl på myndighetsområdet som inom näringslivet. Elektroniska handlingar fyller samma funktion som traditionella. De har ett på förhand bestämt innehåll som kan läsas eller annars uppfattas med
382 Se vidare prop. 1975/76:160 s. 82, 1981/82:37 s. 8 och 1990/91:60 s. 18. 383 Prop. 1948:230 s. 125; jämför SOU 1972:47 s. 50 f. med hänvisningar och prop. 1973:33 s. 19 och s. 70. 384 En allmän handling skall bevaras om inte annat har bestämts; 2 kap. 1 § TF jämförd med 3 och 10 §§arkivlagen (1990:782). 385 Samma sak gäller bestämmelserna i BrB om urkunder. 386 Prop. 1973:33 s. 19.
tekniskt hjälpmedel på motsvarande sätt som texten i en traditionell pappershandling. En traditionell utställarangivelse kan ersättas med en digital signatur387. Som exempel kan nämnas inlagor och beslut i elektronisk form, datoriserad grundbokföring (10 § bokföringslagen) och journalhandlingar (3 § patientjournallagen).
16.1.2.2 Upptagningar
Det har ansetts att offentlighetsinsynen beträffande IT bör göras parallell med regleringen rörande traditionella handlingar. I det utredningsförslag som låg till grund för införandet av begreppet upptagning i TF anfördes därför att de nya reglerna bör ta sikte på ett konkret föremål som motsvarar en handling, inte på själva informationen.388 Till följd av svårigheterna att i IT-miljön finna ett sådant konkret föremål fick begreppet upptagning i stället, enligt departementschefen, avse själva informationsinnehållet. Han betonade dock att informationen skall ha fixerats på någon form av datamedium.389
I senare lagstiftningsärenden har resonemangen förskjutits mot än mer abstrakta synsätt där man knappt nämner den representation (lagrade data) och de tekniska hjälpmedel (t.ex. datorer och datorprogram) som behövs för att informationen skall kunna tas fram så att den kan läsas eller annars uppfattas.390 I 1976 års lagstiftningsärende konstaterades att varje konstellation av sakligt sammanhängande uppgifter bör ses som en upptagning för sig (en s.k. potentiell handling).391
De uppgifter som lagras elektroniskt skiljer sig emellertid från uppgifter på papper genom att de inte är unika som sak – de är endast digitala mönster som t.ex. kan lagras i en dator, skickas via ett nät eller göras läsbara på en skärm. Som läsare tar man inte direkt del av det lagrade, utan av en omvandling av data till text. Det brukar beskrivas så att data har frikopplats från databäraren. När man tidigare tog del av en handling såg man
387 IT-utredningen har nyligen i betänkandet Elektronisk dokumenthantering (SOU 1996:40) föreslagit att digital signatur definieras som ”resultatet av en omvandling av en elektronisk handling som gör det möjligt att kontrollera om innehållet härrör från den fysiska person som framstår som utställare”. 388 SOU 1972:47 s. 72. 389 Prop. 1973:33 s. 75. 390 Se vidare Seipel, ADB-upptagningars offentlighet, IRI-rapport 1988:1, s. 66 m.fl. och SOU 1992:110 s. 107 f. 391 Prop. 1975/76:160 s. 90.
både data och databäraren på en gång. Nu ser man bara en återgivning av data via de tekniska hjälpmedlen, inte själva bäraren eftersom denna utgörs av ett underlag för digitala mönster som man inte kan se med blotta ögat.
Upptagningsbegreppet omfattar således uppgiftssammanställningar som inte har ett på förhand bestämt innehåll (”potentiella handlingar”). Avgränsningen har emellertid gjorts teknikstyrd genom att allt som har elektronisk form omfattas, även sådana uppgiftssammanställningar som är tänkta att ha ett bestämt innehåll (handlingar) faller formellt under definitionen.
16.1.2.3 Register
Ett register utgör i en traditionell miljö en speciell typ av handling. Eftersom registerbegreppet har använts i delvis andra betydelser i ADBsammanhang finns det anledning att något beröra även detta begrepp. I traditionell mening avses med register förteckningar och listor samt även kortregister och kartotek (varmed avses kataloger eller register i form av lådor med lösa kort i bestämd ordning). Det avgörande är att uppgifterna är strukturerade.392 Begreppet register används redan nu med denna innebörd i 2 kap. 7 § andra stycket TF, och den bestämmelsen omfattar även ADBupptagningar. Regeln gäller emellertid endast register som förs fortlöpande, dvs. sådana register som är föremål för kontinuerlig uppdatering och som har en obestämd livslängd – inte register som upprättas endast för att användas vid lösandet av en till tiden avgränsad uppgift och som har relativt kort livslängd.393
Registerbegreppet har vidare getts en särskild innebörd i datalagen. Enligt en definition i 1 § datalagen omfattar begreppet personregister nämligen inte bara register i vanlig mening utan också förteckningar och andra anteckningar. Av motiven till datalagen framgår att ett personregister undantagsvis kan utgöras av en enda uppgift och att även löpande text kan bli att anse som personregister.394 I datalagen har vidare ändamålet med
392 Jämför s.k. löpande text beträffande vilken Datalagsutredningen och IT-utredningen föreslagit vissa undantag från persondataskyddet (SOU 1993:10 s. 100 och 110 och SOU 1996:40 s. 25 och 165 ff.). 393 Prop. 1975/76:160 s. 143 och Bohlin, Allmänna handlingar, s. 158 f. 394 Prop. 1973:33 s. 118 och Kring/Wahlqvist, Datalagen med kommentarer, s. 55 f., där det sägs bl.a. att sådan ADB-användning som brukas som hjälpmedel vid författande, lagring, överföring och utskrift av brev och andra dokument i många fall
registret en central betydelse, eftersom uppgifterna i personregistret bara får behandlas i enlighet med detta. Begreppet register synes härigenom ha mist sin ursprungliga betydelse och uttryck som ”register i vanlig mening” eller ”egentliga register” har börjat användas.
En annan sak är att frågan om ett eller flera register skall anses föreligga enligt datalagen har lösts så att hela system av filer med därtill hörande programvaror kan ses som ett enda personregister, under förutsättning att systemet administrativt och tekniskt fungerar så att det är naturligt att uppfatta det som en enhet. Egentliga register kan därmed även i ITmiljön hållas samman till naturliga enheter. I dataskyddsdirektivet definieras också ”register med personuppgifter (register)” som varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Moderna standardprogram gör det möjligt att synnerligen flexibelt bearbeta och sammanställa uppgifter i sådana register.
Sammanfattningsvis kan alltså konstateras att datoriseringen, såvitt nu är av intresse, har börjat med egentliga register där vissa uppgifter strukturerats och gjorts enkelt tillgängliga i olika konstellationer. Det har därefter skett en snabb utveckling mot bl.a. elektronisk dokumenthantering baserad på digitala dokument och elektroniska akter. De nya reglerna för elektroniskt lagrade uppgifter har då kommit att omfatta även löpande text. Automatisk behandling av uppgifter som har helt skilda syften, såsom löpande text och egentliga register, har därmed delvis kommit att föras in under samma regelverk och terminologi, trots de komplikationer detta för med sig (se även avsnitt 15.2.3).
16.1.3. Allmänna uppgifter
Det ligger nära till hands att om handlingsbegreppet skall överges, låta insynsrätten i stället omfatta innehållet i handlingen. Ett sådant synsätt innebär egentligen inte något nytt. Det får väl anses närmast självklart att det inte är själva handlingen eller data i sig som är det intressanta från offentlighetssynpunkt utan innehållet – uppgifterna däri. Att insynsrätten ursprungligen har knutits till handlingar är inte resultat av noggranna över-
bör anses som personregister, förutsatt att t.ex. namn eller personnummer används som sorterings- eller sökbegrepp.
väganden, utan betingat av praktiska skäl. Allmänheten får helt enkelt en god inblick i myndigheternas förehavanden genom tillgången till deras dokumentation utan att det inkräktar allt för mycket på verksamheten.
Tanken att låta offentlighetsprincipen omfatta ”uppgifter” i stället för ”handlingar” är inte ny. Datainspektionen föreslog redan år 1975 i en skrivelse till regeringen att ”allmän uppgift” skulle införas.395 Uppgiftsbegreppet övervägdes också av Data- och offentlighetskommittén (SOU 1988:64). Det avgörande skälet då att inte införa uppgiftsbegreppet var att det skulle medföra nya definitions- och avgränsningssvårigheter.396 I den rapport av Institutet för rättsinformatik397 som låg till grund för kommitténs ställningstagande uttalades i detta sammanhang bl.a. följande:
”Uppgift” är mer atomärt än ”handling”. Skall allmänheten ha rätt att få del av uppgifter så inställer sig omgående frågorna: i vilken utsträckning? i vilka former? Och här kommer man till kärnan: begreppet uppgift är i själva verket redan centralt i 2 kapitlet TF och begreppet handling tjänar till att precisera i vilken utsträckning och i vilka former allmänheten kan få tillgång till uppgifter. Från den synpunkten kan man säga att ”allmän uppgift” åtminstone indirekt redan utgör en etablerad konstruktion i TF.398
Uppgifterna har således alltid varit det centrala för offentlighetsprincipen medan handlingsbegreppet har fungerat som en praktisk avgränsare för insynsrätten. Motsvarande avgränsning för de elektroniska handlingarna kan väl inte sägas ha fungerat lika bra utan har medfört svårförståeliga juridiska konstruktioner – såsom t.ex. potentiella handlingar – och sammanblandning av olika rutiner.
Sekretesslagens bestämmelser avser förbud att röja uppgift (1 kap. 1 § sekretesslagen). Den nya sekretesslagen innebar bl.a. att reglerna om handlingssekretess och tystnadsplikt förenades. En av utgångspunkterna vid tillkomsten av sekretesslagen var just att regleringen ansågs bli klarast och mest lättillämpad om sekretessen fick avse den berörda uppgiften som sådan, oberoende av om den fanns dokumenterad i en allmän handling eller inte.399 Samma resonemang bör delvis vara möjligt att applicera på problemet med handlingar och upptagningar i 2 kap. TF.
395 Se beträffande Datainspektionens skrivelse, Seipel, Offentlighetens begrepp – TF, ADB och Allmänna handlingar, IRI-rapport 1983:8, s. 25. 396 SOU 1988:64 s. 85. 397 Seipel, ADB-upptagningars offentlighet. 398 A. rapport s. 210. 399 Prop. 1979/80:2 s. 54, DsJu 1977:11 s. 106.
Uppgiftsbegreppet är teknikneutralt. Problemet är, som påpekas i den tidigare nämnda rapporten (s. 26), att en uppgift kan vara både manifesterad och intellektuell – den kan finnas både fixerad på ett papper eller i en dator eller i tjänstemannens medvetande. Att låta offentlighetsprincipen omfatta även muntliga uppgifter (i betydelsen mänskligt talade) är inte aktuellt.
Om vi blickar något tillbaka kan vi konstatera att inte heller handlingsbegreppet är närmare definierat i TF. I det sammanhanget har det påpekats att det är handlingens innehåll som är det primära, men att innehållet måste vara bevarat så att det kan studeras upprepade gånger.400 Ett alternativ kan vara att i lagtexten avgränsa de uppgifter som på detta sätt är bevarade. Vårt förslag till ny begreppsapparat innebär emellertid även att bara de uppgifter som förvaras hos myndigheten är allmänna hos den (se vidare avsnitt 16.2.4). Enligt vår mening är kravet på förvaring tillräckligt för att utesluta ”tänkta” eller muntligen meddelade uppgifter. För att en uppgift skall anses förvarad måste den på något sätt finnas registrerad hos myndigheten och vara möjlig att ta del av upprepade gånger.
Begreppet ”uppgift” har högre detaljgrad än handling. I traditionell miljö innehåller en handling oftast mängder av uppgifter, men den kan också bestå av bara en enda uppgift, ett tecken, t.ex. en bokstav eller en siffra. I den digitala miljön baseras all information i grunden på elektroniska impulser (”ettor och nollor”). Först när de av datorn översätts till begripliga tecken, t.ex. bokstäver, siffror, bilder eller ljud kan man tala om uppgifter. En uppgift skulle kanske kunna definieras som den minsta uppfattbara enhet som har ett sakligt innehåll. Enligt vår mening behövs emellertid inte någon sådan definition av uppgiftsbegreppet i lagen.
Om det grundläggande begreppet för allmänhetens insynsrätt enligt 2 kap. TF skall vara ”allmän uppgift” blir nästa fråga: Kan insynsrätten knytas direkt till detta begrepp, eller måste man i lagen ha kvar överordnade begrepp som t.ex. handling? En modell som bygger insynsrätten direkt på uppgifter skulle kanske vara att föredra för framtiden. De datorprogram som används för att hantera uppgifterna skulle utgöra den enda påbyggnaden. Allmänheten skulle med andra ord ha rätt att ta del av de uppgifter som myndigheten förvarar i alla de olika konstellationer som är möjliga att åstadkomma med hjälp av de datorprogram som myndigheten använder. Ett avgörande skäl för att inte nu helt lämna handlingsbegreppet
400 Strömberg, Tryckfrihetsrätt och annan yttrandefrihetsrätt, 11 uppl., s. 90–91.
är emellertid att traditionella pappershandlingar fortfarande spelar en viktig roll i myndigheternas verksamhet. Vidare är begreppet handling så djupt rotat i den svenska grundlagen att det är önskvärt att behålla det.
16.1.4. Handlingar och databaser
16.1.4.1 Hur förvaras uppgifter?
En reglering som innebär att var och en har rätt att ta del av de uppgifter som förvaras hos en myndighet bör konkretiseras för att kunna tillämpas i praktiken. Den omständigheten att uppgifterna måste vara förvarade vid myndigheten innebär som nämnts att de måste vara bevarade på ett sådant sätt att det går att ta del av dem vid upprepade tillfällen. De traditionella handlingarna vållar inte några problem i sammanhanget, utan det är regleringen av de elektroniskt lagrade uppgifterna som måste övervägas. Att endast ersätta handlingsbegreppet med begreppet uppgifter skulle bildligt sett innebära att man t.ex. lösgör alla bokstäver från myndighetens handlingar och lägger dem huller om buller i ett skåp. I syfte att förenkla och förtydliga bör regleringen därför även i fortsättningen knytas till vissa lagringsenheter som används (tidigare utgjordes, som nämnts, dessa lagringsenheter uteslutande av traditionella handlingar). Vanliga pappershandlingar fyller naturligtvis även i fortsättningen denna funktion som ”uppgiftslagrare”.
I en digital miljö är det enligt vår mening naturligt att anknyta dels till uppgifterna lagrade i sin grundform dels till de tekniska hjälpmedel som finns för att göra uppgifterna läsbara. Dagens reglering, som tar sikte på de hypotetiska uppgiftskonstellationer som kan produceras med utgångspunkt från registret – s.k. potentiella handlingar – framstår emellertid som alltför svårbegriplig. Lagstiftaren har dolt vissa frågor inom ramen för begreppet upptagning. Enligt vår mening bör frågor om vad som i egentlig mening förvaras och om vilka sök- och sammanställningsmöjligheter som föreligger behandlas öppet och inte blandas samman.
Genom att skilja mellan grunduppgifter och vad som kan tas fram i läsbar form bör vidare regler som har anknytning till 2 kap. TF kunna förtydligas. Bestämmelserna dels i 15 kap. sekretesslagen, om registrering och utlämnande av allmänna handlingar, dels i arkivlagen, vilka båda tar sin utgångspunkt i 2 kap. TF, går inte att tillämpa på potentiella handlingar. Det är knappast praktiskt möjligt att på förhand ange alla de uppgiftskonstellationer som kan tänkas bli producerade utifrån vissa grunddata, och
arkiveringen måste naturligtvis inriktas på grunduppgifter och eventuellt programvaror. Därför bör myndigheterna ange vad de mer konkret innehar; dvs. dels en uppgiftssamling som utgörs av vissa grunduppgifter, dels vissa möjligheter till sammanställningar.
För sådana uppgiftssamlingar används redan nu i 2 kap. 7 § andra stycket 1 TF beteckningen register. Vår genomgång av registerbegreppet (se avsnitt 16.1.2.3) har dock visat att det kommit att användas med helt annan betydelse i anknytande regler (1 § datalagen) och i tekniska sammanhang. Frågan är då om det går att finna någon annan term med den avsedda innebörden. Ett begrepp som beskriver dessa sammanställningar såsom ”strukturerad uppgiftssamling” är knappast användbart eftersom det i alltför hög grad skulle belasta lagtexten. Vi har vidare övervägt att benämna sådana andra uppgiftssammanställningar som inte är handlingar för ”register” eller ”andra uppgiftssammanställningar”. I vår strävan att tillskapa ett så framtidsinriktat förslag som möjligt har vi emellertid valt att anknyta direkt till begreppet databas för att beskriva den ”plats” där uppgifterna förvaras, oavsett om det handlar om uppgifter på ett papper eller i en dator. Ett sådant val är också ägnat att garantera att inga uppgifter faller vid sidan av offentlighetsprincipen (om inte uppgifterna faller under något av de uttryckliga undantagen i TF för t.ex. minnesanteckning eller koncept). I Europeiska rådets direktiv 96/9/EG av den 11 mars 1996 om rättsligt skydd för databaser definieras en databas som ”en samling av verk, data eller andra självständiga element som sammanställts på ett systematiskt och metodiskt sätt och som var för sig är tillgänglig genom elektroniska medier eller på något annat sätt”. Som tidigare framgått är vår avsikt visserligen att ge begreppet databas en mer generell betydelse, men ett begrepp som detta bör enligt vår mening ändå kunna användas. I det förslag till genomförande av databasdirektivet som har utarbetats på senare tid har man visserligen valt att använda ordet ”sammanställning” i stället för databas. Orsaken är att man anser att när begreppet databas används i svenskan, förs tankarna som regel bara till sammanställningar i digital form.401 Data i betydelsen uppgift är dock äldre. Vi anser emellertid att ordet databas är teknikneutralt och att ordet ”uppgiftssammanställning” inte är lämpligt att använda i det här sammanhanget.
Vårt val av begreppet databas aktualiserar också frågan vad som skiljer ”uppgift” från ”data”. Data betyder i vissa sammanhang uppgifter som har
401 Ds 1996:71 s. 35.
elektronisk form. Vi avser emellertid inte att åstadkomma någon sådan distinktion. Med data avser vi uppgifter, oavsett vilken form de har. Vi skulle med andra ord lika gärna ha kunnat välja begreppet ”uppgiftsbas”.
16.1.4.2 En definition av handlingsbegreppet
När det gäller elektroniska uppgifter kan man inte ta del av dem direkt i den form som de har i en databas, man måste använda ett datorprogram för att ”få fram” uppgifterna. Analysen ovan (se avsnitt 16.1.2) visar att det typiskt sett handlar om två olika objektkategorier som man kan få del av: dels handlingar som har ett på förhand bestämt innehåll dels andra uppgiftssammanställningar som kan ha (och oftast har) olika innehåll beroende på vid vilken tid de tas fram och vilka kriterier man har angett för framtagningen. De senare kan kallas utdrag ur egentliga register. Problemet med den nuvarande regleringen är (som tidigare utvecklats i avsnitt 16.1.2.3) att man blandat samman de båda kategorierna genom att behandla handlingar på samma sätt som register, dvs. man har bortsett från att uppgifter i handlingar (till skillnad från andra upptagningar) formar ett bestämt innehåll som inte får ändras – då blir det nämligen en ny handling. Sammanblandningen har skett därför att uppgifterna i en handling lagras elektroniskt i form av ettor och nollor, alltså i samma grundform som uppgifter i t.ex. ett register. Men där upphör egentligen alla likheter mellan de båda typerna av uppgiftssammanställningar.
För att regleringen skall bli begriplig är det enligt vår mening nödvändigt att handlingsbegreppet förbehålls sådana ”exklusiva” uppgiftssammanställningar som handlingar är. Även om de uppgifter som tillsammans bildar en handling lagras i och därmed utgör del av databaser, bör de behandlas, t.ex. visas, som en oförändrad sammanhållen enhet. Ett ytterligare skäl för att behålla handlingsbegreppet är, som tidigare nämnts, att en stor del av myndigheternas uppgifter alltjämt finns i traditionella handlingar. För handlingar i den traditionella miljön innebär vår föreslagna definition av handlingsbegreppet inte några nyheter.
De övriga uppgifter som förvaras i myndigheternas databaser bör precis som nu omfattas av offentlighetsprincipen i den mån de kan göras tillgängliga i begriplig form med hjälp av de tekniska hjälpmedel som myndigheten förfogar över. Sådana uppgiftskonstellationer utgörs av det (utom handlingar) som i dag betecknas upptagningar.
Allmänna uppgifter kan således finnas i handlingar. Med handling avser vi en specifik samling uppgifter, nämligen sådana som har ett bestämt
innehåll, oavsett om den förekommer på papper eller i elektronisk form. Innehållet har oftast bestämts av utställaren och skall inte förändras.
16.1.4.3 Andra uppgiftssammanställningar – databaser
Handlingar skiljer sig alltså typiskt sett från andra uppgiftssammanställningar, även om en handling naturligtvis också kan sägas vara en uppgiftssammanställning, en databas. En handling har ofta en utställarangivelse, det har inte en annan uppgiftssammanställning. Den som tar del av innehållet i en handling, texten, behöver kunna lita på att innehållet omanipulerat härrör från den som framstår som utställare. Det har inte någon betydelse om uppgifterna i en handling presenteras på ett papper eller på en bildskärm (elektronisk handling), karaktären på sammanställningen är ändå densamma och den bör benämnas handling.
När uppgifter i andra fall samlas in och lagras strukturerat i register är syftet med informationsbehandlingen vanligtvis att uppgifter snabbt skall kunna tas fram och sammanställas på det sätt som behövs i varje enskilt fall. Det har i huvudsak ingen betydelse när och i vilken ordning uppgifterna har registrerats. Ett typiskt fall är att uppgifterna registreras vid skilda tider av olika tjänstemän. Det avgörande är att uppgifterna kan ligga till grund för mer eller mindre flexibla sökningar och sammanställningar. Uppgifterna har, redan när de registrerades i databasen, förberetts för sådana förfaranden. Man vet med andra ord redan när uppgifterna förs in i databasen på vilket sätt man kan söka bland dem (t.ex. vilka sökbegrepp som kan användas) eller sammanställa dem (t.ex. vilka uppgifter som går att kombinera). Det är inte meningen att man skall läsa uppgifterna från början till slut i databasen, utan meningen är att uppgifterna skall läsas på de sätt som läsaren själv anger vid varje enskilt tillfälle.
Precis som när det gäller handlingar har det ingen betydelse om databasen finns på papper eller i elektronisk form. Även en pappersjournal eller ett kortregister är en databas. Det avgörande är att uppgifterna inte tas fram på ett sätt som är en gång för alla givet. Tvärtom är det typiskt att nya uppgifter skall tillföras och att uppgifterna har ställts upp på ett sådant sätt att de har förberetts för sökning. När man skall söka efter och sammanställa uppgifter ur en manuell databas får man med hjälp av registrets uppställning, rubriker m.m. eller instruktioner själv utföra sökningen. I en elektronisk databas sköts naturligtvis själva sökningen och sammanställningen av datorprogrammet.
Vi föreslår sammanfattningsvis att begreppet databas får beteckna sådana uppgiftssammanställningar som inte är handlingar och som typiskt sett har förberetts för införing, sökningar och sammanställningar (på manuell eller elektronisk väg).
16.1.4.4 Gränsdragningen mellan handlingar och databaser
Frågan om en uppgift förekommer i en handling eller i en databas kan ibland tänkas bli svår att besvara. Elektroniska handlingar kan i vissa sammanhang vara att betrakta som databaser och vice verca. Elektroniska handlingar kan t.ex. innehålla definitioner av vissa fält som har förberetts för sökning. Det kan vara fält för namn, adress, ärendemening osv. Därefter kan följa en löpande text. De uppgifter som har förts in i sådana fält som är förberedda för sökning får utan tvekan sägas utgöra innehåll i en databas, men de är samtidigt en del av handlingen. Vidare kan en databas (dvs. uppgifter som har förberetts för sökning och sammanställning) komma att ges in till en myndighet t.ex. på en diskett. I den situationen får ”handlingsrekvisiten” sägas ta över, dvs. den skall registreras som en handling och innehållet skall bevaras så som det såg ut när den kom in. Om uppgifterna sedan behandlas vidare eller sammanställs hos myndigheten får de sägas utgöra en databas.
Enligt vår mening bör inte dessa problem av mera teoretiskt slag överdrivas. Det väsentliga är att allmänheten kan få del av uppgifterna; huruvida det egentligen är en handling eller en databas som är ”lagringsenhet” spelar inte så stor roll. De båda begreppen kan tillåtas överlappa och integreras i varandra. I praktiken torde det vara så att handlingar typiskt hanteras i ord- och textbehandlingsprogram och att registreringssystem av olika slag vanligtvis utgör databaser. Skulle det någon gång uppstå tvekan om en uppgift finns i en handling eller en databas bör det för offentlighetsinsynen fördelaktigaste valet göras.
16.1.4.5 Flera databaser
En myndighet kan ha flera databaser och dessa måste ibland på grund av vissa bestämmelser hanteras var för sig. Databaserna får t.ex. inte hanteras så att ändamålet med behandlingen blir ett annat än det – eller de – som uppställts. Många myndigheter kan antas ha ett mål- eller ärendehanteringssystem som innehåller grundläggande funktioner för sådan hantering, t.ex. registrering av ärenden, parter, inkommande handlingar, beslut osv. I den registerförfattning eller det beslut av Datainspektionen som gäller för
myndigheten finns ofta bestämmelser om vilka sökningar som får göras i systemet och vilka uppgifter som får (eller inte får) sammanställas. Om inte systemet skulle hållas åtskilt från de andra system som myndigheten eventuellt har tillgång till skulle dessa begränsningar inte ha den effekt som är avsedd. Situationen torde i praktiken inte vålla några större problem utan torde i första hand bara uppkomma hos arkivmyndigheter. När allmänheten vill ha uppgifter eller sammanställningar av uppgifter ur databaser hos en arkivmyndighet bör alltså varje databas behandlas som en enhet. Om det finns bestämmelser t.ex. i registerförfattningar om att den myndighet som hade uppgifterna innan de överlämnades till arkivmyndigheten inte fick göra vissa sammanställningar eller sökningar, måste samma sak gälla för arkivmyndigheten. Den får inte heller blanda eller samköra databaser.
16.1.4.6 När blir uppgifterna offentliga?
Uppgifter i handlingar blir på samma sätt som i dag offentliga när handlingen har inkommit eller upprättats. De gällande reglerna är tillämpliga på alla handlingar – pappershandlingar så väl som elektroniska handlingar. Övriga uppgifter i databaser bör som huvudregel bli offentliga så fort de förs in i databasen (såvitt de inte faller under något av undantagen i 2 kap. TF om t.ex. koncept eller minnesanteckningar). De följer alltså de nuvarande reglerna för register, så fort registret har färdigställts för införing blir det allmänt (2 kap. 7 § 2 st. TF). Härigenom garanteras mesta möjliga offentlighet.
16.1.5. Följdändringar
Den nya begreppsapparat som vi föreslår i 2 kap. TF kräver justeringar på alla ställen i lagstiftningen där begreppet allmän handling förekommer. Vi har inte haft möjlighet att inom den tidsram som givits oss lämna förslag till alla de formella följdändringar som behövs, dock lägger vi fram förslag till ändringar i de bestämmelser i grundlagarna – i tryckfrihetsförordningen, regeringsformen och yttrandefrihetsgrundlagen – där begreppet allmän handling förekommer. Vi lämnar också förslag till följdjusteringar i sekretesslagen och arkivlagen.
Den nya begreppsapparat som vi föreslår innebär visserligen att grundbegreppet i 2 kap. TF skall vara allmän uppgift men begreppet handling har fortfarande en egen och delvis annan betydelse. De allmänna
uppgifterna formar en handling (manuell eller elektronisk) t.ex. när de lämnar en myndighet. Även uppgifter som hos myndigheten finns i en databas, t.ex. på ett dagboksblad eller i ett elektroniskt register, lämnar myndigheten i form av en handling (i form av en kopia av dagboksbladet respektive ett registerutdrag). Det är bara så länge uppgiftssamlingar finns hos myndigheten som de har ”databaskaraktär” dvs. så länge man kan fylla på med nya uppgifter, söka bland dem eller göra sammanställningar av dem.402 Vilket begrepp som skall ersätta ”allmän handling” i andra sammanhang får därför avgöras i varje enskilt fall. I många situationer går det säkert att knyta an direkt till begreppet allmän uppgift i stället, nämligen när det är uppgifterna hos myndigheten som avses. I andra sammanhang, när uppgifterna redan har lämnat myndigheten, kan det vara lämpligare att använda såväl handlingsbegreppet som begreppet allmän uppgift och tala om ”allmänna uppgifter i handlingar” eller ”handlingar som innehåller allmänna uppgifter”.
Den nya begreppsapparaten innebär inte att de bestämmelser utanför 2 kap. TF som innehåller begreppet allmän handling förändras i sak. Vad det handlar om är att finna den bästa lagtekniska lösning i olika sammanhang där begreppet allmän handling förekommer utan att några ändringar i sak inträder.
De övriga regler i TF som är aktuella är för det första bestämmelsen i 1 kap. 1 § andra stycket som ger var och en rätt att bl.a. offentliggöra allmänna handlingar i tryckt skrift. Den rätten tar sikte just på uppgifter i handlingar till skillnad från meddelarfriheten i 1 kap. 1 § tredje stycket som omfattar vilka uppgifter som helst, både sådana som finns i handlingar (och databaser) och andra, t.ex. muntliga. Denna åtskillnad återkommer i bestämmelserna i 7 kap. som handlar om brott mot tryckfriheten. Vissa bestämmelser avser fall där någon på ett otillåtet sätt lämnar ut eller offentliggör sekretessbelagda handlingar (7 kap. 3 § 1 st. 2 och 5 § 1). Annat utlämnande av sekretessbelagda uppgifter, t.ex. muntligt, faller under särskilda regler i 7 kap. (t.ex. 3 § 1 st. 1 och 3 samt 5 § 2 och 3). Generellt kan sägas att meddelarfriheten, dvs. rätten att straffritt lämna uppgifter, vilka som helst, är vidare än rätten att lämna ut eller offentliggöra allmänna handlingar. Meddelarfriheten inskränks bara i de kvalificerade fall som nämns i 16 kap. sekretesslagen (bortsett givetvis från de fall som di-
402 Det är en annan sak att den enskilde som har fått ut uppgifterna för egen del också kan vidta sådana åtgärder. Vid det tillfälle de lämnar myndigheten har uppgiftssamlingen ett bestämt innehåll och är därmed en handling.
rekt anges i TF angående brott mot rikets säkerhet och liknande). Vårt förslag till ny begreppsapparat i 2 kap. TF innebär inte på någon punkt någon förändring av de bestämmelser som tar sikte på muntligt utlämnande av uppgifter, varken när det gäller meddelarfriheten i 1 kap. 1 § tredje stycket eller när det handlar om de straffbara förfaranden som nyss nämnts. Dessa bestämmelser behöver således inte justeras. De bestämmelser däremot som handlar om att lämna ut eller offentliggöra allmänna handlingar på ett tillåtet eller otillåtet sätt (1 kap. 1 § 2 st. samt 7 kap. 3 § 1 st. 2 och 5 § 1) avser just uppgifter som finns i handlingar. Begreppet allmän handling bör därför i dessa bestämmelser ersättas av ”handlingar som innehåller allmänna uppgifter”. Även den bestämmelse i YGL (5 kap. 3 §) som innehåller begreppet allmän handling avser yttrandefrihetsbrott som består i att man lämnar ut en sekretessbelagd handling. Resonemanget äger därför til??lämpning också här.
De båda bestämmelser i regeringsformen som är aktuella – 2 kap. 1 § och 8 kap. 18 § – tar å andra sidan sikte på rätten att (hos myndigheten) ta del av allmänna handlingar. Här finns det ingen anledning att gå vägen via handlingsbegreppet utan det är bättre att knyta an direkt till ”allmän uppgift”. Ändringen av bestämmelsen i 18 § är för övrigt en direkt följd av ändringarna i sekretesslagen.
Den närmare utformningen av följdändringarna i de angivna bestämmelserna framgår av författningsförslaget. Eftersom justeringarna inte innebär någon ändring i sak finns det inte någon särskild författningskommentar till dem.
16.1.6. Sammanfattning
Genom att anknyta direkt till uppgiftsbegreppet förenklas och förtydligas regleringen i 2 kap. TF. Ordet uppgift är teknikneutralt och knyter ihop sekretessreglerna med TF. Handlingsbegreppet bör finnas kvar men återfå sin egentliga betydelse. När det gäller övriga uppgifter (som inte finns i egentliga handlingar) bör insynsrätten knytas direkt till den logiska lagringsenheten, av oss benämnd databas. Uppgifter i handlingar bör precis som nu bli allmänna när handlingen (traditionell eller elektronisk) är inkommen eller upprättad, medan uppgifter i databaser bör bli allmänna så fort databasen har färdigställts för införing.
Den nya begreppsapparaten innebär att allmänhetens insynsrätt inte längre knyts till tekniken. Sakligt sett innebär förslaget bara den förändringen att man inte längre kan kräva att myndigheten sammanställer upp-
gifter (ord, meningar) ur ”riktiga” handlingar till nya handlingar, däremot kan allmänheten även i fortsättningen kräva andra sammanställningar av uppgifter ur databaser. Att lagen tidigare formellt sett har omfattat även sådana s.k. potentiella handlingar fyller ingen vettig funktion. Meningen med en handling är just att den har ett visst, en gång för alla, bestämt innehåll, och det är inte meningsfullt att tillskapa nya handlingar till vilka det inte finns någon egentlig utställare. Vi känner heller inte till något fall där sådana sammanställningar har begärts. Vårt förslag har i denna del inte något med användandet av sökfunktioner att göra. Man kan mycket väl även i fortsättningen använda sådana för att t.ex. söka efter ord i handlingar (till detta återkommer vi i avsnitt 17). Men har man väl fått tag i en handling skall hela handlingen, eller en bestämd del av den, lämnas ut så som den ser ut, inte med något annat ”potentiellt” innehåll.
16.2. Förvaring
16.2.1. Allmänt
Längre tillbaka var de handlingar som förvarades vid en myndighet offentliga, under förutsättning att de dessutom var inkomna eller upprättade. När upptagningsbegreppet infördes innebar detta, som tidigare nämnts (se avsnitt 15.2.2), att allt som är tillgängligt för en myndighet blev att anse som förvarat hos myndigheten. Dessutom kom allt som är tillgängligt för myndigheten att anses som inkommet.
När denna tillgänglighetsprincip infördes vållade reglerna inte några större problem. Varje tillgängliggörande föregicks av noggranna överväganden (se avsnitt 15.1). Den nya tekniken med globala nätverk har emellertid gjort att principen nu leder till orimliga konsekvenser. Myndigheterna kan inte längre hålla reda på vilka handlingar de har, än mindre registrera dem. Det är därför en naturlig utgångspunkt att försöka få ordning på vad som är en myndighets allmänna uppgifter och vad som inte är det.
16.2.2. Myndighetsgränserna bör inte suddas ut
Enligt vår mening bör offentlighetsinsynen även i fortsättningen innefatta såväl ärendeinsyn som verksamhetsinsyn, med inslag av kunskapsinsyn
(jämför avsnitt 15.6). Visserligen har datorerna blivit betydligt snabbare och informationsmängderna större men offentlighetsinsynen torde alltjämt och under överskådlig tid komma att fylla samma syften. Insynen bör i enlighet härmed vara begränsad till (de svenska) myndigheternas uppgifter. Att en myndighet har tekniska möjligheter att nå databaser hos privaträttsliga subjekt (eller utländska myndigheter) via t.ex. Internet bör alltså inte leda till att de upptagningar som finns där ses som allmänna.
Det angivna syftet med offentlighetsinsyn innefattar inte heller att offentlighetsuttag måste få ske över myndighetsgränser. Tvärtom bör det enligt vår mening undvikas att gränser mellan myndigheter och deras informationstillgångar raderas ut. Sådana gränser behövs om myndigheterna i praktiken skall kunna leva upp till kraven på god offentlighetsstruktur. För att myndigheterna skall kunna följa föreskrifterna i 15 kap. sekretesslagen t.ex. om att registrera handlingar, att lämna ut uppgifter ur allmänna handlingar till allmänheten (vanligen vid telefonsamtal), att tillhandahålla tekniska hjälpmedel så att allmänheten själv kan ta del av uppgifter (s.k. presentationsterminal) osv. förutsätts att myndigheten har överblick över vilka handlingar den har. För att offentlighetsinsynen skall fungera krävs helt enkelt att myndigheterna har kontroll över sina uppgifter. Om gränserna mellan myndigheter suddas ut kan det enligt vår mening i själva verket innebära en försämrad offentlighetsinsyn.
Vidare bör sekretessfrågor och frågor om persondataskydd, som av myndigheterna allmänt uppfattas som svårhanterliga, inte kompliceras genom att underlaget för denna prövning vidgas till uppgifter som egentligen tillhör andra myndigheter. Varje myndighet skall tillämpa sina sekretessregler. Olika sekretessbestämmelser kan gälla för samma uppgift hos olika myndigheter.
Frågan är inte ny men den får helt andra dimensioner om stora mängder myndighetsinformation i enlighet med vår framtidsvision (se avsnitt 15.3) blir tekniskt åtkomlig hos flera myndigheter. Den nuvarande sekretessregleringen bygger på att myndigheterna typiskt sett hanterar vissa uppgifter. Om dessa uppgifter görs tillgängliga t.ex. även för en annan myndighet, tillskapas visserligen ofta nya sekretessregler så att samma sekretess skall gälla vid båda myndigheterna. När det gäller uppgifter som den andra myndigheten verkligen har hämtat och använder i den egna verksamheten uppstår inga problem. Regleringen urholkas emellertid om myndigheten tvingas lämna ut och sekretesspröva även uppgifter som inte har någon anknytning till verksamheten. Skyldigheten att lämna ut uppgifterna är i
det fallet helt och hållet knuten till den omständigheten att uppgifterna är tillgängliga.
Mot detta måste ställas önskemålet att inte besvära en enskild med att besöka olika myndigheter för att få del av visst material som är tekniskt åtkomligt vid en av myndigheterna. Med dagens kommunikationsteknik bör sådana hinder för den enskilde dock kunna undvikas genom en översyn av bestämmelserna om tillhandahållande av allmänna handlingar (2 kap. 12 och 13 §§ TF). Vidare kan myndigheterna ändå lämna ut materialet som en serviceåtgärd. Vi återkommer i avsnitt 18 till hur allmänhetens åtkomst till myndighetsinformation skall kunna underlättas.
Behovet av gränser mellan myndigheter och informationstillgångar gör sig alltså gällande med sådan styrka att regleringen i TF inte bör utformas så att en myndighet, endast på grund av teknisk åtkomst, skall vara skyldig att för offentlighetsinsyn lämna ut en annan myndighets uppgifter. De olägenheter detta kan medföra för enskilda bör mötas genom att reglerna om utlämnande anpassas till dagens IT-användning.
Beträffande handlingar hos (svenska) myndigheter innebär detta ingen inskränkning av rätten till offentlighetsinsyn. Den som vill ta del av en viss handling har endast att vända sig till en myndighet som har handlingen bland sina informationstillgångar. Beträffande upptagningar som finns hos privata subjekt eller myndigheter i annat land, men som är tekniskt åtkomliga vid en svensk myndighet, bör nuvarande reglering dock begränsas. Det är inte önskvärt med en fortsatt utradering av gränser mellan svenska myndigheters respektive enskildas och utländska myndigheters uppgifter. Naturligtvis blir sådana upptagningar allmänna om de hämtas från en sådan källa till en svensk myndighet. Dokumentationsskyldigheten enligt 14 § datalagen, som innebär att elektroniska uppgifter som har använts vid handläggningen av t.ex. ett ärende skall tillföras ärendet i läsbar form, ger ett skydd mot att ärendeinsynen inskränks (se vidare beträffande dokumentationsskyldigheten avsnitt 21.4.3) I den mån detta anses otillräckligt beträffande externa uppgifter bör skyldigheten att dokumentera vidgas, inte synen på vad som utgör myndighetens uppgifter. Den snabba utvecklingen mot öppna informationssystem och kraftfulla telekommunikationer leder annars till en världsvid ”offentlighetsinsyn” som inte har anknytning ens till kunskapsinsyn relaterad till svenska myndigheter.
16.2.3. Ett nytt sätt att avgränsa
Frågan är då hur man avgränsar en myndighets allmänna uppgifter. Man skulle kunna tänka sig att sätta gränsen vid sådant (på papper eller i elektronisk form) som myndigheten ansvarar för, eller sådant som myndigheten skall ha enligt de regler som bestämmer verksamheten vid myndigheten. Sådana avgränsningsmetoder riskerar emellertid att inskränka insynen. Enligt gällande rätt behöver man inte göra någon bedömning av ”vems” uppgifterna är eller borde vara. Finns handlingen hos myndigheten är den allmän, punkt slut. Enligt vår mening är detta en bra utgångspunkt som inte vållar några problem när det gäller traditionella pappershandlingar.
Vad som kräver närmare överväganden är hur man bestämmer vilka elektroniska uppgifter som finns hos myndigheten. Det har t.ex. blivit allt vanligare att en myndighet för sin verksamhet anlitar ett dataföretag – eller en annan myndighet – som äger och i sina lokaler driver (delar av) det informationssystem som myndigheten använder.403 En användare som hämtar eller lagrar en elektronisk handling i t.ex. ett ärende märker dock knappast någon skillnad om data förvaras i samma hus eller på annan plats av ett privaträttsligt subjekt eller en annan myndighet som har anlitats för ändamålet.
Den syn som vuxit fram utanför TF, beträffande vem som skall anses inneha ett ”förvar” för digitala data och de lagringsenheter som förvaras där, innebär inte att det anses tillräckligt om data är tillgängliga för överföring till läsbar form. Ett sådant synsätt hade inneburit att t.ex. den som administrerar ett informationssystem för e-post och därmed har tekniska möjligheter att läsa meddelandena skulle ses som ”innehavare” av dessa.404 Synen på vem som anses inneha sådana ”förvar” bygger inte heller på traditionella avgränsningar utifrån vad som fysiskt har inneslutits i traditionella utrymmen och förvar såsom rum, slutna lådor och kuvert. Då hade en rationell IT-användning hindrats. Utvecklingen har i stället gått mot logiska avgränsningar och skydd för de ”förvar” för digitala data som tillhör en myndighet eller ett företag.405 Numera finns i allmänt språkbruk
403 Det förekommer också att en annan myndighet anlitas för driften av informationssystemet, jämför t.ex. den roll RSV Dataservice har inom skatteförvaltningen. 404 Jämför straffbestämmelserna i 4 kap. 8 § BrB (brytande av telehemlighet) och 21 § datalagen (dataintrång). 405 Sådana skydd innebär vanligtvis att obehörig åtkomst hindras genom t.ex. krav på angivande av lösenord för tillträde eller genom att data krypteras.
till och med ett särskilt uttryck – cyberrymden (engelskans cyberspace) – för att beteckna de ”elektroniska platser” som skapas.406
Ett delvis nytt tänkande har alltså trängt in på området till följd av bl.a. informationssystemens utformning och nya uttryckssätt. På samma sätt som någon kan äga eller hyra och därvid ensam (eller tillsammans med vissa andra) ha rätten att bereda sig tillgång till hus, rum eller något annat fysiskt förvar och de handlingar som finns där, utformas IT-miljön alltmer så att elektroniska utrymmen med därtill knutna resurser för databehandling kan ”ägas”, ”hyras” etc.407 Skillnaden är att det fysiska innehavet av visst rum eller förvar med där förvarade handlingar ersätts av en rätt till ett ”elektroniskt utrymme”, som är i det närmaste oberoende av var de tekniska hjälpmedlen finns.408 Till detta knyts tekniska rutiner så att gränser mellan verksamheter och ansvarsområden kan upprätthållas.
Detta har kommit till särskilt tydligt uttryck på två områden; skyddet mot olovlig åtkomst och rutinerna för elektronisk adressering. När införandet av regler i 2 kap. TF för ADB-upptagningar övervägdes var skyddet mot olovlig åtkomst till data i huvudsak fysiskt. Datorer och andra tekniska hjälpmedel förvarades så att endast vissa personer kunde komma åt dem. Utvecklingen mot att myndigheter och enskilda skall kunna kommunicera elektroniskt och att de som är behöriga skall kunna nå data oberoende av var de befinner sig, har dock fört med sig att det fysiska skyddet – inriktat på t.ex. datorhallar, terminalrum, kopplingspunkter för nät etc. – har ersatts av logiska skydd såsom personliga lösenord, kryptering och liknande rutiner.409 Övergången till logiska skydd har påskyndats genom att datorerna nu allt oftare ansluts till allmänt tillgängliga nät. Då är naturligtvis fysiska skydd inte tillräckliga; kan nätanslutningen användas för att
406 Jämför uttrycket kvasimateriella utrymmen som använts av Datastraffrättsutredningen (SOU 1992:110, bl.a. s. 96 ff.). 407 Här har, genom avtal, minst lika komplicerade rättsliga mönster som i traditionell miljö utvecklats. Exempelvis kan den som inte vill skaffa en egen webbserver (dvs. en dator uppkopplad direkt mot Internet) hyra plats i ett s.k. webbhotell. 408 Det som med en juridisk term i traditionell miljö betecknas som besittningen till en sak har alltså ersatts av en rätt till något närmast immateriellt. 409 Som ett ytterligare exempel på denna utveckling mot virtuella indelningar i olika elektroniska förvar kan nämnas en säkerhetsprogramvara, som numera blivit vanlig hos vissa myndigheter – det s.k. allterminalenkonceptet. Denna programvara kan till och med användas så att två användare som brukar samma persondator endast ges tillgång till sina egna informationslager på datorns hårddisk.
nå ut finns också en ”öppen dörr” för att ta sig in i myndighetens informationssystem.
På motsvarande sätt har det i IT-miljön blivit allt svårare att finna entydiga fysiska knytningar mellan de adresser till och från vilka data överförs och de tekniska hjälpmedel som avsändarna och mottagarna använder. Ett tydligt exempel på detta är de nyligen genomförda ändringarna av bestämmelserna i rättegångsbalken om hemlig teleavlyssning och hemlig teleövervakning. Sambandet mellan den person som åtgärden skulle avse och viss plats, ledning, kopplingspunkt och (stationär) telefon var tidigare naturligt och närmast självklart. Regleringen kan emellertid inte längre knytas till sådana fysiska ting när telefonen som används är mobil. I stället för att knyta an till begrepp som ”teleanläggning” och ”telenät” har man fått identifiera den logiska adress (teleadress) som ett meddelande skickas från eller till (27 kap. 18 och 19 §§ RB).
IT-utredningen har på liknande sätt föreslagit att en handling som överförs elektroniskt skall anses ha kommit in till myndigheten i processuell mening, när den har anlänt till myndighetens elektroniska adress; oberoende av om meddelandet i teknisk mening befordras direkt till myndighetens informationssystem eller till en ”postbox” som myndigheten hyr hos ett befordringsföretag.
16.2.4. Fysiskt och logiskt förvar
Regleringen av offentlighetsinsynen bör knytas till denna utveckling där fysiska gränser i traditionell miljö ersätts av motsvarande – logiska – avgränsningar i IT-miljön. Därigenom tar man tillvara både traditionella rutiner och de synsätt utifrån vilka informationssystem och telekommunikationer numera byggs upp. Vi föreslår alltså att en myndighets IT-baserade informationstillgångar skall avgränsas utifrån de fysiskt och logiskt avgränsade förvar som tillhör myndigheten.410
I den mån disketter, magnetband, hårddiskar och andra bärare av digitala data finns i myndighetens lokaler bör dessa data, på motsvarande sätt som pappershandlingar, anses vara förvarade hos myndigheten. En sådan princip är lätt att förstå och kräver ingen särreglering. Därmed återstår de ovan beskrivna logiskt avgränsade förvaren för digitala data som en myn-
410 Jämför vårt ställningstagande i avsnitt 16.2.3 att gränser mellan myndigheter samt mellan myndigheter och enskild inte bör utraderas.
dighet kan nå med telekommunikation, utrymmen som kan betecknas elektroniska arkiv.411 På samma sätt som det redan införda begreppet teleadress och det föreslagna begreppet elektronisk adress inte är beroende av fysisk lokalisering, skall myndighetens elektroniska arkiv anses finnas hos myndigheten, även om lagringen fysiskt sker hos en annan myndighet eller ett företag som har anlitats för ändamålet. Synen på de elektroniska förvaren blir därmed parallell med den syn på förvaring som gäller för traditionell miljö. Som exempel på en sådan IT-användning kan nämnas att vissa domstolars informationsbehandling till viss del utförs i en dator som finns hos en annan domstol. Domstolarna har därvid skilda elektroniska arkiv i samma dator.
I praktiken kan man alltså skilja mellan två fall. Det ena innebär att kommunikationen sker på traditionellt sätt. Myndigheten har en sluten ITmiljö så att data skapas och lagras i myndighetens lokaler eller tillförs genom att disketter eller andra databärare rent fysiskt lämnas till myndigheten. Det andra huvudfallet baseras på en öppen IT-miljö, där myndigheten via nät kan nå egna elektroniska arkiv som fysiskt kan finnas på annat håll. I en sådan miljö kan data överföras via nät från någon annans elektroniska förvar till myndigheten, t.ex. som e-post via Internet. Som exempel kan nämnas att material på en diskett fysiskt kan föras bort från myndigheten genom att kopieras till ett elektroniskt arkiv som myndigheten har hos ett dataserviceföretag, medan disketten gallras. Eftersom materialet då finns i myndighetens elektroniska arkiv i stället för fysiskt hos myndigheten, blir det enligt vårt förslag inte någon skillnad från offentlighetssynpunkt, jämför en pappershandling som flyttas från en pärm i myndighetens kansli till en kartong i källaren för långtidsförvaring.412
Regleringen i 2 kap. TF av vad som är att anse som förvarat hos en myndighet bör således innefatta inte bara det som finns i myndighetens lokaler utan också det som finns i elektroniska arkiv som tillhör myndigheten. Förvaring blir därmed – såsom i pappersmiljön – liktydigt med att något har tillförts myndighetens (fysiska eller logiska) utrymmen och inte har gallrats. Rekvisitet förvarad får alltså en självständig betydelse också på
411 Denna begreppsanvändning, som kan antas ge läsaren just de associationer som avses, torde också kunna förenas med arkivlagen (1990:782), där det i 3 § föreskrivs att en myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet. 412 I praktiken använder myndigheterna naturligtvis båda dessa förfaringssätt och i bland i olika kombinationer.
IT-området, samtidigt som denna lösning knyter an till traditionellt synsätt och härigenom blir enklare att förstå.
Vårt resonemang skulle kunna ge intryck av att vi avser att föreslå ett förbättrat integritetsskydd på bekostnad av insynen i myndigheternas allmänna uppgifter. Förslaget syftar emellertid till sådana förenklingar av regleringen att IT skall kunna användas på ett sätt som ger enskilda möjlighet att minst lika enkelt och snabbt som i dag finna de allmänna uppgifter de söker och få dem utlämnade i en form och på en plats som är anpassad till de möjligheter som modern teknik ger. Förslaget leder enligt vår mening till att myndigheterna återfår kontrollen över sina allmänna uppgifter och därmed skapas bl.a. förutsättningar för att de skall kunna åläggas en principiell skyldighet att även lämna ut allmänna uppgifter i elektronisk form (se vidare avsnitt 18.6.1).
16.2.5. Gemensamt förvar
En databas kan vara gemensam för flera myndigheter. Det kan t.ex. finnas ett centralt register som regionala myndigheter inom samma organisation har helt eller delvis tillgång till. På motsvarande sätt kan myndigheter ha åtkomst till varandras databaser. Vem anses i dessa fall förvara databasen? Var basen finns rent fysiskt har enligt vårt resonemang ingen betydelse.
Den omständigheten att en myndighet kan ”se” eller hämta uppgifter från t.ex. ett nationellt register medför inte att det anses förvarat hos myndigheten (givetvis blir de uppgifter som väl hämtas till myndigheten tillhöriga denna). Om myndigheten däremot kan påverka innehållet i databasen genom att självständigt föra in eller ta bort uppgifter får situationen anses vara den omvända. Den myndigheten får anses ha registret i sitt förvar. För myndigheten in uppgifter i en databas uteslutande enligt instruktioner av den myndighet som administrerar databasen kan emellertid inte den förstnämnda myndigheten sägas förvara databasen. Sådana osjälvständiga uppdateringar kan bestå i att en myndighet – i stället för att t.ex. expediera beslut till en annan myndighet – skickar uppgifter i elektronisk form till en annan myndighets dator i det format som den sistnämnda myndigheten bestämmer. I det fallet kan man inte tala om att den uppgiftslämnande myndigheten skulle ha databasen i sitt förvar.
Det kan även tänkas förekomma fall där flera myndigheter helt eller delvis har samma databas i sitt förvar (på motsvarande sätt kan samma handling förekomma hos flera myndigheter). I det fallet prövar var myndighet för sig utlämnanden av uppgifter ur hela databasen. Varje myndig-
het har därvid att tillämpa de sekretessbestämmelser som gäller för den myndigheten.
Sammantaget skall den myndighet (eller de myndigheter) som ansvarar för databasen anses förvara den.
16.2.6. Den lagtekniska lösningen
Vi föreslår således att konstruktionen i 2 kap. 3 § andra stycket TF som innebär att det skall anses förvarat som är tekniskt tillgängligt för myndigheten skall tas bort. Vi har övervägt om det i lagen måste förklaras vad som är en myndighets förvar. Av den förklaringen skulle då framgå att även elektroniska arkiv (elektroniska förvar) omfattas. Vi har vidare övervägt att föreslå en definition av begreppet elektroniskt arkiv, t.ex. ett lagringsutrymme för digitala data som används i myndighetens verksamhet eller som myndigheten förfogar över. Risken är emellertid att sådana definitioner blir begränsande. Förvaringsbegreppet har inte tidigare varit definierat. I en traditionell miljö krävs det visserligen att det finns en lokal anknytning till myndigheten, men detta skall enligt lagmotiven inte uppfattas så snävt att handlingen alltid måste befinna sig i myndighetens egna lokaler för att anses förvarad hos denna. I praxis har sådana avsteg också skett. Vi avser inte att åstadkomma någon förändring härvidlag. Den omständigheten att begreppet förvar i en modern miljö även omfattar elektroniska förvar, behöver enligt vår mening inte skrivas in i lagen. Som alltid bör gälla i tveksamma fall skall den tolkning väljas som bäst tillgodoser offentlighetsinsynen, på motsvarande sätt som har gjorts beträffande traditionella förvar.
16.3. Inkommen
16.3.1. Inledning
Som tidigare nämnts har tillgänglighetsprincipen fått avgöra även vad som skall anses vara inkommet till en myndighet. Det har således ansetts tillräckligt att det är möjligt för myndigheten att ta del av eller hämta uppgifter för att de skall anses vara inkomna. Konsekvensen i en modern IT-miljö har blivit att även sådana uppgifter som inte hämtas av myndigheten anses vara allmänna bara för att möjligheten finns att ta del av dem. Som anförts
(se ovan under avsnitt 15.2.2) har denna regeltolkning efter hand uppfattats som alltmer orimlig. Vårt förslag att uppgifter skall anses förvarade hos en myndighet om lagringsenheten finns i fysiska eller logiska utrymmen som tillhör myndigheten bör kunna användas även för att förenkla och förtydliga reglerna om inkommande handlingar.
16.3.2. Förslag på angränsande områden
Frågan om när en elektronisk handling skall anses vara inkommen till en myndighet har varit aktuell även i andra sammanhang. I samband med tulldatoriseringen infördes en bestämmelse i tullagen om inkommet elektroniskt dokument, och den utformades utifrån samma tillgänglighetsprincip som i TF; dvs. att handlingen endast behöver vara tillgänglig för överföring till läsbar form.413 Detta synsätt återkom i ett förslag till reglering av inkommande elektroniska dokument på skatteområdet.414 De undantag som bedömdes vara nödvändiga för att korrigera oönskade resultat av en tillgänglighetsprincip visade sig dock bli komplicerade och flera remissinstanser var kritiska eller tveksamma till förslaget, som inte har föranlett lagstiftning.
IT-utredningen, som nyligen föreslagit regler i RB, FPL och FL om inkommande elektroniska handlingar, har betonat att frågan om en handling skall ses som inkommen – av hänsyn till arbetets behöriga gång – måste kunna avgöras enkelt och snabbt, oberoende av i vilken form och på vilket sätt handlingen når myndigheten. Grunderna för bedömningen av om en elektronisk handling är att anse som inkommen bör vara enkla och uppfattas som naturliga, också av den som inte har ingående kunskaper om IT. Därför var det enligt utredningen mindre lämpligt att utgå från när en myndighet har tekniska möjligheter att göra en handling tillgänglig i läsbar eller annars uppfattbar form. I stället föreslogs en nära anknytning till de regler som gäller i dag för traditionella handlingar. Elektroniska handlingar på disketter eller andra databärare som överbringas med vanlig post eller lämnas t.ex. med bud i myndighetens lokaler bör enligt utredningen följa reglerna om när vanliga handlingar skall anses inkomna, medan en handling som överförs elektroniskt som huvudregel bör anses ha kommit in till
413 Se vidare SOU 1989:20 s. 146 ff., prop. 1989/90:40 s. 28 ff. och numera 13 § tullagen (1994:1550); jämför prop. 1994/95:34 s. 8 och 129. 414 Ds 1994:80 s. 152 ff.
en myndighet den dag då handlingen har anlänt till myndighetens ”elektroniska adress”, oberoende av var denna elektroniska ”postbox” fysiskt är belägen.415
16.3.3. Vårt förslag
Vår syn på förvaring gör det möjligt att såsom i traditionell miljö knyta inkommandepunkten till huruvida uppgifter har nått fram till ett ”utrymme” som tillhör myndigheten. Överlämnas elektroniskt material genom att en databärare överbringas till myndigheten, t.ex. med vanlig post eller bud, bör materialet anses inkommet när databäraren anländer till myndigheten. På motsvarande sätt bör IT-material som överförs elektroniskt anses ha kommit in när de elektroniska impulser som representerar handlingen har nått fram till myndighetens elektroniska arkiv – antingen till en dator i myndighetens lokaler eller till ett elektroniskt förvar som tillhör myndigheten men som finns på annan plats.
En sådan reglering blir enkel att tillämpa eftersom den följer samma principer som för traditionella handlingar. Lagtekniskt krävs, beträffande databärare som överbringas till myndigheten, endast att den nuvarande tillgänglighetsprincipen tas bort så att huvudregeln för traditionella handlingar blir tillämplig också på IT-material. Beträffande material som överförs elektroniskt kan inkommandepunkten i princip bestämmas på samma sätt som IT-utredningen har föreslagit för den processuella regleringen, dvs. att data skall ha nått myndighetens elektroniska adress. Även i denna del blir regleringen alltså mer lättbegriplig. Den som handlägger en fråga om utlämnande har, i analogi med vad som redan gäller för traditionell miljö, att utgå från de lagringsenheter som finns hos myndigheten, inte vilka uppgifter som tekniskt kan nås oberoende av fysiska och logiska gränser mot andra myndigheters och enskildas informationstillgångar.
För att göra regleringen så enkel som möjligt bör samma terminologi användas i 2 kap. TF för såväl förvaring som inkommande. Elektroniskt material som överlämnas genom att en databärare överbringas till myndigheten (t.ex. en diskett) anses enligt detta resonemang inkommet när databäraren anländer till myndigheten, medan material som överförs elektroniskt (t.ex. via e-post) anses ha kommit in när data som representerar handlingen har nått fram till ett elektroniskt arkiv som tillhör myndigheten.
415 SOU 1996:40 s. 63 ff.
16.4. Upprättad
Syftet bakom regleringen i 2 kap. 7 § TF att en handling skall vara upprättad, dvs. ha fått sin slutliga utformning för att vara allmän, är att ge myndigheterna arbetsro. Paragrafen har getts en teknikneutral utformning och någon speciell definition för ADB-upptagningarnas del har inte införts. Vissa komplikationer har dock framträtt till följd av att gränsen mellan inkommande och upprättande i vissa fall varit oklar, t.ex. om en myndighet själv skaffat sig möjligheter att på visst sätt bearbeta material som hämtats ur en extern databas.
Frågan torde i någon mån komma att förenklas genom vår syn på förvaring och inkommande. Någon särskild reglering för upprättande i ITmiljö bör inte heller nu införas i TF.
17. Sökningar och sammanställningar
Myndigheternas skyldighet att använda tillgängliga sök- och sammanställningsrutiner bör komma till uttryck direkt i lagen. Även i fortsättningen bör myndigheterna vara skyldiga att utföra sådana ytterligare sök- och sammanställningsåtgärder som de inom rimliga gränser kan klara av. Detta bör i lagen uttryckas så att de är skyldiga att vidta sådana åtgärder om det kan ske utan nämnvärda kostnader. Regeln om att rättsliga begränsningar att söka och sammanställa gäller lika för myndigheter och allmänhet bör formuleras i en särskild bestämmelse. I stället för att knyta an till uppgifter som ingår i personregister bör regeln omfatta sådana begränsningar som har tillkommit för att skydda den personliga integriteten.
17.1. Bakgrund
När allmänheten tidigare ville söka bland myndighetens allmänna handlingar hänvisades man till vissa handlingar som typiskt sett var ämnade för detta, t.ex. diarier, journaler eller dagboksblad. Allmänheten hade (och har) ingen rätt att fritt söka efter handlingar i myndighetens lokaler. Det ansågs som självklart vilka rutiner som stod till allmänhetens förfogande för att söka efter och ta fram allmänna uppgifter. Som konsekvens av detta finns det inte några uttryckliga bestämmelser i TF om sökning.
Allmänheten kunde inte heller kräva att myndigheten sammanställde uppgifter från olika handlingar och presenterade resultatet i form av en ny handling. Handlingar (eller delar av sådana) lämnades ut med ursprungligt innehåll och eventuella bearbetningar för att framställa nya uppgiftskonstellationer fick den sökande utföra själv.
Reglerna om ADB-upptagningar i TF som infördes på 1970-talet har emellertid medfört att de sammanställningar av uppgifter som kan göras med de sökhjälpmedel som myndigheten har tillgång till eller kan ta fram
med rutinbetonade åtgärder numera omfattas av offentlighetsprincipen. Myndigheternas skyldighet att på begäran använda enkelt tillgängliga sök- och sammanställningsmöjligheter framgår dock bara av motiven till grundlagsändringen.
Vad som är rutinbetonat och enkelt beror i första hand på de tekniska förutsättningarna vid den enskilda myndigheten. Även kompetensen vid den enskilda myndigheten får betydelse för vad som kan anses vara rutinbetonat och enkelt.
Frågan kan belysas med följande exempel. Om ett register finns hos såväl RSV som ett skattekontor som hör till skattemyndigheten i ett län kan den enskilde välja att begära ut informationen hos RSV, där en tillgänglig ADBexpert kanske snabbt och enkelt kan genomföra synnerligen avancerade tekniska åtgärder varigenom den begärda körningen blir möjlig. För en handläggare vid närmaste skattekontor skulle samma begäran förmodligen uppfattas som en oöverstiglig uppgift. Experten kan eventuellt vidta åtgärden på någon minut. För honom kan även synnerligen komplicerade åtgärder vara rutinbetonade.
Ibland har myndigheternas möjligheter att söka efter och sammanställa uppgifter i personregister begränsats rättsligt genom (vanlig) lag eller förordning eller ett särskilt beslut, som grundar sig på lag. De rättsliga begränsningarna har gjorts för att skydda enskildas personliga integritet. Sådana rättsliga begränsningar gäller i dag också när någon med stöd av offentlighetsprincipen begär att en viss sammanställning skall göras (2 kap. 3 § 2 st. TF), dvs. det skall råda likställighet mellan myndighetens och allmänhetens möjligheter att söka och sammanställa uppgifter.
När kravet på likställighet upprätthålls har dock även allmänt hållna föreskrifter godtagits. Som exempel kan nämnas ett besvärsärende angående en föreskrift som Datainspektionen meddelat med stöd av 5 § datalagen rörande utsökningsregistret, för tid innan utsökningsregisterlagen antogs av riksdagen. Regeringen föreskrev därvid, med ändring av Datainspektionens beslut, att RSV och kronofogdemyndigheterna inte får överföra andra sammanställningar av uppgifter till läsbar form än som behövs för verksamheten inom myndighetens verksamhetsområde. Enligt beslutsmotiveringen saknar de aktuella myndigheterna därmed rättslig befogenhet att göra sådana upptagningar tillgängliga, samtidigt som allmänheten inte har någon rätt enligt TF att ta del av sådana upptagningar.416 Vid lagregleringen av utsökningsregistret infördes på motsvarande sätt en bestämmelse enligt vilken de registeransvariga myndigheterna särskilt skall iaktta att uppgifterna i regist-
416 Se vidare SOU 1988: 64 s. 78 och Kring/Wahlqvist, Datalagen med kommentarer, s. 138 f.
ret får bearbetas endast i enlighet med registrets ändamål (om inte regeringen i det enskilda fallet medger annan bearbetning). Det skulle därmed enligt lagmotiven inte vara tillåtet att använda särskilda program för att sammanställa uppgifter om de registrerades ekonomiska förhållanden, i den mån detta inte är direkt motiverat av kronofogdemyndigheternas egen verksamhet.
17.2. Utgångspunkter
Vår uppgift är inte att förändra offentlighetsprincipen men att se över regelverket mot bakgrund av den tekniska utvecklingen. När de nya reglerna infördes på 1970-talet var möjligheterna att elektroniskt söka och sammanställa uppgifter relativt begränsade, och det krävdes oftast kostsamma och tidsödande åtgärder för att föra in nya sökmöjligheter. Nu behandlas alltfler uppgifter i digital form och på ett sådant sätt att sökfunktioner är nödvändiga för att över huvud taget kunna ta del av uppgifterna. Detta kan uttryckas så att data har skilts från databäraren. Uppgifterna lagras på datamedium i sin grundform (i form av ettor och nollor), och det är först genom att använda ett program som de lagrade uppgifterna blir begripliga för en människa. När det gäller databaser har man i regel inte något intresse av att på en gång få samtliga uppgifter som är lagrade, utan ett visst urval. Programmets sök- och sammanställningsfunktioner är således av grundläggande betydelse för möjligheterna att ta del av elektroniskt lagrade uppgifter i databaser. Sökfunktionerna har också stor betydelse för möjligheterna att finna uppgifter i elektroniska handlingar.
Därför är det enligt vår mening otillfredsställande att myndigheternas skyldigheter att på begäran söka efter och sammanställa uppgifter endast framgår av lagens motiv. Denna skyldighet bör i stället komma till klart uttryck i grundlagen. Därmed blir regleringen tydligare och så enkel att förstå att den kan tillämpas i vardagslag på alla myndigheter. Samtidigt får allmänhetens rätt till en allsidig insyn ett förstärkt grundlagsskydd.
En utgångspunkt bör som vi ser det vara att de nya sök- och sammanställningsmöjligheter som tekniken ger skall få utnyttjas också för att förbättra offentlighetsinsynen, om det inte finns några verkligt bärkraftiga skäl för inskränkningar. I den mån myndigheternas verksamhet effektiviseras skall även offentlighetsinsynen effektiviseras. I det sammanhanget bör
även i fortsättningen den s.k. likställighetsprincipen417 råda. Detta är nödvändigt för att offentlighetsprincipens huvudsyften (kontroll och insyn) också i framtiden skall kunna tillgodoses.
En annan – tämligen given – utgångspunkt är att det i första hand måste vara verksamhetens behov som avgör vilka uppgifter som samlas in och med vilka tekniker uppgifterna hanteras. Det innebär bl.a. att en myndighet som inte på grund av verksamhetens behov har skaffat sig t.ex. vidsträckta sökmöjligheter inte heller skall behöva lägga ned pengar på detta för att bättre kunna tillgodose allmänhetens intresse av en allsidig insyn. Även i fortsättningen bör alltså offentlighetsinsynen följa den enskilda myndighetens nivå när det gäller informationshantering. De kommersiella eller andra intressen som finns, kan inte heller i fortsättningen kräva att myndigheten utför helt nya behandlingar, som går långt utöver verksamhetens behov. Om myndigheten ganska enkelt kan söka efter eller sammanställa uppgifter som den förvarar, bör dock allmänheten enligt vår mening ha rätt att dra nytta av sådana rutiner, även om det ligger utanför vad myndigheten normalt gör.
Att offentlighetsprincipen för det första skall omfatta alla sök- och sammanställningsrutiner som myndigheten faktiskt använder i sin verksamhet är således klart. Enligt gällande rätt kan allmänheten dessutom kräva att myndigheten använder även andra sök- eller sammanställningsrutiner, men bara om detta kan anses falla under ”rutinmässiga åtgärder”. Vår uppgift i sammanhanget är att överväga om detta är en lämplig avgränsning.
Den andra frågan är i vad mån rättsliga begränsningar av en myndighets rätt att själv söka och sammanställa, som har uppställts för att skydda enskildas personliga integritet, skall gälla även när någon enskild med stöd av offentlighetsprincipen begär att en viss sökning eller sammanställning skall göras. Likställighetsprincipen bör även i detta sammanhang bilda utgångspunkt. En myndighet bör inte vara skyldig att på begäran av en enskild göra något som den enligt en klar rättsregel inte får göra själv. En annan ordning vore orimlig.
417 Dvs. det som myndigheten kan göra skall allmänheten ha rätt att ta del av.
17.3. Förhållandet mellan databas och sökning
Såsom framgått reglerar 2 kap. 3 § andra stycket TF med därtill hörande motivuttalanden både rätten att göra uppgiftssammanställningar och rätten att söka efter uppgifter och handlingar. Tillgänglighetsrekvisitet rymmer både uppgiftssammanställningar och ”rena” sökningar efter uppgifter eller handlingar. En djupare analys skulle troligen visa att det i grund och botten handlar om samma sak418. För att hitta regler som är enkla och tydliga kan det dock vara ändamålsenligt att hålla isär å ena sidan sökningar som typiskt sett syftar till att sammanställa enstaka uppgifter i olika konstellationer (såsom vanligen är fallet med uppgifter i databaser) och å andra sidan ”rena” framsökningar.
Sökmomentet ingår redan i vår beskrivning av begreppet ”databas”. En databas är en samling uppgifter som är så strukturerad att det går att söka i den på vissa sätt. Att ta del av uppgifter i en databas innebär i princip alltid att det sker en sökning. Det som är typiskt för en sådan sökning är att den resulterar i en uppgiftssammanställning som inte har ett en gång för alla bestämt innehåll, utan detta varierar beroende på vilka grunduppgifter som plockas ur databasen. Sammanställningen kan därför inte heller sägas ha någon utställare i egentlig mening. Den som framställer utdraget (dvs. vidtar sökningen) kan visserligen bekräfta att utdraget på ett korrekt sätt återspeglar databasens innehåll i vissa delar men inte att uppgifterna i sig är korrekta.
Det andra typfallet omfattar sökningar som används som hjälpmedel för att hitta handlingar. Sökningen har då mera karaktär av ren framsökning. Rutiner som ger möjlighet att söka på fri text eller annars utan användning av diarier eller andra sammanställningar som är inrättade för sökning, hör till kategorin ren framsökning. Om en sökning i en samling av elektroniska handlingar ger vissa träffar är det inte träfflistan som är det intressanta, utan den fungerar endast som ett hjälpmedel för att få fram den eller de efterfrågade handlingarna. Ett annat exempel kan vara de sökhjälpmedel som vanligen finns i ord- och textbehandlingsprogram. Genom att söka efter ett visst ord eller en kombination av vissa ord kan man finna det ställe i handlingen som söks.
418 Så kan t.ex. en ”träfflista” över handlingar som innehåller ett sökt ord sägas vara en uppgiftssammanställning lika väl som en sökning efter en enda uppgift i ett register.
En sammanställning av uppgifter som en databassökning resulterar i kan i och för sig utgöras av uppgifter om handlingar, nämligen om dessa har lagts in i en databas. Det kan vara uppgifter om vad det är för slags handling, när den har upprättats eller till vilket ärende den hör. Ett typfall är en databas som består av korta noteringar om inkommande eller utgående meddelanden i en elektronisk postfunktion. Om syftet med en sökning i en sådan databas är att hitta den eller de handlingar som efterfrågas, är det således inte förteckningen i sig som är intressant, utan den är endast ett redskap för att få fram den handling som söks. En sådan sökning får sägas vara en ren framsökning även om sökningen sker i en databas.
Sammanfattningsvis kan två typfall av sökrutiner förekomma. Det första fallet syftar till att få fram handlingar eller uppgifter (söka ). Det andra fallet är sådan sökning som man regelmässigt vidtar i databaser för att få fram vissa sammanställningar av uppgifter (sammanställa).
17.4. Skyldigheten att införa nya sök- och sammanställningsmöjligheter – vårt förslag
Sådana sökningar och sammanställningar som myndighetens personal vanligtvis gör enligt arbetsbeskrivningar, systemdokumentation m.m. omfattas i dag och med vårt förslag klart av offentlighetsprincipen. Frågan är vilka andra, för myndigheten nya funktioner som på begäran skall behöva användas eller tillskapas. Sådant som kräver betydande insatser i form av programmering och liknande anpassningar med en nära nog obegränsad tillgång till datorkraft och teknisk expertis kan redan av resursskäl knappast omfattas. Sådana bearbetningar kan visserligen vara av intresse för att kontrollera myndigheternas verksamhet, t.ex. om personer som är bosatta i vissa områden särbehandlas av myndigheten eller om personer med utländska namn döms till hårdare straff. Det kan också finnas kommersiella intressen som skulle välkomna en så vid offentlighet. Enligt vår mening kan det emellertid inte krävas att myndigheterna, oavsett vad det kostar, skulle vara skyldiga att utföra vilka sökningar eller sammanställningar som helst med de handlingar och databaser som de förvarar.
De funktioner som myndigheten använder för sin verksamhet kan kanske sägas utgöra en ”basnivå” även för allmänhetens möjligheter. Frågan är då om gällande rätts begränsning till rutinbetonade åtgärder bör väljas som lämplig högre nivå.
Att som hittills knyta an till vad som kan utföras med ”rutinbetonade åtgärder” innebär att offentlighetsinsynen i hög grad blir beroende av den tekniska och administrativa nivån samt kompetensen vid den enskilda myndigheten. Förhållandet var i princip detsamma på den manuella tiden. Allmänheten var hänvisad till de faktiska rutiner som användes vid myndigheten (se avsnitt 14.4.6). Ytterst reglerades sökingångarna av de skyldigheter myndigheten hade enligt särskilda bestämmelser att föra register och diarier. I övrigt var allmänheten hänvisad till att precisera sin begäran så, att myndigheten med en enkel arbetsinsats kunde ta fram handlingen. Myndighetens möjligheter att hitta bland sina handlingar måste givetvis även då ha varit beroende av många omständigheter som allmänheten inte kunde påverka eller ställa krav på; vilka personalkategorier som fanns, vilken kompetens personalen hade, hur ärendena var ordnade osv.
Frågan vad som är en rutinbetonad åtgärd i den elektroniska världen är ännu svårare att avgöra, i synnerhet för den enskilde som begär att få ut handlingar eller uppgifter. Emellertid bör man ha i åtanke att de offentlighetsuttag som vi nu diskuterar är sådana som ligger utanför myndighetens normala behandlingsåtgärder. En person som begär att en myndighet skall vidta extra åtgärder för att t.ex. få fram en viss uppgiftssammanställning måste givetvis framställa en preciserad begäran över vilka uppgifter han vill ha och på vilket sätt de skall vara ordnade. Redan av detta framgår att det handlar om förfrågningar av personer som är tämligen väl insatta i vilka uppgifter som behandlas vid myndigheten; det kan vara t.ex. journalister, forskare eller marknadsförare.
Sammanfattningsvis anser vi att man även i fortsättningen kan kräva av myndigheterna att de utför de sökningar och sammanställningar som de inom rimliga gränser kan klara av. Kan myndigheten enkelt tillhandahålla en sammanställning synes det för närvarande rimligt att så får ske, även om en sådan sammanställning inte används i myndighetens verksamhet. Detta bör komma till uttryck direkt i lagtexten. Därmed förstärks offentlighetsprincipen.
Vad är då ”inom rimliga gränser”, ”rutinbetonade åtgärder” eller ”enkel arbetsinsats”? Det som är enkelt för en myndighet som har personal med hög IT-kompetens kan vara svårt för en annan. Skall man inom ramen för ”rutinbetonade åtgärder” kräva att myndigheten anlitar expertis på IT-området för att utföra sökningar eller sammanställningar som den ordinarie personalen inte klarar av? Det kan man antagligen kräva i vissa situationer, t.ex. om kompetensen finns på annat håll i en större organisation. Däremot kan man kanske inte kräva att myndigheten vidtar ändringar i ett kompli-
cerat system. För att investeringarna i utbildning och nya system skall stanna på en rimlig nivå skräddarsys vanligtvis de uttagsmöjligheter som kan förutses i verksamheten så att samtliga handläggare förmår att hantera dem och så att körningarna kräver minsta möjliga av datorer och nät. De tekniska hjälpmedlen är vanligtvis inte dimensionerade för fria sökningar, kanske i distribuerade databaser som täcker hela riket. Vidare kan behandlingar för vilka systemet inte har förberetts ta stor kapacitet i anspråk och kostnaderna kan bli betydande i termer av handläggare som får vänta för att få svar på frågor som de har ställt. Enligt vår mening är det omöjligt att sätta upp en generell regel för vad som är en rutinbetonad åtgärd. Till syvende och sist blir det beroende av vilka möjligheter som finns vid den enskilda myndigheten. Däremot kan säkert de flesta fall av krav på extra åtgärder översättas i kostnader. Det får antas att det faller inom ramen för vad som kan krävas t.ex. att anlita specialistkompetens under ett par timmar eller att låta den ordinarie personalen arbeta övertid några timmar.419 Att sätta åtgärden i relation till vad den kostar myndigheten att utföra i arbetstid eller utlägg ger en mera direkt bild av vad det handlar om än ”rutinbetonade åtgärder”. Systemet har (redan som det är utformat i dag) den fördelen att när teknikanvändningen blir effektivare och billigare innebär detta också att offentlighetsinsynen vidgas efter hand.
17.5. Rättsliga begränsningar som gäller för myndigheten
17.5.1. Sökbegränsningar måste finnas även i fortsättningen
Som tidigare nämnts kan en myndighets rätt att för egen räkning vidta sökningar i elektroniska handlingar eller databaser vara begränsad. Sådana begränsningar bör finnas även i fortsättningen. Sökbegränsningar är nödvändiga i vissa sammanhang för att förhindra att det uppstår intrång i enskildas personliga integritet. Begränsningarna omfattar i första hand myn-
419 I praxis har man hittills ansett att kostnader understigande 2 000 kr eller särskilda arbetsinsatser (i form av programmering eller annat) understigande två timmar normalt ryms inom begreppet rutinbetonade åtgärder (Toppledarforum, Offentlighet & IT, Statskontoret 1995:14, s. 17).
digheternas egen uppgiftsbehandling, men de träffar därigenom även allmänhetens möjlighet att söka och sammanställa uppgifter.420
17.5.2. Begränsningarna bör finnas i registerförfattningar
Vi anser att det även i fortsättningen bör avgöras för varje enskild myndighet (eller större organisation) vilka sök- och sammanställningsfunktioner som bör tillåtas respektive förbjudas. Det krävs i det enskilda fallet att effektivitetskraven prövas mot andra krav, t.ex. på skydd för intrång i den personliga integriteten. Sådana begränsningar finns i dag företrädesvis i särskilda registerförfattningar eller på grund av beslut som har fattats av Datainspektionen med stöd av bestämmelser i en sådan författning.
17.5.3. Begränsningar av hänsyn till enskildas personliga integritet
I dag talas det i 2 kap. 3 § andra stycket TF om ”upptagning som ingår i personregister”, och begreppet personregister definieras i grundlagen. Vi anser att det är olämpligt att här använda begreppet personregister, bl.a. eftersom det begreppet får en ny och annorlunda innebörd med EG-rättslig bakgrund enligt vårt förslag till ny persondatalag.
Den nuvarande anknytningen till personregister innebär formellt sett att även annat än personuppgifter kan falla in under undantaget. Av departementschefens uttalanden vid bestämmelsens tillkomst framgår dock att begränsningen tar sikte på just personuppgifter, och det är skyddet av enskildas personliga integritet som fokuseras i motiven.421 Syftet med registerförfattningarna och persondatalagen är i första hand att skydda den enskilde mot att hans personliga integritet kränks genom att uppgifter om honom behandlas elektroniskt. Vi anser därför att, även om den nuvarande regeln formellt kan tänkas tillåta ytterligare undantag, det ligger i linje med vår strävan efter en vid offentlighet att koncentrera begränsningen just till sådant som kan vara integritetskränkande. Detta innebär att sådana sökbe-
420 Jämför SOU 1997:3 s. 152. 421 Prop. 1975/76:160 s. 87-88.
gränsningar som av hänsyn till den enskildes integritet har införts för myndigheterna skall gälla även för allmänheten.422
Ett alternativ kunde vara att i stället knyta an till sekretessgrunden i 2 kap. 2 § 6 TF, nämligen skyddet för enskilds personliga eller ekonomiska förhållanden. Två problem uppstår emellertid då. För det första måste man tillskapa en ny ”sekretesslag” som beskriver alla de fall där uppgifter inte får sökas eller sammanställas. För det andra innebär det att likställighetsprincipen överges i ökad omfattning (myndigheterna skulle få tillgång till rutinen men inte allmänheten). Sammantaget innebär detta att alternativet, enligt vår mening, inte är någon realistisk lösning.
Alternativt kunde man i stället låta begränsningen träffa inskränkningar i myndigheternas rätt att söka och sammanställa personuppgifter. Emellertid är det inte alltid som förbudet uttryckligen gäller sådana uppgifter, även sökningar på andra kriterier kan leda fram till personuppgifter eller sammanställningar av sådana uppgifter.423
17.5.4. Preciserade begränsningar
Det kan inte krävas att det skall framgå uttryckligen av en begränsningsregel t.ex. i en registerförfattning att dess syfte är att skydda den personliga integriteten. Det måste räcka att detta framgår av bestämmelsens motiv eller på annat sätt. Gäller bestämmelsen personuppgifter bör man kunna utgå ifrån att syftet är att skydda enskilda, i annat fall får syftet med bestämmelsen analyseras något djupare.
Om det skulle finnas exempel på sökbegränsningar som har andra syften, t.ex. att skydda rikets säkerhet, omfattas de således inte av begränsningsregeln. Att låta även andra uppgiftskategorier omfattas skulle innebära en inskränkning av offentlighetsprincipen i förhållande till vad som gäller nu. Sådana aspekter får i stället beaktas vid den skadebedömning som skall göras i samband med att utlämnandet sekretessprövas. Detta innebär således att elektroniskt behandlade personuppgifter särbehandlas i 2 kap. TF i förhållande till andra uppgifter som har elektronisk form. Detta
422 Sådana begränsningar kan ofta antas vara införda just för att uppgifterna blir offentliga, men detta är ju inte konstigare än att det behövs fler sekretessregler om man tillämpar en offentlighetsprincip än om motsatsen gäller. 423 Att söka på t.ex. en ärendemening eller en sakentext kan så småningom leda fram till en eller flera personuppgifter.
har emellertid sin grund i att just behandling av personuppgifter anses extra känslig.424
De regler som begränsar myndigheternas rätt att söka och sammanställa elektroniskt lagrade uppgifter måste vara preciserade. En regel som förbjuder myndigheten att använda andra rutiner än sådana som behövs för verksamheten är enligt vår mening inte tillräckligt konkret för att tillåtas inskränka offentlighetsprincipen. Det är viktigt att allmänheten kan förutse vilka rutiner myndigheten, med hänvisning till en rättslig begränsning, kan (och skall) vägra använda.
17.5.5. Sammanfattning
Det måste även i fortsättningen finnas vissa begränsningar i myndigheternas möjligheter att söka och sammanställa elektroniska uppgifter. Begränsningarna måste träffa även allmänheten. Det bör avgöras i varje enskild registerförfattning vilka begränsningar som är nödvändiga för att skydda enskilda mot otillbörliga integritetsintrång. De bestämmelser som på detta sätt begränsar sökningar eller sammanställningar måste vara preciserade.
424 2 kap. 3 § 2 st. RF tar uteslutande sikte på personuppgifter.
18. Utlämnande av allmänna uppgifter
Offentlighetsprincipen bör innefatta en rätt att få ut allmänna uppgifter även i elektronisk form. Denna rätt bör inte vara absolut utan anpassad efter de tekniska möjligheter som myndigheten faktiskt har. Ett utlämnande måste precis som nu föregås av en prövning enligt sekretesslagen. I det sammanhanget kan bestämmelsen i 7 kap. 16 § sekretesslagen om att personuppgift inte får lämnas ut i elektronisk form om den kan antas bli föremål för behandling i strid mot persondatalagen få en ökad betydelse. Myndigheterna skall inte ha någon skyldighet att via s.k. on-lineuppkopplingar låta allmänheten fritt söka och hämta allmänna uppgifter. I den mån det kan ske utan att sekretess- eller andra integritetsskäl hindrar är det emellertid inget som förbjuder att myndigheterna lägger ut sin information i för allmänheten åtkomliga webbsidor eller liknande förmedlingstjänster.
18.1. Uppdraget
Enligt gällande lag har ingen rätt att på grund av offentlighetsprincipen få handlingar eller uppgifter från myndigheter i elektronisk form (se ovan avsnitt 14.4.7). Det är inte vårt uppdrag att föreslå förändringar i offentlighetsprincipen men att se över den med hänsyn till utvecklingen på IT-området samt överväga hur den skall kunna tillämpas under nya tekniska förutsättningar. Mot den bakgrunden är det enligt vår mening oundvikligt att ta upp frågan om utlämnande av uppgifter i elektronisk form.
Som tidigare nämnts (se avsnitt 14.4.7) finns det två sätt att ta del av allmänna uppgifter. Antingen gör man det direkt hos myndigheten (2 kap. 12 § TF) eller får man en kopia eller avskrift av uppgifterna (2 kap. 13 § TF). I vår framställning kommer vi att kalla det första fallet för ”presentation” och det andra fallet för ”utlämnande”.
I ingetdera av fallen får myndigheten efterforska vem den person är som begär utlämnande av uppgifter om det inte i ett särskilt fall är nödvändigt för att myndigheten skall kunna pröva en fråga om sekretess (2 kap. 14 § 3 st. TF). Vi föreslår givetvis inga ändringar beträffande denna grundläggande princip (se förslaget till ny lydelse av 2 kap. 16 § 3 st. TF).
18.2. Den offentliga informationen – en kommersiell tillgång
I vissa länder betraktas den lagrade informationen alltmer som en kommersiell tillgång. Informationen kan förädlas, bearbetas på olika sätt – exploateras helt enkelt.425 En stor del av den information som är intressant för kommersialisering finns i den offentliga sektorn, och i många länder är den viktiga frågan hur man skall kunna få tag i den. I Sverige kretsar diskussionen emellertid inte primärt kring detta – uppgifterna är i princip redan åtkomliga på grund av offentlighetsprincipen. Den fråga som är intressant är möjligheten att komma åt informationen i elektronisk form. Skall offentlighetsprincipen omfatta en rätt att få uppgifterna utlämnade – inte bara presenterade – i elektronisk form?
I praktiken är det naturligtvis en förutsättning att informationen har elektronisk form för att den skall kunna utnyttjas för kommersiella syften på ett någorlunda rimligt och billigt sätt. Ett sådant utnyttjande av uppgifter från den offentliga sektorn har visserligen inte något med offentlighetsprincipens ursprungliga eller nuvarande syften att göra. Diskussionen här i Sverige gäller närmast vem som skall äga denna rätt att ”göra vinst” på informationen. Är det myndigheterna – som med hjälp av skattebetalarnas pengar ursprungligen har samlat in och använt uppgifterna för att fullgöra de uppgifter som samhället har ålagt dem – som även skall ha rätten att dra den kommersiella nyttan av informationen och därmed få tillbaka en del av de nedlagda resurserna? Det har, vad vi känner till, inte gjorts någon undersökning på senare tid hur omfattande försäljningen av information från den offentliga sektorn är och om den ger några inkomster till statskassan.426
425 Man talar om ”value-added information”. 426 Data- och offentlighetskommittén genomförde tillsammans med statskontoret år 1985 en enkätundersökning om försäljning av uppgifter ur ADB-register. Under-
Riksrevisionsverket har i sin rapport 1995:64, Principer för prissättning av informationstjänster, övervägt frågor i sammanhanget: Vilket pris skall myndigheterna få ta ut för uppgifter i elektronisk form? Kan man ta ut olika pris beroende på vem som är mottagare, kan man t.ex. ta mer betalt för massuttag som görs i kommersiellt intresse? I rapporten föreslås att en generell prissättningsprincip tillämpas oberoende av vilken teknik som används för överföringen, vilken typ av information uttaget avser eller vem som har begärt informationen. Vidare föreslås att den som beställer ett informationsuttag skall betala en avgift som svarar mot de kostnader som myndigheten direkt eller indirekt åsamkas vid framställning och distribuering av uttaget (självkostnaden).
Regeringen har vidare tillsatt en utredning som har till uppgift att se över de centrala person-, företags- och fastighetsdataregistren (dir. 1996:43). I uppdraget ingår bl.a. att föreslå åtgärder för att öka databasernas tillgänglighet samt att behandla frågor om finansiering och prissättning.
Från främst massmedialt håll är man kritisk mot att offentlighetsprincipen inte omfattar information även i elektronisk form. Man anser att informationen kommit att bli en inkomstkälla för det offentliga och att den offentliga insynen därmed har kommersialiserats.
18.3. Myndigheternas service
Det förekommer redan nu att myndigheter lägger ut information på s.k. webbsidor. Det kan vara allmän information om myndigheten men även beslut och andra avgöranden. Sådan information blir tillgänglig för alla ”på nätet”, i framtiden kanske efter betalning. Sådana förfaranden är naturligtvis positiva från offentlighetssynpunkt och bör uppmuntras. Bestämmelsen i 15 kap. 9 § andra stycket sekretesslagen om att myndigheterna skall ordna sin databehandling med beaktande av det intresse som allmänheten kan ha av att själva utnyttja tekniska hjälpmedel för att ta del av allmänna uppgifter, bör kunna användas för att påverka myndigheterna i denna riktning. I grunden har det visserligen inte något direkt samband med offentlighetsprincipen; den ger allmänheten rätt att kräva att få ut all-
sökningen finns redovisad i kommitténs delbetänkande (SOU 1986:46) Myndigheternas försäljning av personuppgifter m.m.
männa uppgifter. Indirekt har ett sådant förfarande dock stor betydelse för tillgången till den offentliga informationen. Sådana handlingar, t.ex. myndighetens protokoll eller beslut, som går att hämta via nätet behöver inte bli föremål för en särskild begäran enligt 2 kap. TF.427
18.4. Behovet av elektronisk åtkomst
Den naturliga utgångspunkten måste enligt vår mening vara att allmänhetens möjligheter att ta del av allmänna handlingar och andra uppgifter skall effektiviseras i samma omfattning som myndigheternas uppgiftsbehandling i allmänhet. Myndigheternas uppgiftsbehandling och – inte minst – uppgiftsöverföring effektiviseras och integreras alltmer med hjälp av modern teknik. Att mot denna bakgrund fortfarande låta allmänheten vara hänvisad till personliga besök hos myndigheterna för att ta del av handlingar eller till pappersutskrifter av elektroniskt lagrade uppgifter innebär från praktiska utgångspunkter att tillgången till information med stöd av offentlighetsprincipen inte tillåts öka så som på andra områden.
Man kan enligt vår mening förutse att det från myndigheternas sida kommer att upplevas alltmer som ett hinder och en fördyring av verksamheten att behöva hantera utlämnanden av uppgifter enligt offentlighetsprincipen på ett sätt som avviker från det normala. Troligen kommer pappersdokument även under den närmaste tiden att vara den huvudsakliga utlämnandeformen t.ex. när det gäller dokument som kräver undertecknande eller annan utställarangivelse. Det är antagligen inte någon djärv gissning att möjligheterna att ”säkra” innehållet i motsvarande elektroniska dokument kommer att bli fler och enklare. Den nya tekniken har hittills använts främst för att effektivisera myndighetens eget interna arbete och framställning av traditionella handlingar. Överföring av handlingar såväl mellan myndigheter som mellan enskilda och myndigheter kommer med säkerhet att genomgå motsvarande förändring, men det reser som nyss nämnts nya problem (Hur sker undertecknande? Hur säkerställs att innehållet inte har manipulerats? Vilket är original och vilket är kopia? osv.) Vi kommer inte att diskutera dessa frågor vidare utan konstaterar bara att
427 Datainspektionen har genom en generell författning (DIFS 1996:3) gett kommuner och landsting rätt att lägga ut vissa sådana handlingar på Internet. När det gäller beslut som rör enskilda skall personuppgifter dock tas bort (7 §).
med största sannolikhet kommer även sättet för överföring, inklusive utlämnande, av uppgifter att förändras från pappershantering mot elektronisk överföring.
De skäl som tidigare har anförts mot att låta allmänheten få del av handlingar i elektronisk form är i huvudsak inte gångbara längre. Risken att allmänheten förändrar eller förstör uppgifterna kan numera elimineras. Allmänheten kan få en begränsad tillgång till vissa logiskt avgränsade utrymmen som innehåller elektroniska handlingar eller register.428 Att det skulle vara för svårt för enskilda att använda datorprogrammen kan inte heller anföras som skäl för att hindra elektroniskt utlämnande. Digitaliseringen innebär emellertid en enorm effektivisering av möjligheterna att använda uppgifterna för vidare bearbetning. Förutom den tidigare nämnda frågan om ”exploateringsrätten” till uppgifterna är det frågan om eventuella intrång i den personliga integriteten som aktualiseras av denna effektivisering.
Ett av offentlighetsprincipens huvudsyften, att kontrollera myndigheterna, utförs i dagens samhälle främst av massmedia. Den journalistiska verksamheten utövas effektivt med hjälp av digital teknik. Det måste enligt vår mening anses opraktiskt och oekonomiskt att myndigheterna först framställer pappersutskrifter t.ex. av elektroniskt lagrade handlingar och överlämnar dessa till journalisten, som därefter åter skall ge uppgifterna elektronisk form.
Det är ofrånkomligt anser vi, att flödet av information – även av personlig natur – blir allt större i samhället. Det är också ofrånkomligt att uppgifter av privat natur förekommer elektroniskt i ökad omfattning. Den omständigheten att offentlighetsprincipen inte omfattar en rätt att få ut uppgifter i elektronisk form tycks inte ha hindrat kommersiella intressen från att komma åt de uppgifter de behöver – den som har råd kan alltså betala för informationen. Det är därför, enligt vår mening, inte mer än rimligt att även allmänheten får rätt till informationen i elektronisk form.
Sammanfattningsvis anser vi att offentlighetsprincipen måste följa med i den effektivisering av uppgiftsbehandlingen i stort som den nya tekniken har inneburit för myndigheterna. Även i det sammanhanget måste man dock överväga vilka risker för intrång i den personliga integriteten som detta kan medföra och hur dessa kan motverkas.
428 Genom att ge allmänheten en begränsad teknisk behörighet kan man utestänga den från de delar av informationssystemet som inte är offentligt.
18.5. Elektronisk presentation
18.5.1. Vid den aktuella myndigheten
Gällande rätt innebär i princip att om myndigheten har lämplig utrustning, är man skyldig att låta allmänheten använda den för att söka efter och ta del av allmänna handlingar. Den enskildes rätt är således i praktiken beroende av den tekniska nivån hos myndigheten. Att införa en längre gående skyldighet för myndigheterna att presentera handlingar och andra uppgifter med tekniska hjälpmedel är enligt vår uppfattning i nuläget inte meningsfullt. Det saknas anledning att tro att myndigheterna av principiella skäl vill motsätta sig att allmänheten får söka fritt bland dess allmänna handlingar via en terminal som är kopplad till myndighetens dator. Tvärtom måste det ofta vara enklare och billigare att hänvisa allmänheten till en presentationsterminal än att avsätta personalresurser för att leta efter handlingar. I takt med att myndigheterna får tekniskt stöd för informationsbehandling bör informationen göras åtkomlig för allmänheten med tekniska hjälpmedel.
I den traditionella miljön hade allmänheten inte någon rätt att fritt få gå in och söka i myndighetens arkiv eller aktskåp. Att låta allmänheten fritt få söka bland de elektroniska handlingar och i de databaser som finns hos myndigheten innebär givetvis i praktiken en utvidgning av offentlighetsprincipen. Detta är enligt vår mening en önskvärd utveckling.
Myndigheternas datorer innehåller uppgifter av olika valör. En stor del av uppgifterna är inte allmänna (t.ex. utkast i ord- och textbehandlingsprogram) och bör naturligtvis inte göras åtkomliga för visning enligt offentlighetsprincipen. Andra uppgifter är allmänna men kan vara föremål för sekretess. Dessa får inte heller visas utan föregående sekretessprövning, vilket förutsätter manuell hantering. Situationer som dessa bör vålla mindre problem men som anges i 15 kap. 9 § sekretesslagen och påpekas i de råd som Statskontoret lämnat på senare tid429 måste de beaktas när myndigheterna bygger upp sina system.
Sammanfattningsvis anser vi att myndigheternas skyldigheter att presentera handlingar eller andra uppgifter i elektronisk form inte bör utvidgas i nuläget. Regleringen bygger på att skyldigheten följer den praktiska
429 Toppledarforum, Offentlighet & IT – vägledning för den offentliga förvaltningen, Statskontoret 1995:14.
möjlighet som finns vid den enskilda myndigheten. Vi menar att det finns mycket som talar för att effektiviseringen i sig av myndigheternas verksamhet kommer att leda till att uppgifter i allt större utsträckning presenteras för allmänheten i elektronisk form.
18.5.2. Vid andra myndigheter
Genom att, som vi föreslagit, överge principen att allt som är tekniskt åtkomligt skall anses vara en vid myndigheten förvarad handling, återskapar man de myndighetsgränser som bör upprätthållas. Detta behöver dock inte innebära att allmänhetens faktiska möjligheter att ta del av information minskar. I den mån en myndighet har tekniska möjligheter att nå en annan myndighets informationstillgångar bör myndigheten vara skyldig att bistå den enskilde med en begäran om en allmän handling eller en annan sammanställning av uppgifter i en databas. Om myndigheten alltså genom en enkel knapptryckning kan förmedla uppgifter från en annan myndighet bör allmänheten kunna få den servicen. Det är inte meningen att uppgifterna därigenom skall betraktas som inkomna till myndigheten, utan det handlar om en ren förmedling. En av fördelarna med ett sådant system är att den myndighet som har en naturlig anknytning till informationen skall göra sekretessprövningen innan uppgifterna lämnas ut via den andra myndigheten (jämför avsnitt 16.2.3). En bestämmelse om myndigheternas skyldighet att på detta sätt ge service åt allmänheten bör införas i 15 kap. sekretesslagen.
18.6. Elektroniskt utlämnande
18.6.1. Elektroniskt utlämnande huvudregel
Bestämmelsen om att upptagningar inte behöver tillhandahållas i annan form än utskrift infördes samtidigt med datalagen. Som tidigare nämnts var syftet med bestämmelsen att undvika otillbörliga intrång i den personliga integriteten. Man befarade nämligen att uppgifterna kunde bli föremål för vidare behandling i strid mot datalagens bestämmelser.430 Offentlighets-
430 Prop. 1973:33 s. 85.
och sekretesslagstiftningskommitténs förslag som låg till grund för bestämmelsen mötte kritik redan på den tiden. En rad remissinstanser ansåg bl.a. att det med hänsyn till den tekniska utvecklingen borde te sig alltmer naturligt och praktiskt att låta offentlighetsprincipen inrymma också direkt tillgång till datamedier. Det framhölls även från vissa att den föreslagna spärren var bristfällig, eftersom man med hjälp av optisk läsning (skanning) skulle kunna bygga upp sådana dataregister enbart med hjälp av utskrifter av upptagningar som myndigheterna är skyldiga att lämna ut.
Vi anser att tiden nu är mogen att lämna pappershanteringen även när det handlar om att lämna ut uppgifter enligt offentlighetsprincipen. Myndigheterna bör i princip ha en skyldighet att, inte bara visa utan även, lämna ut allmänna handlingar och andra uppgifter i elektronisk form. Det bör vara upp till den enskilde beställaren att välja i vilken form han vill ha uppgifterna. Vi är medvetna om att det finns problem och hinder för att uppnå detta mål, men det är viktigt att slå fast att det är detta som vi strävar mot. Ett sådant system bör på sikt även gynna effektiviteten vid myndigheterna.
18.6.2. Elektroniskt innehav är en förutsättning
För att myndigheterna skall kunna förpliktas lämna ut uppgifter i elektronisk form krävs naturligen att de faktiskt har tillgång till uppgifterna i elektronisk form. När det gäller handlingar som kräver undertecknande, t.ex. domar eller beslut, kommer det i praktiken även en tid framöver att vara så att utlämnande sker i pappersform. För att det skall kunna ske elektroniskt utlämnande krävs nämligen att handlingen har ”låsts” t.ex. med en digital signatur. Detta är rutiner som inte kan sägas vara allmänt spridda bland myndigheterna ännu. Det är således en förutsättning för elektroniskt utlämnande att myndigheten har originalhandlingen i elektronisk form. När det gäller andra uppgiftssammanställningar och där en icke underskriven handling kan godtas, t.ex. registerutdrag, finns det större förutsättningar redan i dag att lämna ut elektroniskt.
18.6.3. Skyldigheten följer myndighetens tekniska utvecklingstakt
Redan nu kan myndigheterna välja att lämna ut handlingar i elektronisk form, i den mån det finns tekniska möjligheter och sådana rutiner inte för-
hindras på grund av särskilda föreskrifter. Utlämnandet kan gå till på många sätt. Uppgifterna kan lämnas på en diskett eller annat sådant medium. De kan också skickas direkt till mottagarens dator via nät. Det finns egentligen inga tekniska hinder längre för överföring av uppgifter elektroniskt. Praktiska hinder som att mottagarens dator måste ha tillgång till vissa program för att kunna läsa uppgifterna måste dock överbryggas.
Den tekniska utvecklingen går visserligen snabbt, men det är inte säkert att det ännu finns lösningar på alla problem av detta slag. Myndigheternas skyldighet att lämna ut uppgifter på grund av offentlighetsprincipen kan kanske i vissa stycken anpassas efter de lösningar som är tekniskt möjliga och ekonomiskt effektiva. Att kräva att alla myndigheter skall lämna ut uppgifter i en viss elektronisk form är enligt vår mening inte realistiskt i nuläget. Precis som vid presentation av uppgifter hos myndigheten måste det vara myndighetens tekniska utrustning och kompetens som är avgörande. Något absolut krav på elektroniskt utlämnande kan därför enligt vår mening inte införas. Allmänhetens rätt att ta del av allmänna handlingar är redan nu i viss mån anpassad efter vad som kan åstadkommas inom rimliga gränser.431
Vårt förslag blir därför att ta bort bestämmelsen i 2 kap. 13 § TF om att en myndighet inte är skyldig att lämna ut en upptagning för automatisk databehandling i annan form än utskrift. I stället bör det införas en rätt för allmänheten att få en allmän handling eller en annan uppgiftssammanställning i elektronisk form. Endast om det möter betydande hinder, t.ex. därför att myndigheten saknar tekniska hjälpmedel för utlämnande, bör en sådan begäran avslås. Allmänheten bör, bl.a. av säkerhetsskäl, inte heller ha någon rätt att kräva att myndigheten skall använda utrustning som den enskilde tillhandahåller för att möjliggöra elektroniskt utlämnande. En begäran om elektroniskt utlämnande skall helt enkelt bifallas om myndigheten med sin tekniska utrustning och utan större besvär kan tillmötesgå begäran. Begäran skall givetvis behandlas med samma krav på skyndsamhet som nu.
431 En myndighet är t.ex. inte skyldig att tillhandahålla en handling på stället, om betydande hinder möter (2 kap. 12 § 2 st. TF). Allmänheten är då hänvisad till att ta del av handlingen i form av kopia eller avskrift. En myndighet är inte heller skyldig att framställa kopia av karta, ritning, bild eller vissa upptagningar, om svårigheter möter och handlingen kan tillhandahållas på stället (2 kap. 13 § 1 st. TF).
18.6.4. Sättet för utlämnande
18.6.4.1 On-lineuppkopplingar
Som nämnts ovan kan utlämnande av handlingar eller andra uppgifter i elektronisk form ske på olika sätt. Det enklaste fallet är att en handling, enligt nuvarande rutin, lämnas ut först efter en preciserad begäran från den enskilde. Ett sådant förfarande är enligt vår mening en förutsättning för att myndigheten skall kunna göra en korrekt sekretessbedömning. Uppgifterna kan lämnas till den enskilde på en diskett eller överföras direkt till en bärbar hårddisk. Det kan också gå till så att den enskilde skickar en begäran via e-post till myndighetens elektroniska adress och att myndigheten svarar med att (efter sekretessprövning) översända den efterfrågade handlingen över nätet. (Så länge det handlar om en begränsad mängd uppgifter borde det dessutom vara ofarligt från integritetssynpunkt – frågan om massuttag diskuteras nedan.)
Eftersom det är tekniskt möjligt, kan man även överväga att låta allmänheten via s.k. on-lineuppkopplingar få fritt söka och hämta information från myndighetens dator. Med on-lineuppkoppling menar vi i detta sammanhang att man låter allmänheten koppla upp sig direkt mot myndighetens dator utan att det finns någon ”mellanhand” som tar ställning till begäran. Man skulle med andra ord inte behöva gå till myndighetens presentationsterminal för att t.ex. via sökkommandon finna de uppgifter man är intresserad av. Via on-lineuppkopplingen skulle man både kunna ta del av uppgifterna och hämta hem dem i elektronisk form till den egna datorn. Ett sådant system skulle onekligen ha många fördelar. Allmänhetens tillgång till offentlig information skulle öka i betydande grad och myndigheterna skulle inte behöva lägga ner tid (och därmed pengar) på att plocka fram och lämna ut handlingar.
Modellen har emellertid även nackdelar. Det skulle bli möjligt för en enskild att överföra stora informationsmängder från olika myndigheter till en egen dator och man skulle från det offentliga helt tappa kontrollen över hanteringen av t.ex. personuppgifter. Ett sätt att möta problemet kan vara att avidentifiera handlingarna och dölja sådana uppgifter som anses kräva individuella sekretessbedömningar (se vidare om generalisering av sekretessen nedan). Det får dock enligt vår mening anses mycket svårt att genom generella regler ange vilka uppgifter som skall döljas, och den arbetsinsats som skulle krävas torde bli tämligen omfattande. Med hänsyn till att det kan uppstå risker för intrång i enskildas personliga integritet och för att
kunna upprätthålla ett system med individuell sekretessprövning vid varje utlämnandetillfälle, vill vi inte förorda att en sådan lösning görs obligatorisk.
Man kan givetvis ifrågasätta varför allmänheten skall ha rätt att via en presentationsterminal fritt söka bland och läsa myndighetens handlingar och andra uppgifter men inte ha denna rätt via en uppkopplad dator t.ex. hemifrån eller från en tidningsredaktion. Det avgörande är, enligt vårt sätt att se det, att i det förra fallet kan man bara läsa uppgifterna medan man i uppkopplingsfallet även kan hämta hem uppgifterna i elektronisk form.
Vi anser således att samma regler skall gälla för den grundlagsfästa rätten att få ut handlingar och andra uppgiftssamlingar i elektronisk form som för manuellt utlämnande. Det skall även i fortsättningen krävas en preciserad begäran. En sådan kan t.ex. ställas till myndighetens elektroniska adress och myndigheten kan svara genom att skicka den efterfrågade handlingen i elektronisk form (i den mån myndigheten har denna möjlighet).
Vi vill emellertid tillägga att om och när myndigheterna kan ordna sina handlingar och databaser så att det blir riskfritt att låta allmänheten hämta ut uppgifter on-line så ser vi inte några principiella invändningar mot att så sker. Det skulle öka offentlighetsinsynen och det skulle på lång sikt otvivelaktigt bli billigare för myndigheterna. Den lagstiftning vi föreslår lägger inte några hinder i vägen för myndigheterna att lämna ut uppgifter på sådant sätt.
18.6.4.2 Format
Det kommer ibland att saknas tekniska förutsättningar för att överföra uppgifter i elektronisk form till en enskild som begär det. I ett samhälle där den digitala kommunikationen spelar en alltmer central roll kommer naturligen kraven på standardisering av data att öka. Ännu en tid måste man dock räkna med vissa hinder vid överföring av data som beror på att man använder olika programvaror. I det sammanhanget är det viktigt att inte den enskilde blir helt beroende av myndighetens val av format. Rätten att få ut uppgifter i elektronisk form blir annars illusorisk. I den mån det är möjligt för myndigheten bör den enligt vår mening vara skyldig att tillmötesgå ett önskemål från en enskild om uppgifternas format. Det kan inte krävas att myndigheten köper in nya programvaror för att kunna lämna ut uppgifter i elektronisk form. I den mån myndigheten med en enkel åtgärd – t.ex. en konvertering som kan utföras enkelt – kan tillmötesgå en begäran
om att uppgifterna skall lämnas ut i ett format som passar mottagaren, är det rimligt att den tillgodoses. Det krävs att den enskilde framställer en begäran som är så preciserad att myndigheten kan ta ställning till om den kan bifallas eller inte. Myndigheten bör vara skyldig att lämna de upplysningar som krävs för att den enskilde skall kunna framställa en sådan preciserad begäran. Myndigheternas skyldigheter i de avseenden som nu berörts bör tas in bland servicebestämmelserna i 15 kap. sekretesslagen.
18.6.5. Massuttag
Av de argument som tidigare har anförts mot utlämnande av uppgifter i elektronisk form kvarstår, som vi tidigare anfört, risken för otillbörliga intrång i den personliga integriteten. Denna risk kan sägas hänga samman med digitaliseringen i sig. Att lämna ut en enstaka personuppgift som inte är sekretessbelagd via ett elektroniskt medium kan inte i sig sägas utgöra ett integritetsintrång. Om en tidning t.ex. publicerar uppgifter om var en känd persons barn går på dagis kan detta visserligen uppfattas som ett integritetsintrång, men det har i huvudsak inget med saken att göra om tidningen har fått uppgiften på papper eller i elektronisk form (eller muntligt för den delen). Digitaliseringen av enstaka uppgifter medför visserligen att det går fortare att få tag i dem, men detta kan knappast sägas utgöra ett otillbörligt integritetsintrång.
Det är de ökade möjligheterna till lagring och bearbetning när uppgiften har elektronisk form som är det främsta problemet. I det sammanhanget kommer man in på diskussionen om massuttag. Vad händer om någon begär att få myndighetens alla handlingar? En sådan begäran kan inte sägas vara otillräckligt preciserad. Med modern teknik är den inte heller opraktisk. Om detta var möjligt skulle man på ganska kort tid kunna hämta hem och lagra myndigheters hela databaser i sin egen dator. Man skulle därefter med hjälp av ett sökprogram snabbt finna alla anteckningar rörande en viss person. Ett annat exempel som tidigare uppmärksammats i åtskilliga sammanhang är företagens intresse att utnyttja personuppgifter t.ex. för direktreklam. Departementschefen uttalade i prop. 1990/91:60 (s. 43) förståelse för att medborgarna kan känna irritation över att uppgifter som de är skyldiga att lämna till myndigheter i olika sammanhang används för helt andra syften än de samlats in för, t.ex. för kommersiella ändamål.
Tekniken kan också medföra att man i viss mån underminerar det skydd för integriteten som registerlagarnas sökbegränsningar innebär. Myndigheten får kanske i sitt ärendehanteringssystem inte utföra sök-
ningar på begreppet ”nationalitet” och därigenom få alla personer sorterade efter nationalitet; sådana sammanställningar är i vissa sammanhang oönskade. Men om allmänheten får tillgång till myndighetens beslut i elektronisk form där nationaliteten står angiven kan den som vill genom att använda ordbehandlingsprogrammets sökfunktioner ganska enkelt få fram sådana sammanställningar. Det kräver visserligen några ytterligare handgrepp men det går ändå ganska fort. Mot detta kan invändas följande. Myndighetens beslut är offentliga och en nationalitetssammanställning kan ändå göras genom att den enskilde begär alla besluten i form av utskrift eller går till myndigheten och läser dem. Det är sant. Men det blir betydligt omständligare och utförs sällan eller aldrig i praktiken.432 Elektronisk åtkomst till uppgifter medför, på motsvarande sätt, att det blir möjligt att sammanställa uppgifter från olika myndigheter (samkörning) som myndigheterna själva inte får utföra mellan sig.
En tänkbar modell kunde vara att avidentifiera de elektroniska handlingarna eller registerutdragen innan de lämnas ut, dvs. utesluta alla personuppgifter t.ex. i ett beslut. Det skulle emellertid, som tidigare anförts, vara förenat med svårigheter att i förväg avgöra vilka uppgifter som skulle utelämnas. Ytterligare en metod kunde vara att utesluta uttag av en viss storlek från offentlighetsprincipen.433 En sådan metod har förkastats tidigare eftersom det är näst intill omöjligt att göra en sådan avgränsning.434Metoden är inte heller enligt vår mening bra. Det är inte bara mängden uppgifter som är intressant i sammanhanget utan även vilken typ av uppgifter det gäller. Det finns mer eller mindre känslig information. Enligt vår mening är det omöjligt att på något sådant sätt särbehandla massuttagen med en bibehållen offentlighetsprincip.
Kravet att allt utlämnande av allmänna handlingar eller andra uppgifter i princip skall föregås av en sekretessprövning utgör enligt vår mening i praktiken ändå ett ganska effektivt hinder mot att alltför stora informa-
432 De tankar som tidigare fanns om att enskilda skulle skanna in utskrifter och därefter bearbeta uppgifterna vidare i en egen dator tycks inte ha blivit verklighet. 433 Data- och offentlighetskommittén föreslog bl.a. att en myndighet skulle vara skyldig att lämna ut en stor mängd upptagningar för ADB i form av utskrift, bara om ett sådant uttag ändå skulle ske för eller var förberett för myndighetens egen verksamhet. 434 Det fanns enligt departementschefen i prop. 1990/91:60 s. 45 anledning att tro att många myndigheter redan i den egna verksamheten använder sina register för vissa massuttag, dvs. de kan göras med rutinbetonade åtgärder. Hon pekade även på problemet att avgöra vad som är en ”stor mängd upptagningar”.
tionsmängder lämnas ut i elektronisk form. Sekretessprövningen kommer att ta tid, det är bara själva utlämnandet av handlingen som går snabbare. Det finns visserligen en risk för att det i större omfattning än nu begärs ut stora informationsmängder eftersom det är så mycket lättare att hantera informationen med modern teknik.435 Detta kan föranleda myndigheterna att i större omfattning ställa materialet till förfogande i ”avidentifierad” form enligt en modell som har skisserats ovan. På så sätt kan man troligen undvika en del yrkanden om uttag enligt 2 kap. TF.
I övrigt anser vi att de olägenheter och intrång som kan uppstå bör mötas på annat sätt. Det är missbruket av uppgifterna som bör hindras, inte utfåendet. I det sammanhanget utgör persondatalagen ett viktigt inslag. Kanske skall regleringen kring utnyttjandet av uppgifterna förändras t.ex. genom ett starkare straffrättsligt skydd för den personliga sfären (se avsnitt 6.2) eller ökade krav på massmedia att inte publicera uppgifter av privat natur. Registerförfattningarnas gallringsregler och bestämmelser om att vissa personuppgifter inte får ges elektronisk form över huvud taget utgör vidare skydd för missbruk.
Slutligen kan vi erinra om bestämmelsen i 7 kap. 16 § sekretesslagen som innebär att det gäller sekretess för personuppgifter hos myndigheten om det kan antas att ett utlämnande av uppgifterna skulle medföra att de blir föremål för automatisk databehandling i strid med persondatalagen.436Den föreslagna persondatalagen innehåller t.ex. ett principiellt förbud mot behandling av känsliga personuppgifter. Endast i vissa speciellt angivna fall är sådan behandling tillåten. I den mån myndigheten kan misstänka att uppgifterna kommer att bli föremål för behandling, annat än att en enskild tar del av dem för egen del, kan och skall myndigheten vägra utlämnande i elektronisk form. Handlingar som t.ex. innehåller uppgifter om begångna brott (och som inte har avidentifierats av myndigheten) bör antagligen inte lämnas ut till enskilda i elektronisk form annat än i mindre omfattning eftersom behandling av sådana uppgifter enligt persondatalagen endast får utföras av myndighet. Det kan också bli aktuellt att vägra utlämnande i elektronisk form om det handlar om stora mängder av uppgifter, s.k.
435 Det är ju redan nu fullt möjligt att begära ut alla brottmålsdomar från en tingsrätt i form av papperskopior. Emellertid är det nog inte många som gör det bl.a. eftersom materialet är svårhanterligt. Kan man få domarna i elektronisk form är situationen en annan. 436 I en sådan situation har myndigheten alltså möjlighet (och skyldighet) att närmare undersöka vem som begär uppgifterna och för vilket syfte.
massuttag, där man kan misstänka att uppgifterna kommer att behandlas på ett otillåtet sätt. Persondatalagen omfattar visserligen inte behandlingar som utförs i syfte att framställa grundlagsskyddade yttranden (se 7 § i den föreslagna persondatalagen). Det skulle därför inte föreligga hinder att lämna ut även stora mängder uppgifter i elektronisk form t.ex. till en journalist. Emellertid får den reglering som finns på yttrandefrihetsområdet antas motverka att detta leder till otillbörliga förfaranden.
Sammantaget anser vi att risken för att det skulle ske ökade intrång i den personliga integriteten om massuttag sker av uppgifter i elektronisk form inte bör överdrivas. Det kan antas att kommersiella intressen redan nu har tillgång till stora mängder av personuppgifter genom myndigheternas försäljning av uppgifter i elektronisk form. Enligt vår mening är risken inte så stor att man av hänsyn till denna även i fortsättningen måste hänvisa allmänheten till utlämnande på papper. De olägenheter som kan uppstå bör angripas genom att en olämplig användning av uppgifterna beivras. I det sammanhanget utgör persondatalagen ett viktigt inslag.
18.7. Avgifter
18.7.1. Avgifter för utlämnande enligt 2 kap. TF
Liksom när det gäller allmänhetens rätt att få ut t.ex. kopior på papper av handlingar är det rimligt att myndigheterna får ta betalt för vad det kostar att lämna ut handlingar eller andra uppgiftssammanställningar i elektronisk form. Man kan våga anta att det inom en snar framtid finns lösningar för att hantera även mindre betalningstransaktioner på ett ekonomiskt effektivt sätt. Vi har inte möjlighet att inom ramen för detta arbete närmare överväga frågor om avgifternas storlek osv. Det ingår i Grunddatabasutredningens uppdrag (dir. 1996:43) att utreda bl.a. finansiering och prissättning av de stora samhällsdatabaserna, och vi vill inte föregripa utredningens arbete. Enligt vår mening kan det i och för sig finns goda skäl att, precis som när det gäller traditionella handlingar, låta små uttag vara avgiftsfria.437
437 Enligt 16 § avgiftsförordning (1992:191) är de första nio sidorna gratis.
18.7.2. Försäljning av personuppgifter
Som nämnts förekommer det försäljning av bl.a. personuppgifter vid myndigheter. Försäljningen får enligt gällande rätt ske endast om det finns stöd i lag eller förordning eller efter beslut av regeringen (7 § datalagen).438 Sådan försäljning sker vid sidan av utlämnande enligt offentlighetsprincipen redan på den grunden att uppgifterna lämnas i elektronisk form. Ibland har myndigheten kanske gjort vissa bearbetningar eller sammanställningar som går utöver ”rutinmässiga åtgärder” och tar betalt för det arbete som man har lagt ner. Det finns även register som har inrättats direkt för försäljning av uppgifter till allmänheten, t.ex. SPAR och det allmänna företagsregistret (BASUN).439 Hur går det med försäljningen av uppgifter från sådana register om offentlighetsprincipen får omfatta även uppgifter i elektronisk form?
Det finns enligt vår mening inget som hindrar att man även i fortsättningen tar betalt för uppgifterna. Uttagen från sådana register får i regel antas ske för kommersiella ändamål, och det är enligt vår mening inte orimligt att man får betala de kostnader som direkt och indirekt är förenade med uttaget. Den som vill vidareförädla uppgifterna (i den mån det är tillåtet enligt persondatalagen) får med andra ord betala för ”basmaterialet” och kan därefter ta betalt för sin förädling.440 De eventuella krav på ensamrätt till uppgifter i elektronisk form som enskilda företag kan ha skaffat sig genom avtal med en myndighet kan dock komma i konflikt med offentlighetsprincipen.
438 Någon motsvarighet till 7 § datalagen finns inte i vårt förslag till ny persondatalag. Det förslaget innehåller inte i sig något hinder mot utlämnande enligt offentlighetsprincipen. 439 Prop. 1990/91:60 s. 47. 440 Regeringen har i den s.k. IT-propositionen (1995/96:125) bl.a. tagit upp frågan om utvecklingen av samhällets grunddatabaser, t.ex. de centrala registren över personer och företag, och förklarat att frågan kommer att bli föremål för vidare utredning. I det sammanhanget nämns även frågan om prissättningen på informationstjänsterna (s. 45–46). Grunddatabasutredningen (dir 1996:43) har därefter bl.a. fått i uppdrag att behandla frågan om finansiering och prissättning av sådana databaser.
18.8. Sammanfattning
Även när myndigheterna lämnar ut (överför) uppgifter enligt offentlighetsprincipen, bör det kunna ske i elektronisk form. Skyldigheten måste dock, precis som när det gäller presentation av uppgifter, anpassas efter myndighetens tekniska förutsättningar. Allmänheten bör inte heller i fortsättningen ha någon rätt att via s.k. on-lineuppkopplingar själv hämta handlingar eller andra uppgifter ur myndighetens dator. Detta hindrar givetvis inte att myndigheten lägger ut valda delar av sitt informationsmaterial på s.k. webbsidor där allmänheten fritt kan söka och hämta uppgifter.
Risken för otillbörligt intrång i den personliga integriteten när handlingar och andra uppgifter lämnas ut i elektronisk form motverkas dels genom att varje utlämnande måste föregås av en sedvanlig sekretessprövning (där bestämmelsen i 7 kap. 16 § sekretesslagen utgör ett särskilt skydd för personuppgifter i elektronisk form), dels genom de begränsningar för vidare behandlingar av uppgifter som persondatalagen uppställer.
18.9. En preliminär sekretessprövning
18.9.1. Elektroniska handlingar
Sådana handlingar som i regel inte skall lämnas ut utan sekretessprövning i varje enskilt fall måste hållas avskilda i systemet (t.ex. så att de bara visas av programmet för personer med viss kvalificerad behörighet) och lämnas ut först efter en riktig sekretessprövning. För att man skall kunna låta allmänheten självständigt, t.ex. via en presentationsterminal, ta fram uppgifter ur myndighetens dator krävs det därför ofrånkomligen en viss preliminär sekretessbedömning av den enskilda handlingen, inte när handlingen begärs utlämnad utan, när den förs in i myndighetens datorsystem. Det hindrar givetvis inte att den aktuella handlingen, efter en särskild begäran, lämnas ut efter en sedvanlig sekretessprövning. Information får dock inte utelämnas, utan det måste framgå att uppgifterna finns men att de lämnas ut först efter särskild begäran. Det återstår då för allmänheten att begära att
handlingen eller uppgiften lämnas ut efter en sedvanlig sekretessprövning.441
18.9.2. Databaser
Det är tekniskt enkelt att skapa program som sekundsnabbt sammanställer och presenterar uppgifter ur databaser i önskade konstellationer. Vitsen med att låta allmänheten ta del av uppgifter via en presentationsterminal går förlorad om varje sådan sökning måste sekretessprövas av myndigheten. För att det skall fungera i praktiken måste den enskilde få sitta själv och fritt använda tillgängliga sökfunktioner. Detta kräver att myndigheten har gjort en preliminär sekretessbedömning av alla uppgifter och sökmöjligheter som görs åtkomliga. De uppgifter och sökmöjligheter som bedöms kunna vara omfattade av sekretess måste då undantas från elektronisk åtkomst och lämnas ut bara efter särskild sekretessprövning.
För att undvika sådana sekretessprövningar som i praktiken skulle kunna bli tämligen omfattande har man i vissa fall i stället, med likställighetsprincipen som grund, förbjudit sådana sökningar som kan vara integritetskränkande.442 Prövningen av vilka sökningar och sammanställningar som skall ”döljas” och vilka som skall tillåtas sker i själva verket numera vid tillkomsten av de registerförfattningar som reglerar myndigheternas uppgiftsbehandling. Sådana sökningar och sammanställningar som anses integritetskränkande förbjuds helt enkelt. Det är långt i från säkert att alla uppgiftssammanställningar som är resultat av sådana sökningar skulle anses integritetskränkande, men för att undvika ett opraktiskt system där varje resultat bedöms för sig, förbjuder man vissa sökningar helt. Den stora skillnaden när det gäller enstaka känsliga uppgifter som är sekretessbelagda är att myndigheten fortfarande själv har tillgång till dem, medan
441 Med modern teknik bör man kunna underlätta utlämnande av handlingar som innehåller sekretessbelagda uppgifter. En elektronisk handling framställs ju ”på nytt” varje gång den visas. Man bör på ett enkelt sätt kunna dölja känsliga uppgifter vid framtagning av handlingen i stället för att som i den manuella miljön kopiera och stryka för hand innan handlingen lämnas ut. 442 Det är t.ex. tillåtet i tingsrättens målhanteringssystem att söka på en viss tilltalads namn och därigenom få fram uppgiften att han är åtalad för mord, men det är inte tillåtet att genom att söka på ”mord” få fram hans namn. I den första situationen kan man förutsätta att den intresserade i vart fall känner till att en viss person är tilltalad. I det andra fallet avslöjas hans namn mera av en slump, och det kan sägas vara ett intrång i hans personliga integritet.
ett förbud mot vissa känsliga sökningar innebär att varken myndigheten eller allmänheten har tillgång till dem.
Man kan överväga att i stället för att förbjuda sådana sökningar helt använda sekretessinstrumentet i större omfattning. Ett sådant system gör det möjligt för myndigheterna att skapa uppgiftssammanställningar som allmänheten, efter sekretessprövning, i vissa fall inte får se. Detta kan ordnas tekniskt genom att vissa sökfunktioner inte görs direkt åtkomliga på elektronisk väg utan får användas först efter särskild sekretessprövning. Ett sådant förfarande kan inte sägas strida mot likställighetsprincipen i större omfattning än vad sekretessbeläggningen av enskilda uppgifter gör. Genom ett sådant system kan man också skapa ett starkare skydd för den personliga integriteten.
För att den nya tekniken skall utgöra ett effektivt stöd för offentlighetsprincipen är det emellertid bättre att bedömningen av vilka sökningar och sammanställningar som av hänsyn till den personliga integriteten inte bör få utföras liksom nu görs redan när programmet konstrueras eller tas i bruk. Precis som när det gäller vanliga sekretessregler bör riksdagen ytterst göra dessa bedömningar, när det gäller sökningar, sammanställningar och andra behandlingar, i de registerförfattningar (eller beslut grundade på bestämmelser i sådana författningar) som redan nu reglerar detta.
18.9.3. Sammanfattning
Vi anser att sekretessprövningen i den elektroniska miljön måste alltmer utgå från preliminära bedömningar. Detta är en förutsättning för att den digitala tekniken på ett effektivt sätt skall kunna utnyttjas för att öka den offentliga insynen i myndigheternas verksamhet. Systemet med individuell prövning av varje uppgiftsutlämnande har i praktiken redan övergetts av vissa myndigheter (i vart fall hos dem som använder presentationsterminaler). Systemet bygger på att de uppgifter som, enligt en preliminär bedömning, aldrig kan bli föremål för sekretess läggs ut för direkt åtkomst t.ex. via en presentationsterminal. Utlämnande av andra uppgifter som kräver prövning i varje enskilt fall måste alltjämt hanteras manuellt. Den allmänt hållna bestämmelsen i 2 kap. 14 § TF om hur en begäran om att få ta del av allmänna handlingar skall hanteras behöver i princip inte ändras för att detta skall vara möjligt.
19. Biblioteksregeln
Vårt förslag till ny avgränsning av en myndighets informationstillgångar innebär att bestämmelsen i 2 kap. 11 § andra stycket TF kan tas bort eftersom den inte längre fyller någon funktion. Detta medför också att regleringen kring biblioteksundantaget kan bli teknikneutral. En referensbok skall behandlas på samma sätt om den är tryck på papper, om den finns på en cd-romskiva eller om den finns t.ex. på en hårddisk i en av myndighetens datorer.
19.1. Bakgrund
En begränsning av offentlighetsprincipen följer av ”biblioteksregeln” i 2 kap. 11 § första stycket 3 TF. Enligt bestämmelsen anses bl.a. tryckta skrifter, ljud- eller bildupptagningar eller andra handlingar som ingår i bibliotek inte som allmänna handlingar. Bestämmelsen tar sikte både på sådana myndigheter som har biblioteksverksamhet till huvuduppgift och på samlingar av typ hand- eller referensbibliotek som finns hos myndigheter med andra arbetsuppgifter, även t.ex. hos domstolar. För att en handling skall omfattas av bestämmelsen krävs att den ingår som en beståndsdel i en samling av handlingar organiserade på sådant sätt att de enligt vanligt språkbruk är att betrakta som bibliotek.443
En myndighets åtkomst till externa databaser som utgör bibliotek hos andra än myndigheter faller utanför begreppet allmän handling. Detta framgår motsatsvis av bestämmelsens andra stycke. Enligt den regeln gäller biblioteksundantaget inte upptagning för automatisk databehandling i sådant register som myndighet har tillgång till enligt avtal med annan myndighet. Vid den bestämmelsens tillkomst nämndes två typer av hand-
443 Prop. 1975/76:160 s. 179–180.
lingar som därmed skulle falla utanför offentlighetsprincipen; databastjänster som erbjuds via telenätet och referensmaterial på cd-rom medium.444Myndighetsdatabaser som andra myndigheter har tillgång till torde inte vara undantagna från offentlighetsprincipen på grund av biblioteksregeln.445
19.2. Överväganden
19.2.1. Allmänt
Vår uppgift är att analysera bestämmelsen i 2 kap. 11 § andra stycket mot bakgrund av utvecklingen mot globala nätverk. Som vi tidigare beskrivit har IT-utvecklingen sedan bestämmelsen tillkom varit närmast explosionsartad särskilt inom området för telekommunikation (se avsnitt 15.1). Överföring av data via nät ersätter i allt större omfattning skriftlig och muntlig kommunikation. Myndigheterna behöver inte alltid träffa överenskommelser med andra subjekt, privata eller offentliga, för att få tillgång till information. Allt som läggs ut på nätet blir tillgängligt för alla. Den analys vi gjort visar att den s.k. tillgänglighetsprincipen i 2 kap. TF inte fungerar i denna nya situation. Det är inte rimligt att betrakta de enorma informationsmängder som är tillgängliga via nät som allmänna handlingar.
19.2.2. Vårt förslag
Vårt förslag till ny begreppsapparat i 2 kap. TF innebär att det skall finnas gränser för vad som är en myndighets information. Bara på grund av att det
444 Prop. 1990/91:60 s. 75. 445 Vid tillkomsten av bestämmelsen i andra stycket konstaterade departementschefen att en ADB-upptagning omfattas av biblioteksregeln om upptagningen används i myndighetens verksamhet på samma sätt som böcker i ett bibliotek. Lagrådet uttalade i lagstiftningsärendet att undantaget för icke-myndighetsdatabaser i själva verket innebar en begränsning av biblioteksregeln eftersom den aldrig blev til??lämplig på myndigheter (alltså inte heller på externa databaser som är tillgängliga för den andra myndigheten). Departementschefen uttalade i det sammanhanget att myndigheternas databaser i allmänhet torde innehålla enbart allmänna handlingar, och att det därför inte fanns någon anledning att inskränka allmänhetens rätt att ta del av en sådan databas (prop. 1990/91:60 s. 31).
är möjligt för myndigheten att läsa eller hämta uppgifter via t.ex. Internet, skall inte detta medföra att allt som finns på nätet anses ingå i myndighetens informationstillgångar. Men om uppgifter väl hämtas och sparas i en databas som tillhör myndigheten blir de naturligtvis del även av den myndighetens information. Om uppgifterna sedan är allmänna får prövas i enlighet med reglerna i 2 kap. TF. Vid den bedömningen spelar den ”riktiga” biblioteksregeln en väsentlig roll i praktiken. Tidningsartiklar, informationsmaterial osv. som hämtas via nät omfattas precis som motsvarande material i tryckt form av biblioteksundantaget.
Med andra ord skall det inte ha någon betydelse om materialet i t.ex. en bok är tillgängligt för myndigheten i formen av en tryckt pappersskrift, på en cd-romskiva eller direkt från en databas där myndigheten har sparat det. Det kan ibland kanske vara oklart vilket material som har ”bibliotekskaraktär”, dvs. vad som är referensmaterial hos myndigheten, men den gränsdragningen får inte kompliceras ytterligare av att olika regler gäller beroende på vilken form materialet har.
Vårt förslag till ny begreppsapparat innebär alltså att regeln i 2 kap. 11 § andra stycket TF kan tas bort. För att göra lagen tydlig och teknikneutral bör den egentliga biblioteksregeln moderniseras i enlighet med vad som nyss sagts.
20. Myndigheters datorprogram
Om myndigheterna använder hjälpmedel för att fatta s.k. automatiserade beslut bör de vara skyldiga att för allmänheten hålla tillgängligt beskrivningar över hur programmen fungerar. Vi anser att en sådan rätt är ett väsentligt inslag i allmänhetens möjligheter att kontrollera och få insyn i myndigheternas verksamhet. Offentlighetsinsynen bör därför förstärkas på detta sätt. Allmänhetens rätt att få ut allmänna uppgifter i elektronisk form bör inte utsträckas till att omfatta myndigheternas datorprogram eftersom det då skulle uppstå intrång i upphovsrätten till programmen.
20.1. Inledning
Myndigheterna använder för sin verksamhet olika typer av datorprogram. Med sådana program avser vi de instruktioner som styr datorns behandling av uppgifter (programkod). Programmen kan vara av skilda slag och avse olika typer av behandlingar; ordbehandling, kalkylering, ritning, bokföring, registrering, kommunikation osv. Andra program gör det möjligt att överföra, hämta eller visa uppgifter från andra datorer. Det finns också program som har till uppgift att styra andra program eller utgöra länk mellan program. En del program innehåller mer eller mindre avancerade funktioner för beslutsstöd, dvs. de regler som myndigheten skall tillämpa t.ex. vid beslut i en viss typ av ärenden finns inlagda i datorn. Myndighetens beslut fattas genom att datorn tillämpar de inlagda reglerna – man talar om automatiserade beslut. Vissa av de program som myndigheterna använder sig av är inköpta på den kommersiella marknaden medan andra har utvecklats eller modifierats av myndigheterna själva.
I detta avsnitt diskuterar vi frågan om offentlighetsprincipens tillämpning på myndigheters datorprogram. Diskussionen handlar således inte om de sakuppgifter som hanteras i programmen, utan om själva programmen (programkoden). Det finns två aspekter på frågan. Den första gäller myn-
digheternas rätt att använda upphovsrättsligt skyddade program för att låta allmänheten ta del av de allmänna uppgifter som programmen hanterar. För det andra rör det allmänhetens rätt att med stöd av offentlighetsprincipen ta del av programkod. (Frågan om allmänhetens rätt att få ut allmänna sakuppgifter i elektronisk form har vi tidigare behandlat i avsnitt 18.)
20.2. Det upphovsrättsliga skyddet av datorprogram
20.2.1. Allmänt
Datorprogram och designmaterial som tas fram inför konstruktionen av sådana program är upphovsrättsligt skyddade (1 kap. 1 § URL446). Någon närmare definition av begreppen datorprogram och designmaterial har inte gjorts i den upphovsrättsliga lagstiftningen.447 Med datorprogram brukar man avse sådana instruktioner som erfordras för att en dator skall kunna arbeta, och med designmaterial resultatet av sådant arbete som leder till utvecklingen av datorprogram. Datorprogram kan förekomma i olika former. Man brukar skilja mellan ”källkod” och ”objektkod”, där källkoden utgör programmet skrivet i en form som kan uppfattas av människor som har viss kunskap och objektkoden en form av programmet som bara kan uppfattas av en maskin (maskinläsbar). I den senare formen kan programmet finnas på ett materiellt underlag t.ex. på en diskett, ett magnetband eller chips eller direkt inmatat i datorn. Designmaterial kan i princip ha vilken form som helst t.ex. en beskrivning, ritning eller skiss.
För att omfattas av upphovsrätt måste produkten ha nått s.k. verkshöjd. Innebörden av det villkoret får bedömas från fall till fall. Allmänt gäller att ett verk måste vara resultatet av ett individuellt skapande och skall präglas av ett visst mått av originalitet. En annan grundläggande princip inom upphovsrätten är att de idéer som ligger bakom ett verk inte kan få något upphovsrättsligt skydd. De formler, algoritmer och idéer som ett datorpro-
446 Lag (1960:729) om upphovsrätt till litterära och konstnärliga verk. 447 Prop. 1992/93:48 s. 112.
gram är byggt på åtnjuter således inte något skydd, utan dessa kan användas av andra för att skapa nya program.448
20.2.2. Ensamrätten
Upphovsrätten innebär bl.a. att upphovsmannen ensam har rätt till det skyddade verket, t.ex. datorprogrammet. Ensamrätten ger dels en rätt till de ekonomiska fördelarna dels en s.k. ideell rätt (3 §).
De ekonomiska rättigheterna utgörs för det första av en uteslutande rätt att förfoga över verket genom att framställa exemplar av det. Att man har äganderätten till ett exemplar av verket innebär således inte att man har rätt att fritt göra nya exemplar av det. För det andra utgörs de ekonomiska rättigheterna av en rätt att göra verket tillgängligt för allmänheten i ursprungligt eller ändrat skick. Verket kan göras tillgängligt för allmänheten genom offentligt framförande eller genom spridning av exemplar till allmänheten genom t.ex. uthyrning eller utlåning, eller genom offentlig visning av exemplar. Det finns vissa inskränkningar i de ekonomiska rättigheterna vilka framgår av 2 kap. URL.
De ideella rättigheterna innebär en principiell rätt för upphovsmannen att i samband med verkets utnyttjande bli angiven i den omfattning och på det sätt som god sed kräver. Vidare kan han motsätta sig att verket används på ett sätt eller i ett sammanhang som är kränkande för hans litterära eller konstnärliga anseende eller egenart.449
Medan en exemplarinnehavare inte har rätt att framställa nya exemplar av verket eller framföra det offentligt har han däremot rätt att i övrigt förfoga över exemplaret genom att t.ex. sälja det eller låna ut det eller genom att visa det. Detta framgår av de s.k. konsumtionsreglerna (19 och 20 §§) .
Från spridningsrätten finns vissa undantag. Det är inte tillåtet att tillhandahålla allmänheten exemplar genom uthyrning eller annat sådant förfarande. Denna rätt är alltså förbehållen upphovsrättsinnehavaren. Det är inte heller tillåtet att låna ut exemplar av datorprogram i maskinläsbar form (se vidare under nästa avsnitt).
Enligt gällande rätt varar upphovsrätten i princip i 70 år.
448 SOU 1985:51 s. 94. 449 SOU 1985:51 s. 93.
20.2.3. Specialregler för datorprogram
20.2.3.1 Kopieringsförbud
I URL finns vissa speciella regler beträffande datorprogram. En av de mera uppmärksammade är förbudet att framställa egna exemplar (kopior) av datorprogram för enskilt bruk (12 § 2 st.). Beträffande andra skyddade verk är huvudregeln att kopior får göras, inte för försäljning, men för privat bruk (12 § 1 st.). Orsaken till det i stort sett totala kopieringsförbudet är att det är lätt att göra mycket bra kopior av datorprogram.450 Om sådan kopiering var tillåten skulle den som har utvecklat programmet gå miste om stora intäkter från försäljning av programexemplar. Till saken hör att utvecklingskostnaderna ofta är mycket stora.
Förbudet hindrar dock inte att man gör säkerhetskopior, ändrar programmet för att det skall kunna användas för sitt ändamål eller rättar fel i det (26 g §). Den sistnämnda rättigheten kan dock avtalas bort. Vidare har innehavaren av programmet rätt att iaktta, undersöka eller prova programmets funktion för att fastställa de idéer och principer som ligger bakom programmet. Detta gäller dock endast om det sker vid sådan laddning, visning, körning, överföring eller lagring av programmet som innehavaren har rätt att utföra. Om det krävs för att programmet skall kunna samverka med något annat program (reverse engineering) har en behörig användare också rätt att översätta objektkoden till källkod (dekompilering) för att få nödvändig information (26 h §).
Även om idéerna och principerna bakom ett datorprogram inte är upphovsrättsligt skyddade, blir det till följd av bestämmelserna i 26 g–h §§ i praktiken således omöjligt att studera hur de är uppbyggda. Det enda undantaget är det studium som är nödvändigt för att kunna använda programmet tillsammans med andra program.
20.2.3.2 Exemplaranvändning
Att använda ett datorprogram innebär inte ett utnyttjande av programmet i upphovsrättslig mening.451 Det som visas är ju de sakuppgifter som hanteras av programmet, inte själva programkoden. Däremot kan sakuppgifterna
450 Det förekommer att sådana ”piratkopior” av datorprogram tillhandahålls via s.k. BBS:er (Bullentin Board System), se t.ex. NJA 1996 s. 79. 451 Bernitz, Ulf, m.fl., Immaterialrätt, 5 uppl., s. 38–39.
som sådana vara föremål för upphovsrättsligt skydd, men detta är en annan sak.
De i föregående avsnitt nämnda konsumtionsreglerna innebär att den som äger ett exemplar av ett datorprogram har rätt att lämna detta exemplar vidare genom försäljning, byte eller gåva. På grund av undantaget i 19 § andra stycket första punkten får man inte hyra ut det. Det får heller inte lånas ut i maskinläsbar form – däremot i form av utskrift av källkoden (19 § 2 st. 2 p.). Det är i praktiken genom den maskinläsbara formen av programmet som det kan kopieras.452
20.2.4. Upphovsrätten till allmänna handlingar
Huvudregeln är att sådana handlingar som är upprättade vid en myndighet inte omfattas av upphovsrätt, medan sådana som har getts in till myndigheten i regel omfattas av den eventuella upphovsrätt som före ingivandet fanns för handlingen. Handlingar som har upprättats vid en myndighet kan från upphovsrättslig synvinkel indelas i tre grupper. N För det första finns det handlingar som i princip inte omfattas av någon
upphovsrätt. Det gäller författningar, beslut, yttranden och översättningar av sådana (9 §). N Den andra gruppen, där upphovsrätt gäller enligt vanliga regler omfattar
kartor, tekniska förebilder, datorprogram, verk som skapats för undervisning, verk som är resultatet av vetenskaplig forskning, alster av bildkonst, musikaliska verk, diktverk och verk av vilka exemplar genom en myndighets försorg tillhandahålls allmänheten i samband med affärsverksamhet (26 a § 3 st.).
452 Koktvedgaard, Mogens & Levin, Marianne, Lärobok i immaterialrätt, 3 uppl., s. 113.
N Den tredje gruppen omfattas av ett visst upphovsrättsligt skydd. Kartor,
alster av bildkonst, musikaliska verk eller diktverk är skyddade även om de ingår i sådana verk som inte omfattas av något skydd alls (9 § 2 st.). Med undantag för kartor får verken dock återges. Upphovsmannen har då rätt till ersättning för återgivningen utom när den sker i myndighets verksamhet. Han har inte heller rätt till ersättning när återgivningen sker i samband med en redogörelse för det mål eller ärende i vilket verket har förekommit och återgivningen sker endast i den omfattning som är betingad av ändamålet med redogörelsen (26 a § 1 st.). Även beträffande andra handlingar som har upprättats vid myndigheter gäller ett begränsat upphovsrättsligt skydd. De får återges utan samtycke, men de ideella rättigheterna skall respekteras (26 a § 2 st.).
Myndigheternas datorprogram åtnjuter således fullt upphovsrättsligt skydd, både sådana som har köpts in till myndigheten och sådana som myndigheten själv har utvecklat eller låtit utveckla. Det är lätt att inse att situationen skulle bli omöjlig om inte de privata leverantörerna fick behålla skyddet kring sina produkter, t.ex. ordbehandlings- eller registreringsprogram, när de säljer sådana till myndigheter. Vidare förekommer det en tämligen omfattande programutveckling vid landets olika statliga, kommunala och landstingskommunala myndigheter, som motsvarar ett stort ekonomiskt värde. När myndigheterna utvecklar egna programprodukter kan de använda särskilda program, s.k. utvecklingsverktyg och datorprogram som köpts på den kommersiella marknaden. På samma sätt som när det gäller färdiga program är det uppenbart att sådana produkter måste åtnjuta upphovsrättsligt skydd när de säljs till myndigheter likaväl som när de säljs till privata företag.
Oavsett vilket upphovsrättsligt skydd som kan gälla för myndigheternas handlingar skall de tillhandahållas i enlighet med reglerna i 2 kap. TF (26 b § URL).
20.2.5. Registerbeskrivningar
I 15 kap. 11 § sekretesslagen föreskrivs att myndigheterna är skyldiga att ha beskrivningar över sina ”ADB-register”. Dessa skall vara tillgängliga för allmänheten. Skyldigheten gäller inte beträffande register som inte till någon del anses som allmän handling hos myndigheten och omfattar inte heller beskrivningar som uppenbarligen skulle vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar hos myndigheten. Beskrivningen skall ge upplysning om ADB-registrets benämning och ända-
mål, vilka typer av uppgifter i registret som myndigheten har tillgång till och på vilket sätt dessa normalt inhämtas, vilka andra myndigheter som har tillgång till registret i läsbar form, vilka terminaler eller andra tekniska hjälpmedel som enskilda själva kan få utnyttja hos myndigheten, vilka sekretessregler som myndigheten vanligen skall tillämpa på uppgifter i registret, vem som kan lämna närmare upplysningar om registret samt rätt till försäljning av personuppgifter i personregister. Meningen med beskrivningen är att allmänheten genom den skall få en överblick över den förekommande IT-verksamheten hos en myndighet. Detta förutsätter bl.a. att beskrivningen är aktuell, att den inte är alltför detaljerad och att den inte är tekniskt orienterad utan begriplig även för den som saknar närmare kunskaper om IT.453
Bestämmelsen tar dock inte alls sikte på det som vi benämner programkod utan enbart på de sakuppgifter som programkoden hanterar. Den innebär alltså inte att myndigheterna skulle vara skyldiga att ha beskrivningar över hur deras program fungerar. Det finns inte heller någon annan sådan bestämmelse. Inte heller i övrigt finns det någon regel om att myndigheterna skulle vara skyldiga att lämna upplysningar om hur t.ex. ett program som fattar automatiserade beslut fungerar.
20.2.6. Konflikten mellan offentlighetsprincipen och upphovsrätten
20.2.6.1 Användning av program för att tillgodose rätten att enligt offentlighetsprincipen ta del av sakuppgifter
Den rättsliga grunden för en myndighets programanvändning är i regel ett licensavtal med rättighetshavaren till programmet. Det står avtalsparterna fritt att bestämma även om användningen av programmet. Genom avtalet kan det t.ex. bestämmas hur många som får använda programmet, på vilket sätt det får användas osv. De flesta av upphovsrättslagens regler är dispositiva, dvs. de gäller endast i den mån inget annat har avtalats mellan parterna. I princip skulle ett sådant avtal kunna innehålla bestämmelser som gör att programmen inte kan användas för att lämna ut uppgifter enligt offentlighetsprincipen. Avtalsreglerna skulle så att säga ”ta över” grundlagsreglerna i 2 kap. TF. Vi känner inte till att det skulle förekomma några
453 Toppledarforum, Offentlighet & IT, Statskontoret 1995:14 s. 60.
sådana begränsningsregler i licensavtal som myndigheterna har slutit. Det får förutsättas att myndigheterna inte försätter sig i en sådan situation. (En myndighet får på motsvarande sätt naturligtvis inte blanda samman de allmänna handlingarna så att det inte går att hitta ibland dem.)
I samband med att bestämmelsen om upphovsrätt till myndigheternas datorprogram tillkom angavs att regeln bl.a. syftade till att ge rättighetshavaren, t.ex. en statlig myndighet, en möjlighet att kontrollera mångfaldigandet och annat utnyttjande av programmet.454 Samtidigt uttalades att upphovsrätten inte skulle innebära några inskränkningar i möjligheterna att få ut eller eljest ta del av programvara hos myndigheterna. Generellt sett gäller att det åligger myndigheterna att se till att de kan uppfylla lagens krav t.ex. när det gäller att lämna ut uppgifter enligt offentlighetsprincipen. Upphovsrättslagen kan med andra ord inte sägas utgöra något hinder för myndigheterna att uppfylla offentlighetsprincipen.
20.2.6.2 Rätten att ta del av programkod
Frågan är då om allmänheten med stöd av offentlighetsprincipen kan kräva att få en kopia av myndighetens datorprogram trots att det är upphovsrättsligt skyddat.
I samband med att 2 kap. 3 § TF fick sin nuvarande lydelse uttalade departementschefen att ett datorprogram är en upptagning och därmed en handling enligt förevarande bestämmelse.455 Detta innebär i princip bl.a. att allmänheten har rätt att få en avskrift eller kopia av programmet/handlingen (2 kap. 13 § TF). Enligt gällande rätt behöver dock inte en upptagning för automatisk databehandling lämnas ut i annan form än på papper. Allmänheten har således en rätt att få ut myndigheternas datorprogram i form av en utskrift men inte i elektronisk form. Om en enskild person skulle använda en utskrift för att framställa ett datorprogram, skulle han dock begå ett upphovsrättsintrång när han använder programmet.
454 SOU 1985:51 s. 108. 455 Prop. 1975/76:160 s. 120–121, se även Toppledarforum, Offentlighet & IT, Statskontoret 1995:14 s. 20.
20.3. Överväganden
20.3.1. Konflikten mellan offentlighetsprincipen och upphovsrätten
Rättsläget är således det att myndigheterna kan presentera och lämna ut uppgifter till allmänheten utan att det uppstår några upphovsrättsliga konflikter. Vidare kan allmänheten med stöd av offentlighetsprincipen kräva att få ut myndigheternas datorprogram i utskriven form på papper. I den formen har de flesta människor emellertid inte någon nytta av programmen. Det är först när man har överfört programmet i en maskinläsbar form som man kan se hur det fungerar. Att förfara så med programmet innebär dock ett brott mot upphovsrätten.
Vårt förslag att myndigheternas uppgifter i princip skall kunna krävas ut i elektronisk form leder emellertid till att konflikten mellan offentlighetsprincipen och upphovsrätten skärps. Om myndigheterna plötsligt skulle bli skyldiga att lämna ut sina datorprogram i elektronisk form (t.ex. ett ord- och textbehandlingsprogram på en diskett) skulle detta med säkerhet skapa reaktioner hos de företag som säljer sådana program kommersiellt. Företagen skulle med största sannolikhet bli mycket ovilliga att sälja program till myndigheter under sådana förutsättningar.
Samtidigt har allmänheten inte någon rätt att få reda på hur myndigheternas datorprogram fungerar. Från offentlighetssynpunkt är det givetvis inte intressant hur ett ord- och textbehandlingsprogram eller ett registreringsprogram fungerar. Det kan däremot finnas ett intresse från allmänhetens sida att få insyn i hur sådana program fungerar som fattar mer eller mindre automatiserade beslut.
20.3.2. Myndigheterna bör inte vara skyldiga att lämna ut datorprogram i elektronisk form
Den mest gynnsamma situationen från offentlighetssynpunkt vore naturligtvis att alla myndigheternas program var fritt tillgängliga för allmänheten även i elektronisk form. Detta skulle bidra till största möjliga offentlighet.
Enligt gällande rätt anses datorprogrammen vara allmänna handlingar och allmänheten har alltså rätt att i någon form ta del av dem. Man kan visserligen diskutera värdet av att behålla en sådan rätt. Som tidigare
nämnts har de allra flesta människor inte någon nytta av att få programmen i den formen. Datorprogrammen i sig kan inte heller sägas ha något direkt samband med offentlighetsprincipen; den tar uteslutande sikte på sakuppgifter i sitt sammanhang. Vi har därför övervägt att också utesluta programmen i utskriven form från offentlighetsprincipen. De som emellertid har kunskap om programmering och kan läsa det ”språk” som programmet är skrivet i, kan se hur det är konstruerat. I programkoden går det att se hur tillämpningen av en viss rättsregel har omvandlats till logik i programmet. Det är vidare troligt att kunskapen om programmering kommer att öka efter hand, och fler och fler människor kommer att ha denna kunskap. Vi har inte velat föreslå några begränsningar i vad som nu gäller. Vi ser å andra sidan inte någon anledning föreslå att datorprogrammen skall kunna utlämnas i elektronisk form, eftersom sådant utlämnande skulle underlätta brott mot upphovsrättslagstiftningen. Den utvidgning av offentlighetsprincipen som det innebär att allmänheten även får rätt att få ut allmänna uppgifter i elektronisk form bör därför inte omfatta datorprogram.
20.3.3. Allmänhetens insynsrätt bör förstärkas
Intresset av att kunna kontrollera och få insyn i myndigheternas verksamhet motiverar emellertid att allmänheten ges rätt att undersöka hur vissa av programmen fungerar. I det sammanhanget finns det skäl att skilja mellan olika typer av program.
Det finns många program som inte är intressanta från offentlighetssynpunkt. Hur ett ord- och textbehandlingsprogram är konstruerat eller fungerar har inte någon självständig betydelse. Det är uteslutande själva texten som är intressant för allmänheten. Motsvarande gäller registrerings-, räkne-, kommunikationsprogram osv. Däremot kan det finnas ett intresse för allmänheten att få insyn i och kontrollera sådana program som framställer beslut på grundval av uppgifter som läggs in i programmet (s.k. automatiserade beslut).456 Programutvecklaren har då omvandlat rättsliga regler till logiska formler i programmet och i det sammanhanget varit tvungen att tolka vissa av reglerna. Det är då datorprogrammet som, på grundval av de inlagda reglerna, kommer fram till beslutet, inte en mänsklig hjärna. Typiska exempel på sådana program kan vara program som be-
456 Cecilia Magnusson Sjöberg har betecknat ”automation” som ”användning av IT utan mänskligt ingripande” (Rättsautomation – Särskilt om statsförvaltningens datorisering, 1992, s. 35).
räknar skatter eller avgifter, eller som räknar ut hur mycket pengar en bidragsberättigad person har rätt att få. Några hävdar att sådana datorprogram under vissa förutsättningar kan betraktas som generella förvaltningsbeslut.457 Utgångspunkten för det resonemanget är att det alltid finns ett utrymme för och ett behov av tolkning när reglerna skall göras generella i ett datorprogram (t.ex. vilka omständigheter som man skall ta hänsyn till när en uträkning skall göras av en utbetalning eller en skattefordran). De rättsliga reglerna ”översätts” med andra ord av programmakaren så att de tillämpas av datorn när tjänstemannen kör programmet.
Det kan naturligtvis hävdas att det är resultatet av regeltillämpningen som är det viktiga, och det är den som allmänheten med stöd av offentlighetsprincipen skall kunna få insyn i och kontrollera. Det finns inte någon mekanism för att kontrollera hur ett ”manuellt” framställt resultat har blivit som det har blivit (mer än i den mån det framgår av beslutsmotivering etc.). De rutiner och hjälpverktyg som den enskilde tjänstemannen i övrigt använder vid regeltillämpning är inte föremål för allmänhetens insyn. Om myndighetens datorprogram innehåller felkonstruktioner så att det ger felaktiga resultat, kan dessa angripas på vanligt sätt t.ex. genom överklagande. Använder myndigheten datorsystem som är ineffektiva kan detta visas genom t.ex. långa handläggningstider eller höga kostnader. Även i detta fall kan ”symptomen” angripas.
Enligt vår mening finns det dock en risk för att allmänhetens insyn i myndigheternas verksamhet minskar i takt med den ökade datoriseringen. Verksamheten blir svårare att ”se”, särskilt när det gäller mer eller mindre automatiserade handläggningsformer. Många människor upplever en känsla av hjälplöshet när man vid kontakter med myndigheter får besked som ”det har datorn räknat ut”, ”det står här i datorn” osv.458 Vidare skulle myndigheterna i princip kunna ha mindre kvalificerad personal när alltmer av ”tänkandet” utförs genom körningar av datorprogram. Sammantaget leder detta enligt vår mening till att det finns starka skäl för att förstärka offentlighetsinsynen på detta område.
457 Magnusson Sjöberg, Cecilia, Rättsautomation – Särskilt om statsförvaltningens datorisering, 1992, s. 209. 458 Vissa typer av automatiserade beslut har uppmärksammats särskilt i EG-direktivet om personuppgifter, artikel 15.
20.3.4. Uppgifter om programmen kan vara offentliga även om inte programmen är det 459
Enligt 29 § i den av oss föreslagna nya persondatalagen har den som har varit föremål för en viss typ av automatiserade beslut rätt att få information om vilka regler som har styrt den automatiserade behandling som har lett fram till beslutet. Bestämmelsen är emellertid tämligen snäv och omfattar endast sådana automatiserade beslut grundade på uppgifter vilka är avsedda att bedöma egenskaper hos den berörda personen. Information kan inte heller begäras av vem som helst, utan bara av den som har varit föremål för ett sådant beslut. Se vidare angående denna bestämmelse avsnitt 12.9.
Enligt vår mening bör det införas en generell bestämmelse som ålägger myndigheterna att ha viss systemdokumentation. Eftersom offentlighetsinsynen endast omfattar svenska myndigheter och inte privaträttsliga subjekt, t.ex. banker, bör regeln ges en vidare tillämpning än bestämmelsen i den föreslagna persondatalagen. Regeln bör ta sikte på alla sådana datorprogram som används vid myndighetsutövning och som innebär att det framställs ett automatiskt beslut. Vi avser därmed datorprogram som har konstruerats för en viss – eller en viss slags – myndighet där de regler som skall tillämpas av myndigheten har lagts in i ett datorprogram. Var och en, alltså även andra än de personer som har varit föremål för sådana beslut, bör kunna få reda på hur programmen fungerar. En sådan regel skulle enligt vår mening stärka ett av offentlighetsprincipens huvudsyften, nämligen att kontrollera myndigheternas verksamhet.
20.3.5. Vilka program omfattas?
De program som är intressanta från offentlighetssynpunkt är i första hand de som fattar s.k. automatiserade beslut, dvs. när datorprogram används för att automatiskt generera beslut. Vi har inte inom ramen för detta arbete kunnat göra någon undersökning av i vilken omfattning sådana beslut förekommer vid svenska myndigheter. Troligtvis förekommer sådana program i första hand när beräkningar skall utföras. Utgångspunkten bör vara att datorprogrammet kommer fram till ett resultat på grund av uppgifter som
459 Andra uppgifter kring programmen t.ex. upphandlingsdokument och konsultavtal omfattas som vanligt av offentlighetsprincipen och berörs inte vidare här.
registreras eller hämtas in på annat sätt, och att detta resultat utgör (helt eller delvis) myndighetens beslut. Program som lämnar förslag i olika sammanhang (t.ex. genom att lägga ut standardvärden som går att ändra) bör inte omfattas av regeln. Det är framför allt i de fall när – som beskrivits ovan – den tjänsteman som tillämpar programmet inte ”tänker själv”, utan rättsreglerna tillämpas genom att programmet körs som denna insynsrätt är befogad.
20.3.6. Kraven på dokumentationen
Myndigheternas dokumentation om hur programmen som framställer automatiserade beslut fungerar skall vara skriven på ett sådant sätt att en icke-tekniker kan förstå den. Den bör vara så utförlig att man kan förstå hur de tillämpliga rättsreglerna har lagts in i programmet. Det handlar alltså inte om sådana beskrivningar som nu regleras i 15 kap. 11 § sekretesslagen. Syftet med den bestämmelsen är att allmänheten skall få veta vad för slags ADB-material som finns hos myndigheten. (Vi föreslår för övrigt att den bestämmelsen skall tas bort, se avsnitt 21.4.2.3.) Det krav på systemdokumentation som vi förordar innebär något helt annat. Dokumentationen skall vara en ingående beskrivning av hur programmet, på grund av de sakuppgifter som matas in, kommer fram till ett visst resultat. Av dokumentationen skall också framgå vilken typ av uppgifter som behandlas i programmet och varifrån dessa hämtas. Dokumentationen skall också innehålla en beskrivning av hur de rättsregler som i vanliga fall skulle ha tillämpats av en tjänsteman har omvandlats till logiska regler i systemet.
Kravet på dokumentation av beslutssystem kan inte vara helt undantagslöst. Sådana funktioner i systemet som används t.ex. för att utföra kontroller, beräkna statistik eller säkra systemets funktion kan inte lämnas ut. Vi anser att det är ytterst angeläget att kunskapen om hur rättsregler skall tillämpas finns kvar hos myndigheten. Det får inte bli så att det endast är den eller de personer som har konstruerat programmet som förstår hur regeltillämpningen i datorn har gått till. En regel om systemdokumentation, av i vart fall de program som framställer myndighetsbeslut, är därför viktig även för att se till att det hos myndigheten också i fortsättningen finns den nödvändiga kunskapen om hur deras egna program fungerar.
20.3.7. Den lagtekniska utformningen
Det bör alltså införas en bestämmelse om att myndigheterna är skyldiga att för allmänheten hålla tillgänglig systemdokumentation som beskriver hur sådana program är konstruerade som fattar automatiserade beslut. Bestämmelsen bör införas i 15 kap. sekretesslagen där övriga regler om myndigheternas skyldigheter att registrera och dokumentera finns. När det gäller utlämnande av datorprogram behövs det en bestämmelse, utöver den som vi föreslagit i 2 kap. 13 § tredje stycket TF, som klargör att en myndighet inte är skyldig att tillhandahålla sådana i elektronisk form. Det finns som nämnts visserligen bestämmelser i URL som förbjuder utlämnande av datorprogram i elektronisk (maskinläsbar) form. Regeln i 26 b § URL om att allmänna handlingar utan hinder därav skall lämnas ut får dock antas ta över förbudsreglerna. I syfte att behålla gällande rättsläge måste det därför införas ett undantag för datorprogram när det gäller elektroniskt utlämnande enligt TF.
21. Myndigheternas registrerings- och dokumentationsskyldighet
Vårt förslag till ny begreppsapparat i 2 kap. TF leder till att myndigheternas skyldighet att registrera allmänna handlingar enligt 15 kap.1 och 2 §§sekretesslagen får den innebörd som ursprungligen varit avsedd. Myndigheten skall registrera inkomna och upprättade handlingar, inte varje tänkbar konstellation av uppgifter från handlingar (potentiella handlingar) eller uppgifter i databaser (som redan är ”registrerade”). Myndigheterna skall inte heller registrera handlingar som finns i andras elektroniska förvar (jämför avsnitt 16.2.4). Myndigheternas skyldighet att hålla beskrivningar över sina ADB-register tillgängliga bör tas bort eftersom andra regler tillgodoser allmänhetens möjligheter att få sådan information. Slutligen föreslår vi att det i 15 kap. sekretesslagen införs en bestämmelse om att sådana uppgifter i elektronisk form som har använts vid handläggning av mål eller ärende skall dokumenteras i läsbar form (motsvarande bestämmelse finns nu i 14 § datalagen).
21.1. Allmänt
Bestämmelserna i 2 kap. TF reglerar rätten att ta del av allmänna handlingar men inte vilka handlingar som skall finnas eller bevaras. Andra regler, dels bestämmelserna i 15 kap. sekretesslagen som behandlar registrering och utlämnande av allmänna handlingar dels reglerna i arkivlagen, är därför av stor betydelse för rätten till offentlighetsinsyn. Vi kan inte inom ramen för detta uppdrag se över myndigheternas hela ärende- och målhantering i IT-miljö460, utan vi kommer att begränsa genomgången till de be-
460 Nyligen har frågor om myndigheternas dokumenthantering och övergången till elektronisk post behandlats av IT-utredningen, SOU 1996:40.
stämmelser som är av särskild betydelse för offentlighetsprincipen. I detta avsnitt kommer bestämmelserna om registrering och dokumentation att behandlas.
21.2. Registreringsskyldigheten
Syftet med reglerna om registrering av allmänna handlingar är att underlätta den praktiska åtkomsten till handlingarna, både för myndigheten och allmänheten. Vid en manuell hantering är registret den huvudsakliga sökingången till en viss handling. Bestämmelser om diarieföring finns inte i TF utan bl.a. i sekretesslagen. I 15 kap. 1 § stadgas att alla allmänna handlingar hos en myndighet skall registreras. Undantag gäller dels för handlingar som uppenbart är av ringa betydelse för myndighetens verksamhet dels för icke-sekretessbelagda handlingar som ändå kan hållas ordnade så att det utan svårighet kan fastställas att de är allmänna. Om det föreligger särskilda skäl får regeringen föreskriva undantag från registreringsskyldigheten i fråga om vissa slag av handlingar som förekommer i betydande omfattning (2 st.).461 Bestämmelsen om registreringsskyldighet innebär inte att registreringen måste ske på ett visst sätt. Myndigheterna har stor frihet att ordna registreringen som de finner lämpligt i den mån inte särskilda regler gäller.462 Dock finns vissa generella bestämmelser om vilka uppgifter som skall registreras beträffande de allmänna handlingarna. Av registret skall normalt framgå det datum när handlingen kom in eller upprättades, diarienummer eller annan beteckning som har åsatts handlingen, i förekommande fall från vem handlingen har kommit in eller till vem den har expedierats samt i korthet vad handlingen rör (2 §).
En specialbestämmelse finns för registrering av elektroniska handlingar. Enligt 15 kap. 13 § sekretesslagen är bara den myndighet som har gjort införingen registreringsskyldig, även om upptagningen är tillgänglig för flera myndigheter och därmed enligt gällande rätt allmän handling även vid dessa. Vid tillkomsten av bestämmelsen konstaterades att föreskrifterna i sekretesslagen om registreringsskyldighet är svåra att tillämpa på
461 Regeringen har meddelat sådana bestämmelser i 5 § sekretessförordningen. 462 För de allmänna domstolarna t.ex. är bestämmelserna i bl.a. 6 kap. rättegångsbalken om sammanföring av handlingar till akter och förande av dagbok tillämpliga.
ADB-upptagningar.463 Departementschefen pekade särskilt på följande tre omständigheter. Det första problemet hänger samman med synen på delade databaser. Eftersom en upptagning som finns tillgänglig i en databas till vilken flera myndigheter är anslutna anses vara en allmän handling vid alla dessa myndigheter skall upptagningen i princip bli föremål för registrering vid samtliga myndigheter. Detta ansågs i praktiken vara omöjligt. Ett annat problem är att det kan vara svårt att avgöra när en handling är upprättad om den inte har expedierats, detta eftersom innehållet i upptagningen inte fixeras. För det tredje är det svårt att skilja en upptagning från en annan. Det går inte att registrera alla uppgiftskonstellationer – potentiella handlingar – som kan åstadkommas med hjälp av de ursprungligen registrerade uppgifterna. Bestämmelsen i 13 § och den nya bestämmelsen om myndigheternas skyldigheter att tillhandahålla registerbeskrivningar (15 kap. 11 § sekretesslagen) ansågs tills vidare få råda bot på problemen med registreringen av ADB-upptagningar.464
21.3. Dokumentationsskyldigheten
Det är av grundläggande betydelse för offentlighetsprincipen att myndigheterna dokumenterar de uppgifter som förekommer i verksamheten. Några generella regler om dokumentation finns dock inte. Vissa speciella regler förekommer, främst i de författningar som rör förfarandet hos myndigheterna. Hit hör t.ex. 15 § förvaltningslagen. Enligt bestämmelsen skall myndigheten anteckna sådana uppgifter som myndigheten får på annat sätt än genom en handling och som kan ha betydelse för utgången i ärendet. I fråga om ADB-upptagningar finns i 14 § datalagen en föreskrift om att en upptagning som en myndighet har använt sig av för handläggningen av ett mål eller ärende skall tillföras handlingarna i målet eller ärendet i läsbar form, om inte särskilda skäl föranleder annat. Det sistnämnda undantaget har införts för att undvika kostsam pappershantering hos myndigheterna. Ett särskilt skäl för att underlåta att överföra upptagningen till läsbar form kan vara att den ändå finns lätt tillgänglig t.ex. via bildskärm.465
463 Prop. 1981/82:37 s. 29. 464 A. prop. s. 30. 465 SOU 1980:31 s. 62.
Vi kommer inte att göra några överväganden när det gäller dokumentationsskyldighet i stort, utan bara vad avser skyldigheten att dokumentera uppgifter som har elektronisk form (14 § datalagen).
21.4. Överväganden
21.4.1. Allmänt
Det finns till att börja med anledning att åter påpeka att ”register” och ”registrering” har kommit att få helt olika betydelser i manuella och digitala miljöer. I ett manuellt system innebär en registrering i huvudsak att man framställer en förteckning över befintliga handlingar eller uppgifter, medan registrering i ett datorprogram vanligen innebär att handlingarna eller uppgifterna produceras – själva upptagningen är ett register. Även löpande text kan utgöra ett register under förutsättning att uppgifter i texten blir föremål för behandling.466 Att söka efter en uppgift i texten utgör behandling. Register av traditionellt slag ersätts i det digitala systemet i huvudsak av sök- och sammanställningsfunktioner (se vidare angående begreppet register avsnitt 16.1.2.3).
21.4.2. Registreringsskyldigheten
21.4.2.1 Konsekvenser av den gällande ordningen
Som framgått vållar tillgänglighetsprincipen problem även när det gäller myndigheternas skyldigheter (och möjligheter) att registrera allmänna handlingar som har elektronisk form. Om skyldigheten att registrera allmänna handlingar skulle tolkas bokstavligt innebär det att N allt som är tillgängligt skall registreras (även sådant som är tillgängligt
via nät), och att N alla tänkbara sammanställningar av elektroniskt lagrade uppgifter skall
registreras (s.k. potentiella handlingar).
Detta är naturligtvis inte möjligt. Vårt förslag till ny begreppsapparat, som bl.a. innebär att myndigheternas informationstillgångar begränsas till just
466 Prop. 1973:33 s. 118.
det som tillhör myndigheten och att handlingar har ett bestämt innehåll, leder emellertid till att en hel del av dessa problem försvinner.
21.4.2.2 Nya sökverktyg
Det har ibland påståtts att den tekniska utvecklingen gjort det så enkelt att söka bland datalagrad information att man inte längre skulle behöva registrera handlingar på förhand i diarier eller liknande; tekniken gör det ändå möjligt att ta fram erforderlig information när den behövs.467 De tekniska möjligheterna bör emellertid inte överskattats.
Genom att t.ex. söka på vissa ord kan en lista produceras över de handlingar eller delar av register som innehåller dessa ord, eventuellt med visning av större eller mindre delar av den text som berörs. Syftet med ett offentlighetsuttag är emellertid vanligtvis att ta del av ett visst ärende eller att följa upp en viss fråga som rör myndighetens verksamhet. Det krävs då att de handlingar som rör saken kan tas fram med oförändrat innehåll, ordnade t.ex. kronologiskt så att ärendet kan följas, med alla uppgifter presenterade i sitt sammanhang. De ständigt ökande informationsmängder som myndigheter, företag m.fl. hanterar har krävt betydande insatser för att strukturera den elektroniskt lagrade informationen så att det blir möjligt att hitta bland den. Eftersom det inte ”syns” när man ändrar en elektroniskt lagrad uppgift (såvitt den inte har låsts med t.ex. en digital signatur) har det också blivit alltmer betydelsefullt att dokumentera de förändringar som görs av uppgifter, t.ex. genom loggning. Annars går det inte att i efterhand fastställa vilka uppgifter ett register innehöll vid en viss tidpunkt.
För att offentlighetsprincipen skall fungera är det alltså nödvändigt att myndigheterna även i IT-miljön håller sina handlingar registrerade eller i vart fall ordnade så att det utan svårighet kan konstateras vilka allmänna handlingar som finns, vilket innehåll de har och till vilket ärende eller liknande de hör. Om informationen i stället togs fram utan fungerande diariesystem, t.ex. genom fritextsökning med en parts namn som sökbegrepp, skulle det bli oklart om alla handlingar som systemet pekar ut rör det aktuella ärendet. Samtidigt skulle handlingar i ärendet, som saknar de aktu-
467 En möjlighet som säkert många har dragit nytta av är att man i RIXLEX kan söka på visst ord och få ut några rader före och efter varje träff. På så sätt kan t.ex. förekomsten av och sätten att använda en viss term klarläggas med en snabbhet som saknar motsvarighet i manuell miljö. Liknande rutin förekommer via Internet där sökfunktioner, utöver en länk, kan ge vissa upplysningar om en handlings innehåll.
ella sökbegreppen, inte komma med. En effektiv ärende- och verksamhetsinsyn förutsätter alltså – så länge vi har myndigheter med ett sektoriellt angivet ansvar – att traditionella sökingångar kan användas och att myndigheternas handlingar klassificeras och registreras i ärendekategorier, ärenden, etc.
Nya IT-baserade sökmöjligheter inriktade på fri text bör i stället ses som ett annat ”verktyg” som ger en annan typ av åtkomst. Fria sökningar inriktade på löpande text kan som sagt inte ersätta diarieföring eller liknande, utan kompletterar på ett naturligt sätt diarieföring och sökning i förutbestämda fält.
21.4.2.3 Registrering av handlingar
Till en början konstaterar vi att det inte är rimligt att låta registreringsskyldigheten omfatta alla allmänna uppgifter. Att registrera varje uppgift för sig fyller ingen vettig funktion. Utgångspunkten för vårt resonemang måste precis som tidigare vara att allmänna uppgifter förekommer dels i handlingar dels i databaser. Handlingar kan vara dels traditionella handlingar dels elektroniska handlingar. En handling är en samling av uppgifter som har ett i förväg bestämt innehåll. Med databas avses en samling av uppgifter som är ordnade samt tillgängliga för sökning och sammanställning.
Handlingar skall i motsats till uppgifter i databaser enligt vår mening även i fortsättningen registreras såsom anges i 15 kap. 1 § sekretesslagen. De skall med andra ord förtecknas vare sig de är inkomna eller upprättade, pappershandlingar eller elektroniska handlingar. Hur själva registreringen faktiskt går till, om den utförs manuellt så att uppgifterna skrivs in i ett elektroniskt register eller genom återvinning av redan registrerade uppgifter, har inte någon betydelse. Om en handläggare hos myndigheten upprättar en elektronisk handling och programmet ”automatiskt” lägger upp en rad i det elektroniska diariet, uppfyller detta givetvis kravet på registrering. Samma sak kan gälla för elektroniskt inkommande handlingar.
21.4.2.4 Databaser behöver inte beskrivas särskilt
Nästa fråga gäller hur övriga uppgifter i databaser skall hanteras. Myndigheterna skall enligt 15 kap. 11 § sekretesslagen hålla tillgänglig en beskrivning över de register, förteckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling (ADB-register). I första hand gäller det sådant som vi kallar ”egentliga register”,
dvs. sammanställningar ur vilka man typiskt sett vill hämta olika uppgiftskonstellationer. Vi har redan konstaterat att det inte är meningsfullt att alla sådana tänkbara konstellationer registreras. Enligt vår mening kan man dock överväga att behålla regeln om beskrivningar av ADB-register, men i stället göra den tillämplig på databaser. Rent allmänt kan sägas att ju mer information myndigheterna tillhandahåller, desto bättre är det från offentlighetssynpunkt. Man måste ändå pröva om en sådan skyldighet att ha en särskild förteckning över myndighetens databaser fyller något praktiskt behov.
I den mån myndigheterna håller sig med register av olika slag (allt från dagboksblad eller diarier till omfattande register som täcker hela befolkningen) grundas detta i regel på en bestämmelse. Det framgår med andra ord av de regler som ligger till grund för myndigheternas verksamhet bl.a. vilka uppgifter myndigheten skall registrera och i övrigt hantera. Alla register som förs med tekniska hjälpmedel och som innehåller känsliga personuppgifter regleras antingen i en registerförfattning eller har sin grund i ett beslut som har meddelats av Datainspektionen på grund av en bestämmelse i en sådan författning. Man kan i regel av den aktuella registerförfattningen få reda på ändamålet med behandlingen och vad det är för uppgifter som behandlas. När det gäller övriga register som innehåller personuppgifter finns det i förslaget till ny persondatalag regler som innebär att allmänheten alltid kan få information om behandlingen genom att ta del av en anmälan om behandlingen som myndigheten har skickat till Datainspektionen. Om behandlingen inte har anmälts till Datainspektionen skall den persondataansvarige till var och en som begär det lämna upplysningar om behandlingen. Upplysningarna skall omfatta det som en anmälan skulle ha omfattat (36 och 42 §§ i förslaget till ny persondatalag). Upplysningsskyldigheten enligt förslaget till ny persondatalag omfattar emellertid endast personuppgifter. Sådana register som enbart innehåller andra typer av uppgifter träffas inte. Å andra sidan finns det bestämmelser i arkivförfattningarna om att myndigheterna skall hålla arkivförteckningar och arkivbeskrivningar tillgängliga för allmänheten, som upptar myndighetens samtliga allmänna uppgifter, oberoende av på vilket medium de förvaras (se 6 § arkivlagen, RA-FS 1991:1 och 4 kap. 5 § RA-FS 1994:2). Bestämmelsen i 15 kap. 11 § har i huvudsak samma syfte.468
468 Behovet av att samordna dessa delvis konkurrerande regelverk diskuteras i avsnitt 22.
Mot bakgrund av de möjligheter som allmänheten har att ta reda på vilka uppgifter (utöver den registreringsskyldighet som finns beträffande handlingar) som hanteras vid myndigheterna, kan det enligt vår mening starkt ifrågasättas om bestämmelsen i 15 kap. 11 § sekretesslagen fyller någon praktisk funktion. Bestämmelsen är grundad på tanken att allmänheten skall ha en extra, särskild möjlighet att få information om den uppgiftsbehandling som utförs just med tekniska hjälpmedel. Eftersom det informationsbehovet numera dels tillgodoses på andra sätt, dels har minskat eftersom man numera kan utgå ifrån att myndigheterna för sina register med hjälp av tekniska hjälpmedel, kan bestämmelsen i 15 kap. 11 § sekretesslagen tas bort.
21.4.2.5 Den lagtekniska utformningen
Bestämmelserna om registrering av allmänna handlingar i 1 och 2 §§ kan behållas i stort sett oförändrade, men med den något förändrade betydelsen av begreppet handling som den nya definitionen innebär. Regeln i 11 § om myndigheternas skyldigheter att hålla beskrivningar över ADB-register bör tas bort. Slutligen kan bestämmelsen i 13 § om ADB-register som är tillgängliga för flera myndigheter tas bort. Om en handling finns hos flera myndigheter bör den registreras enligt 1 § hos samtliga dessa myndigheter oavsett om den har elektronisk form eller inte. Detta borgar för en god offentlighetsinsyn.
21.4.3. Dokumentationsskyldigheten
Datalagstiftningskommittén (DALK) pekade på att det allt sedan datalagens tillkomst hade ifrågasatts om inte bestämmelsen i 14 § datalagen, om att upptagningar skall tillföras målet eller ärendet i läsbar form, hör hemma antingen i den lagstiftning som rör myndigheternas handläggning av mål och ärenden eller i TF.469 Anknytningen till datalagen har ansetts vag eftersom den inte träffar bara personuppgifter utan alla typer av uppgifter. DALK föreslog att bestämmelsen skulle flyttas till en ny lag om enskilds rätt att ta del av upptagning för automatisk databehandling. Departementschefen pekade på ytterligare en möjlighet, nämligen att flytta bestämmel-
469 SOU 1980:31 s. 61.
sen till 15 kap. sekretesslagen.470 Ingen ändring vidtogs dock. Datalagsutredningen föreslog att bestämmelsen oförändrad skulle föras över till 15 kap. sekretesslagen.
Vid bestämmelsens tillkomst och senare har det påpekats att dokumentationsskyldigheten som i bestämmelsen träffar ärendekretsen, följer även av andra bestämmelser (t.ex. 15 § förvaltningslagen).471 Även uppgifter som inhämtas muntligen t.ex. genom telefonsamtal skall ju dokumenteras. Den första frågan är om bestämmelsen behövs över huvud taget. IT-utredningen har ansett att bestämmelsen bör upphävas såsom varande överflödig.472 IT-miljön ger stora möjligheter att hålla register aktuella; register i betydelsen sakligt sammanställda uppgifter som är sökbara på olika kriterier t.ex. fastighetsbeteckning eller bilnummer. Om upplysningar ur sådana register används, hämtade inom eller utom myndigheten, följer dokumentationsplikten av allmänna regler. På vilket sätt dokumentationen görs får myndigheten själv avgöra, det viktiga är att det i efterhand skall vara möjligt att ta del av uppgifterna. Detta är inte något nytt och motiverar inte ensamt bestämmelsen annat än som en påminnelse om att dokumentationsskyldigheten gäller även i IT-miljö. I en automatiserad beslutsfunktion kan den dock spela en självständig roll. Ett automatiskt beslut fattas så att säga av datorn själv på grundval av uppgifter som finns i datorn eller som datorn själv hämtar in från någon annan dator. Det är givetvis angeläget att alla dessa uppgifter som ligger till grund för avgörandet finns dokumenterade så att de kan studeras och kontrolleras i efterhand.
Det har framförts kritik mot att bestämmelsen inte är teknikneutral. Kravet på läsbarhet har av vissa i praktiken ansetts innebära krav på pappersdokumentation.473 Andra menar att ”särskilda skäl” har tolkats så att omfattande undantag förekommer och att det mot bakgrund härav kan ifrågasättas om bestämmelsen behövs.474
Från offentlighetssynpunkt hänger bestämmelsen om dokumentationsskyldighet enligt vår mening nära samman med reglerna om registrering av allmänna handlingar. Registreringsskyldigheten av andra uppgifter än sådana som kan betecknas som handlingar (dvs. vars innehåll är en gång för
470 Prop. 1981/82:37 s. 31. 471 SOU 1980:31 s. 60. 472 SOU 1996:40 s. 264. 473 Lexit, IT 2005, s. 39. 474 SOU 1996:40 s. 263.
alla bestämt) har inte någon större praktisk betydelse (se ovan). När det gäller sådana andra uppgifter är det just skyldigheten att dokumentera som är det väsentliga. Uppgifterna får inte bara hämtas in i samband med att t.ex. ett avgörande produceras utan att bevaras på något sätt. Om man efteråt vill kontrollera uppgiften i databasen kan den vara ändrad.
Bestämmelsen i 14 § datalagen är enligt vår mening av så stor betydelse för offentlighetsprincipen att den bör behållas, dock hör den enligt vår mening hemma närmast i 15 kap. sekretesslagen. Eftersom registreringsskyldigheten inte är grundlagsfäst behöver inte heller dokumentationsskyldigheten vara det. Vidare bör bestämmelsens lydelse ändras så att den blir teknikneutral. Detta innebär att begreppet upptagning tas bort och att det helt enkelt föreskrivs att uppgifter som används för handläggningen skall tillföras målet eller ärendet.
22. Följdändringar i arkivlagen och sekretesslagen
Den nya begreppsapparat i 2 kap. TF som vi föreslår föranleder följdändringar av närmast redaktionellt slag både i arkivlagen och sekretesslagen, främst dess 15 kap. Vi lämnar förslag till ny lydelse av dessa bestämmelser. Vidare föreslår vi vissa ändringar beträffande arkivreglerna. Arkivlagen bör knytas närmare till 2 kap. TF, som nu inte innehåller någon bestämmelse om vad som skall hända med allmänna uppgifter hos myndigheterna när de inte längre är aktuella. Anknytningen bör kunna ske genom en bestämmelse i 2 kap. TF som hänvisar till bl.a. arkivlagen. Vidare föreslår vi bl.a. att myndigheternas uppgifter skall anses tillhöra arkivet så snart de är allmänna. Slutligen förordar vi att det sker en översyn som syftar till att samordna arkivlagen med 15 kap. sekretesslagen.
22.1. En anpassning av arkivlagen
22.1.1. Inledning
I 2 kap. TF finns uteslutande bestämmelser om allmänhetens rätt att få del av de uppgifter som myndigheten hanterar vid en viss tidpunkt. Det finns inte där några regler om att myndigheterna är skyldiga att bevara handlingar, t.ex. så att allmänheten kan läsa handlingar i ett ärende även efter det att ärendet har avgjorts. Bestämmelser om detta finner man i stället i arkivlagen m.fl. författningar (däribland främst Riksarkivets egen författningssamling RA-FS). Det är en förutsättning för att offentlighetsprincipen skall vara något värd att uppgifter i handlingar och databaser sparas.
Ytterst är det med stöd av offentlighetsprincipen som även äldre handlingar kan begäras utlämnade.475
Arkivlagen knyter an till tryckfrihetsförordningen genom begreppet allmän handling. De förslag till ändringar i 2 kap. TF som har behandlats i de föregående avsnitten slår därför igenom också i arkivlagen. Den nya begreppsapparaten föranleder i stort inte annat än redaktionella ändringar i arkivlagen. Dessa behandlas uteslutande i författningskommentaren. På en del punkter har vi emellertid funnit anledning att lämna ytterligare förslag.
22.1.2. Förslag till ändringar av arkivregler
22.1.2.1 Anknytningen till TF bör förstärkas
Som nyss nämnts har arkivreglerna stor betydelse för offentlighetsprincipen. Enligt vår mening bör detta komma till uttryck genom en hänvisning i 2 kap. TF. Bestämmelsen bör ge upplysning om att det finns regler dels om bevarande och gallring av allmänna uppgifter dels om att handlingar och databaser så småningom skall överlämnas till arkivmyndighet. Frågan om förhållandet mellan 2 kap. TF och arkivlagen har tidigare berörts i samband med arkivlagens tillkomst. Data- och offentlighetskommittén föreslog att det skulle tas in en bestämmelse i 2 kap. TF om att allmänna handlingar får gallras endast om de är av ringa betydelse från offentlighetssynpunkt.476 Departementschefen ansåg emellertid att en sådan regel var överflödig eftersom gallring har förekommit under alla år TF funnits och aldrig satts i fråga.477 Den regel som vi nu föreslår innebär inte att någon av arkivlagens materiella bestämmelser förs in i 2 kap. TF utan syftar enbart till att fullständiga bilden av offentlighetsprincipen även i lagtexten.
Även en arkivmyndighet omfattas av 2 kap. TF. Arkivmyndighetens egna inkomna och upprättade handlingar är givetvis allmänna enligt dessa regler. Men även de handlingar som har överlämnats från andra myndigheter till arkivmyndigheten fortsätter att vara allmänna när de finns i arkivet. Detta kan i första hand sägas bero på att de är inkomna enligt 2 kap. TF och därmed allmänna. Detta resonemang går emellertid inte att applicera fullt ut på den nya begreppsapparat som vi har föreslagit i 2 kap. TF.
475 Prop. 1989/90:72 s. 31. 476 DsJu 1987:8. 477 Prop. 1989/90:72 s. 41.
Grundbegreppen är uppgifter, handlingar och databaser. En databas skiljer sig från en handling bl.a. på det sättet att den inte ”skickas omkring”, den kan inte inkomma eller upprättas. Allmänhetens insynsrätt i en databas inträder mycket tidigare, nämligen redan när den ställs i ordning för användning. Inkommande- och upprättandekravet har därför ingen betydelse när det gäller databaser. Enligt detta resonemang är uppgifterna i en databas allmänna även om databasen har överlämnats till en arkivmyndighet.
Arkivlagen stadgar att en myndighets arkiv utgörs av dess allmänna handlingar. Enligt vår mening behåller arkivet sin status som ”allmänt” även när det överlämnats till en arkivmyndighet utan att det behöver hängas upp på 2 kap. TF. Handlingarna hos arkivmyndigheten är med andra ord inte allmänna därför att de har inkommit till arkivmyndigheten utan för att de behåller denna egenskap (att vara allmänna) även hos arkivmyndigheten. I hänvisningen i 2 kap. TF bör därför begreppet överlämna användas för att illustrera när ”aktiva” uppgifter i handlingar eller databaser övergår till arkivmyndighet.
22.1.2.2 Avgränsningen av arkivet
Enligt motiven till arkivlagen skall en myndighets arkiv bildas av de allmänna handlingarna, med den begränsningen att handlingar som är tillgängliga för flera myndigheter skall bilda arkiv endast hos en av dessa myndigheter. Begreppet handling torde härvid ha uppfattats som detsamma som i 2 kap. TF. Lagtexten i 3 § arkivlagen utformades emellertid så att en myndighets arkiv bildas av de allmänna handlingarna ”från myndighetens verksamhet”478. Motsvarande bestämmelse om gallring i 10 § arkivlagen som också gäller allmänna handlingar har inte någon sådan begränsning till viss verksamhet.
I 2 kap. TF finns inte något krav på att en handling eller uppgift skall ha anknytning till myndighetens verksamhet för att vara allmän. På motsvarande sätt saknas det stöd i arkivlagens förarbeten för att någon sådan begränsning skulle ha varit avsedd på arkivområdet. För att undvika missförstånd föreslår vi därför att uttrycket ”från myndighetens verksamhet” utmönstras ur 3 § arkivlagen. Det bör således föreskrivas att en myndighets arkiv består av myndighetens handlingar och databaser som innehåller allmänna uppgifter enligt förslaget till ändringar i 2 kap. TF. Myndighetens
478 Här kan bortses från sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen.
arkiv bildas därmed av de handlingar och databaser med allmänna uppgifter som myndigheten förvarar, och ordet ”bildas” får stå för det fortgående förlopp där handlingar och databaser i enlighet med 2 kap. TF upprättas, inkommer, färdigställs för sökning eller sammanställning av uppgifter, eller – beträffande sådana handlingar som avses i 2 kap. 9 § TF – omhändertas för arkivering utan att dessförinnan ha blivit allmänna.
Frågan om vilka handlingar och databaser som bör ses som arkivmaterial blir därmed löst redan inom ramen för regleringen i 2 kap. TF. Av samma skäl behövs inte längre det andra ledet i 3 § första stycket första meningen arkivlagen angående sådana handlingar som avses i 2 kap. 9 § TF. Begränsningen följer redan av vad som anses utgöra allmän uppgift.
Även bestämmelsen i 3 § första stycket andra meningen arkivlagen, beträffande upptagningar som är tillgängliga för flera myndigheter, kan utmönstras som en följd av de ändringar vi föreslår i 2 kap. TF. Endast de uppgifter som finns i myndighetens lokaler eller elektroniska arkiv anses alltså vara förvarade hos myndigheten enligt TF, och detta synsätt kommer genom samordningen av regelverken att gälla också på arkivområdet.
22.1.2.3 Allmänna uppgifter tillhör omedelbart arkivet
Bestämmelserna i 3 § arkivlagen ger intryck av att en handling skulle bli arkivhandling redan när den blir allmän enligt TF. Enligt 6 § 4 arkivlagen ingår det emellertid i arkivvården att fastställa vilka handlingar som skall vara arkivhandlingar och av arkivförordningen och Riksarkivets föreskrifter framgår att de allmänna handlingarna ses som arkivhandling först efter att myndigheten har vidtagit vissa åtgärder – med undantag för register och liknande som förs fortlöpande.479
479 Enligt 3 § arkivförordningen (1991:446) skall de allmänna handlingarna i ett ärende arkiveras sedan ärendet har slutbehandlats. Däremot sägs beträffande diarier etc. som förs fortlöpande att varje anteckning anses arkiverad i och med att den har gjorts. Handlingarna behöver alltså – med undantag för sådana som avses i 2 kap. 9 § TF – bli föremål för någon aktiv åtgärd från myndighetens sida för att ses som arkivhandling/arkiverad; jämför Arkivutredningens uttalande att handlingarna får sin karaktär av arkivhandlingar först genom arkivläggningen, dvs. inplaceringen i arkivet (SOU 1988:11 s. 194).
Frågan är alltså om en myndighets handlingar skall ses som arkivhandlingar N så snart de blir allmänna, eller N först efter att ha ”omvandlats” till arkivhandlingar genom någon åtgärd
av myndigheten, såsom att rensa den akt där handlingarna förvaras.
Enligt vår mening bör frågan om en handling skall ses som arkivhandling redan när den har inkommit respektive upprättats, eller först i ett senare skede när myndigheten har vidtagit åtgärder från arkivsynpunkt, bedömas främst från praktiska utgångspunkter. Själva hanteringen ger härvid knappast någon klar gräns mellan åtgärder före arkivläggningen och övriga åtgärder. Det är med andra ord inte alltid som man kan klart avgöra om t.ex. handlingar i ett visst ärende har arkivlagts eller inte.
Beträffande andra handlingar än sådana som blir allmänna endast om de tas om hand för arkivering (2 kap. 9 § TF), torde det inte behövas något ställningstagande av myndigheten om arkivering, och de skyddsintressen som ligger bakom arkivförfattningarna aktualiseras redan innan de allmänna uppgifterna har behandlats färdigt av myndigheterna; något som framträder särskilt tydligt i anknytning till IT. Det finns inte några närmare bestämmelser om vid vilken tid handlingar övergår till att bli arkivhandlingar eller vilka typer av åtgärder som just då skall vidtas. Detta torde framgå redan vid en genomläsning av bestämmelserna i 5 och 6 §§arkivlagen, som bygger på en gräns mellan åtgärder före själva arkivläggningen som har betydelse för att arkivet skall kunna ordnas på ett rimligt sätt (5 §) och åtgärder som ingår i varje myndighets arkivvård (6 §).480 Vi föreslår därför att handlingar och databaser skall ses som en del av myndighetens arkiv så snart uppgifterna är att anse som allmänna enligt 2 kap. TF.
Huruvida uppgifter i minnesanteckningar och koncept (se förslaget till lydelse av 2 kap. 10 §) är allmänna avgörs när man bestämmer om de skall tillföras arkivet eller inte. Till dess frågan är avgjord är uppgifterna inte allmänna och således inte del av myndighetens arkiv. Bara om de tas om hand för arkivering (dvs. tillförs arkivet, jämför 3 § arkivförordningen och 2 kap. 1 § RA-FS 1991:1) blir de allmänna.
22.2. En anpassning av sekretesslagen
I 15 kap. sekretesslagen finns som framgått bestämmelser om registrering och utlämnande av allmänna handlingar m.m. Där finns också bestämmelser om myndigheternas serviceskyldighet och om hur de bör ordna sina ADB-register så att man uppnår en god offentlighetsinsyn. Slutligen finns det bestämmelser om hur hemligstämpling skall gå till samt hur prövningen av en begäran om att få ut en allmän handling skall ske och om överklagande av beslut att inte lämna ut handlingar.
Bestämmelserna i 15 kap. sekretesslagen handlar i själva verket inte om sekretessfrågor, som resten av lagen gör, utan är stället ett komplement till 2 kap. TF. Det ingår visserligen inte direkt i vårt uppdrag att se över dessa bestämmelser, men vi har ändå berört vissa av dem i skilda sammanhang. Vidare leder den nya begreppsapparat som vi föreslår i 2 kap. TF till följdändringar i 15 kap. sekretesslagen på motsvarande sätt som i arkivlagen. Vi lägger därför fram även ett fullständigt förslag till ändringar i det aktuella kapitlet.
Bestämmelserna i 1 och 2 §§ handlar om myndigheternas skyldighet att registrera allmänna handlingar. Dessa har vi berört i avsnitt 21 (Myndigheternas registrerings- och dokumentationsskyldighet). Vidare har vi i avsnitt 18 (Utlämnande av allmänna uppgifter) föreslagit nya bestämmelser i 4 § om myndigheternas skyldigheter att lämna service åt allmänheten. Förslagen i detta sammanhang föranleds av vårt förslag att allmänheten skall kunna få del av myndigheternas uppgifter även i elektronisk form. Vi har föreslagit att bestämmelsen i 11 § om myndigheternas skyldighet att hålla beskrivningar över sina ADB-register tas bort. Detta finns kommenterat i avsnitt 21. Den skyldighet som myndigheterna har enligt gällande 14 § datalagen att dokumentera uppgifter som har elektronisk form flyttas enligt vårt förslag till 15 kap. sekretesslagen (se vårt förslag till ny bestämmelse i 11 §). Förslaget behandlas i avsnitt 21. Vi har slutligen i avsnitt 20 (Myndigheternas datorprogram) föreslagit att myndigheterna förpliktas att hålla tillgängligt systembeskrivningar av datorprogram som fattar automatiserade beslut (se vårt förslag till ny bestämmelse i 12 §). De ändrade bestämmelserna behandlas, liksom övriga ändringar i 15 kap. i författningskommentaren.
Den nya begreppsapparaten föranleder även i övrigt ändringar av vissa bestämmelser i sekretesslagen. Vi föreslår ny lydelse av dessa bestämmelser. Reglerna i 1 kap. 8 och 9 §§ innebär att offentlighetsprincipen omfattar även vissa andra organ än myndigheter. Bestämmelserna tar sikte på
”handlingar”, men att det är just rätten att ta del av allmänna handlingar som avses framgår av hänvisningen till tryckfrihetsförordningen.481 Vi anser därför att det blir tydligare och mer konsekvent att ersätta ”handlingar” med ”allmänna uppgifter” i stället för bara ”uppgifter”, även om det naturligtvis inte innebär någon saklig skillnad. Även övriga ändringar i sekretesslagen är av redaktionellt slag och de kommenteras därför inte särskilt.
22.3. En samordning av arkivlagen och 15 kap. sekretesslagen
Arkivutredningen anförde i betänkandet Öppenhet och Minne – Arkivens roll i samhället (SOU 1988:11) att det vid en framtida översyn av arkivlagen borde övervägas om bestämmelser i 15 kap. sekretesslagen, om registrering och utlämnande av allmänna handlingar m.m., bör fogas till arkivlagen (s. 192). Skälen för en samordning är att bestämmelserna i huvudsak fyller samma syften samt överlappar varandra så att det kan ifrågasättas vilka regler som primärt bör ses som arkivregler respektive regler rörande offentlighetsinsyn. Våra förslag till ändringar i 2 kap. TF bidrar ytterligare till att göra en sådan samordning naturlig. Denna bedömning vinner stöd av såväl bakomliggande skyddsintressen som bestämmelsernas innehåll.
Den teoretiska grunden för arkivbildningen i Sverige har sedan länge varit den s.k. proveniensprincipen, som innebär dels en yttre avgränsning så att varje arkivbildares arkiv skall hållas samman och uppfattas som en enhet, dels en inre avgränsning så att handlingarna skall bevaras i sitt ursprungliga sammanhang och alltså inte sorteras om och fogas in i nya sammanhang.482 Frågan är då hur denna princip förhåller sig till de skyddsintressen som aktualiseras i 15 kap. sekretesslagen.
481 Prop. 1979/80:2 Del A s. 124–125. 482 Äldre ordningsprinciper där man, för att söka tillgodose forskningens intressen, ordnade om och förtecknade handlingarna efter ämne oberoende av arkivtillhörighet och den ordning arkivbildaren valt visade sig mindre lyckade. Därigenom förstördes handlingarnas inre sammanhang – kontexten. Handlingarna utgör en kvarleva av händelseförlopp och kan inte förstås isolerade från sitt sammanhang med andra handlingar. En ämnesordningsprincip undergräver dessutom möjligheterna att använda de sökingångar arkivbildarna har upprättat; se vidare Gränström/Lundquist, Arkivlagen – Bakgrund och kommentarer, s. 15 ff.
Sekretesslagen innehåller regler om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Denna lag syftar alltså till att begränsa allmänhetens insyn. I 15 kap. sekretesslagen finns emellertid bestämmelser med motsatt syfte; att tillgodose intresset av insyn i allmänna handlingar som inte är sekretessbelagda. Dessa bestämmelser, som brukar beskrivas som regler om s.k. god offentlighetsstruktur, har alltså från systematisk synpunkt inte något samband med den egentliga sekretessregleringen. De har ändå ansetts kunna tas in i sekretesslagen.483En god struktur måste naturligtvis föreligga också för att behoven av ärendeinsyn och verksamhetsinsyn skall kunna tillgodoses.
En närmare jämförelse av de enskilda bestämmelserna i 15 kap. sekretesslagen och arkivförfattningarna gör det än mer tydligt att regleringen har betydande likheter, även på detaljnivå, och bärs upp av enhetliga intressen. Som exempel kan nämnas följande: I 15 kap. 1 § sekretesslagen ges grundläggande bestämmelser om myndigheternas skyldigheter att registrera allmänna handlingar. På motsvarande sätt sägs i 5 § arkivlagen att myndigheterna, vid registreringen av allmänna handlingar, skall ta vederbörlig hänsyn till dess (registreringens) betydelse för en ändamålsenlig arkivvård. I 15 kap. 2 § sekretesslagen finns föreskrifter om vilka uppgifter som skall anges när en handling registreras. Sådana detaljerade föreskrifter finns visserligen inte i arkivlagen. Det skulle emellertid, utan sådana diarier m.m., bli svårt att göra handlingarna tillgängliga för rättskipningen och förvaltningen samt forskningens behov (dvs. sådant som anges i 3 § arkivlagen). Motsvarande detaljföreskrifter har också utfärdats av Riksarkivet. I 15 kap. 9 § sekretesslagen sägs att myndigheterna skall ordna sin ADBverksamhet med beaktande av allmänhetens rätt att ta del av allmänna handlingar. Detsamma framgår av 6 § 1 arkivlagen där det föreskrivs att myndigheterna skall organisera arkivet på ett sådant sätt att rätten att ta del av allmänna handlingar underlättas.
Målen för de aktuella bestämmelserna i sekretesslagen och arkivlagen är alltså nära nog identiska. Myndigheternas allmänna uppgifter måste, från såväl offentlighets- som arkivsynpunkt, organiseras, avgränsas, beskrivas, förtecknas, skyddas etc. Det måste kunna fastställas vilka allmänna uppgifter som en myndighet har och de måste vid behov kunna göras tillgängliga. En samordning är därmed både önskvärd och lämplig för
483 Corell m.fl., Sekretesslagen – Kommentar till 1980 års lag med ändringar, 3 uppl., s. 65; se 1 kap. 1 § 3 st. sekretesslagen.
att fungerande rutiner skall kunna upprätthållas inom ramen för snabbt ökande informationsmängder och allt mer begränsade resurser – utan att grundläggande krav på god offentlighetsstruktur och god arkivstruktur sätts åt sidan.
Den moderna tekniken medför att omständigheter som är av intresse även från arkivsynpunkt måste beaktas mycket tidigt, redan under uppgifternas ”aktiva tid”. Det är myndigheternas hantering av uppgifterna under denna tid som regleras i 15 kap. sekretesslagen. Man kan än mindre än i dag från arkivmyndigheternas sida mer eller mindre passivt invänta att uppgifterna anländer för långtidsförvaring. Det finns med andra ord mycket som talar för att man bör se hela processen, från uppgifternas tillblivelse till långtidsförvaring, som en helhet.
Vi har övervägt att föra samman de berörda bestämmelser till en särskild lag.484 En närmare genomlysning av hur olika bestämmelser bör integreras och samordnas har dock inte varit möjlig inom den tid som har lämnats oss för vårt uppdrag. En sådan översyn bör i stället ske i särskild ordning.
484 Jämför SOU 1975:22 s. 40, som dock avsåg en annan typ av samordning.
KONSEKVENSERNA AV FÖRSLAGEN
Inledning
Under senare år har regeringen gett generella direktiv på olika områden till alla kommittéer och särskilda utredare. Dessa generella direktiv kan sägas innebära krav på att det skall göras en beskrivning av konsekvenserna i olika hänseende av framlagda förslag.
Ett generellt direktiv (dir. 1994:23) innebär krav på prövning av offentliga åtaganden och en analys av bl.a. de ekonomiska konsekvenserna. Andra generella direktiv gäller redovisning av konsekvenserna för N jämställdhetspolitiken (dir. 1994:124), N regionalpolitiken (dir. 1992:50) och N det brottsförebyggande arbetet (dir. 1996:49).
I det följande berörs i skilda avsnitt konsekvenserna av våra förslag i de två delar som utredningsuppdraget har innefattat –
EN NY PERSONDATALAG
och
O FFENTLIGHETSPRINCIPEN I IT-SAMHÄLLET. Det finns nämligen, såvitt vi
kunnat finna, inte några samlade effekter av förslagen i de båda delarna som bör redovisas gemensamt.
E N NY PERSONDATALAG
Ekonomiska konsekvenser
I avsnitt 12.14.3 har vi berört hur Datainspektionens verksamhet bör finansieras. Avsikten är att den föreslagna finansieringen skall vara kostnadsneutral för såväl det allmänna som enskilda i förhållande till vad som
gäller i dag. Av det EG-direktiv som Sverige är bunden av torde vidare följa att det inom ramen för det offentliga skall finnas en tillsynsmyndighet med vissa befogenheter.
För de persondataansvariga kommer det att uppkomma vissa kostnadsbesparingar i och med att tillståndsplikten avskaffas och antalet anmälningar till Datainspektionen minskas kraftigt. Med det föreslagna systemet är det dock i stället den persondataansvarige som själv i första hand måste bedöma om en viss behandling av personuppgifter är laglig. Detta kan å andra sidan förväntas leda till något ökade administrativa kostnader för de persondataansvariga, särskilt i ett inledningsskede. Exempelvis skyldigheten att självmant underrätta enskilda torde vidare innebära ökade kostnader för persondataansvariga, kanske främst i form av kostnader för utformningen av nya blanketter och liknande.
Det finns uppenbara svårigheter att bedöma de ekonomiska konsekvenserna av det föreslagna systemet i förhållande till det system som gäller i dag. Systemen är helt olika, och det är inte enkelt att bedöma t.ex. i vad mån de materiella reglerna i den föreslagna persondatalagen är strängare och därmed ”dyrare” för de persondataansvariga än de villkor som Datainspektionen med det nuvarande systemet ställer upp i enskilda fall. Det är vidare svårt att bedöma värdet för skyddet av den personliga integriteten av de föreslagna hanteringsreglerna i förhållande till de regler som gäller i dag.
Bland annat eftersom tillämpningsområdet för den föreslagna lagen är vidare än för den nuvarande, finns det anledning att tro att det föreslagna systemet innebär något högre kostnader för de persondataansvariga än det nuvarande system samtidigt som skyddet för den personliga integriteten ökar något. Hur stor ökningen av kostnaderna respektive nyttan för skyddet av den personliga integriteten är har vi inte kunnat uppskatta mera exakt än så.
Det bör i sammanhanget påpekas att den föreslagna persondatalagen baserar sig på ett EG-direktiv som Sverige – oavsett kostnaderna – är skyldig att genomföra och att vi inte på någon punkt går nämnvärt längre än vad Sveriges förpliktelser gentemot EU kan anses kräva.
Konsekvenser för jämställdhetspolitiken
I samband med utarbetandet av förslagen har vi försökt att kontinuerligt ha uppmärksamheten riktad mot jämställdhetsfrågorna. Trots detta har vi inte
kunnat finna att våra förslag skulle ha några beaktansvärda konsekvenser för jämställdheten.
Konsekvenser för regionalpolitiken
Regionalpolitiken kan inte sägas vara alls berörd av våra förslag.
Konsekvenser för brottsligheten och brottsförebyggandet
Enligt den nuvarande datalagen är en lång rad förfaranden kriminaliserade (se avsnitt 12.13.1.2), bl.a. förandet av personregister utan licens. Det har uppskattats att det finns knappt en halv miljon licenspliktiga personregister som inte har anmälts för licens.
Vårt förslag att avskaffa licenssystemet och de allra flesta straffbestämmelserna kommer att frigöra resurser för annat brottsförebyggande arbetet. Det finns inte anledning att anta att våra förslag skulle ha någon effekt på annan brottslighet.
O FFENTLIGHETSPRINCIPEN I IT- SAMHÄLLET
Ekonomiska konsekvenser
Att införa en ny begreppsapparat i 2 kap. TF kommer att medföra vissa övergångskostnader. Till att börja med krävs det följdändringar i andra författningar; man kan utgå ifrån att begreppet ”allmän handling” förekommer i många lagar och förordningar. Vi har inte inom ramen för vårt uppdrag kunnat kartlägga hur omfattande och kostsamma dessa ändringar kommer att bli. Vidare måste man utgå ifrån att det kommer att krävas en viss informationsinsats (och i vissa fall kanske till och med utbildning) inom bl.a. den offentliga sektorn för att sprida kunskap om den nya begreppsapparaten. Förändringarna är dock av så begränsad art att den informationen bör kunna inrymmas i myndigheternas ordinarie informations- eller utbildningsverksamhet.
I den mån uppgifter som för närvarande anses allmänna uteslutande på den grunden att de är tekniskt tillgängliga för myndigheten inte längre an-
ses vara allmänna, innebär det naturligtvis en viss besparing för den myndighet som i fortsättningen inte behöver tillhandahålla dessa. För de flesta myndigheter kommer detta i praktiken inte att ha någon betydelse. Man får nämligen utgå ifrån att de flesta myndigheter i stort sett tillhandahåller endast sådana uppgifter som de måste lämna ut även enligt det nya förslaget.
Det förslag som i praktiken kanske får den största betydelsen är skyldigheten att lämna ut allmänna uppgifter i elektronisk form. Emellertid är det inte meningen att detta skall medföra några större ekonomiska konsekvenser för myndigheterna. Så som förslaget är utformat skall skyldigheten följa myndighetens utvecklingstakt. Generellt sett är det billigare att överföra uppgifter på elektronisk väg än att hantera papper och man kan nog utgå ifrån att den manuella hanteringen på sikt kommer att förbehållas vissa ”exklusiva” förfaranden. Det kan dock inte uteslutas att det, i ett inledande skede, kan medföra en del kostnader för myndigheter som inför ny teknik. Vi menar emellertid att dessa kostnader ändå hade uppkommit förr eller senare bl.a. eftersom det ligger i myndigheternas eget intresse att göra överföringen av uppgifter mellan myndigheterna billigare. Det kan till och med vara positivt att den generella skyldigheten att lämna ut uppgifter i elektronisk form införs så fort som möjligt, så att myndigheterna beaktar denna i ett tidigt skede av uppbyggnaden av IT-stödet. Att i efterhand lägga till funktioner för sådant utlämnande till allmänheten kan bli ännu dyrare. På sikt får det också antas bli billigare för den allmänhet som har möjlighet att ta emot uppgifter i elektronisk form. Frågan om avgifter för elektroniska uppgifter har tagits upp i avsnitt 18.7.
I dag kan uppgifter som har elektronisk form i vissa fall säljas av myndigheterna (se avsnitt 18.7.2). I den mån sådan försäljning lämnar ett överskott skulle det medföra en minskad intäkt för det allmänna om man i fortsättningen inte kunde ta så mycket betalt eftersom uppgifterna då lämnas enligt 2 kap. TF. Det har emellertid, vad vi har kunnat erfara, inte gjorts någon undersökning av i vad mån sådan försäljning bidrar till statskassan. Frågor om prissättning av offentlig information hanteras bl.a. av Riksrevisionsverket och utreds för närvarande av Utredningen om samhällets grunddatabaser (dir 1996:43).
Av de övriga förslag vi lämnar beträffande offentlighetsprincipen är det skyldigheten för myndigheterna att hålla tillgänglig dokumentation av program som fattar automatiserade beslut (se avsnitt 20) som kan få vissa ekonomiska konsekvenser. Det får förutsättas att myndigheterna redan nu har dokumentation beträffande sådana program, i vart fall i form av programkod. Vad som kan krävas är att dokumentationen anpassas så att den
kan läsas av var och en. I princip borde enligt vår mening alla program som är framtagna speciellt för myndigheters verksamhet vara dokumenterade på ett för alla begripligt sätt. Den begränsade skyldighet som vi föreslår får antas kunna utföras inom ramen för myndigheternas ordinarie ITverksamhet.
Konsekvenser för jämställdhetspolitiken
Våra förslag kan inte antas ha några konsekvenser för jämställdhetspolitiken.
Konsekvenser för regionalpolitiken
Regionalpolitiken berörs inte av våra förslag annat än att de främjar elektroniskt uppgiftsutlämnande, vilket generellt sett gör att det får mindre betydelse var personer befinner sig rent fysiskt. Några mer direkta konsekvenser i detta avseende kan dock inte antas uppkomma.
Konsekvenser för brottsligheten och brottsförebyggandet
Brottsligheten och brottsförebyggandet påverkas, enligt vår mening, inte av förslagen.
FÖRFATTNINGSKOMMENTARER
a) Persondatalagen
Beträffande den föreslagna persondatalagen finns det redan i den allmänna motiveringen utförliga kommentarer till de bestämmelser som föreslås. Vi har därför inte ansett det nödvändigt med en särskild författningskommentar av traditionellt snitt paragraf för paragraf för det lagförslaget. För att göra det lättare att hitta motivtexten till respektive paragraf har vi dock gjort följande uppställning med hänvisningar till avsnitt i betänkandet.
P ARAGRAF A VSNITT
Inledande bestämmelser
Syftet med lagen
1 § .................. 6
Avvikande bestämmelser i annan lagstiftning
2 § .................. 8.2.2
Definitioner
3 § .................. 12.2
Tillämpningsområdet
Det territoriella tillämpningsområdet
4 § .................. 12.3
Vilken behandling av personuppgifter omfattas av lagen
5 § .................. 7.2.1, 12.2.8 och 12.2.12
Undantag för privat användning av personuppgifter
6 § .................. 7.2.4
Undantag med hänsyn till yttrandefriheten
7 § .................. 10
Förhållandet till offentlighetsprincipen
8 § .................. 9.2, 9.4 och 12.4.6.3
Grundläggande krav på behandlingen av personuppgifter
9 § .................. 12.4 och 11.6.5
När behandling av personuppgifter är tillåten
Allmänt
10 § ................ 12.5.1 och 11.6.4
Direkt marknadsföring
11 § ................ 12.5.2.3
Samtycke återkallas
12 § ................ 12.5.2.2 och 11.6.6
Förbud mot behandling av känsliga personuppgifter
13 § ................ 12.5.3.2
Undantag från förbudet mot behandling av känsliga personuppgifter
Allmänt
14 § ................ 12.5.3.3
Samtycke eller offentliggörande
15 § ................ 12.5.3.3
Behandlingen är nödvändig i vissa fall
16 § ................ 12.5.3.3
Ideella organisationer
17 § ................ 12.5.3.3
Hälso- och sjukvård
18 § ................ 12.5.3.3
Forskning och statistik
19 § ................ 11.6.3
Bemyndigande att föreskriva ytterligare undantag
20 § ................ 12.5.3.3
Uppgifter om lagöverträdelser
21 § ................ 12.5.3.4
Användning av personnummer
22 § ................ 12.6
Information till den registrerade
Information skall lämnas självmant när uppgifterna samlas in
23 § ................ 12.7.2
24 § ................ 12.7.2
Vilken information skall lämnas självmant
25 § ................ 12.7.2.3
Information skall också lämnas efter ansökan
26 § ................ 12.7.3 och 11.6.7
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § ................ 12.7.4
Rättelse
28 § ................ 12.8 och 11.6.7
Automatiserade beslut
29 § ................ 12.9
Säkerheten vid behandling
De personer som arbetar med personuppgifter
30 § ................ 12.10.2
Skyddsåtgärder
31 § ................ 12.10.2–4
Tillsynsmyndigheten får besluta om skyddsåtgärder
32 § ................ 12.10.3
Överföring av personuppgifter till tredje land
Förbud mot överföring
33 § ................ 12.11.2
Undantag från förbudet
34 § ................ 12.11.3
35 § ................ 12.11.4
Anmälan till tillsynsmyndigheten
Anmälningsskyldighet
36 § ................ 12.12
Anmälan behöver inte göras om det finns ett persondataombud
37 § ................ 12.12
Persondataombudets uppgifter
38 § ................ 12.12.2.4
39 § ................ 12.12.2.4
40 § ................ 12.12.2.4
Obligatorisk anmälan för särskilt integritetskänsliga behandlingar
41 § ................ 12.12.2.5
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § ................ 12.12.2.6
Skadestånd
43 § ................ 12.13.2.1–3
Straff för osanna uppgifter 44 § ................ 12.13.2.4
Tillsynsmyndighetens befogenheter
45 § ................ 12.14.1
46 § ................ 12.14.1
47 § ................ 12.14.1
48 § ................ 12.14.1
49 § ................ 12.14.1
Överklagande
50 § ................ 12.14.2
Närmare föreskrifter
51 § ................ 12.1.2
Övergångsbestämmelser P. 1–8............. 12.15
Ändringsförslagen i TF är koncentrerade till bestämmelserna i andra kapitlet. Dessa kommenteras nedan. Därutöver föreslår vi ändringar i 1 kap. 1 § samt 7 kap. 3 och 5 §§. De sistnämnda ändringarna är uteslutande föranledda av förslaget till ny begreppsapparat i andra kapitlet och innebär inte några sakliga förändringar. Vilka dessa ändringar är framgår av författningsförslaget och de har kommenterats i den allmänna motiveringen, avsnitt 16.1.5. Ordet handling förekommer dessutom i 1 kap. 6 § men det har där inte någon anknytning till handlingsbegreppet i 2 kap.
2 kap.
Om allmänna handlingars offentlighet
Om allmänna uppgifters offentlighet
1 § 1 §
Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att taga del av allmänna handlingar.
Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att ta del av allmänna uppgifter.
___________________
Bestämmelsen utgör offentlighetsprincipens portalparagraf och anger dess syften. Våra förslag innehåller inga ändringar härvidlag.
Uppgifter
Vårt förslag till ny begreppsapparat innebär att offentlighetsinsynen formellt sett inte längre skall vara knuten till myndighetens handlingar utan till dess uppgifter. Förslaget behandlas i den allmänna motiveringen i avsnitt 16.1.3. Som vi har anfört medför en sådan förändring inte något nytt i grunden. I en modern miljö där det inte längre är självklart att uppgifterna
finns att hämta i handlingar (i ordets traditionella betydelse), blir regleringen tydligare om insynsrätten knyts direkt till myndighetens uppgifter.
Med uppgift menar vi varje sakupplysning som kan uppfattas av en människa, antingen direkt eller med hjälp av tekniska hjälpmedel. Att det skall vara fråga om uppgifter innebär att materiella saker, ting, faller utanför. De kan inte sägas ha något egentligt informationsinnehåll. Ingen har rätt att med stöd av offentlighetsprincipen få titta på myndighetens möbler eller kontorsmaterial. Gränsfall kan finnas. En tavla som myndigheten har köpt eller lånat för eget bruk omfattas inte, medan en tavla med samma motiv som har getts in t.ex. i ett mål om förfalskning omfattas.
Det finns inte enligt gällande rätt något krav på att en handling skall ha en viss omfattning eller ett visst utseende. Det brukar sägas att en enda bokstav på ett papper kan vara en handling. Även en bild kan vara en handling (som innehåller uppgifter). En övergång till uppgiftsbegreppet är inte tänkt att förändra detta. Sådant som ingen människa kan förstå eller sådant som inte kan sägas ha någon mening för någon människa omfattas inte av begreppet uppgift.
Vissa uppgifter kan bara uppfattas med hjälp av tekniska hjälpmedel. Det kan vara information som har digital form (dvs. som förekommer som elektriska impulser) t.ex. bokstäver, siffror, bilder eller ljud. Givetvis omfattas även andra typer av upptagningar t.ex. upptagningar på magnetband, grammofoninspelningar, mikrofilmer och hålkort. Gemensamt är att det krävs teknisk utrustning för att omvandla innehållet till en form som går att uppfatta med mänskligt sinne. Skulle detta inte gå, t.ex. att omvandla en räcka elektriska impulser till något begripligt, kan man inte tala om att det är en uppgift.
För att en tekniskt behandlad uppgift skall vara allmän krävs det att myndigheten har tillgång till sådana tekniska hjälpmedel som behövs för att göra uppgiften begriplig. Om inte myndigheten själv kan ta del av uppgiften, kan inte allmänheten heller få göra det. (Se vidare förslaget till
2 §.)
3 § 2 §
Med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handling är allmän om den förvaras hos myndighet och enligt 6 eller 7 § är att anse som inkommen till eller upprättad hos myndighet.
En uppgift är allmän om den finns i myndighetens förvar
a) i en handling som enligt 7 eller
8 § är att anse som inkommen till eller upprättad hos myndigheten eller
b) i ett register eller någon annan
samling av uppgifter som har färdigställts för införing, sökning eller sammanställning av uppgifter (databas).
Upptagning som avses i första stycket anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Detta gäller dock ej upptagning som ingår i personregister, om myndigheten enligt lag eller förordning eller särskilt beslut, som grundar sig på lag, saknar befogenhet att göra överföringen. Med personregister förstås register, förteckning eller andra anteckningar som innehålla uppgift som avser enskild person och som kan hänföras till denne.
Uppgifter är allmänna oavsett om de finns i skrift eller bild eller i en form som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniska hjälpmedel som myndigheten har.
Med handling avses en framställning som har ett bestämt innehåll.
___________________
Förvar
För att uppgifter skall kunna bli föremål för bl.a. allmänhetens insyn krävs att de har fått en definitiv form. Som har anförts i den allmänna motiveringen omfattas inte uppgifter som är tänkta eller uttalade av tjänstemän hos myndigheten (se avsnitt 16.1.3). Inte heller signaler som finns en begränsad tid i luften eller i ledningar i myndighetens lokaler omfattas. Uppgifterna måste med andra ord vara materialiserade på något sätt hos myndigheten så att man kan ta del av dem upprepade gånger. Detta följer enligt vårt förslag av att uppgifterna måste vara förvarade hos myndigheten.
Att uppgiften måste finnas i myndighetens förvar för att omfattas av offentlighetsinsynen innebär, som utvecklats närmare i den allmänna motiveringen (se avsnitt 16.2.4), att den måste finnas antingen i myndighetens fysiska eller logiska utrymme. När det gäller traditionella handlingar innebär detta inte något nytt. Tekniskt behandlade uppgifter anses däremot inte längre förvarade bara för att myndigheten kan få tillgång till dem med tekniska hjälpmedel. Detta innebär att kravet att uppgiften skall vara förvarad hos myndigheten för att omfattas av offentlighetsprincipen innebär detsamma, oavsett om det är en tekniskt behandlad uppgift eller om uppgiften finns i en traditionell handling. Detta medför bl.a. att allmänheten inte med stöd av offentlighetsprincipen kan begära att få lyssna på radio hos myndigheten, titta på TV, svara i telefonen eller ”surfa” på Internet. Om uppgifter i ett radio- eller TV-program har spelats in hos myndigheten eller om ett telefonsamtal har dokumenterats på något sätt är uppgifterna givetvis förvarade. Samma sak gäller om myndigheten via Internet har hämtat uppgifter som man har sparat.
Sådan tillfällig lagring hos myndigheten av signaler som bara är ett led i myndighetens utnyttjande av t.ex. ett program för datanätverkskommunikation innebär inte att signalerna skall anses finnas i myndighetens förvar. Det kan bl.a. vara de s.k. cache-filer och liknande program som Internetprogram (t.ex. webbläsare) automatiskt sparar en tid på hårddisken.
Elektroniskt arkiv
Med förvar avser vi som nämnts både fysiska och logiska utrymmen. Begreppen finns kommenterade i den allmänna motiveringen, avsnitt 16.2.4. Förslaget innehåller ingen definition av begreppet förvar, och när det gäller traditionella, fysiska förvar är ingen ändring avsedd (se även avsnitt
16.2.6). Samma synsätt skall råda beträffande uppgifter som har elektronisk form som de som har direkt läs- eller annars uppfattbar form.
Elektroniska uppgifter kan finnas på en databärare som fysiskt finns hos myndigheten, t.ex. på en diskett, cd-romskiva eller en hårddisk. Beträffande sådana fysiska databärare kan man resonera på samma vis som med pappershandlingar, dvs. finns databäraren hos myndigheten i fysisk bemärkelse är den förvarad. Myndigheten kan emellertid förvara elektroniska uppgifter utan att databäraren fysiskt finns hos myndigheten (s.k. öppen IT-miljö, se avsnitt 16.2.4). Databäraren kan finnas på ett helt annat ställe, hos en annan myndighet eller hos ett privat företag som tillhandahåller elektroniskt utrymme åt myndigheten. Systemet bygger på att myndigheten hanterar uppgifterna via elektroniska nätverk. Det är dessa utrymmen som vi avser med begreppet elektroniskt arkiv.
Frågan är då hur man skiljer mellan myndighetens elektroniska arkiv och de andra elektroniska förvar som myndigheten kan nå med hjälp av sin tekniska utrustning. Generellt sett förfogar myndigheten själv (eller tillsammans med någon annan) över uppgifterna i dess elektroniska arkiv. Det är vanligtvis myndigheten som för in och tar bort uppgifter i dessa. De bestämmelser som i övrigt reglerar myndighetens uppgiftshantering t.ex. om diarieföring, dokumentationsskyldighet eller arkivering träffar även uppgifterna i myndighetens elektroniska arkiv. Utgångspunkten är således att de elektroniska utrymmen som myndigheten innehar och ansvarar för utgör dess elektroniska arkiv.
Myndigheten anses däremot inte – i motsats till vad som nu gäller – förfoga över uppgifterna bara för att man kan läsa eller hämta dem med sina tekniska hjälpmedel. Situationen där en tjänsteman t.ex. läser en tidning via Internet bör jämställas med den där han går till stadsbiblioteket och läser en tidning på en rast.
Vissa elektroniskt lagrade uppgifter som myndigheten når via nät kan jämställas med uppgifter som finns i myndighetens fysiska förvar. Det enda som skiljer är att lagringsenheten (hårddisken) inte finns i myndighetens lokaler utan någon annanstans, t.ex. hos en annan myndighet. Om myndigheten ensam förfogar över uppgifterna (via nätverk) är de utan tvekan i myndighetens förvar. Det har inte någon betydelse vem som har ställt i ordning eller organiserat arkivet. Att någon annan administrerar arkivet har inte heller någon avgörande betydelse. När det handlar om arkiv som inte finns i myndighetens fysiska förvar får det i regel antas finnas någon annan som i viss omfattning utför sådan administration. Det avgörande är vem som har den slutliga bestämmanderätten över uppgifterna.
Uppgiftshanteringen kan också vara ordnad så att lokala eller regionala myndigheter förfogar över delar av ett centralt register som i sin tur en central myndighet ansvarar för. I det fallet får den lokala myndigheten anses förvara ”sin” del av uppgiftssamlingen medan den centrala myndigheten förvarar hela registret. Om en lokal myndighet uteslutande rapporterar (expedierar) genom att föra in uppgifter t.ex. i ett centralt register som en annan myndighet har ansvar för, innebär inte detta att registret anses förvarat även hos den rapporterande myndigheten. (Det är en annan sak att de uppgifter som rapporterats naturligtvis ändå är allmänna hos den rapporterande myndigheten, eftersom de betraktas som expedierade handlingar.)
Flera myndigheter kan ha ett elektroniskt arkiv i gemensamt förvar. Myndigheterna har då var och en möjlighet att föra in, ta bort och ändra uppgifter.
Handling
Som vi har anfört i den allmänna motiveringen (se avsnitt 16.1.4) kan inte alla uppgifter som förvaras hos myndigheten omedelbart vara offentliga. De flesta uppgifter förekommer, precis som de alltid har gjort, i handlingar. Definitionen av begreppet handling innebär i själva verket en återgång till vad som gällde innan upptagningsbegreppet infördes i lagen. Den viktiga skillnaden mot vad som gäller i dag är att regleringen blir teknikneutral. Både pappershandlingar och elektroniska handlingar faller under definitionen.
En handling är en uppgiftssammanställning som har ett bestämt innehåll som det inte är meningen att man skall ändra på. Den kan precis som tidigare bestå av bara en enda uppgift. Det har ingen betydelse vilken form den har, och den behöver – precis som nu – inte vara undertecknad, diarieförd osv. När det gäller handlingar som har elektronisk form krävs det att det går att uppfatta innehållet med de tekniska hjälpmedel som myndigheten har. Denna förutsättning har givetvis störst betydelse beträffande handlingar som inkommer till myndigheten. Om uppgifterna lämnas in i ett format som myndigheten inte kan uppfatta, kan handlingen inte anses ha något innehåll alls. Det kan inte krävas att myndigheterna skaffar ny teknisk utrustning för att kunna uppfatta den ingivna handlingen. Den enskilde kan inte heller kräva att få tillhandahålla myndigheten tekniska hjälpmedel, t.ex. datorprogram, för att handlingen skall kunna uppfattas.
Att handlingen skall ha ett bestämt innehåll betyder inte annat än att den skall ha ett en gång för alla bestämt innehåll. Ingen ändrar väl texten i
en myndighets pappershandling (stryker eller lägger till tecken) utan att göra en särskild anteckning om ändringen. Samma sak måste gälla för handlingar som har elektroniskt form.
När har handlingen fått ett bestämt innehåll? När övergår den från att vara bara ett utkast till att bli en handling? Huvudregeln måste vara att det är utställaren som avgör när innehållet är slutligt bestämt. Ett vanligt fall är att handlingen undertecknas eller förses med en digital signatur. För offentlighetsprincipens tillämpning har det i och för sig inte någon avgörande betydelse exakt vid vilken tidpunkt innehållet blir bestämt, eftersom uppgifterna i handlingen inte blir allmänna för det. Det krävs, precis som i dag, att handlingen är antingen inkommen eller upprättad (vanligen expedierad) för att den skall vara allmän (se vidare avsnitt 16.3 och 16.4). När uppgiftssammanställningen har ”bytt ägare” förfogar utställaren inte längre över den, och i vart fall då har handlingen fått ett bestämt innehåll.
Vilken funktion har då handlingsdefinitionen? Bland annat har definitionen betydelse för gränsdragningen mellan sådana andra uppgifter (än de som finns i handlingar) som är allmänna respektive icke-allmänna. Om uppgifterna används eller har använts för att framställa en handling hos myndigheten är de inte allmänna, de har då utkast- eller konceptform. Utgångspunkten annars är att alla andra uppgifter hos myndigheten än sådana som finns i handlingar genast blir offentliga (se vidare avsnitt 16.1.4.6).
Precis som i dag krävs det att handlingen är inkommen eller upprättad för att uppgifterna i den skall vara allmänna (se vidare 6 och 7 §§).
Databas
Med den definition som vi har gett begreppet handling kommer en hel del uppgifter som finns hos myndigheterna att falla utanför. Även andra uppgifter omfattas givetvis av offentlighetsprincipen. Som vi har utvecklat i den allmänna motiveringen (se avsnitt 16.1.4.3) har vi valt att kalla dessa övriga uppgiftssammanställningar för databaser. Det som är typiskt för en databas är att den inte har ett på förhand bestämt innehåll. Exempel på databaser är journaler, register, dagboksblad och andra förteckningar där det förs in uppgifter efter hand. Det kan också vara en viss mängd uppgifter som det är meningen att man skall söka bland och hämta ut i olika konstellationer (t.ex. registerutdrag).
Oftast anknyter uppgifterna i en databas till handlingar eller uppgifter i handlingar hos myndigheten. Det kan vara uppgifter om vilka handlingar som har kommit in till myndigheten (t.ex. ett diarium) eller till ett visst
ärende (t.ex. ett dagboksblad). Vidare kan databasen innehålla uppgifter om upprättade handlingar (t.ex. en journal, där varje anteckning är en handling). Uppgifterna i en databas kan också vara hämtade från myndighetens handlingar, t.ex. register som baseras på en ärendehantering (bilregistret, folkbokföringsregistret, fastighetsregistret osv.). I stället för att leta efter ett enskilt ärende, kan man få de efterfrågade upplysningarna i registret. En databas kan givetvis också innehålla uppgifter som har införts direkt i databasen utan att ha någon anknytning till en handling.
En databas kan precis som en handling vara manuell eller ha elektronisk form. Liksom en handling kan den bestå av en enda uppgift.
Uppgifterna i databasen skall vara möjliga att söka eller sammanställa. Detta innebär inte att det måste finnas någon viss typ av funktioner för sökning och sammanställning. Bakgrunden är helt enkelt att om det inte finns något sätt att hitta uppgifterna i databasen kan de inte tas fram för insyn, varken för myndigheten själv eller för allmänheten. Några sådana uppgiftssamlingar skall inte förekomma hos myndigheterna. Det skall inte finnas några uppgifter som faller vid sidan av både handlingar och databaser och därför inte är allmänna. Alla uppgifter som finns, i den meningen att de kan plockas fram, omfattas givetvis även i fortsättningen av offentlighetsprincipen. Däremot kan handlingar och databaser i vissa fall flyta samman (gränsdragningsfrågan behandlas i avsnitt 16.1.4.4).
Uppgifter i databaser blir i princip allmänna så fort de har fått sådan konkretion att man kan ta del av dem, dvs. så fort de har antecknats, registrerats, införts osv. Detsamma gäller i dag beträffande diarier, journaler och andra sådana register (se 7 §) som är typiska databaser. I stället för att gå vägen över rekvisitet upprättad blir uppgifterna omedelbart allmänna.
I vissa fall kan uppgifter som förs in t.ex. i en myndighets register komma utifrån – i vissa fall kan uppdateringen av registret till och med ske automatiskt – det handlar då om uppgifter i en handling (eftersom innehållet har bestämts av den som gav in uppgifterna). Hur skall man då se på uppgifterna – finns de i en handling eller i en databas? Frågan är i första hand av teoretiskt slag. Så fort uppgifterna hamnar i registret är de allmänna. Å andra sidan följer det av myndighetens skyldighet enligt 15 kap.1 och 2 §§sekretesslagen att det som inkommer till myndigheten skall registreras. Den skyldigheten träffar även enstaka uppgifter som inkommer. Myndigheten är därför skyldig att bevara uppgifterna även i den form de hade när de kom in till myndigheten samt göra alla de anteckningar om uppgifterna som framgår av bestämmelserna i sekretesslagen. Naturligtvis är det inget som hindrar att detta sker automatiskt (t.ex. att det antecknas
från vem uppgifterna kommer och när de har inkommit). Allmänheten har alltså även rätt att ta del av den handling som uppgifterna utgjordes av när de en gång kom in. Men när uppgifterna därefter ingår i myndighetens databas har allmänheten också rätt att få sammanställningar ur den.
Tekniska hjälpmedel
För att uppgifterna i en handling eller databas skall vara allmänna krävs det – som tidigare anförts – att de kan göras uppfattbara med hjälp av den utrustning som myndigheten själv har. Manuellt förda uppgifter orsakar i princip inga problem (det kan ibland vålla tvekan t.ex. hur man skall behandla en inkommen handling som är skriven på ett annat språk än svenska).
IT-utredningen har tagit upp frågan hur man skall förfara med inkommande handlingar som inte kan uppfattas av den mottagande myndigheten på grund av att man där saknar tekniska hjälpmedel eller kunskap för att göra uppgifterna läsbara eller annars möjliga att uppfatta.485 Utredningen har föreslagit att det skall ses som en allmän princip att en elektronisk handling som sänds in till en myndighet skall ha ett sådant format m.m. att den enkelt kan hanteras med hjälp av mottagarens tekniska hjälpmedel. Skickas handlingen i ett format som myndigheten inte kan uppfatta, bör handlingen – enligt utredningen – få lämnas utan avseende på samma sätt som en gravt ofullständig skrift.
Samma synsätt bör enligt vår mening kunna gälla generellt för vad som omfattas av offentlighetsprincipen. Om inte myndigheten själv med hjälp av sin tekniska utrustning kan uppfatta uppgifterna bör de inte heller omfattas av allmänhetens insynsrätt. Det är dessutom en förutsättning att myndigheten kan uppfatta uppgifterna för att en sekretessprövning skall kunna vidtas.
485 SOU 1996:40 s. 70–72.
2 § 3 §
Rätten att taga del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till
Rätten att ta del av allmänna uppgifter får begränsas endast om det är påkallat med hänsyn till
1. rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig
organisation,
2. rikets centrala finanspolitik, penningpolitik eller valutapolitik,
3. myndighets verksamhet för inspektion, kontroll eller annan tillsyn,
4. intresset att förebygga eller beivra brott,
5. det allmännas ekonomiska intresse,
6. skyddet för enskilds personliga eller ekonomiska förhållanden,
7. intresset att bevara djur- eller växtart.
Begränsning av rätten att taga del av allmänna handlingar skall angivas noga i bestämmelse i en särskild lag eller, om så i visst fall befinnes lämpligare, i annan lag vartill den särskilda lagen hänvisar.
Efter bemyndigande i sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens til??lämplighet.
Begränsningar av rätten att ta del av allmänna uppgifter skall anges noga i bestämmelser i en särskild lag eller, om det är lämpligare i ett visst fall, i en annan lag till vilken den särskilda lagen hänvisar. Efter bemyndigande i en sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens til??lämplighet.
Utan hinder av andra stycket får i bestämmelse som där avses riksdagen eller regeringen tilläggas befogenhet att efter omständigheterna medgiva att viss handling lämnas ut.
Utan hinder av andra stycket får i en bestämmelse som där avses riksdagen eller regeringen ges befogenhet att efter omständigheterna medge att en viss uppgift lämnas ut.
___________________
Förslaget till ny lydelse av bestämmelsen är föranlett av den nya begreppsapparaten och är inte ämnat att innebära någon saklig förändring.
4 §
Om en myndighets rätt att själv söka efter eller sammanställa uppgifter av hänsyn till enskildas personliga integritet har begränsats genom lag eller annan författning, gäller den begränsningen även för den som vill ta del av allmänna uppgifter.
___________________
Bestämmelsen innebär att de sökbegränsningar som av hänsyn till enskildas personliga integritet har införts för myndigheten gäller även för allmänheten. Regeln har kommenterats i den allmänna motiveringen (avsnitt 17.4).
Genom att placera bestämmelsen i anslutning till sekretessregeln har vi velat markera att det är fråga om en inskränkning i offentlighetsprincipen. Det handlar om uppgifter som i och för sig finns hos myndigheten men som – trots att det kanske är tekniskt möjligt att åstadkomma – ändå inte får sökas fram för offentlighetsinsyn. Uppgifterna kan mycket väl vara offentliga men det är möjligheterna att söka efter dem som har begränsats. Bestämmelsen ger uttryck för likställighetsprincipen – myndighet och allmänhet skall vara likställda när det gäller tillgången till myndighetens uppgifter.
Enligt gällande rätt kan en begränsningsregel även utgöras av ett särskilt beslut som grundar sig på lag (gällande 3 § 2 st. 2 men.). Det är i första hand Datainspektionen som fattar sådana beslut. Enligt förslaget räcker det emellertid inte med ett sådant beslut, utan det krävs författningsstöd för att begränsa tillgången till allmänna uppgifter. Det är viktigt att inte bara integritetsintressena utan att även behovet för allmänheten att få tillgång till allmänna uppgifter tillåts väga tungt. Som nämnts i den allmänna motiveringen är det angeläget att begränsningsreglerna är preciserade.
4 § 5 §
Brev eller annat meddelande som är ställt personligen till den som innehar befattning vid myndighet anses som allmän handling, om handlingen gäller ärende eller annan fråga som ankommer på myndigheten och ej är avsedd för mottagaren endast som innehavare av annan ställning.
En uppgift i ett brev eller annat meddelande som är ställt personligen till den som innehar en befattning vid en myndighet anses som allmän, om uppgiften gäller ett ärende eller en annan fråga som ankommer på myndigheten och inte är avsedd för mottagaren endast som innehavare av annan ställning.
___________________
Förslaget till ny lydelse av bestämmelsen är föranlett av den nya begreppsapparaten och är inte ämnat att innebära någon saklig förändring.
5 § 6 §
Med myndighet likställas i detta kapitel riksdagen, kyrkomötet och beslutande kommunal församling.
Med myndighet likställs i detta kapitel riksdagen, kyrkomötet och beslutande kommunal församling.
___________________
Förslaget innebär endast en viss modernisering av texten.
6 § 7 §
Handling anses inkommen till myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om upptagning som avses i 3 § första stycket gäller i stället att den anses inkommen till myndighet när annan har gjort den tillgänglig för myndigheten på sätt som angives i 3 § andra stycket.
En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa.
Tävlingsskrift, anbud eller annan sådan handling som enligt tillkännagivande skall avlämnas i förseglat omslag anses ej inkommen före den tidpunkt som har bestämts för öppnandet.
Tävlingsskrift, anbud eller annan sådan handling som enligt tillkännagivande skall avlämnas i förseglat omslag anses inte inkommen före den tidpunkt som har bestämts för öppnandet.
Åtgärd som någon vidtager endast som led i teknisk bearbetning eller teknisk lagring av handling, som myndighet har tillhandahållit, skall ej anses leda till att handling är inkommen till den myndigheten. ___________________
För att en handling skall anses vara inkommen krävs det att den har anlänt till myndighetens fysiska eller elektroniska förvar. Det räcker således inte att den är tillgänglig för myndigheten och möjlig att nå t.ex. via nät. När det gäller traditionella handlingar innebär detta inte något nytt. En sådan handling anses inte allmän hos myndigheten bara för att myndigheten har möjlighet att få handlingen efter en begäran. Den domstolspraxis som finns kring inkommandekravet äger därför fortfarande giltighet.
Vad gäller fysiska bärare av elektroniskt lagrade uppgifter t.ex. disketter eller cd-romskivor som lämnas till myndigheten är det ingen principiell skillnad mot traditionella handlingar. De lämnas på samma sätt in till myndigheten. (Det är en annan sak att sådant material kanske inte alltid kan läsas av myndigheten därför att den saknar rätt teknisk utrustning. Då anses materialet över huvud taget inte vara allmänt, se 2 §.)
De fall som i första hand kan vålla problem är när handlingar lämnas över nät, alltså genom elektronisk kommunikation. Så långt det är möjligt bör man även här applicera ett synsätt som knyter an till de traditionella fallen. En förutsättning för att myndigheten skall kunna ta emot handlingar genom elektronisk kommunikation är att man har funktioner för detta; myndigheten måste med andra ord ha en elektronisk brevlåda eller annan ingång till sitt elektroniska arkiv. Myndigheten kan mer eller mindre av en slump ha flera funktioner för e-post, eftersom sådana ofta följer med i ”programpaket” (t.ex. i färdiga kontorssystem). Det är inte säkert att alla sådana elektroniska adresser till myndigheten är aktiva. Myndigheten kanske inte ”tömmer” alla sina brevlådor. Situationen är egentligen densamma som om en person går in i myndighetens lokaler och lägger ett papper på
en hylla var som helst. Är handlingen inkommen? Det beror på om någon hittar den. Skall myndigheten kunna hålla ordning på sin inkommande elektroniska post måste myndigheten ha rutiner för detta, t.ex. en officiell e-postadress.486 Använder ingivare andra vägar för att nå myndigheten blir det mer eller mindre en slump om handlingen blir allmän eller inte (det beror nämligen på om någon råkar ”hitta” den).
För att en handling som har elektronisk form skall vara allmän krävs det att myndigheten med hjälp av sin tekniska utrustning kan göra den läsbar (se avsnitt 16.1.4.2). Om någon lämnar in en handling som har elektronisk form till myndigheten (oavsett om det sker på en fysisk databärare – t.ex. en diskett – eller via nät) och myndigheten inte kan ”få fram” den är den inte allmän. Detta beror då inte på att den inte skulle anses vara inkommen, utan redan på att den inte anses vara en handling (se 2 §).
I övrigt gäller samma synsätt beträffande elektroniska handlingar som för traditionella. Det krävs inte att den elektroniska handlingen har diarieförts för att den skall omfattas av allmänhetens insynsrätt. Å andra sidan måste den ha varit föremål för sekretessprövning före utlämnandet.
Liksom när det gäller traditionella handlingar kan handlingen också vara inkommen om den har kommit behörig befattningshavare till handa. På samma sätt som man hanterar ett ”tjänstebrev” som har skickats hem till en befattningshavare vid myndigheten skall man betrakta sådana brev som har skickats till tjänstemannens privata e-postadress.
Bestämmelsen i tredje stycket gällande lydelse har flyttats till 11 §.
7 § 8 §
Handling anses upprättad hos myndighet, när den har expedierats. Handling som ej har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats hos myndigheten eller, om handlingen ej hänför sig till visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts.
En handling anses upprättad hos en myndighet, när den har expedierats.
Handling som inte har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats av myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts.
486 SOU 1996:40 s. 63.
I stället för vad som föreskrives i första stycket gäller att handling anses upprättad,
Följande undantag gäller från vad som föreskrivs i första stycket.
1. diarium, journal samt sådant
register eller annan förteckning som föres fortlöpande, när handlingen har färdigställts för anteckning eller införing,
2. dom och annat beslut, som enligt
vad därom är föreskrivet skall avkunnas eller expedieras, samt protokoll och annan handling i vad den hänför sig till sådant beslut, när beslutet har avkunnats eller expedierats,
1. Domar och andra beslut, som enligt föreskrift skall avkunnas eller expedieras, samt protokoll och andra handlingar i vad de hänför sig till sådana beslut, anses upprättade när beslutet har avkunnats eller expedierats.
3. annat myndighets protokoll och
därmed jämförliga anteckningar, när handlingen har justerats av myndigheten eller på annat sätt färdigställts, dock ej protokoll hos riksdagens eller kyrkomötets utskott, riksdagens eller kommuns revisorer eller statliga kommittéer eller hos kommunal myndighet i ärende som denna endast bereder till avgörande.
2. Andra protokoll och därmed jämförliga anteckningar anses upprättade, när handlingen har justerats av myndigheten eller färdigställts på annat sätt, dock inte protokoll hos riksdagens eller kyrkomötets utskott, riksdagens eller kommuns revisorer eller statliga kommittéer eller hos kommunal myndighet i ärende som denna endast bereder till avgörande.
___________________
Rekvisitet upprättad finns kommenterat i den allmänna motiveringen (se avsnitt 16.4).
Vårt förslag innebär inte något nytt vad gäller synen på upprättade handlingar, utöver den nya definitionen av handlingsbegreppet. En elektronisk handling anses också upprättad när den har expedierats, dvs. skickats till någon. Den får också anses upprättad om den via nät läggs ut på ett sådant sätt att den blir tillgänglig för andra.
Undantagen under punkterna 1 och 2 i förslaget är desamma som tidigare. Uppgifter i diarier osv. faller numera vid sidan av handlingsbegreppet, och undantagsbestämmelsen här behövs inte längre (se 2 §).
8 § 9 §
Har organ som ingår i eller är knutet till ett verk eller liknande myndighetsorganisation överlämnat handling till annat organ inom samma myndighetsorganisation eller framställt handling för sådant överlämnande, skall handlingen ej anses som därigenom inkommen eller upprättad i annat fall än då organen uppträda som självständiga i förhållande till varandra.
Har ett organ som ingår i eller är knutet till ett verk eller en liknande myndighetsorganisation överlämnat en handling till ett annat organ inom samma myndighetsorganisation eller framställt en handling för ett sådant överlämnande, skall handlingen inte anses som därigenom inkommen eller upprättad i annat fall än då organen uppträder som självständiga i förhållande till varandra.
___________________
Förslaget till ny lydelse av bestämmelsen innebär endast en viss modernisering av texten.
9 § 10 §
Hos myndighet tillkommen minnesanteckning som ej har expedierats skall ej heller efter den tidpunkt då den enligt 7 § är att anse som upprättad anses som allmän handling hos myndigheten, om den icke tages om hand för arkivering. Med minnesanteckning förstås promemoria och annan uppteckning eller upptagning som har kommit till endast för ärendes föredragning eller beredning, dock ej till den del den har tillfört ärendet sakuppgift.
Uppgifter som har antecknats eller införts endast för ett ärendes föredragning eller beredning är inte allmänna om de inte har tillfört ärendet något i sak. Inte heller uppgifter i utkast eller koncept till en myndighets beslut eller skrivelse eller uppgifter i någon annan därmed jämställd handling är allmänna.
Utkast eller koncept till myndighets beslut eller skrivelse och annan därmed jämställd handling som ej har expedierats anses ej som allmän handling, såvida den icke tages om hand för arkivering.
Uppgifter som har tagits om hand för arkivering eller som förekommer i handlingar som har expedierats är dock alltid allmänna.
___________________
Bestämmelsen innehåller precis som tidigare de kanske viktigaste undantagen från allmänhetens rätt till insyn. Regeln i första meningen avser sådant som tidigare betecknades minnesanteckning. Den nya lydelsen är i första hand föranledd av den nya begreppsapparaten, och den är inte ämnad att medföra några sakliga nyheter. Bestämmelsen tar sikte direkt på uppgifter, eftersom det inte bara är uppgifter i handlingar som kan förekomma inför ett ärendes föredragning eller beredning. Även register eller datorprogram kan användas t.ex. för att göra beräkningar av olika slag eller framställa statistik. Varken datorprogram eller andra uppgiftssammanställningar som har tillkommit enbart för att användas i beredningsarbetet är allmänna.
Precis som enligt gällande rätt blir de dock allmänna om de tillför ärendet något i sak. Om en handling med uppgifterna har expedierats eller arkiverats blir uppgifterna liksom tidigare allmänna. Det framgår av den föreslagna bestämmelsens andra stycke.
Utkast eller koncept är – precis som nu – inte heller allmänna. Utan undantaget skulle alla uppgifter som t.ex. förs in i myndighetens ord- och textbehandlingssystem vara allmänna omedelbart. Det är inte meningen. Preliminära utkast till skrivelser, beslut m.m. är inte allmänna. En god ordning kännetecknas av att utkast och koncept hålls åtskilda från handlingar som är upprättade och därmed allmänna. Ännu torde det vara vanligt att de handlingar som upprättas hos myndigheterna kräver manuellt undertecknande. I så fall har alla uppgifter i myndighetens ord- och textbehandlingsprogram karaktär av utkast eller koncept, eftersom handlingen inte är komplett utan underskriften. Om det manuella undertecknandet ersätts av digitala signaturer eller liknande, bör de handlingar som har fått sin slutliga utformning genom ett sådant förfarande läggas i särskilda s.k. bibliotek där de kan visas för allmänheten. Uppgifter i databaser har inte utkastkaraktär – de blir omedelbart allmänna.
Om utkast eller koncept expedieras eller arkiveras blir de allmänna.
Våra förslag beträffande arkivlagen innebär bl.a. att allmänna uppgifter skall anses tillhöra arkivet så fort de blir allmänna. När det gäller just uppgifter i minnesanteckningar, utkast eller koncept avgörs emellertid inte frågan om de är allmänna förrän myndigheten tar ställning till om de skall arkiveras. Innan dess är de således inte allmänna och omfattas inte heller av arkivreglerna.
10 § 11 §
Handling som förvaras hos myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning anses ej som allmän handling hos den myndigheten.
Uppgifter som finns i en myndighets förvar endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning är inte allmänna hos den myndigheten. Uppgifterna blir inte heller att anse som allmänna hos den myndighet som har tillhandahållit dem endast på grund av att de i samband med eller efter åtgärden återlämnas till den myndigheten.
___________________
Bestämmelsen motsvarar gällande 6 § tredje stycket och 10 §. Den nya lydelsen innebär enbart en redaktionell samordning av dessa.
11 § 12 §
Som allmän handling anses ej
Sådana uppgifter är inte allmänna som ingår i
1. brev, telegram eller annan sådan
handling som har inlämnats till eller upprättats hos myndighet endast för befordran av meddelande,
1. brev, telegram eller någon
annan sådan handling som har inlämnats till eller upprättats hos en myndighet endast för befordran av meddelande,
2. meddelande eller annan handling
som har inlämnats till eller upprättats hos myndighet endast för offentliggörande i periodisk skrift som utgives genom myndigheten,
2. meddelande eller någon annan
handling som har inlämnats till eller upprättats hos en myndighet endast för offentliggörande i en periodisk skrift som utges genom myndigheten,
3. tryckt skrift, ljud- eller bildupp-
tagning eller annan handling som ingår i bibliotek eller som från enskild har tillförts allmänt arkiv uteslutande för förvaring och vård eller forsknings- och studieändamål eller privata brev, skrifter eller upptagningar som eljest ha överlämnats till myndighet uteslutande för ändamål som nu angivits,
3. tryckta skrifter, ljud- eller
bildupptagningar samt andra handlingar och databaser som ingår i bibliotek,
4. upptagning av innehållet i handling som avses i 3, om upptagningen förvaras hos myndighet där den ursprungliga handlingen ej skulle vara att anse som allmän.
4. handlingar och databaser som
från en enskild har tillförts en myndighet uteslutande för förvaring och vård eller forsknings- och studieändamål eller privata brev, skrifter eller uppgifter som annars har överlämnats till en myndighet uteslutande för ett sådant ändamål.
Det som föreskrivs i första stycket 3 om handling som ingår i bibliotek tillämpas inte på upptagning för automatisk databehandling i sådant register som myndighet har tillgång till enligt avtal med annan myndighet. ___________________
Bestämmelserna under punkterna 1 och 2 gäller enbart uppgiftssammanställningar som har handlingskaraktär (dvs. ett av utställaren bestämt innehåll). Den nya lydelsen av dessa innebär inga sakliga nyheter.
Biblioteksregeln enligt förslaget i punkten 3 omfattar däremot både handlingar och andra typer av databaser. Regeln har gjorts teknikneutral, och därför behövs inte längre någon särskild bestämmelse för material som har elektronisk form.
Förutom traditionella skrifter omfattas elektroniskt material av bibliotekskaraktär, t.ex. böcker eller praxissamlingar på cd-rom eller elektroniskt
material som finns i myndighetens elektroniska arkiv. Det bör inte heller när det gäller biblioteksmaterial ha någon betydelse vilken form materialet har för bedömningen av om det är allmänt eller inte. Om man är osäker på hur visst elektroniskt material skall bedömas, bör man fråga sig hur det skulle ha betraktats om det i stället hade haft tryckt form och funnits i myndighetens bokhylla.
Undantagsbestämmelsen i andra stycket fyller inte längre någon funktion eftersom tillgänglighetsprincipen har tagits bort. Om en myndighet har avtalat med en annan myndighet eller någon annan om att få söka eller hämta uppgifter elektroniskt, innebär inte detta att alla uppgifter som därmed blir möjliga att nå blir allmänna även hos den andra myndigheten. (Däremot är myndigheten skyldig att bistå allmänheten med att hämta sådana uppgifter hos andra myndigheter, om det kan ske med en enkel arbetsinsats. Se förslaget till ny lydelse av 15 kap. 4 § 3 st. sekretesslagen.) De uppgifter som hämtas och tillförs de uppgiftssamlingar som tillhör myndigheten blir naturligtvis allmänna även hos den myndigheten.
13 §
Den som begär att få ta del av allmänna uppgifter skall precisera sin begäran så att det är möjligt att finna den handling där uppgifterna ingår eller utföra den sökning eller sammanställning som annars krävs för att uppgifterna skall kunna tas fram.
___________________
Preciserad begäran
Den föreslagna bestämmelsen innebär att gällande rätt lagfästs. I praktiken krävs det att den som begär att få ut en allmän handling kan precisera sin begäran så att myndigheten med en enkel arbetsinsats kan hitta handlingen. En begäran kan naturligtvis också avse en samling av handlingar som myndigheten har, t.ex. akter eller domböcker, eller flera separata handlingar. Kravet att en begäran skall vara preciserad kan antas få ökad betydelse i en elektronisk miljö. Det blir nästan omöjligt att söka efter uppgifter ”på måfå”. Den som begär uppgifter ur en handling som har elektronisk
form måste ge så mycket ledning att myndigheten med hjälp av sina datorprogram kan hitta handlingen.
Den som begär uppgifter ur databaser kan typiskt sett vara ute efter två skilda saker. I det ena fallet vill den sökande se hela databasen (diariet, registret osv.) eller delar av den. Det handlar om fall där den enskilde inte i första hand letar efter uppgifter som han i förväg känner till förekomsten av, utan han vill helt enkelt se efter om det har kommit in t.ex. något ärende eller någon skrivelse som är av intresse. Sådana databaser som har till huvudsakligt syfte att hålla ordning på handlingar, t.ex. inkommande handlingar, bör i regel inte innehålla uppgifter som kan bli föremål för sekretess (jämför 15 kap. 2 § 2 st. sekretesslagen som anger att uppgifter som kan bli föremål för sekretess skall särskiljas så att resten av registret kan lämnas ut). I dessa fall räcker det givetvis att sökanden begär att få se den specifika databasen, någon ytterligare precisering behövs inte. Detta gäller både för manuella och elektroniskt förda databaser.
I det andra fallet vill sökanden ha en viss konstellation av uppgifter t.ex. ur ett register. Manuellt förda databaser har i regel en begränsad omfattning och kan därför oftast lämnas ut så som de ser ut på papperet (efter sedvanlig sekretessprövning), och den enskilde får söka själv, t.ex. i ett dagboksblad. När det gäller manuellt förda databaser är sökverktygen oftast mycket rudimentära. De består ofta i att uppgifterna har ordnats efter ett visst kriterium, t.ex. datum eller efternamn. Några egentliga sammanställningsmöjligheter kan man inte heller tala om. Uppgifterna får sökas en och en och antecknas.
Uppgifter i elektroniskt förda databaser kan ofta sökas och sammanställas mycket effektivt. Begränsningen ligger i datorprogrammet. Här är det inte säkert att myndigheten kan lämna ut hela databasen för fri sökning. Varje utlämnande skall i princip föregås av en sekretessprövning (frågan om preliminära sekretessbedömningar har diskuterats i den allmänna motiveringen avsnitt 18.9). Det är bara i sådana fall där man kan vara säker på att några sekretessregler inte är tillämpliga som hela databasen kan lämnas ut för fri sökning; som nämnts ovan gäller detta t.ex. myndigheters diarier.
I annat fall får den sökande helt enkelt ange den uppgiftssammanställning som önskas. Man kan inte begära att allmänheten skall kunna ange den exakta sökvägen utan det blir upp till myndigheten att avgöra om sammanställningen kan göras.
12 § 14 §
Allmän handling som får lämnas ut skall på begäran genast eller så snart det är möjligt på stället utan avgift tillhandahållas den, som önskar taga del därav, så att handlingen kan läsas, avlyssnas eller på annat sätt uppfattas. Handling får även skrivas av, avbildas eller tagas i anspråk för ljudöverföring. Kan handling ej tillhandahållas utan att sådan del därav som icke får lämnas ut röjes, skall den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia.
Om någon begär att få ta del av allmänna uppgifter som får lämnas ut, skall myndigheten genast, eller så snart det är möjligt, utan avgift på stället
1. tillhandahålla den handling där
uppgifterna ingår så att den kan läsas, avlyssnas eller uppfattas på annat sätt, eller
2. ta fram de begärda uppgifterna
ur en databas, om det kan ske med användning av de tekniska hjälpmedel som myndigheten har eller annars utan nämnvärda kostnader.
Handlingar och uppgifter som tillhandahålls på stället får även skrivas av, avbildas eller tas i anspråk för ljudöverföring. Kan en handling inte tillhandahållas utan att uppgifter som inte får lämnas ut röjs, skall handlingen i övriga delar göras tillgänglig för sökanden i utskrift eller kopia. Motsvarande gäller om uppgifter ur databaser.
Myndighet är icke skyldig att tillhandahålla handling på stället, om betydande hinder möter. I fråga om upptagning som avses i 3 § första stycket föreligger ej heller sådan skyldighet, om sökanden utan beaktansvärd olägenhet kan taga del av upptagningen hos närbelägen myndighet.
En myndighet är inte skyldig att tillhandahålla en handling på stället eller ta fram uppgifter ur en databas, om det möter betydande hinder.
___________________
Offentlighetsprincipen erbjuder två vägar för den som vill ta del av allmänna uppgifter, varav den ena är på stället, gratis. Bestämmelsen finns kommenterad i den allmänna motiveringen, se avsnitt 18.5.
Tillhandahållandet
Bestämmelsen om tillhandahållande av uppgifter har delats upp i två moment eftersom uppgifter enligt den nya begreppsapparaten kan förekomma i två typer av sammanställningar; handlingar och databaser. Precis som tidigare är det myndigheten som avgör om uppgifterna skall tillhandahållas på papper eller på skärm. Det krav som man har uppställt i gällande praxis på att en handling skall kunna tas fram med rutinbetonade åtgärder behövs inte längre när det gäller de uppgiftssammanställningar som vi har kallat handlingar. Handlingar skall alltid tas fram på begäran, oavsett om det är enkelt eller svårt (det finns dock undantag om det möter betydande hinder, se nedan).
Beträffande andra uppgiftssammanställningar (uppgifter i databaser) kan det förekomma mer kvalificerade krav på sammanställningar från allmänheten; detta gäller i stort sett uteslutande sådana som har elektronisk form. Myndigheten är i första hand skyldig att ta fram och presentera de sammanställningar som den kan göra med hjälp av sin tekniska utrustning, med tillgängliga datorprogram osv. Därutöver är myndigheten skyldig att göra de sammanställningar som kan åstadkommas utan nämnvärda kostnader. De extra åtgärder som myndigheten måste vidta för att ta fram sådana sammanställningar som den normalt inte gör, kan alltid översättas i kostnader. Det kan ofta vara kostnader i form av den ordinarie personalens arbetstid omsatt i pengar, eller insatser av personer som är specialutbildade och t.ex. kan programmera. Kostnaderna kan också hänföra sig till inköp av kompletterande programvara. Var gränsen går för myndighetens skyldigheter har kommenterats ytterligare i den allmänna motiveringen, avsnitt 17.4. Däremot kan myndigheten inte räkna med kostnaden för den tid det tar att göra sekretessbedömningar av nya uppgiftskonstellationer.
Om myndigheten på begäran gör sammanställningar som går utöver vad som ryms inom nämnvärda kostnader, handlar det – precis som i dag – inte om uttag enligt 2 kap. TF utan om utlämnande av förädlade uppgifter. För sådant kan myndigheten givetvis ta betalt även i fortsättningen.
Allmänhetens rätt att skriva av m.m.
Inga förändringar har föreslagits när det gäller allmänhetens rätt att skriva av, avbilda eller spela av allmänna uppgifter.
Hinder på grund av sekretess
Kan en handling inte lämnas ut i sin helhet därför att det finns sekretessbelagda uppgifter i den, skall den – precis som enligt gällande rätt – tillhandahållas i övriga delar. En manuell handling kan då aldrig visas i original eftersom de sekretessbelagda uppgifterna måste döljas. När det gäller manuella handlingar torde det vanligaste vara att originalhandlingen kopieras sedan de sekretessbelagda uppgifterna har täckts över. Man kan givetvis förfara på samma sätt med handlingar som har elektroniskt form – dvs. först skriva ut dem på papper, sedan täcka över och kopiera. Beträffande elektroniska handlingar kan man alternativt utesluta uppgifterna redan i utskriften. Det är viktigt att det ändå framgår att uppgifterna finns där, men att de inte lämnas ut på grund av sekretessen. Motsvarande gäller för databaser, manuella respektive elektroniska. – När det gäller uppgifter som har elektronisk form finns det ett särskilt krav på myndigheten att hålla uppgifter som är sekretessbelagda åtskilda från sådana som är offentliga (se 15 kap. 9 § sekretesslagen).
Möjligheten att få ut delar av en handling i form av en avskrift torde inte längre fylla någon praktisk funktion och har därför inte tagits med i lagen. Det kan emellertid inte helt uteslutas att utlämnande kan ske även i den formen i vissa speciella fall.
Betydande hinder m.m.
Ingen förändring är avsedd när det gäller myndigheternas möjligheter att neka ett utlämnande av en handling med hänvisning till att det föreligger betydande hinder. Om myndigheten kan ta fram begärda uppgifter med hjälp av de tekniska hjälpmedel den har är den i princip skyldig att göra det, även om det i och för sig för med sig kostnader för myndigheten (jämför första stycket). Skulle det emellertid uppstå mycket stora kostnader, t.ex. därför att stora delar av verksamheten vid myndigheten måste stå still medan uppgifterna tas fram, får det anses föreligga sådana betydande hinder att myndigheten inte är skyldig att tillmötesgå begäran. Någonstans går det alltså en gräns även för vad myndigheten är skyldig att utföra med de hjälpmedel man faktiskt har.
Som framgår av kommentaren till 2 § behövs inte längre bestämmelsen i gällande 12 § sista meningen. En myndighet som har tekniska möjligheter att hämta allmänna uppgifter hos en annan myndighet är dock skyldig att hjälpa en enskild att hämta sådana uppgifter om det kan ske utan större kostnad eller olägenhet. Detta framgår av förslaget till 15 kap. 4 § tredje stycket sekretesslagen.
13 § 15 §
Den som önskar taga del av allmän handling har även rätt att mot fastställd avgift få avskrift eller kopia av handlingen till den del den får lämnas ut. Myndighet är dock ej skyldig att lämna ut upptagning för automatisk databehandling i annan form än utskrift. Ej heller föreligger skyldighet att framställa kopia av karta, ritning, bild eller annan i 3 § första stycket avsedd upptagning än som nyss har angivits, om svårighet möter och handlingen kan tillhandahållas på stället.
Den som begär det har även rätt att mot en fastställd avgift i utskrift, kopia eller elektronisk form få ut en handling eller uppgifter ur en databas, allt till den del uppgifterna får lämnas ut.
Myndigheten är dock inte skyldig att framställa kopior av kartor, ritningar, bilder eller andra liknande handlingar om det möter svårigheter och handlingen kan tillhandahållas på stället.
En myndighet är inte skyldig att tillhandahålla uppgifter i elektronisk form om det finns en särskild bestämmelse i lag eller annan författning som förbjuder detta eller om det möter betydande hinder. Datorprogram behöver aldrig tillhandahållas i elektronisk form.
Begäran att få avskrift eller kopia av allmän handling skall behandlas skyndsamt.
En begäran att få ut en allmän uppgift i någon av de angivna formerna skall behandlas skyndsamt.
___________________
Bestämmelsen reglerar den andra möjligheten som allmänheten har att få del av allmänna uppgifter. Det som karakteriserar utlämnande enligt bestämmelsen är att uppgifterna inte bara presenteras för den som begär det, utan att sökanden också får uppgifterna ”med sig” i en eller annan form. Man behöver inte heller besöka myndigheten för att få uppgifterna utan man kan framställa sin begäran t.ex. via telefon, fax eller brev. Bestämmelsen har kommenterats i den allmänna motiveringen, avsnitt 18.6.
Elektroniskt utlämnande
Den avgörande skillnaden mot vad som gäller i dag är att myndigheterna i princip blir skyldiga att lämna ut uppgifter även i elektronisk form. Handlingar och andra uppgiftssammanställningar skall således lämnas ut t.ex. på en diskett eller via e-post. Såsom utvecklats i den allmänna motiveringen (se avsnitt 18.6.3) är denna skyldighet för myndigheterna inte absolut, utan den är beroende av vilka möjligheter myndigheten faktiskt har. Detta framgår av bestämmelsen i tredje stycket om att elektroniskt utlämnande inte behöver ske om det möter betydande hinder.
Med elektroniskt utlämnande avses inte offentliggörande av uppgifter via allmänt tillgängliga nät, t.ex. Internet. Myndigheten kan inte neka en begäran att få allmänna uppgifter med hänvisning till att uppgifterna finns allmänt tillgängliga där. Å andra sidan innebär bestämmelsen inte att myndigheterna skulle vara skyldiga att låta allmänheten koppla upp sig mot någon dator hos myndigheten för att t.ex. kunna titta på myndighetens presentationsterminal hemifrån. Precis som tidigare krävs det en uttrycklig begäran från den enskilde för att allmänna uppgifter skall lämnas ut. Över huvud taget bör elektroniskt utlämnande så långt som möjligt jämställas med traditionellt utlämnande på papper.
Det är den enskildes begäran som skall avgöra om uppgifterna skall lämnas ut på papper eller i elektronisk form. Situationen är alltså den omvända mot den när uppgifter presenteras för den enskilde på stället – då avgör myndigheten hur presentationen skall ske. Om myndigheten inte lämnar ut uppgifterna i den form som den enskilde har begärt, skall myndigheten fatta ett överklagbart beslut. Motsvarande förfarande skall således tillämpas som när myndigheten beslutar att över huvud taget inte lämna ut uppgifter.
Även om en myndighet i princip bifaller en begäran om att lämna ut uppgifter i elektronisk form, är detta ointressant för den enskilde om ut-
lämnandet sker på ett sådant sätt att han eller hon inte kan ta emot uppgifterna eller få fram dem i läsbart skick. I den mån myndigheten kan tillmötesgå en enskilds önskemål om fysiskt eller logiskt format skall den göra det. Med fysiskt format avses medlet för utlämnande, t.ex. en begäran att få uppgifterna på diskett eller band, via e-post eller direkt på en hårddisk. Ett önskemål om logiskt format kan t.ex. utgöras av en begäran att få uppgifterna som en fil i ett visst ordbehandlingsprogram eller att få dem organiserade på ett sätt som gör det möjligt för den enskilde att återanvända dem. Detta förutsätter att den enskilde har preciserat sin begäran så att myndigheten har fått klart för sig i vilken form uppgifterna önskas. I det sammanhanget framstår det som naturligt att myndigheten efter en oklar begäran tar kontakt med den enskilde för att få kompletterande upplysningar. Kan den enskilde inte precisera sin begäran återstår för myndigheten att skicka uppgifterna i det format som den själv väljer.
Om myndigheten inte tillgodoser en begäran att få uppgifterna i ett visst fysiskt eller logiskt format skall situationen jämställas med att myndigheten har vägrat lämna ut uppgifterna. Detta innebär bl.a. att myndigheten i princip skall fatta ett överklagbart beslut (se även 17 §). En grundförutsättning för att uppgifter skall kunna lämnas ut i elektronisk form är att myndigheten har dem i den formen (se den allmänna motiveringen avsnitt 18.6.2). Det kan inte krävas att myndigheten skannar in pappersdokument för att ge dem elektronisk form. Utgångspunkten är i stället, att det uteslutande är sådana uppgifter som myndigheten redan har i elektronisk form som omfattas av skyldigheten att också lämna ut i elektronisk form. Denna förutsättning kan tänkas innebära en begränsning, framför allt vad gäller handlingar som kräver undertecknande. Så länge myndigheten inte har funktioner för digitala låsningar av handlingar är handlingen inte komplett, om den inte har en manuell underskrift. Det som har elektronisk form och finns i ord- och textbehandlingsprogrammet är bara utkast. Om allmänheten begär att få ett beslut eller en dom via e-post, skulle myndigheten tvingas att hänvisa till en papperskopia av handlingen. Motsvarande problem finns emellertid redan i dag med utlämnande via fax. Faxutskriften utgör inget annat än en ovidimerad kopia. Den utgör i själva verket inte heller någon korrekt utlämnandeform – man kan inte garantera att den inte är manipulerad. Att utlämnandeformen ändå används får närmast sägas bygga på en överenskommelse mellan myndigheten och den som begär handlingen. På motsvarande sätt kan den enskilde godta ett utlämnande som inte är helt korrekt – namnteckningen saknas. Så länge de elektroniska uppgifterna bara är utkast kan man emellertid inte kräva att de skall beva-
ras hos myndigheten i den formen (ibland finns det till och med gallringsregler som gör att de elektroniska uppgifterna skall plockas bort inom en kortare tid, se t.ex. 5 § förordning [1986:104] om registerföring vid allmänna domstolar med hjälp av automatisk databehandling). Utlämnande av sådana uppgiftssammanställningar som inte kräver undertecknande bör i större utsträckning kunna ske elektroniskt.
Om den enskilde begär att få uppgifterna i elektronisk form bör en begäran att få dem i visst format tillgodoses i den mån det är möjligt (se förslaget till 15 kap. 4 § 2 st sekretesslagen). Myndigheterna bör av säkerhetsskäl inte vara skyldiga att använda t.ex. disketter som den enskilde tillhandahåller.
Myndigheternas rätt att ta betalt för utlämnande har behandlats i den allmänna motiveringen, avsnitt 18.7.
Vissa kopior
Förslaget innebär inga sakliga ändringar när det gäller myndigheternas rätt att i vissa fall vägra att framställa kopior av kartor, ritningar eller bilder. I princip är det bara handlingar som inte har digital form som kan bli föremål för kopiering (man talar t.ex. inte om original eller kopior av elektroniska handlingar). Typexempel på sådana svårkopierade handlingar är kartor, ritningar och bilder. Även andra handlingar kan vara svåra att kopiera, t.ex. videoband (som kräver två videoapparater) eller långa EKGremsor. I dessa fall kan allmänheten hänvisas till att ta del av handlingen på stället.
Förbud mot elektroniskt utlämnande
Om det finns en bestämmelse som förbjuder myndigheten att lämna ut uppgifter i elektronisk form inskränker detta i motsvarande mån allmänhetens möjligheter att få ut uppgifter i den formen. Sådana bestämmelser kan finnas i registerförfattningar, och syftet med dem är – precis som när det gäller bestämmelser om sökbegränsningar – att skydda enskildas personliga integritet. Bestämmelsen har kommenterats i den allmänna motiveringen i samband med frågan om massuttag (se avsnitt 18.6.5), men det kan naturligtvis också förekomma fall där enstaka utlämnande av uppgifter i elektronisk form kan vara integritetskränkande. Det kan således finnas bestämmelser som direkt förbjuder myndigheterna att lämna ut uppgifter i elektronisk form, se t.ex. 11 § lagen (1990:1536) om folkbokföringsregis-
ter. Den särskilda bestämmelsen om utlämnande av datorprogram har kommenterats i den allmänna motiveringen (se avsnitt 20.3.2).
I den allmänna motiveringen har även diskuterats tillämpningen av sekretessbestämmelsen i 7 kap. 16 § sekretesslagen (se avsnitt 18.6.5), som innebär att personuppgifter som har elektronisk form skall sekretessbeläggas just för att de har elektronisk form, om man kan anta att de används i strid mot persondatalagen.
Betydande hinder
Om myndigheten saknar möjlighet att lämna ut uppgifter i elektronisk form föreligger helt klart betydande hinder. Kan myndigheten inte tillgodose en begäran om att få uppgifterna i en viss form för att den enskilde skall kunna ta emot dem, föreligger också betydande hinder.
Skyndsam handläggning
Kravet på skyndsam handläggning är detsamma som tidigare.
14 § 16 §
Begäran att få taga del av allmän handling göres hos myndighet som förvarar handlingen.
En begäran att få ta del av en allmän uppgift skall göras hos den myndighet som har uppgiften i sitt förvar.
Begäran prövas av myndighet som angives i första stycket. Om särskilda skäl föranleda det, får dock i bestämmelse som avses i 2 § andra stycket föreskrivas att prövningen vid tillämpningen av bestämmelsen skall ankomma på annan myndighet. I fråga om handling som är av synnerlig betydelse för rikets säkerhet kan även genom förordning föreskrivas att endast viss myndighet får pröva frågan om utlämnande. I de nu nämnda fallen skall begäran om utlämnande genast hänskjutas till behörig myndighet.
Begäran skall prövas av den myndighet som anges i första stycket. Om det finns särskilda skäl får det dock föreskrivas i en bestämmelse som avses i 3 § andra stycket att prövningen vid tillämpningen av bestämmelsen skall ankomma på en annan myndighet. I fråga om en handling eller en databas som är av synnerlig betydelse för rikets säkerhet kan även genom förordning föreskrivas att endast en viss myndighet får pröva frågan om utlämnande. I de nu nämnda fallen skall en begäran om utlämnande genast hänskjutas till behörig myndighet.
Myndighet får inte på grund av att någon begär att få taga del av allmän handling efterforska vem han är eller vilket syfte han har med sin begäran i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att handlingen lämnas ut.
En myndighet får inte på grund av att någon begär att få ta del av en allmän uppgift efterforska vem han är eller vilket syfte han har med sin begäran i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att uppgiften lämnas ut.
___________________
Förslaget till ny lydelse av bestämmelsen är föranlett av den nya begreppsapparaten och är inte ämnat att innebära någon saklig förändring.
15 § 17 §
Om annan än riksdagen eller regeringen avslår begäran att få taga del av handling eller lämnar ut allmän handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller eljest förfoga över den, får sökanden föra talan mot beslutet. Talan mot beslut av statsråd skall föras hos regeringen och talan mot beslut av annan myndighet hos domstol.
Om någon annan än riksdagen eller regeringen avslår en begäran att få ta del av en allmän uppgift eller lämnar ut den med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, får sökanden föra talan mot beslutet. Detsamma gäller om en begäran att få ut uppgifter i en viss form har avslagits. Talan mot beslut av statsråd skall föras hos regeringen och talan mot beslut av annan myndighet hos domstol.
I den i 2 § omnämnda lagen skall närmare angivas hur talan mot beslut som avses i första stycket skall föras. Sådan talan skall alltid prövas skyndsamt.
I den i 3 § omnämnda lagen skall närmare anges hur talan mot beslut som avses i första stycket skall föras. Sådan talan skall alltid prövas skyndsamt.
Angående rätt att föra talan mot beslut av myndighet som lyder under riksdagen är särskilt föreskrivet.
Angående rätt att föra talan mot beslut av en myndighet som lyder under riksdagen är särskilt föreskrivet.
___________________
Som tidigare anförts bör den som begär att få uppgifter i elektronisk form kunna överklaga ett beslut om att uppgifterna inte skall lämnas i den formen. Förfarandet bör vara detsamma som när en myndighet vägrar att lämna ut uppgifter över huvud taget.
Bestämmelsen om överklagande gäller även när myndigheten vägrar att tillgodose en begäran om att få ut uppgifterna i ett visst fysiskt eller logiskt format (se kommentaren till 15 §).
16 § 18 §
Anteckning om hinder att lämna ut allmän handling får göras endast på handling som omfattas av bestämmelse som avses i 2 § andra stycket. Härvid skall tillämplig bestämmelse angivas.
En markering om att det finns hinder att lämna ut en allmän uppgift får göras endast i anslutning till en sådan uppgift i en handling eller databas som omfattas av en bestämmelse som avses i 3 § andra stycket. Härvid skall tillämplig bestämmelse anges.
___________________
Förslaget till ny lydelse av bestämmelsen är i huvudsak föranlett av den nya begreppsapparaten och är inte ämnat att innebära någon saklig förändring. Eftersom sekretessen med den nya begreppsapparaten knyts direkt till uppgiften i stället för handlingen är det mera naturligt att tala om att det finns en ”markering” om sekretess än en ”anteckning”. När det gäller uppgifter som har elektronisk form är det vidare inte alls säkert att sekretessvarningen har formen av en anteckning utan uppgiften kan vara urskiljbar på annat sätt. Se även kommentaren till 15 kap. 3 § sekretesslagen.
17 § 19 §
I lag får föreskrivas att regeringen eller beslutande kommunal församling får besluta att allmänna handlingar som hänför sig till myndighets verksamhet, vilken skall övertas av enskilt organ, får överlämnas till det organet för förvaring, om detta behöver handlingarna i verksamheten, utan att handlingarna därigenom upphör att vara allmänna. Ett sådant organ skall i fråga om överlämnade handlingar jämställas med myndighet vid tillämpningen av 12–16 §§.
I lag får föreskrivas att regeringen eller beslutande kommunal församling får besluta att allmänna uppgifter som hänför sig till en myndighets verksamhet, som skall övertas av ett enskilt organ, får överlämnas till det organet för förvaring, om detta behöver uppgifterna i verksamheten, utan att dessa därigenom upphör att vara allmänna. Ett sådant organ skall i fråga om överlämnade uppgifter jämställas med en myndighet vid tillämpningen av 13– 18 §§.
___________________
Förslaget till ny lydelse av bestämmelsen är föranlett av den nya begreppsapparaten och är inte ämnat att innebära någon saklig förändring.
20 §
Grundläggande bestämmelser om bevarande och gallring av allmänna uppgifter och om överlämnande av handlingar och databaser till arkivmyndighet eller annan myndighet finns i lag.
___________________
Det har tidigare inte funnits någon upplysning i 2 kap. TF om arkivering av handlingar. Emellertid är det av mycket stor betydelse för offentlighetsprincipen att allmänna uppgifter bevaras även efter det att myndigheterna har skilt ärenden osv. ifrån sig. Vidare är det av stort intresse vad som händer med uppgifterna när handlingar och databaser överlämnas till arkivmyndigheter eller andra myndigheter som av någon anledning skall överta dem. Den föreslagna bestämmelsen innehåller en upplysning om att det finns särskilda bestämmelser som reglerar dessa frågor. Bestämmelsen är uteslutande av informationskaraktär och innebär inga sakliga nyheter. Den har kommenterats i den allmänna motiveringen, avsnitt 22.1.2.1.
Övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 1999.
2. Bestämmelsen i 2 kap. 4 § nya lydelsen tillämpas även när myndighetens rätt att söka efter eller sammanställa uppgifter begränsats genom ett beslut som avses i 2 kap. 3 § andra stycket andra meningen äldre lydelsen och som meddelats före ikraftträdandet, dock längst till utgången av september 2001. ___________________
Ikraftträdande m.m.
De nya reglerna i 2 kap. TF bör kunna träda i kraft omedelbart den 1 januari 1999 utan att det uppstår några större övergångsfrågor. Vissa handlingar som enligt den gällande tillgänglighetsprincipen är allmänna även hos andra myndigheter än vid vilka de förvaras blir visserligen däref-
ter i formell mening kanske inte offentliga vid samtliga dessa myndigheter, men problemet torde i första hand vara av teoretiskt slag. Även bestämmelserna om elektroniskt utlämnande av allmänna uppgifter bör kunna tillämpas direkt på befintliga uppgifter eftersom myndigheternas skyldigheter i detta avseende är i hög grad anpassade efter deras faktiska möjligheter.
Bestämmelsen i gällande 3 § andra stycket andra meningen om att sådana upptagningar i personregister som inte får tas fram – på grund av någon bestämmelse eller särskilt beslut – inte är allmänna har i huvudsak ersatts av den föreslagna 4 §. Enligt denna krävs det dock att begränsningen finns i lag eller annan författning. Det räcker alltså inte med ett sådant beslut som enligt den gällande datalagen (6 §) får fattas av Datainspektionen. I samband med att det sker översyn av de bestämmelser som reglerar myndigheternas personuppgiftsbehandling är det lämpligt att sådana beslut ersätts med författningsbestämmelser. Under en övergångsperiod, tills detta har skett, är det lämpligt att de gamla besluten får gälla.
c) Regeringsformen
Förutom den ändring i 8 kap. 7 § RF som kommenteras nedan föreslår vi ändringar i 2 kap. 1 § och 8 kap. 18 § RF. De sistnämnda ändringarna är uteslutande föranledda av förslaget till ny begreppsapparat i 2 kap. TF och innebär inte några sakliga förändringar. Vilka dessa ändringar är framgår av författningsförslaget och de har kommenterats i den allmänna motiveringen, avsnitt 16.1.5. Ordet handling förekommer dessutom i 12 kap. 1, 6 och 7 §§ men det har där inte någon anknytning till handlingsbegreppet i 2 kap. TF.
8 kap.
7 §
Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag genom förordning meddela föreskrifter om annat än skatt, om föreskrifterna avser något av följande ämnen:
1. skydd för liv, personlig säkerhet eller hälsa,
2. utlännings vistelse i riket,
3. in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverk-
ning, kommunikationer, kreditgivning, näringsverksamhet, ransonering, återanvändning och återvinning av material, utformning av byggnader, anläggningar eller tillståndsplikt i fråga om åtgärder med byggnader och anläggningar,
4. jakt, fiske, djurskydd eller natur- och miljövård,
5. trafik eller ordningen på allmän plats,
6. undervisning och utbildning,
7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under
utövande av tjänsteplikt,
8. skydd för personlig integritet vid
registrering av uppgifter med hjälp av automatisk databehandling.
8. skydd för personlig integritet vid
behandling av personuppgifter.
Bemyndigande som avses i första stycket medför ej rätt att meddela föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag, som
innehåller bemyndigande med stöd av första stycket, föreskriva även annan rättsverkan än böter för överträdelse av föreskrift som regeringen meddelar med stöd av bemyndigandet. ___________________
Den föreslagna ändringen i första stycket punkt 8 innebär att regeringen och Datainspektionen kan ges behörighet att meddela föreskrifter på hela det område som omfattas av den föreslagna persondatalagen, dvs. avseende även skydd för personlig integritet vid viss icke automatisk behandling av personuppgifter. Den föreslagna ändringen har berörts i avsnitt 12.1.2.
Ändringen i 5 kap. 3 § YGL är uteslutande föranledd av förslaget till ny begreppsapparat i 2 kap. TF och innebär inte någon saklig förändring. Den framgår av författningsförslaget och har kommenterats i den allmänna motiveringen, avsnitt 16.1.5.
Som angetts i den allmänna motiveringen (se avsnitt 22.2) föranleder förslaget till ny begreppsapparat ändringar av redaktionellt slag i ett flertal bestämmelser i sekretesslagen. Dessa ändringar tas emellertid inte upp i författningskommentaren utan framgår endast av författningsförslaget. Kommentaren nedan omfattar uteslutande sådana bestämmelser som föreslås bli ändrade i sak, dock redovisas samtliga bestämmelser i 15 kap. sekretesslagen.
7 kap.
16 §
Sekretess gäller för personuppgift i personregister som avses i datalagen (1973:289), om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen.
Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med persondatalagen (1998:000).
Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlandet och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgiften skall användas för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter. ___________________
Den föreslagna ändringen i första stycket innebär att sekretessbestämmelsen samordnas med bestämmelserna i den föreslagna persondatalagen.
Det föreslås vidare att andra stycket upphävs. I den föreslagna persondatalagen finns bestämmelser om förutsättningarna för överföring av personuppgifter till tredje land som gäller även för myndigheter. Bestämmelserna har berörts i avsnitt 12.11. Redan det föreslagna första stycket i denna paragraf medför att sekretess gäller om ett utlämnande av personuppgifter till tredje land skulle stå i strid med de nämnda bestämmelserna i den föreslagna persondatalagen. Andra stycket i paragrafen behövs således inte längre.
9 kap.
6 §
Sekretess gäller hos datainspektionen i ärende om tillstånd eller tillsyn, som enligt lag ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till regeringen eller justitiekanslern, gäller sekretessen också där.
Sekretess gäller hos Datainspektionen i ärende om tillstånd eller tillsyn, som enligt lag eller annan författning ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till
Justitiekanslern, gäller sekretessen också där.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.
I fråga om allmän uppgift gäller sekretessen i högst sjuttio år.
___________________
I första stycket föreslås två ändringar i sak.
Den första föreslagna ändringen – varigenom ordet lag byts ut mot orden lag eller annan författning – innebär att det även i förordning kan anges vilken tillsyn som ankommer på Datainspektionen. Bakgrunden är att vi föreslår att de bestämmelser om Datainspektionens uppgifter avseende persondataskyddet som inte bör ha lagform skall tas in i en av regeringen utfärdad förordning, se avsnitt 12.14.1.3.
Den andra föreslagna ändringen innebär att bestämmelsen om överföring av nu aktuell sekretess till regeringen har tagits bort. Anledningen till detta är att ärenden som avses i denna paragraf enligt vårt förslag inte i något fall skall överklagas till regeringen, se avsnitt 12.14.2. Då behövs inte längre någon bestämmelse om överföring av sekretess till regeringen; för uppgifter i ärenden som avgjorts av Datainspektionen genom beslut före ikraftträdandet och som överklagats till regeringen enligt den gamla ord-
ningen föreslås en särskild övergångsbestämmelse om att de äldre reglerna fortfarande skall tillämpas. Bestämmelsen om överföring av sekretess till Justitiekanslern har däremot behållits trots att vi föreslår att han inte längre skall få överklaga Datainspektionens beslut enligt den föreslagna persondatalagen, eftersom Justitiekanslern enligt annan lagstiftning kan överklaga Datainspektionens beslut i ärenden som avses i denna paragraf.
Det bör nämnas att bestämmelser som motsvarar de bestämmelser som finns i denna paragraf, såvitt avser persondataskyddet, skall finnas enligt artikel 28.7 i EG-direktivet, se avsnitt 12.14.1. Paragrafen bör således i fortsättningen vid behov tolkas EG-konformt.
Ändringen i andra stycket, varigenom uttrycket ”uppgift i allmän handling” byts ut mot ”allmän uppgift”, är bara redaktionell och föranledd av förslagen till ändring av 2 kap. TF.
15 kap.
Bestämmelser om registrering och utlämnande av allmänna
handlingar m.m.
Bestämmelser om registrering och utlämnande av allmänna
uppgifter m.m.
Allmänna bestämmelser Registrering av handlingar med allmänna uppgifter
1 §
När allmän handling har kommit in till eller upprättats hos myndighet skall handlingen registreras utan dröjsmål, om det inte är uppenbart att den är av ringa betydelse för myndighetens verksamhet. I fråga om allmänna handlingar, för vilka sekretess inte gäller, får dock registrering underlåtas om handlingarna hålls så ordnade att det utan svårighet kan fastställas om handling har kommit in eller upprättats.
När en handling med allmänna uppgifter har kommit in till eller upprättats hos en myndighet skall handlingen registreras utan dröjsmål, om det inte är uppenbart att den är av ringa betydelse för myndighetens verksamhet. I fråga om handlingar med allmänna uppgifter, för vilka sekretess inte gäller, får dock registrering underlåtas om handlingarna hålls så ordnade att det utan svårighet kan fastställas om handling har kommit in eller upprättats.
Om särskilda skäl föreligger får regeringen föreskriva undantag från registreringsskyldighet enligt första stycket i fråga om handlingar av visst slag som hos myndighet förekommer i betydande omfattning.
I 13 § finns bestämmelser om undantag från registreringsskyldigheten i fråga om vissa upptagningar för automatisk databehandling. ___________________
Registreringsskyldigheten har kommenterats i den allmänna motiveringen, avsnitt (21.4.2). Som nämns där får den nya innebörden av begreppet handling i viss mån betydelse för registreringsskyldigheten. Den nya definitionen av begreppet handling finns kommenterad i avsnitt 16.1.4.2.
Hänvisningen i tredje stycket blir överflödig eftersom förslaget innebär att 13 § kan tas bort.
2 §
Beträffande handling som registrerats enligt 1 § skall av registret framgå
1. datum, då handlingen kom in eller upprättades,
2. diarienummer eller annan beteckning som har åsatts handlingen,
3. i förekommande fall från vem handlingen har kommit in eller till vem
den har expedierats,
4. i korthet vad handlingen rör.
Vid registrering skall dock uppgift enligt första stycket 3 eller 4 utelämnas eller särskiljas om det behövs för att registret i övriga delar skall kunna företes för allmänheten.
Vid registrering skall dock uppgift enligt första stycket 3 eller 4 utelämnas eller särskiljas om det behövs för att registret i övriga delar skall kunna visas för allmänheten.
Regeringen får beträffande visst register föreskriva att föreskriften i andra stycket inte skall tillämpas, om denna annars skulle omfatta flertalet i registret upptagna handlingar.
Hemligstämpling
3 §
Kan det antas att hinder mot utlämnande av uppgift i allmän handling föreligger enligt sekretessbestämmelse i denna lag eller annan författning, får myndighet utmärka detta genom särskild anteckning. Sådan anteckning skall innehålla beteckningen hemlig samt ange tillämplig bestämmelse, dagen för anteckningen och den myndighet, som har låtit göra den.
Kan det antas att hinder mot utlämnande av allmän uppgift föreligger enligt någon sekretessbestämmelse i denna lag eller annan författning, får myndigheten markera detta särskilt. En sådan markering skall innehålla beteckningen hemlig samt ange tillämplig bestämmelse, dagen för markeringen och den myndighet, som har låtit göra den.
Har genom förordning meddelats föreskrift att fråga om utlämnande till enskild av allmän handling, som är av synnerlig betydelse för rikets säkerhet, får prövas endast av viss myndighet, skall handling som avses med sådan föreskrift så snart det kan ske förses med anteckning enligt första stycket. Anteckningen skall innehålla uppgift om vilken myndighet som är behörig att pröva fråga om utlämnande.
Har genom förordning meddelats föreskrift att fråga om utlämnande till enskild av allmän uppgift, som är av synnerlig betydelse för rikets säkerhet, får prövas endast av en viss myndighet, skall handling eller databas som innehåller sådana uppgifter så snart det kan ske förses med markering enligt första stycket. Markeringen skall innehålla uppgift om vilken myndighet som är behörig att pröva frågan om utlämnande.
___________________
Den föreslagna nya begreppsapparaten medför att sekretessmarkeringen (hemligstämplingen) inte längre knyts till den handling i vilken uppgiften förekommer utan direkt till uppgiften. Detta innebär ingen förändring i sak.
Redan nu förekommer det funktioner för hemligstämpling av uppgifter som har elektronisk form (jämför JO 1987/88 s. 195 och 1990/91 s. 387). Det får förutsättas att det går att utveckla teknik som gör det möjligt för myndigheterna att markera sekretessbelagda uppgifter på motsvarande sätt i digitala informationssystem som man nu gör med en stämpel. Man kan
inte bara utelämna sekretessbelagda uppgifter, utan de upplysningar som enligt bestämmelsen skall finnas i sekretessmarkeringen måste vara med.
Myndigheternas serviceskyldighet
4 §
Myndighet skall på begäran av enskild lämna uppgift ur allmän handling som förvaras hos myndigheten i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.
En myndighet skall, utöver vad som följer av 2 kap. 14 och 15 §§ tryckfrihetsförordningen, på begäran av enskild lämna allmänna uppgifter ur handlingar och databaser hos myndigheten i den mån hinder inte möter på grund av någon sekretessbestämmelse eller av hänsyn till arbetets behöriga gång.
Bestämmelser om tillhandahållande av allmän handling finns i 2 kap. 12 §tryckfrihetsförordningen.
Om en enskild begär att få allmänna uppgifter i elektronisk form skall myndigheten lämna de upplysningar och den hjälp som den enskilde behöver, under förutsättning att det kan ske utan olägenhet.
En myndighet som med tekniska hjälpmedel kan tillhandahålla allmänna uppgifter som finns i en annan myndighets förvar skall hjälpa den enskilde att ta del av dessa uppgifter. Detta gäller inte om uppgifterna är tillgängliga för allmänheten via allmänt nät eller liknande, eller om det skulle orsaka myndigheten påtagliga olägenheter att tillgodose en sådan begäran.
___________________
Uppgiftslämnande utöver TF
Den föreslagna regelns första stycke motsvarar den gällande bestämmelsens första och andra stycke. Den nya lydelsen motiveras främst av den nya
begreppsapparaten. Genom att redan i inledningen av bestämmelsen hänvisa till 2 kap. 14 och 15 §§ TF markeras att det handlar om uppgiftsutlämnande som går utöver den grundlagsfästa rätten att ta del av allmänna uppgifter, antingen presenterade hos myndigheten eller som utskrift eller kopia eller i elektronisk form.
Eftersom uppgiftsbegreppet blir det grundläggande i 2 kap. TF föranleder bestämmelsen i 4 § dock ytterligare några kommentarer. Utgångspunkten är att uppgifter ur handlingar skall lämnas ut genom att handlingen tillhandahålls (förslaget till 2 kap. 14 § 1 st. 1 TF). Regeln är i stort sett identisk med den gällande. Uppgifter i databaser skall enligt förslaget till 2 kap. 14 § första stycket 2 TF tas fram på det sätt som är möjligt med myndighetens tekniska hjälpmedel eller på annat sätt som inte orsakar några nämnvärda kostnader. Vad är det för skillnad mellan att begära en uppgift ur en databas å ena sidan enligt 2 kap. 14 § första stycket 2 TF och å andra sidan enligt 15 kap. 4 § sekretesslagen? Även ett lämnande av en uppgift enligt sekretesslagen förutsätter att myndigheten har möjlighet (tekniskt eller på annat sätt) att ta fram den. Skillnaden ligger i sättet för uppgiftslämnande. Det är bara vissa utlämnandeformer som har grundlagsskydd; presentation hos myndigheten eller någon av de i 2 kap. 15 § TF angivna formerna. Utanför skyldigheten enligt TF faller t.ex. uppgiftslämnande via telefon eller lämnande av uppgifter som förutsätter att tjänstemannen läser igenom en mängd uppgifter och kanske skriver ner vissa av dem.
Om en myndighet inte tillmötesgår en begäran om uppgifter enligt 4 § kan den enskilde inte överklaga detta. Samma sak gäller i dag.
Myndigheten skall underlätta
I den mån en myndighet utan betydande hinder kan tillgodose en enskilds begäran att få uppgifter i en viss elektronisk form, skall den göra det. Detta framgår av 2 kap. 15 § TF. För ett utlämnande enligt TF måste det i grunden finnas en preciserad begäran från den enskilde. Bestämmelsen här i sekretesslagen syftar till att ytterligare underlätta för den enskilde att få ut uppgifter i elektronisk form. För att uppgifter skall kunna överföras elektroniskt krävs det ett visst mått av samarbete mellan den avlämnande och den mottagande parten. Det underlättar naturligtvis för den enskilde om han eller hon kan få uppgifter om vilka programvaror och övriga tekniska hjälpmedel som myndigheten har. Därför bör det ingå i myndighetens all-
männa serviceskyldighet att lämna upplysningar om sådant och i övrigt underlätta för en enskild att få ut uppgifter i elektronisk form.
Uppgifter från andra myndigheter
I den mån myndigheterna kan, bör de bistå en enskild med att hämta uppgifter även från andra myndigheter. Bestämmelsen i tredje stycket har kommenterats i den allmänna motiveringen, se avsnitt 18.5.2. Regeln syftar på fall där en myndighet med tekniska hjälpmedel kan nå en annan myndighets uppgifter, t.ex. via en terminaluppkoppling, utan att uppgifterna för den skull har tillförts myndighetens uppgiftssamlingar. Uppgifterna anses enligt förslaget inte förvarade även hos den myndigheten, vilket de enligt gällande rätt gör. För att inte allmänhetens möjligheter att få tag i allmänna uppgifter skall bli sämre åläggs därför myndigheterna att, i den mån det kan ske utan påtaglig olägenhet, hjälpa allmänheten. Man bör undvika att allmänheten hänvisas till en annan myndighet om det inte behövs. Framför allt handlar det om fall där den enskilde på stället vill ta del av uppgifter. I den mån den myndighet som den enskilde besöker kan presentera uppgifterna skall den göra det. Att en myndighet på detta sätt hjälper till med presentation av uppgifter medför, som anförts i den allmänna motiveringen, inte att uppgifterna därigenom skall anses inkomna till den myndigheten. Den presenterande myndigheten utgör i stället en ”förlängd arm” åt den myndighet som förvarar uppgifterna.
Sekretessbedömningen skall göras av den myndighet som förvarar uppgifterna. Om uppgifterna har gjorts tillgängliga (dvs. möjliga att hämta) även för en annan myndighet måste man utgå ifrån att sekretessfrågan redan är avgjord myndigheterna emellan, men när en enskild begär att få se uppgifterna – via den andra myndigheten – måste en sekretessprövning ske som vanligt. I sådana fall underlättar det naturligtvis om den förvarande myndigheten på motsvarande sätt har gjort en ”preliminär” sekretessbedömning på samma sätt som när myndigheten hos sig visar uppgifterna via en presentationsterminal. Skillnaden för den enskilde blir då bara att presentationsterminalen finns på ett annat ställe. Om uppgifterna är av sådant slag att de bör bli föremål för ”manuell” sekretessbedömning bör man överväga om de verkligen skall ligga fritt tillgängliga för den andra myndigheten.
En begäran att få uppgifterna på papper eller i elektronisk form skall som regel ställas direkt till den myndighet som förvarar uppgifterna.
Enbart på grund av att en myndighet har tekniska möjligheter att nå uppgifter hos en annan myndighet skall inte allmänheten kunna gå till vilken myndighet som helst för att ”surfa”. Undantagsbestämmelsen i styckets andra mening skär av sådant uppgiftslämnande. Samma sak gäller andra liknande möjligheter att nå uppgifter hos andra myndigheter t.ex. via en uppringd förbindelse (som exempel kan nämnas Rixlex eller Information Rosenbad). Här får andra samhällsfunktioner gripa in för att underlätta för allmänheten, t.ex. folkbiblioteken. Bestämmelsen innebär inte heller att en myndighet är skyldig att ställa sin elektroniska postfunktion till allmänhetens förfogande, t.ex. för att en enskild skall kunna framställa en begäran om att få ut allmänna uppgifter.
Det är inte meningen att denna serviceskyldighet skall orsaka myndigheten några större kostnader eller olägenheter. Myndigheten är inte enligt denna bestämmelse skyldig att skaffa ny teknisk utrustning eller i övrigt vidta åtgärder som går utöver vad myndigheten själv har nytta av. Det kan inte heller krävas att verksamheten vid myndigheten måste avstanna för att uppgifter skall kunna lämnas till allmänheten. Om det bara finns en förbindelse och denna är ”upptagen” får allmänheten vänta. Givetvis måste myndighetens tjänstemän lämna den hjälp som krävs för att uppgifterna skall kunna hämtas.
5 §
Myndighet skall på begäran av annan myndighet lämna uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. ___________________
Myndigheter har en mer vidsträckt skyldighet att lämna uppgifter till varandra än till allmänheten. Uppgiftsskyldigheten omfattar nämligen alla uppgifter som den ”förfogar” över, således även uppgifter som inte är allmänna. Vårt förslag till ny begreppsapparat är inte ämnat att innebära någon förändring i detta avseende.
Prövning av begäran om utlämnande
6 §
Av 2 kap. 14 § andra stycket tryckfrihetsförordningen framgår att fråga om utlämnande av allmän handling till enskild prövas av den myndighet som förvarar handlingen, om det inte är föreskrivet att prövningen skall ankomma på annan myndighet.
Av 2 kap. 16 § andra stycket tryckfrihetsförordningen framgår att fråga om utlämnande av allmän uppgift till enskild prövas av den myndighet som har uppgiften i sitt förvar, om det inte är föreskrivet att prövningen skall ankomma på annan myndighet.
Svarar viss befattningshavare vid myndighet enligt arbetsordning eller särskilt beslut för vården av handling, ankommer det på honom att i första hand pröva fråga om handlingens utlämnande till enskild. I tveksamma fall skall han hänskjuta frågan till myndigheten, om det kan ske utan omgång. Vägrar han att lämna ut handling eller lämnar han ut handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, skall han, om sökanden begär det, hänskjuta frågan till myndigheten. Sökanden skall underrättas om att han kan begära detta och att beslut av myndigheten krävs för att ett avgörande skall kunna överklagas.
Svarar viss befattningshavare vid myndighet enligt arbetsordning eller särskilt beslut för vården av handling eller databas där uppgiften finns, ankommer det på honom att i första hand pröva fråga om uppgiftens utlämnande till enskild. I tveksamma fall skall han hänskjuta frågan till myndigheten, om det kan ske utan omgång. Vägrar han att lämna ut uppgift eller lämnar han ut uppgift med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, skall han, om sökanden begär det, hänskjuta frågan till myndigheten. Sökanden skall underrättas om att han kan begära detta och att beslut av myndigheten krävs för att ett avgörande skall kunna överklagas.
___________________
Förslaget till ny lydelse av bestämmelsen är föranlett av den nya begreppsapparaten och är inte ämnat att innebära någon saklig förändring.
Överklagande
7 §
Beslut varigenom myndighet har avslagit enskilds begäran att få ta del av handling eller lämnat ut allmän handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, får överklagas av sökanden. Om inte annat följer av andra–fjärde styckena, överklagas beslutet hos kammarrätten eller, såvitt gäller kammarrätts beslut i där väckt ärende, hos Regeringsrätten. Har beslutet meddelats av organ som avses i 1 kap. 8 § andra stycket eller 9 § tillämpas bestämmelserna i 23–25 §§ och 30 § första meningen förvaltningslagen (1986:223) om överklagande.
Beslut som avses i 2 kap. 17 § tryckfrihetsförordningen överklagas, om inte annat följer av andra– fjärde styckena, hos kammarrätten eller, såvitt gäller kammarrätts beslut i där väckt ärende, hos Regeringsrätten. Har beslutet meddelats av organ som avses i 1 kap. 8 § andra stycket eller 9 § tillämpas bestämmelserna i 23–25 §§ och 30 § första meningen förvaltningslagen (1986:223) om överklagande.
Har beslut som avses i första stycket meddelats av tingsrätt och rör det handling i domstols rättskipande eller rättsvårdande verksamhet, överklagas det hos hovrätten. Motsvarande beslut av hovrätt i där väckt eller dit överklagat ärende överklagas hos Högsta domstolen. Vid överklagande av tingsrätts eller hovrätts beslut til??lämpas i övrigt bestämmelserna i rättegångsbalken om överklagande av beslut.
Har beslut som avses i första stycket meddelats av tingsrätt och rör det uppgift i domstols rättskipande eller rättsvårdande verksamhet, överklagas det hos hovrätten. Motsvarande beslut av hovrätt i där väckt eller dit överklagat ärende överklagas hos Högsta domstolen. Vid överklagande av tingsrätts eller hovrätts beslut tillämpas i övrigt bestämmelserna i rättegångsbalken om överklagande av beslut.
Första och andra styckena gäller inte för beslut av riksdagen, regeringen, Högsta domstolen eller Regeringsrätten.
Att beslut av statsråd skall överklagas hos regeringen föreskrivs i 2 kap. 15 §tryckfrihetsförordningen.
Att beslut av statsråd skall överklagas hos regeringen föreskrivs i 2 kap. 17 §tryckfrihetsförordningen.
Angående rätt att överklaga beslut av myndighet som lyder under riksdagen är särskilt föreskrivet. ___________________
Regeln kompletterar bestämmelsen i 2 kap. TF (17 § i förslaget) om överklagande. I bestämmelsens inledning anges vilken typ av beslut som kan överklagas. Detta kommenteras nedan. Vi föreslår inga ändringar av de bestämmelser som anger till vem ett överklagande skall riktas.
I stället för att repetera vilka beslut som enligt 2 kap. TF kan överklagas, hänvisas i den föreslagna lydelsen direkt till den aktuella bestämmelsen i TF (17 §).
Det är bara beslut som innebär att en myndighet har antingen avslagit en enskilds begäran att få ta del av handling eller lämnat ut den med förbehåll som inskränker sökandens rätt att förfoga över handlingen som kan överklagas. Enligt gällande rätt kan man t.ex. inte överklaga ett beslut av en myndighet att inte lämna ut uppgifter ur allmänna handlingar enligt 15 kap. 4 § sekretesslagen.487 Det är med andra ord endast den rätt man har enligt TF som skyddas på detta sätt. Vårt förslag innebär att även sättet för utlämnande av uppgifter (på papper eller i elektronisk form) får detta skydd, se förslaget till 2 kap. 17 § TF. Sekretesslagen innehåller ytterligare ett fall där överklagande kan ske, se 10 §.
Den serviceskyldighet som åvilar myndigheterna enligt förslagets 4 § kan inte föranleda överklaganden.
487 Bohlin, Allmänna handlingar, s. 336–343.
8 §
Beslut varigenom myndighet har avslagit annan myndighets begäran att få ta del av handling eller på annat sätt få del av uppgift får överklagas i samma ordning som gäller i fråga om överklagande enligt 7 §. Överklagandet görs hos regeringen, om beslutet har meddelats av en statlig myndighet och överklagas av en annan statlig myndighet.
Beslut varigenom myndighet har avslagit en annan myndighets begäran att få ta del av uppgift får överklagas i samma ordning som gäller i fråga om överklagande enligt 7 §. Överklagandet görs hos regeringen, om beslutet har meddelats av en statlig myndighet och överklagas av en annan statlig myndighet.
Första stycket gäller inte för beslut av riksdagen, regeringen, Högsta domstolen eller Regeringsrätten.
Har i lag eller förordning meddelats bestämmelse som avviker från föreskrifterna i första stycket, gäller den bestämmelsen.
I fråga om beslut som har meddelats av myndighet som lyder under riksdagen är särskilt föreskrivet. ___________________
Precis som tidigare är en myndighets möjligheter att överklaga beslut av en annan myndighet att inte lämna ut uppgifter mer omfattande än allmänhetens. Informationsskyldigheten myndigheter emellan har i grunden inte något samband med offentlighetsprincipen (det finns inte heller några bestämmelser i 2 kap. TF som tar sikte på utlämnande av uppgifter myndigheter emellan). Även ett beslut att inte lämna ut uppgifter muntligt enligt 15 kap. 5 § sekretesslagen kan därför överklagas.
Särskilda bestämmelser om upptagningar för automatisk databehandling
En god offentlighetsstruktur
9 §
Myndighet som i sin verksamhet använder automatisk databehandling skall ordna denna med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar. Därvid skall myndigheten särskilt beakta
När en myndighet använder automatisk databehandling i sin verksamhet skall det ske med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna uppgifter. Därvid skall myndigheten särskilt beakta
1. att allmänna handlingar bör
hållas åtskilda från andra handlingar,
1. att allmänna uppgifter bör hållas
åtskilda från andra uppgifter,
2. att skyddet av sekretessbelagda
uppgifter i upptagningar som är allmänna handlingar bör vara sådant att insynen enligt tryckfrihetsförordningen inte försvåras,
2. att skyddet av allmänna uppgif-
ter som är sekretessbelagda bör vara sådant att insynen enligt tryckfrihetsförordningen inte försvåras,
3. att uppgifter i upptagningar som
är allmänna handlingar inte bör innehålla förkortningar, koder och liknande som kan försvåra för den enskilde att ta del av handlingen,
3. att allmänna uppgifter bör pre-
senteras i klartext,
4. att det bör framgå när uppgifter
tillförts en upptagning som är allmän handling och, om de ändrats eller gallrats, vid vilken tidpunkt detta skett.
4. att det bör framgå när allmänna
uppgifter har tillförts en databas och, om de har ändrats eller gallrats, vid vilken tidpunkt detta skett.
Myndigheten skall vidare ordna databehandlingen med beaktande av det intresse som enskilda kan ha att själva utnyttja terminal eller annat tekniskt hjälpmedel hos myndigheten för att ta del av allmänna handlingar.
Myndigheten skall vidare ordna databehandlingen med beaktande av det intresse som enskilda kan ha att själva utnyttja tekniska hjälpmedel för att ta del av allmänna uppgifter.
___________________
Förslaget till ny lydelse av bestämmelsen i första stycket är i huvudsak föranlett av den nya begreppsapparaten och är inte ämnat att innebära någon saklig förändring.
Bestämmelsen i andra stycket om att myndigheten skall underlätta för enskilda att själva utnyttja tekniska hjälpmedel för att ta del av allmänna uppgifter, tar enligt förslaget inte längre sikte bara på presentation av uppgifter hos myndigheten utan även annat utlämnande. Ändringen har kommenterats i den allmänna motiveringen, se avsnitt 18.3. När myndigheterna ordnar sina digitala informationssystem skall de enligt bestämmelsen t.ex. beakta möjligheten att skicka handlingar via e-post till allmänheten.
10 §
Myndighet skall på begäran bereda enskild tillfälle att själv använda terminal eller annat tekniskt hjälpmedel som myndigheten förfogar över för att ta del av upptagning för automatisk databehandling. Sådan skyldighet föreligger dock inte, om sökanden därigenom får tillgång till upptagning som inte anses som allmän handling hos myndigheten eller om hinder möter på grund av bestämmelse om sekretess, på grund av fara för förvanskning eller förstöring eller av hänsyn till arbetets behöriga gång.
Myndighet skall på begäran bereda enskild tillfälle att själv använda tekniska hjälpmedel som myndigheten förfogar över för att ta del av allmänna uppgifter. Myndigheten skall därvid lämna nödvändiga upplysningar om användningen. Sådan skyldighet föreligger dock inte, om sökanden därigenom får tillgång till uppgifter som inte är allmänna hos myndigheten eller om hinder möter på grund av bestämmelse om sekretess, på grund av fara för förvanskning eller förstöring eller av hänsyn till arbetets behöriga gång.
I fråga om beslut, varigenom myndighet har avslagit enskilds begäran enligt första stycket, tillämpas vad som är föreskrivet om överklagande av beslut som avses i 7 § första stycket. ___________________
Förslaget till ny lydelse av bestämmelsen är i huvudsak föranlett av den nya begreppsapparaten. För att myndighetens skyldighet att låta allmänheten använda dess tekniska utrustning inte skall framstå som illusorisk, föreslår vi att myndigheterna enligt en uttrycklig bestämmelse även skall vara skyldiga att lämna upplysningar om hur utrustningen används.
Dokumentationsskyldighet
11 §
Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av de register, förteckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling (ADB-register). Sådan skyldighet föreligger dock inte i fråga om ADB-register som inte till någon del anses som allmän handling hos myndigheten. Myndigheten är inte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar hos myndigheten.
Om en myndighet för handläggningen av ett mål eller ärende använder en uppgift i en databas skall uppgiften på lämpligt sätt tillföras målet eller ärendet.
Beskrivning som avses i första stycket skall ge upplysning om
1. ADB-registrets benämning,
2. ADB-registrets ändamål,
3. vilka typer av uppgifter i ADB-
registret som myndigheten har tillgång till och på vilket sätt dessa uppgifter normalt inhämtas,
4. hos vilka andra myndigheter
ADB-registret är tillgängligt för överföring till läsbar form,
5. vilka terminaler eller andra
tekniska hjälpmedel som enskild själv kan få utnyttja hos myndigheten,
6. vilka bestämmelser om sekre-
tess som myndigheten vanligen skall tillämpa på uppgifter i ADB-registret,
7. vem som hos myndigheten kan
lämna närmare upplysningar om ADB-registret och dess användning i myndighetens verksamhet,
8. rätt till försäljning av person-
uppgifter i personregister som avses i datalagen (1973:289) .
I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om det behövs för att beskrivningen i övriga delar skall kunna företes för allmänheten. ___________________
Borttagandet av bestämmelsen i 11 § om myndigheternas skyldighet att hålla registerbeskrivningar tillgängliga har kommenterats i den allmänna motiveringen, se avsnitt 21.4.2.4.
Bestämmelsen om myndigheternas skyldighet att bevara uppgifter som har använts för handläggning av mål eller ärende flyttas enligt förslaget hit från datalagen (se allmänna motiveringen avsnitt 13.2). Regeln har kommenterats i den allmänna motiveringen, se avsnitt 21.4.3.
Systemdokumentation
12 §
Myndighet skall på begäran av enskild lämna de särskilda upplysningar som den enskilde behöver för att kunna ta del av upptagningar för automatisk databehandling som anses som allmänna handlingar hos myndigheten. Sådan skyldighet föreligger dock inte i den mån hinder möter av hänsyn till arbetets behöriga gång.
En myndighet som i sin myndighetsutövning använder tekniska hjälpmedel för att fatta automatiserade beslut skall hålla systemdokumentation tillgänglig för allmänheten. Av dokumentationen skall framgå
1. ändamålet med systemet,
2. vilka uppgifter som används i
systemet,
3. varifrån och hur de uppgifter
som används i systemet hämtas,
4. hur aktuella rättsregler har om-
vandlats till logiska regler i systemet,
5. vem som hos myndigheten kan
lämna närmare upplysningar om hur systemet fungerar.
Dokumentationen får dock inte innehålla upplysningar som kan leda till att sekretessbelagda uppgifter om systemet röjs.
___________________
Syftet med den föreslagna nya bestämmelsen om myndigheternas skyldigheter att hålla viss systemdokumentation tillgänglig för allmänheten har kommenterats i den allmänna motiveringen, se avsnitt 20.3.3–6.
Tillämpningsområdet
Bestämmelsen tar sikte på program som myndigheten använder i sin myndighetsutövning mot enskilda för att fatta beslut. Det handlar, med andra ord, om beslut som har direkt rättsverkan för enskilda, t.ex. om utbetalning av bidrag eller inbetalning av skatter eller avgifter. Sådana beslut som enbart är av indirekt betydelse för allmänheten och som rör myndighetens egen verksamhet, t.ex. budget eller andra administrativa frågor, omfattas inte av bestämmelsen.
Regeln är typiskt sett tillämplig på program som på grundval av vissa automatiskt inhämtade eller manuellt inmatade sakuppgifter kommer fram till ett visst resultat som utgör myndighetens beslut beträffande en enskild. Som nämnts i den allmänna motiveringen gäller bestämmelsen inte s.k. beslutsstödsprogram, dvs. program som mot bakgrund av de uppgifter som matas in lämnar förslag. I de fallen är det ändå alltid en människa som fattar det slutliga beslutet och som får antas ha kunskap om de rättsregler som är tillämpliga. Bestämmelsen tar enbart sikte på beslut som inte granskas eller kontrolleras innan det blir definitivt. Det har i och för sig inte någon avgörande betydelse att en tjänsteman har satt sin namnteckning på beslutet. I vissa fall innebär ett sådant undertecknande kanske bara ett intygande att ett visst beslut har producerats av datorn, och det innebär inte att den som har undertecknat beslutet har kontrollerat att datorn har gjort rätt. Ett sådant förfarande måste i första hand betecknas som ett automatiserat beslut även om det finns en namnteckning på beslutet.
Å andra sidan kan man inte kräva systemdokumentation beträffande ett vanligt räkneprogram eller det ord- och textbehandlingsprogram som ger beslutet form. Det är först när rättsliga regler tillämpas genom att datorprogrammet körs som man kan tala om automatiserade beslut. Man kan inte uppställa något generellt krav på att reglerna skall ha någon viss form, t.ex. lag- eller förordningsform, utan alla regler som har betydelse för myndighetsutövningen kan vara aktuella.
Ibland kan det vara en del av myndighetens beslutsfunktion som är automatiserad. I grunden kan det finnas ett beslut, t.ex. om betalning, som har fattats på manuell väg. Med det beslutet som grund fattas sedan nya, automatiserade beslut, t.ex. om uppräkning av beloppet. I det fallet krävs det endast att myndigheten har dokumentation beträffande de nya besluten om uppräkning.
I huvudsak handlar det om program som har konstruerats av eller på uppdrag av den myndighet som använder programmet eller någon annan myndighet som svarar för sådant utvecklingsarbete.
Systemdokumentationen
Systemdokumentationen skall för det första innehålla en allmän beskrivning av ändamålet med systemet. Av denna bör bl.a. framgå vilka rättsregler som tillämpas i systemet och vilken slags beslut som produceras. Vidare bör det framgå vilka uppgifter som används för att producera beslut samt varifrån dessa uppgifter inhämtas; om de hämtas från den enskilde direkt, från någon annan enskild (t.ex. en bank eller en arbetsgivare), från den egna myndigheten eller från någon annan myndighet. Det bör också framgå hur uppgifterna hämtas in, t.ex. om det sker automatiskt genom uppdatering hos myndigheten eller på manuell väg. Slutligen skall det framgå av systembeskrivningen hur rättsreglerna har lagts in i systemet, dvs. hur uppgifterna behandlas för att få fram beslutet. Det går inte att närmare ange hur en sådan beskrivning skall se ut, utan detta får avgöras från fall till fall. Man bör i beskrivningen kunna se vilka rättsliga regler som har översatts till logiska regler (om – så – regler).
Det skall finnas upplysning om vilken person hos myndigheten som kan svara på frågor om systemet. Denna person behöver inte vara namngiven, utan upplysningen kan hänvisa till viss befattningshavare. Finns det inte någon person hos myndigheten som kan besvara frågor om systemet, skall det åtminstone finnas någon som kan hänvisa till en person (t.ex. hos en annan myndighet) som kan det.
Sådana upplysningar som skulle äventyra användningen eller driften av systemet och av den anledningen är sekretessbelagda skall inte lämnas ut (andra stycket). Det gäller framför allt uppgifter som skulle kunna missbrukas om de blev allmänt kända. Som exempel kan nämnas sådana uppgifter som enligt 4 kap. 1 § sekretesslagen skall hållas hemliga med hänsyn till myndighets verksamhet för inspektion, kontroll eller annan tillsyn. En systembeskrivning skall därför inte innehålla uppgifter som avslöjar de kontrollmetoder som myndigheten använder, t.ex. vilka uppgifter som jämförs för att kontrollera skattskyldiga eller hur urvalet av bidragsberättigade som skall granskas sker. En bestämmelse av motsvarande slag finns i gällande 15 kap. 11 § tredje stycket. Systemdokumentationen får inte heller avslöja uppgifter som innebär att det sker intrång i upphovsrätten till datorprogrammet.
f) Arkivlagen
1 §
I denna lag ges bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna.
Bestämmelserna i 3–6 och 10 §§ skall tillämpas också på statliga, kommunala och kyrkokommunala beslutande församlingar.
Bestämmelserna i 3–6 samt 9 och 10 §§ skall i tillämpliga delar gälla också sådana enskilda organ hos vilka allmänna handlingar förvaras med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring.
Bestämmelserna i 3–6 samt 9 och 10 §§ skall i tillämpliga delar gälla också sådana enskilda organ som har allmänna uppgifter i sitt förvar med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring.
___________________
Förslaget till ny lydelse av bestämmelsen är föranlett av den nya begreppsapparaten och är inte ämnat att innebära någon saklig förändring.
3 §
En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, skall dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen.
En myndighets arkiv bildas av de handlingar och databaser med allmänna uppgifter som finns i myndighetens förvar.
Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser
1. rätten att ta del av allmänna
handlingar,
1. rätten att ta del av allmänna
uppgifter,
2. behovet av information för rättskipningen och förvaltningen, och
3. forskningens behov. ___________________
Enligt förslaget tas kravet på att handlingar och databaser skall komma från myndighetens verksamhet bort. Förslaget, som inte innebär någon saklig ändring, har kommenterats i den allmänna motiveringen, se avsnitt 22.1.2.2. I det sammanhanget kommenteras också förflyttningen av hänvisningen till bestämmelsen i 2 kap. 9 § TF.
Den föreslagna lydelsen av bestämmelsen innebär att de handlingar och databaser som innehåller allmänna uppgifter omedelbart anses tillhöra myndighetens arkiv. Detta framgår också genom att den generella bestämmelsen om arkivläggning i 6 § 4 tas bort. Förslaget kommenteras i den allmänna motiveringen, se avsnitt 22.1.2.3. Som framgår där har det i en modern IT-miljö blivit nödvändigt att beakta frågor kring den framtida arkiveringen av uppgifter redan när uppgifterna kommer in till myndigheten eller tillkommer där. Det är också nödvändigt att beakta arkivfrågor redan
när myndigheterna bygger eller ordnar sina informationssystem. Det ankommer på Riksarkivet att lämna de föreskrifter som är nödvändiga för ett framtida bevarande av allmänna uppgifter i handlingar och databaser redan för tiden innan den mer eller mindre definitiva arkivläggningen. Sådana föreskrifter får givetvis inte hindra eller försvåra myndigheternas dagliga verksamhet.
I övrigt är förslaget till ny lydelse föranlett av den nya begreppsapparaten.
5 §
Som grund för arkivvården skall myndigheterna
1. vid registreringen av allmänna
handlingar ta vederbörlig hänsyn till dess betydelse för en ändamålsenlig arkivvård, och
1. vid registreringen av handlingar
med allmänna uppgifter ta vederbörlig hänsyn till dess betydelse för en ändamålsenlig arkivvård, och
2. vid framställningen av handlingar använda materiel och metoder som är lämpliga med hänsyn till behovet av arkivbeständighet.
2. vid framställningen av hand-
lingar och databaser använda materiel och metoder som är lämpliga med hänsyn till behovet av arkivbeständighet.
6 §
I arkivvården ingår att myndigheten skall
1. organisera arkivet på ett sådant
sätt att rätten att ta del av allmänna handlingar underlättas,
1. organisera arkivet på ett sådant
sätt att rätten att ta del av allmänna uppgifter underlättas,
2. upprätta dels en arkivbeskriv-
ning som ger information om vilka slag av handlingar som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning,
2. upprätta dels en arkivbeskriv-
ning som ger information om vilka slag av handlingar och databaser som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning,
3. skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst,
4. avgränsa arkivet genom att fast-
ställa vilka handlingar som skall vara arkivhandlingar, och
4. avgränsa arkivet genom att fastställa vilka uppgifter enligt 2 kap. 10 § tryckfrihetsförordningen som skall höra till arkivet, och
5. verkställa föreskriven gallring i arkivet. ___________________
Förslaget till ny lydelse av bestämmelserna i punkt 1–3 är föranlett av den nya begreppsapparaten.
Genom vårt förslag till ny lydelse av 3 § arkivlagen klargörs att alla allmänna uppgifter tillhör myndighetens arkiv. När det gäller minnesanteckningar och koncept beror det emellertid på om man beslutar att uppgifterna skall tas om hand för arkivering eller inte huruvida de blir allmänna. Detta framgår av bestämmelsen i punkt 4.
10 §
Allmänna handlingar får gallras. Allmänna uppgifter får gallras.
Vid gallring skall dock alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår skall kunna tillgodose de ändamål som anges i 3 § tredje stycket.
Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser, dock med undantag för bestämmelserna i 12 § datalagen (1973:289).
Om det finns avvikande bestämmelser om gallring av vissa allmänna uppgifter i annan lag eller i förordning gäller dessa bestämmelser.
___________________
I förslaget till ny persondatalag finns inte några preciserade gallringsregler och det finns inte heller något förbud för myndigheterna att bevara allmänna uppgifter. Det blir med andra ord bestämmelser i annan lagstiftning som får avgöra i vad mån myndigheterna skall spara eller gallra sina allmänna uppgifter (se avsnitt 12.4.5 och 12.4.6). Dessa särskilda regler tar alltid över, och därför behövs inte längre något motsvarande undantag från
12 § datalagen. I övrigt är ändringarna redaktionella.
12 §
Utöver vad som följer av bestämmelserna i 9, 10 och 11 §§ får en statlig myndighet avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av
Utöver vad som följer av bestämmelserna i 9, 10 och 11 §§ får en statlig myndighet avhända sig handlingar och databaser med allmänna uppgifter endast genom sådant återlämnande eller överlämnande som sker med stöd av
1. lag eller föreskrift som meddelas av regeringen eller den myndighet som
regeringen bestämmer, eller
2. särskilt beslut av regeringen.
Första stycket gäller inte handlingar som en myndighet har fått som lån.
15 §
Utöver vad som följer av bestämmelserna i 9, 10 och 14 §§ får en kommunal myndighet avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av
Utöver vad som följer av bestämmelserna i 9, 10 och 14 §§ får en kommunal myndighet avhända sig handlingar och databaser med allmänna uppgifter endast genom sådant återlämnande eller överlämnande som sker med stöd av
1. lag, eller
2. särskilt beslut av kommunfullmäktige eller landstingsfullmäktige.
Första stycket gäller inte handlingar som en myndighet har fått som lån. ___________________
Förslaget till ny lydelse av bestämmelserna i 12 och 15 §§ är föranlett av den nya begreppsapparaten och är inte ämnat att innebära någon saklig förändring.
RESERVATIONER
Reservation av
ledamöterna Anders Christner (kd),
Tomas Ohlin (fp) och Inger René (m)
Vår syn på de rättsliga villkoren för verksamheten i informationssamhället föranleder oss att göra vissa förtydliganden och kompletteringar till kommitténs förslag.
1. Bakgrunden till EG-direktivet är en önskan att stärka integritetsskyddet och åstadkomma en gemensam hög europeisk skyddsnivå som ska möjliggöra ett fritt flöde av information inom Europeiska Unionen. Direktivets utgångspunkt är att det är den enskilde som själv förfogar över sina personuppgifter. Uppgifter om den enskilde utgör en oupplöslig del av den personliga integriteten. Ett godtagbart intrång i integriteten förutsätter antingen att den enskilde själv genom informerat samtycke medgivit intrånget, eller att något övergripande allmänt intresse, som t.ex. granskning av myndigheters verksamhet, motiverar detta. Den svenska offentlighetsprincipen är en fundamental och oskiljaktig del av vår rättstradition. Det är glädjande att den nordiska synen på öppenhet får insteg i det pågående arbetet inom Unionen. Sett från svensk utgångspunkt är en huvudfråga hur det stärkta integritetsskyddet ska kunna förenas med vår offentlighetsprincip. Denna rätt att ta del av allmänna handlingar och allmänna uppgifter är inte absolut, lika lite som rätten till personlig integritet är det. Integriteten och offentligheten möts i bestämmelserna om sekretess. Intresset av att kunna granska och kontrollera
den offentliga makten får stundom vika för den enskildes rätt till integritetsskydd.
Detta ligger i linje med huvudsyftet för offentlighetsprincipen: det är den offentliga maktutövningen som ska granskas. Denna möjlighet att följa statliga och kommunala myndigheters verksamhet är grundläggande för en demokratisk medborgarkontroll, där mediernas granskande aktiviteter utgör väsentliga inslag.
Mot denna samlade bakgrund kan det inte anses som självklart att direktivets verkliga innebörd rörande skydd för den personliga integriteten på ett problemfritt sätt är förenlig med vår offentlighetsprincip. Det svenskt grundade allmänintresset kan i flera avseenden komma i konflikt med det europeiskt grundade personintresset.
Kommittén borde ha ägnat mer tid åt att överväga en lösning som bättre överensstämmer med principerna bakom direktivet, och som utgår från det förhållandet att om den enskilde inte direkt eller indirekt tillåtit uppgiftsutlämnande, och detta inte kan motiveras av ett övergripande allmänt intresse, bör utlämnande inte ske. Det går inte i längden att hävda att offentlighetsprincipen generellt speglar ett sådant allmänt intresse att integritetsskyddet alltid får vika. Kommittén borde enligt vår mening djupare ha analyserat denna grundläggande frågeställning.
2. Den nya persondatalagen flyttar på ett värdefullt sätt fokus från själva metoden för lagring och bearbetning av personuppgifter till bruket av uppgifterna. Det är inte längre datorn som deltar som medskyldig till ett eventuellt missbruk av personuppgifter. En sådan förflyttning från form till innehåll är tillfredsställande. Vi anser emellertid att detta tänkande hade kunna nå ända fram till benämningen för lagen. Begreppet ”persondatalag” speglar fortfarande en anknytning till formen för lagringen eller bearbetningen. Vi är medvetna om att EG-direktivet kan anses utöva en viss påverkan i denna benämningsfråga, men vill ändå förorda en helt medieoberoende lagbenämning, förslagsvis ”Lag om behandling av personuppgifter”.
3. Kommittén har fört ett resonemang om formen för den föreslagna persondatalagen, och valt att, i enlighet med EG-direktivet, formulera en s.k. ”hanteringslag”, i vilken det beskrivs vilken hantering av personuppgifter som är tillåten, i stället för vilken hantering som bör vara förbjuden. I det senare fallet kan man tala om en ”missbrukslag”. Kommittén är medveten om att skäl finns för en övergång till en missbrukslag, men har valt att i enlighet med direktivet stanna för hanteringslagsmodellen.
Vi är medvetna om att direktivet i viss mening kan anses föreskriva den valda hanteringsmodellen, men anser att missbruksmodellen helt klart vore att föredra. Kommittén borde enligt vår mening ha avsatt tid för en djupare analys av förutsättningarna för att implementera missbruksmodellen, i stället för att som nu tämligen lättvindigt avfärda den till förmån för en hanteringsmodell som de flesta är överens om är både byråkratisk och otidsenlig.
4. I Tryckfrihetsförordningens 2 kap. 1 § införs av kommittén begreppet ”allmän uppgift” i stället för det hittillsvarande ”allmän handling”. Grundtanken bakom detta är att möjliggöra en vidare tillämpning och ett ökat medieoberoende. Denna grundtanke är värdefull och viktig. Kommittén har även fört ett resonemang om de konsekvenser denna grundläggande begreppsförändring för med sig, och föreslår följdändringar i flera rättsliga sammanhang. Begreppet ”handling” utgör emellertid något annat än ”den samling uppgifter” som finns i handlingen. I många tillämpningar är detta sannolikt av mer teoretiskt än praktiskt intresse. Vi vill dock inte utesluta att den föreslagna begreppsförändringen kan ha oförutsedd betydelse i vissa tillämpningssituationer, och vi menar att kommittén inte på ett tillräckligt fullständigt sätt analyserat denna fråga. Oönskade begränsningar kan komma att framträda. Det kan också visa sig att konsekvenserna av den grundläggande begreppsförändringen kan visa sig beröra annan lag än den som här analyserats. För att undvika möjliga problem i tillämpningen av ändringen av TF är det tillrådligt att till den existerande lydelsen av 2 kap. 1 § tillföra begreppet allmän uppgift, men att där samtidigt kvarhålla begreppet allmän handling.
5. Konsekvenserna av den av kommittén föreslagna begreppsförändringen, och av en övergång till förtydligade begrepp i den nya persondatalagen, berör en mängd speciella registerlagar. Det kan bli fråga om tämligen omfattande omarbetningar av dessa lagar, för att anpassa till det nya begreppsbruket. Vi förordar att denna omarbetning inte bara blir av formell art, utan också bör omfatta en materiell översyn av möjligheterna att sammanföra vissa registerlagar till en gemensamhet av större bredd. Existensen av en stor mängd speciella registerlagar skapar svårigheter att få rättslig överblick, både hos myndigheter och hos medborgarna.
6. Sverige har särskilt främjat användningen av personuppgifter genom ett tydligt genomfört bruk av personnummer. Väl motiverad användning av dessa kompletteras för närvarande av ett stundom mindre nogräknat bruk i sammanhang där denna typ av identifikation egentligen är helt onödig. Det förekommer slentrianmässigt bruk av personnummer i många administrativa system. Vi anser att användning av personnummer bör ske med omsorg och försiktighet, och vi efterlyser en hög kvalitetsmedvetenhet vid allt bruk av denna form av personidentifikation. Det bör anförtros Datainspektionen att i sin tillsynsverksamhet med höjd prioritet uppmärksamma detta.
7. I den nya persondatalagen används benämningen ”samtycke” i ett antal sammanhang. I anknytning härtill har tidigare ”informerat samtycke” använts. Tanken bakom kommitténs renodling av uttrycket utgår från att samtycke till en åtgärd i sig omfattar tillgång till information om den berörda åtgärden. En person kan med detta resonemang inte ge sitt samtycke till något som hon inte känner till, är informerad om. EG-direktivet för ett resonemang om tillägg av förtydligande ord som ”otvetydigt” och/eller ”uttryckligt”. Kommittén har emellertid valt att enbart använda begreppet ”samtycke”. Vi vill för vår del i detta sammanhang framhålla att samtycke kan ges mot bakgrund av tillgång till mer eller mindre fullständig information. Tillämpning av samtycke som bygger på fullständig information är fundamental för många situationer där persondatalagen kommer att användas. För att betona att denna informationstillgång bör vara helt fullständig förordar vi att formuleringen ”informerat samtycke” ska användas.
8. Den nya persondatalagens 20 § omfattar ett bemyndigande för regeringen eller för den myndighet som regeringen bestämmer att föreskriva undantag från förbudet mot att behandla känsliga uppgifter, om detta ”behövs med hänsyn till ett viktigt allmänt intresse”. Detta är ett generellt bemyndigande som enligt vår mening bör förankras i ett preciserande ställningstagande från riksdagens sida.
9. Undantag från förbud mot hantering av personuppgifter utan informerat samtycke föreslås för forskningsändamål, om sådan hantering av en forskningsetisk kommitté bedöms som godtagbar. Formerna för verksamhet inom sådana forskningsetiska kommittéer bereds för närvarande inom regeringen, och en forskningsetisk utredning är enligt uppgift att vänta inom kort.
Vi förutsätter att de forskningsetiska kommittéerna i sin nya form får tillgång till erforderlig kompetens inom alla områden som berörs av kommittéernas aktuella ärenden, och att en tillfredsställande allmän insyn kan garanteras.
10. Tillämpning av offentlighetsprincipen bör inte utgöra grund för försäljning av personuppgifter. Denna princip har tillkommit för att förstärka insyn och ge möjlighet till förbättrad offentlig verksamhetskvalitet, och inte för att möjliggöra inkomster för staten eller andra för försäljning av personuppgifter som medborgarna uppmanats lämna för andra ändamål. Sådan försäljning av personuppgifter kan ofta inte anses representera ett ”berättigat intresse”. Den bygger ofta heller inte på informerat samtycke. SPAR-registret används för sådan försäljning. Enligt kommitténs förslag avses villkoren för SPAR lyftas ut och placeras i egen lag. Ansvaret för verksamheten kring SPAR vilar för närvarande på SPARnämnden. Vi förordar att denna nämnd låter genomföra en ytterligare intensifierad satsning på allmänupplysning samt på information till de registrerade. Vi förordar vidare att nämnden i framtiden tillämpar en ökad restriktivitet rörande tillståndsgivning för användningen av SPAR för försäljning av personuppgifter.
Reservation av
ledamoten Bo Edvardsson (mp)
Delegation av normgivningsmakt
Utredningen har föreslagit en persondatalag som utgör en nära avbildning av EG-direktivets text. Generella regler och principer har tagits in i lagtexten, medan det överlåts åt regeringen och Datainspektionen att utforma detaljreglering för t.ex. särskilda områden.
Till följd av den valda lagstiftningstekniken föreslås en lag om ändring i regeringsformen 8 kap. 7 §. Den föreslagna ändringen i första stycket punkt 8 innebär att regeringen och Datainspektionen kan ges behörighet att meddela föreskrifter på hela det område som omfattas av den föreslagna persondatalagen. Som grund till ändringen i RF anför utredningen bl.a. följande:
”Att de generella huvudreglerna och principerna samt de likaledes ofta generellt utformade undantagsmöjligheterna införs i den nya persondatalagen är enligt vår mening både naturligt och nödvändigt. Däremot är det som vi ser det inte lämpligt att tynga lagtexten med den nödvändiga detaljregleringen och konkretiseringen. Den korta utredningstiden om drygt ett år har vidare gjort det omöjligt för oss att identifiera t.ex. alla områden där det kan vara befogat att behandla känsliga uppgifter.”
Utredningens slutsats är ”att det inte finns någon annan möjlighet än att lita till att regeringen och Datainspektionen inom den ram som den föreslagna persondatalagen drar upp preciserar och konkretiserar regleringen”. Vidare sägs att regeringen och Datainspektionen vid sin precisering och konkretisering av lagregleringen har att hålla sig inom den ram som EGdirektivet ställer upp.
I propositionen 1993/94:116 föreslog regeringen en ändring i regeringsformen, som sedan tillstyrktes i riksdagen, som öppnade en möjlighet för regeringen att efter bemyndigande i lag delegera normgivningskompetens i fråga om ADB-behandling av personuppgifter till Datainspektionen.
Frågan är om det kan anses befogat att ytterligare utöka regeringens normgivningskompetens på sätt som utredningen föreslagit?
Regeringsformen ger riksdagen möjlighet att i viss omfattning överlämna normgivningsmakt åt regeringen. Bestämmelserna om delegation av riksdagens normgivningsmakt finns i bl.a. RF 8:7. Dessa bestämmelser är avsedda att vara uttömmande. Normgivningsmakt får alltså inte delegeras i andra fall än RF uttryckligen medger.
Regeringsformen säger i huvudsak ingenting om ”kvalitén” på de föreskrifter som regeringen kan meddela efter delegation. Man fann det under förarbetena inte möjligt att dra någon generell gräns i grundlagen: frågan borde ”få avgöras av riksdagen från fall till fall” (prop. 1973:90 s. 209). Gäller det mindre ingripande bestämmelser, borde man kunna ge ”tämligen vidsträckta bemyndiganden”. I fall där mer väsentliga medborgarintressen kunde beröras, borde riksdagen ”mera preciserat ange de ramar inom vilka regeringen skall få röra sig”.
Det kan inte råda någon tvekan om att den föreslagna persondatalagen innehåller bestämmelser där väsentliga medborgarintressen berörs. Som exempel kan nämnas lagens bestämmelse om förbud mot behandling av känsliga personuppgifter. Som känsliga uppgifter anses sådana uppgifter som rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Sådana uppgifter får behandlas bara i de fall som räknas upp i lagen. Men utredningen har med hänvisning till artikel 8.4 i EG-direktivet föreslagit ett bemyndigande för regeringen och Datainspektionen att föreskriva ytterligare undantag. Enligt nämnda artikel i EG-direktivet får nämligen medlemsstaterna av hänsyn till ett viktigt allmänt intresse avgöra ytterligare undantag från förbudet mot att behandla känsliga personuppgifter. Regeringen överlåts alltså här att avgöra vad som är ”ett viktigt allmänt intresse”. För det första kan här ifrågasättas huruvida den lagtekniska konstruktionen överensstämmer med regeringsformen. För det andra anser jag att bedömningen av vad som är ”ett viktigt allmänt intresse” bör göras av folkrepresentationen, dvs. riksdagen.
Till detta kommer den osäkerhet som föreligger avseende offentlighetsprincipens förenlighet med EG:s datadirektiv. Då vi inte med säkerhet kan bedöma EG-direktivets inverkan på den svenska offentlighetsprincipen är det av stor vikt att kommande justeringar i persondatalagen sker genom en sedvanlig lagstiftningsprocess. Riksdagen bör därför inte ge regeringen ytterligare kompetens att efterhand detaljreglera bestämmelser som kan komma att påverka offentlighetsprincipen. Denna princip förvaltas bäst av
riksdagen och för att kunna bevaka den framtida utvecklingen på området krävs att folkrepresentationen får full insyn och möjlighet att stoppa förslag som undergräver eller försämrar t.ex. rätten att ta del av allmänna handlingar.
Utredningens förslag kommer att leda till en omfattande detaljreglering och ett överdrivet införande av tvingande regler. Genom en sådan ordning torde det bli svårt att överblicka omfattningen av undantagen. En lösning skulle i stället kunna vara att Datainspektionen utfärdar allmänna råd.
Med hänvisning till det ovan anförda anser jag således att kommande justeringar i persondatalagen skall ske genom en sedvanlig lagstiftningsprocess via regering och riksdag.
Bearbetnings-, analys- och tolkningsfrihet
RF 2 kap. 1 § tillförsäkrar varje medborgare gentemot det allmänna rätten att meddela information (punkt 1) och rätten att inhämta, mottaga och ta del av information (punkt 2).
Rätten att bearbeta, analysera och tolka information (i vid mening) saknas. Möjligheter som i dag finns till avancerad elektronisk bearbetning gör en sådan rättighet mer aktuell. Enligt min mening bör en punkt med denna rättighet införas som tredje punkt, t.ex.
3. bearbetningsfrihet: frihet att bearbeta, analysera och tolka information av alla slag
Det är uppenbart att denna rättighet är nödvändig för t.ex. fri forskning, undersökande journalistik och politisk verksamhet.
SÄRSKILDA YTTRANDEN
Särskilt yttrande av
ledamoten Bo Edvardsson (mp)
Om personuppgifters kvalitet, integritet m.m.
Inledning
Syftet med detta yttrande är att något bidra till att skärpa politikers, myndigheters och andra berördas uppmärksamhet på kvalitetsfrågorna rörande personuppgifter oavsett vilken lag eller teknisk form som är aktuell.
Enligt min bedömning som politiker, utbildare, forskare och sakkunnig är kvaliteten på personuppgifter i det svenska samhället inte sällan extremt undermålig och inom vissa samhälleliga verksamheter verkar det närmast vara regel att inte iaktta de mest elementära saklighetskrav – exempel utgör sociala och barnpsykiatriska/barnpsykologiska s.k. utredningar. Sådana dokument konstrueras ofta som övertalningsdokument enligt propagandans grundprinciper, t.ex. ensidigt urval, vaghet och omfattande upprepning. Sådana allvarliga fenomen som avsaknad av källangivelse, felaktiga uppgifter, ogrundade tyckanden, undanhållande av uppgifter som står i strid med den önskade slutsatsen samt oberättigade tolkningar och oberättigade slutsatser, har en avsevärd omfattning (för analys av konkreta exempel, se t.ex. Edvardsson, 1996). Behoven av forskning, utbildning och kvalitetssäkringsåtgärder är stora.
Enligt förslaget till persondatalag 1 § är syftet med lagen att skydda människor mot otillbörligt intrång i den personliga integriteten vid behandling av personuppgifter. När grundläggande saklighetskrav inte till-
godoses och dokument konstrueras propagandistiskt mot en person/familj uppkommer rimligen integritetskränkning. Exempelvis uppkommer en allvarlig form av integritetskränkning, när det förekommer och cirkulerar felaktiga, förvrängda, överdrivna etc. personuppgifter – inte sällan upprepas sådana uppgifter ett avsevärt antal gånger i samma eller olika handlingar. En annan allvarlig form av integritetskränkning föreligger, när personuppgifter är korrekta, men ändå ger en falsk bild, då negativ selektivitet föreligger. Exempelvis förekommer att hög proportion negativa personuppgifter presenteras samtidigt som många för personen positiva uppgifter undanhålls eller att korrekta uppgifter tas ur sitt sammanhang och därigenom blir felaktigt tolkade av en mottagare. Problemen är desamma för de verksamheter, t.ex. journalistik, som inte lagregleras, utan förutsätts egenkontrollerade. Bristande kvalitet hos personuppgifter leder inte bara till integritetskränkningar utan också till fel vid beslut, till uppkomst av eller förvärrande av konflikter, till onödiga processkostnader och till fel vid användning av uppgifterna för historiska, statistiska och vetenskapliga ändamål.
I svensk grundlag, regeringsformen 1 kap. 9 §, föreskrivs ”saklighet och opartiskhet” vid offentlig verksamhet och detta bör då rimligen utmärka hanteringen av personuppgifter inom sådan verksamhet. I förslaget till persondatalag behandlas kvalitetsfrågorna i form av ”Grundläggande krav på behandlingen av personuppgifter” i 9 § och vad gäller ”Rättelse” i 28 § och viss text i betänkandet anknyter till dessa frågor. Jag skall här från mina utgångspunkter tydliggöra några av de elementära kvalitetskrav som bör vara uppfyllda beträffande personuppgifter/persondata. Jag betraktar härvid termerna ”data” respektive ”uppgifter” som synonyma – den förra termen är mer utmärkande för forskningskulturen och den senare är mer utmärkande för utredarkulturen.
Några elementära saklighetskrav
1. Uttalat syfte eller frågeställning (eventuellt i form av hypotes, dvs. påstående på försök) eller ett angivet godtagbart ändamål utgör utgångspunkten för att söka eller skapa data. Det kan som exempel nämnas att s.k. sociala utredningar i barnavårdsärenden i regel saknar uttalad frågeställning. De utgör mestadels mer eller mindre metodiskt naiva klippkollage av övervägande negativa uppgifter som är osakligt och olagligt tillrättalagda utifrån en förutfattad bedömning i syfte att övertala en beslutsinstans. Redan därmed kan de inte betraktas som sakliga utredningar utan är konstrue-
rade som övertalningsdokument. Förekommande underförstådda syften i många utredningar att söka maximera mängden brister rörande en person eller familj framstår som osakliga, oetiska och olagliga.
2. Metodiken skall vara lämplig i förhållande till frågeställningen. Gäller t.ex. frågeställningen vilken relation en far har till sin son, så kan inte utredningen begränsas till moderns relation till sonen, varpå bedömningar utan saklig grund presenteras om faderns relation till sonen – en metodik, som jag sett i vissa barnpsykiatriska s.k. utredningar.
3. Relevanta data/uppgifter krävs. Relevans hos data/uppgifter gäller i förhållande till en viss frågeställning. Om data har betydelse för frågeställningen/det saken gäller, så brukar detta uttryckas som att de är relevanta.
4. Tillförlitlighet måste föreligga hos data/uppgifter. Om tillförlitlighet inte föreligger, så måste data avföras som otillförlitliga. Tillförlitlighet fastställs t.ex. genom kontroll, genom att studera överensstämmelse mellan oberoende källor/metoder, genom att överväga felmöjligheter och påverkande faktorer (t.ex. sättet att fråga), genom att osäkerhetstecken, tecken på låg kvalitet m.m. beaktas, genom källkritiska överväganden etc.
5. Källredovisning av uppgifter måste föreligga i de fall källan inte kan anses självklar, t.ex. ett välkänt register. Källan till en uppgift skall anges så noga att den lätt kan sökas och kontroll utföras. Exempelvis skall personkällor återges med namn och annan erforderlig identifikation och dokument/skrifter skall anges så exakt att de kan beställas fram. Detta är internationell praxis inom forskningen. Uppgifter av typen ”Enligt undersökningar…”, ”Det är känt att…”, ”Enligt personalen i organisation
X…”, ”Föreståndaren förmedlar uppgifter från personal om att…” etc. uppfyller inte krav på källredovisning som är så noggrann att kontroll kan göras. Det måste åligga utredaren att utan anmaning redovisa källan i anslutning till uppgift. Uppgifter utan godtagbar källredovisning måste förkastas, när anspråk på saklighet föreligger. Anonyma uppgifter kan inte kontrolleras, medger obegränsade möjligheter till falska anklagelser, är ofta felaktiga och kan enbart ha värde som utgångspunkt för att söka relevanta, kontrollerbara uppgifter.
6. Skriftliga bestyrkanden av lämnade uppgifter måste anses vara ett nödvändigt och elementärt kvalitetskrav, då risken för överföringsfel vid muntlig överföring är stor. Ofta hävdas att personer har lämnat uppgifter utan att det framgår att citat/referat/sammandrag är bestyrkta av upp-
giftslämnaren. Enbart uppläsning minskar avsevärt möjligheten att kritiskt granska och upptäcka fel, utelämnanden etc. Speciella problem föreligger vid bestyrkande av vad ett barn påstås ha sagt till någon. I beaktande av att människor inte ordagrant kan minnas ens korta samtal och utifrån det faktum att omedelbart löpande uppteckning av vad ett barn säger torde vara ovanligt, så måste sådana uppgifter bedömas som otillförlitliga, när inte åtminstone ljudbandsupptagning föreligger. Utan sådan går inte påverkan genom påståenden, frågor etc. att kontrollera.
7. Personuppgifter om besök, händelser, testresultat etc. bör vara daterade. Ofta är det även betydelsefullt att ange klockslag, då klockslag kan vara viktiga för att fastställa ordningsföljd mellan händelser eller för att tolka händelser. Om datum inte dokumenterats, så har inte heller innehållet dokumenterats och det rör sig om uppenbara efterhandskonstruktioner. För vissa typer av personuppgifter, t.ex. permanenta egenskaper, så behöver datering inte vara aktuell. Om datum för införsel är senare än datum för händelsen etc., så bör båda datumen anges. Differenser utgör ett tecken på bristande kvalitet på grund av minnesbortfall, minnesförändringar m.m.
8. Precisering är ett grundläggande kvalitetskrav. Utan precisering av en personuppgift går det ofta inte att förstå vad som menas med uppgiften – den blir inte meningsfull. Logiskt innebär precisering att mängden av tänkbara tolkningar till ett yttrande reduceras. Ett viktigt krav vad gäller situationer/händelser rörande personer är att de kan preciseras utifrån frågor som ”Vem/vilka, vad, var, när, hur, hur ofta, hur länge, vad skedde omedelbart före respektive efter?” Exempelvis skall inte opreciserade, vaga generaliseringar av typen ”Kalle är besvärlig” förekomma i professionell verksamhet. Vilka situationer och förlopp är det frågan om?
9. All osäkerhet kring en personuppgift, som anses föreligga skall markeras språkligt med kortare eller längre osäkerhetsmarkörer, t.ex. ”möjligen”, ”flera felkällor föreligger” etc. Andra sätt att ange osäkerhet är frågetecken eller hela frågesatser. Självklart kan det i vissa fall vara att föredra att utelämna en osäker uppgift för att inte åsamka skada. Negativa skvallerartade uppgifter, tyckanden etc. skall inte återges, bl.a. då de i stor utsträckning saknar källor, precisering, begriplighet m.m. Vid överföring av personuppgifter mellan personer och mellan dokument, så uppkommer ofta fel och snedvridningar i efterföljande utsagegenerationer. Det är därför viktigt att vara klar över vilka överföringar som gjorts och om kontroll skett vid överföringarna.
10. Sökandet efter och skapandet av personuppgifter får inte ske på så sätt att utredaren eftersträvar att ensidigt leta och redovisa material som bekräftar en förhandsuppfattning eller fix övertygelse (ensidigt bekräftelsesökande). Olika möjligheter i sakfrågan skall hållas öppna och information sökas för att klargöra dessa.
11. Personuppgifter skall ha saklig grund och får inte förändras, fabriceras eller fabuleras, t.ex. genom förändringar av uttalanden, genom borttagande av betydelsefulla sammanhang, genom bortfall av osäkerhetsmarkörer, genom betoning av trivialiteter eller genom tillämpning av ”tycka-tro-kännauppleva”-kulturen. Tillvägagångssättet att producera personuppgifter genom att ”uppleva” saker rörande personer medger obegränsade möjligheter till fabrikation och personlig kontaminering av uppgifter och kan självfallet inte accepteras som saklig grund.
12. För syftet, frågeställningen eller ändamålet väsentligt material får aldrig undanhållas.
13. Argumentationen kring ett omstritt påstående om en person/familj bör ofta ske för respektive emot. Härvid skall saklighetskrav på relevans, tillförlitlighet, källredovisning, precisering, motsägelsehantering m.m. beaktas. Givetvis kan olikheter i mängden argument för respektive emot föreligga.
14. Psykologiska testresultat skall åtföljas av kortfattade generella testbeskrivningar med redovisning av testens validitet, dvs. samband med det saken gäller och av testens reliabilitet, dvs. mättekniska tillförlitlighet för relevant referensgrupp. Att utan saklig grund anta att ett testresultat är relevant och tillförlitligt är inte acceptabelt. Kan inte utredaren redovisa det nämnda skall testresultaten förkastas. Vidare skall inverkande omständigheter vid testningen, t.ex. att ett barn några dagar tidigare förflyttats från sin hemmiljö, spärrats från föräldrakontakt, befinner sig i kristillstånd m.m. klart redovisas, då sådana faktorer måste vägas in i tolkning av testresultat. Redovisas inte inverkande omständigheter skall testresultat förkastas. Gamla testresultat skall inte användas för bedömning av en aktuell situation.
15. Tolkningar, slutsatser och bedömningar skall logiskt sammanhänga med det redovisade grundmaterialet. Medger materialet alternativa tolkningar skall dessa redovisas. Saknas rimligt sakligt underlag skall inte slutsatser/bedömningar utan saklig grund avges. Osäkerhet skall anges.
Personuppgifter i praktiken
Några exempel rörande hur mjuka personuppgifter kan se ut i praktiken skall här redovisas.
1. I ett överläkaryttrande står om en mor: ”Hon tedde sig som en strykrädd hund… likgiltig, nollställd, utslagen.” Kommentar överflödig.
2. I en vårdnadsutredning står om en far: ”Han drack sig berusad varje fredag och lördag.” Någon saklig grund för påståendet redovisas inte, utan det verkar härröra från en parts benägenhet att svartmåla den andra parten.
3. Det framgår i ett barnpsykiatriskt yttrande att texten innehåller en del ologiska och av utredarens egen ideologi kontaminerade uttalanden, t.ex. ”Föräldrarnas tendens till att svartmåla myndigheter och institutioner kan i längden vara skadligt för barnen, eftersom dessa kan utveckla en negativ bild, dels av sig själva, dels utveckla en antisocial attityd i framtiden.” Observera här den värderande termen ”svartmåla”. Observera även den ensidiga tolkningen utan något som helst redovisat vetenskapligt stöd. Tankefelet imperfecta enumeratio (dvs. ofullständigt övervägande av alternativa utfall) föreligger. Om barnens kritiska tänkande utvecklas så kan det tvärtom ge dem en starkare grund att stå på i framtiden. Observera hur utredarens egen ideologi leder till kopplingen mellan ”antisocial attityd” och kritik av myndigheter och institutioner. Utredarens antidemokratiska ideologi står här i strid med den yttrandefrihet som stadgas i svensk grundlag (RF 2 kap. 1 §) och irrelevanta uttalanden av detta slag skall därmed inte förekomma i intyg av detta slag eller på av samhället betald arbetstid.
4. I en journalanteckning av en chefsöverläkare i barnpsykiatri vid Regionsjukhuset i Örebro står följande om en far efter endast ett kort samtal med föräldrarna. Ett omhändertagande utan saklig grund har gjorts av familjens lilla flicka utifrån byskvaller, varför en konfliktsituation råder. ”Han har också aggressivt tagit fram handlingar som har behövts i ärendet och han har fått hjälp där via sin advokat… aggressivt framför sin kritik gentemot samhälle, myndigheter… Han uttrycker klara
tecken av att vara tidigt störd, misstänkt karaktärsstörning och en klar separationsskada.”
Det är en vanlig hederlig arbetare med förtroendeuppdrag och som aldrig legat samhället till last som här beskrivs. Vid de mycket mer ingående kontakter som jag haft med mannen framstår han som begåvad och eftertänksam. Den omfattande barnpsykjournalen kom inte till föräldrarnas kännedom förrän jag påpekade att den fanns… Mannens lagliga rätt att ta fram handlingar psykiatriseras här med fabuleringar som förs in i journalen. Den kringflytande modeetiketten ”tidigt störd” kommer till användning även här och kompletteras av ytterligare två sakligt ogrundade etiketter.
En jämförelse kan göras med följande påstående på samma nivå:
”Ledamöter i Datalagskommittén yrkade aggressivt på offentlighetsprincipens bibehållande och betonade vikten av att kunna kritisera myndigheter. Detta innebär klara tecken på tidig störning, misstänkta karaktärsstörningar och klara separationsskador.”
Det kan nämnas att barnpsykiatrin vid det aktuella landstinget i ärende efter ärende undanhållit journaler från föräldrar som velat ha ut dem och också utan att erforderligt politiskt beslut förelegat under ett antal år tagit ut orimligt höga avgifter för journalkopior, sannolikt för att motverka utlämning. Landstinget har också förlorat utlämningsmål i kammarrätten.
5. Vid en familjesession i en sandlåda, där fadern deltog, ger psykologen i journalen stort utrymme åt att en flicka inte vill röra vid sanden och slutar med följande uttalande: ”I de fall där man har en negativ inställning till den torra sanden brukar det finnas någon form av övergrepp i historien.” Vetenskapliga referenser för detta finns inte angivna och jag har aldrig stött på denna idé i all den internationella facklitteratur kring sexuella övergrepp jag tagit del av de senaste åren. Det torde för den som inte fixerat sitt tänkande vid övergrepp finnas ett antal konkurrerande orsaker, t.ex. renlighetsfostran, social inlärning, humörvariationer, sjukdom, motstånd mot en otrevlig psykolog m.fl. I journalen står för samma tillfälle att flickan ”har lite feber i dag” utan att psykologen nämnt något möjligt samband. Vid leksessionen sex dagar senare med familjen står inget om någon sandrädsla utan där står t.ex. att ”Flickan gör nästan slut på sanden i broderns område…”. Psykologen underlåter dock att uttala något om att detta strider mot föreställningen om övergrepp eller att dementera de tidigare uttalandena.
Det kan påpekas att samma psykolog i ett annat av mig granskat ärende angav ormrädsla som tecken på sexuella övergrepp (och angav inte heller då alternativa förklaringar, t.ex. social inlärning). Många barn har något de ogillar eller är rädda för – basfrekvenserna är avsevärda – vilket gör detta slag av godtycklig argumentation än mer suspekt. Dessutom bygger sådana här idéer på den i psykoanalytisk teori från gammal folktro och vidskepelse införda likhetsprincipen. Orm, svans etc. liknar penis, sand liknar säd/sperma, eksem runt munnen, att ogilla filmjölk osv. betyder att man varit utsatt för orala sexuella övergrepp. Barnpsykiatriska utredningar skall innehålla kritisk-vetenskapligt grundade metoder, kunskaper och bedömningar – inte fantasier.
6. I en till domstol ingiven skvallerskrivelse om en 8-årig pojke, dolt upprättad av socialtjänsten, men tillställd skolan och undertecknad av en bitr. rektor, så att den ser ut att komma från skolan står exempelvis följande: ”Kalle är snoppfixerad.” Detta är en generalisering, vilken i texten har som enda underlag två triviala skvallerexempel utan källa. Pojkars snoppintresse i här aktuell ålder torde ha avsevärd frekvens.
I skrivelsen står även t.ex.
”Kalle är bråkig på rasterna.”
Personkällor och konkreta situationer saknas. Det påvisas inte på något sätt med exempel eller bedömningar att Kalle skulle ligga utanför normalvariationen. Om det funnits graverande konkreta exempel borde det varit lätt att preciserat beskriva dessa.
Båda exemplen kan illustrera det omfattande förtal och förtryck av barn med generaliserande, dekontextualiserade skvalleruppgifter som förekommer inom skolkulturen.
7. Följande påstående finns i en social utredning: ”Personal på barnpsykiatriska kliniken har sagt att de känner oro inför faderns negativa inställning och aggressivitet gentemot myndigheter.” Hela utredningen innehåller ingen frågeställning och ingen beskriven metodik i förhållande till frågeställningen. Den implicita utredningsmetodiken har som väsentligt inslag att maximera antal negativa uppgifter om fadern och på omfattande sätt repetera dem i texten – dvs. förföljande strategier föreligger. Därmed föreligger i denna inte ovanliga typ av påståenden brott mot många av de här nämnda elementära saklighetskraven. Exempelvis
faller påståendet redan på att ingen personkälla namnges och att tidsangivelse saknas. Personalens egen oro är självfallet icke-relevant uppgift här och inte heller faderns icke preciserade inställning till myndigheter har med barnets förhållanden att göra. Något som helst samband mellan förmågan att ta vård om eget barn och nyttjande av yttrandefriheten till att uttala sig kritiskt om myndigheter finns inte belagt och uppgiften är därför icke relevant. Vad gäller den vanligt förekommande anklagelsen om ”aggressivitet”, så saknas precisering och uppgiften är därmed obegriplig. Föreligger något speciellt beteende hos fadern eller är ”aggressivitet” ett tyckande eller en fabulering hos utredaren, t.ex. en språklig association till ”negativ inställning”, som läggs till för att förföljande öka mängden fel?
8. I en studie studerades bl.a. socialtjänstens beskrivningar av klienterna. För ett av fallen blev beskrivningarna (aktmaterial plus handläggarintervju) av en tonårsflicka följande (totalfrekvenser inom parentes): – Intensiv egocentrisk (5) – Ingen gränsdragning (7) – Får aggressiva impulsgenombrott (5) – Har en tidig psykologisk störning, men också neurotiska drag (5) – Förbrukar relationer på ett destruktivt sätt (8) – Vet inte vad hon vill och vart hon är på väg (2) – Delat upp sin tillvaro i svart eller vit, ont eller gott (10) – Har bristande uthållighet (2) – Mycket ångestfylld (3) – Uppfattas som mycket intellektuell (6) – Väl bevandrad i terminologin inom både psykologi och socialt arbete (3) – Har mycket utmanande beteende mot män (5) – Har behov av att bli bekräftad (5) – Spelar ut vuxna (6)
Av de 14 nämnda upprepade personegenskaperna/attributionerna kan alla utom möjligen ett par värderas som negativa. Här förekommer flera av de vanliga etiketter som ofta används inom den naivistiska utredningskulturen, t.ex. tidig störning, ångestfylld, bristande gränsdragning, bristande uthållighet, spelar ut, utmanande. Några av egenskaperna är beteendegeneraliseringar, t.ex. ”spelar ut vuxna”, utan beskrivning av inträffade situationer.
Situationsbeskrivningar och preciseringar framkommer inte. De språkliga etiketterna har tappat kontakten med den konkreta verkligheten, vilket gör personbeskrivande av det här slaget osakligt och farligt. Mottagaren
associerar lätt till något annat än vad som ursprungligen avsågs. Uppgifterna saknar redovisad saklig grund, även i totalmaterialet.
Samma personuppgifter cirkulerar mellan flera olika myndigheter. Detta är tyvärr en del av innehållet i det som kallas ”samarbete”. Det är svårt att förstå hur en människa kan få hjälp när den hjälpande myndigheten konstruerat fram en så negativ bild av henne och enligt praxis i strid med socialtjänstlagen ignorerat klientperspektivet och resursanalysen. I detta fall utgjorde 3 procent av meningarna uttalanden från klienten och 0,6 procent av meningarna nämnde resurser utan att en närmare analys gjorts.
De personuppgifter som exemplifierats ovan kan ge förödande effekter på relationen till klienten, när en ny handläggare eller annan myndighet får detta slag av information eller snarare desinformation. Det kan också bli lätt att skylla orsakerna till en händelse på klienten. Överbetoning av individfaktorer som orsaker ligger nära tillhands när ett antal individfaktorer genom myndigheternas skvallerkultur är mentalt lätt tillgängliga. Ett exempel på detta är att då flickan sade sig ha blivit sexuellt utnyttjad blev socialsekreterarens förklaring att hon bjudit ut sig.
9. I en LVU-utredning stod följande att läsa: ”Personal på socialförvaltningen tyckte att det luktade hasch i rummet där K varit.” Källa till detta tyckande saknas och det finns ett stort antal frågetecken och möjliga tolkningar av detta påstående. Det utgör skvaller som inte har i en utredningstext att göra. Observera att det inte bokstavligen sägs att modern luktade hasch och att om uppgiften innehåller någon sanning, så finns det ett flertal möjliga uppkomstbetingelser för haschlukt i ett rum, t.ex. att någon annan än K fört dit haschlukten. Uppgiften behöver inte vara bokstavligen felaktig, men genom att K nämns så kommer den genom sammanhanget att belasta K inför en okritisk läsare. Jämför med påståendet: ”Personal på riksdagshuset tyckte att det luktade hasch i konstitutionsutskottets sammanträdesrum, där Datalagskommittén varit.” Med utnyttjande av i dag förekommande tekniker för generering av personuppgifter av det här slaget blir möjligheten att negativt belasta kommitténs ledamöter (eller vem som helst) obegränsade.
10. Previa i Göteborg producerade 1995 en s.k. psykosocial rapport om en stor forskningsavdelning vid Göteborgs universitet. Trots att de angivna syftena var allmänna, så inriktade utredaren rapporten enbart på att genom oseriösa intervjuer ta fram och skriva ner anonymt skvaller om en enda
person, som en del av personalen ogillade. De som var kritiska valdes ut för intervjuer och inga preciserade eller källredovisade uppgifter från förföljarna redovisades. Statens ansvarsnämnd erhöll den förfalskade rapporten plus en egendomlig revisionsrapport efter anmälan från universitetet och begärde omedelbart precisering, vilket universitetet inte kunde ge. Den berörde professorn fick i rapporten inte yttra sig alls över skvalleruppgifterna i rapporten och han förvägrades tillgång till rapporten i ett halvår.
Ett exempel på den låga nivån i Previas skvallerpromemoria och därmed i universitetets argumentation utgör följande formulering:
”förefaller njuta av blodiga halshuggningar av råttor med giljotin”
I min granskning av rapporten (Edvardsson, 1996c) lät jag professorn avge skriftliga kommentarer. Det framgår att han vid ett flertal tillfällen fann att annan personal inte avlivade råttor på rätt sätt och att det fortfarande låg levande råttor bland liken. Hans tillsägelser om detta gjorde personal ”mycket förbannade” på honom. En del personal hade också upprepat kommit till honom och bett honom avliva råttor, då de inte kunde klara av/lära sig detta själva. Genom att inte efterhöra den anklagades uppfattning om materialet, så kunde sådana förhållanden undanhållas i rapporten.
Exemplet visar hur anonymt personskvaller används som metod i en maktkamp och mobbingkampanj på en universitetsinstitution. Pressen lät sig liksom Previa okritiskt göras till en spelbricka i förföljelsen och publicerade utan att höra professorn hänsynslösa skriverier och bilder med namns nämnande, som skadade den utpekade och dennes familj. Det kan nämnas att universitetets ledning senare skriftligt återtog alla anmärkningar – bristen på substans gjorde situationen ohållbar för universitetets ledning. Men då hade universitetet redan åstadkommit stora skador genom att sprida personuppgifter utan saklig grund. Till historien hör att professorn var den mest vetenskapligt produktive på fakulteten, vilket var svårt att ta för en del kollegor.
11. Den 8 februari 1997 förekom i Bergslagsposten en stor fet rubrik ”LO-Facken tvingas säga upp kanslist” med en åtföljande text där personen namnges och det framgår att det gäller en lönebidragsanställning. Den uthängde har inte tillfrågats. Reportaget är undertecknat av redaktionschefen Göran Karlsson. Den 14 februari står följande insändare att läsa från den berörde och samme Göran Karlsson som skrev reportaget svarar med ett märkligt resonemang.
I samma tidning förekommer sedan åratal bland mycket annat ogenerat en praxis att ta in anonyma insändare med felaktiga och grundlösa sakuppgifter, även privata skvalleruppgifter, om offentliga personer utan att kontroll med den berörde först görs.
12. I en avdragsutredning 1996 beträffande datorutrustning i hemmet skriver en skattemyndighet utan att ha tagit reda på något i frågan följande: ”Skattemyndigheten anser att den persondator som Ni använt för arbetsuppgifterna till viss del även använts för privat bruk.” Trots att skattemyndigheten upplyses skriftligen och muntligen om att så inte är fallet och om att personen innehar ytterligare en dator för vilken avdrag inte yrkats, så kvarstår uppgiften i skattenämndens offentliga beslut, vilket en journalist tog fram – dock skrevs inget i pressen. Såvitt jag förstår finns inga hinder för att vägra den skattskyldige yrkat avdrag utan att samtidigt offentligt sprida fabuleringar om vad den skattskyldige använder datorn till.
13. Från en skola utskickades i februari 1997 till föräldrarna till eleverna i årskurs 2 ett formulär, som det på flera ställen står att de ”ska” fylla i till-
sammans med sitt barn. Någon frivillighet anges inte. Det står att enkäten skall skickas tillbaka till läraren. Exempel på frågor är följande:
– ”Hur trivs du i skolan?” ____________________________ Bra Mycket bra– ”Har du många kamrater?” ____________________________
Inga
Många
– ”Hur trivs du med dina lärare?” ____________________________
Inte så bra
Bra
– ”Hur tycker du att du uppträder
i skolan?” ____________________________
Inte så bra Bra
Att föräldrar och lärare bör muntligt diskutera uppkomna problem är en självklar sak, men att generellt kräva att elever i beroendeställning skall enligt strukturerade formulär uppge hur de t.ex. trivs med lärarna uppfattas av åtminstone en del som integritetskränkande. Det framgår inte om uppgifterna skall hanteras med sekretess, vem som kommer att få tillgång till dem, om de kommer att förvaras och i så fall på vad sätt och hur länge. Det framgår inte heller om de kan komma att användas i t.ex. sociala eller andra utredningar eller i domstol.
Sammanfattningsvis är det min – på genomgång av material under många år och kontakter med hundratals drabbade människor – grundade bedömning att allvarliga och på sina håll närmast systematiska integritetskränkningar i dag förekommer i Sverige genom att personuppgifternas kvalitet inte upprätthålls. Ur politisk synpunkt kan det också vara värt att påpeka att dessa kvalitetsbrister uppskattningsvis kostar det svenska samhället flera miljarder kronor årligen på grund av utebliven adekvat problemanalys och problemlösning, ignorerande av människors resurser, kontraproduktiv tidsanvändning, kostnadskrävande misstag och konflikter, felaktiga åtgärder, psykiska och sociala skador med samhälleliga följdkostnader m.m. Exempelvis har jag som sakkunnig sett exempel på hur det kan kosta i storleksordningen en halv miljon i enbart processkostnader, när en familjerättsutredare och en överläkare levererar ett antal osakliga personuppgifter i utredningspapper rörande en pappas umgänge med sin son. Mänskligt lidande, förtroendeskador på medborgar–myndighetsrelationer, känslor av att vara kränkt och förnedrad och skador på demokratin tillkommer och låter sig inte lätt översättas till ekonomiska termer. Sakligheten och etiken i
personuppgifterna måste skärpas avsevärt. Kvalitetshöjande arbete måste ske.
De här exemplifierade problemen förekommer även inom andra myndigheter och organisationer än de som här nämnts och tenderar att via till domstolar ingivna utredningsmaterial återfinnas även i domskrivningar, dvs. rättssäkerheten är berörd. Frågan varför intresset för personuppgifters kvalitet hittills varit så svagt från myndigheternas sida är viktig att ställa. En möjlig tolkning utöver okunnighet är att höjda kvalitetskrav kan minska myndigheternas möjligheter att som nu inte sällan utan saklig grund definiera verkligheten och skulle därmed stärka medborgarnas ställning gentemot myndigheterna. Det svaga intresset för brister i personuppgifters kvalitet kan handla om en strävan att förhindra sådan maktförskjutning. För att komma till rätta med kvalitetsproblemet krävs politiska initiativ. Exempelvis vore det rimligt att kvalitetsproblemet utreds och att det uppmärksammas vid konstruktion av lagtexter som berör personuppgifter. Även i förslaget till persondatalag kunde kvalitetskraven med fördel ha preciserats tydligare och ställts högre.
Några exempel på litteratur rörande personuppgifter, saklighet och källkritik
Ask, U., & Lundström, I. (1994). Kritisk granskning av BUP-utredningar.
Högskolan i Örebro, rapport.
Dahl, A., & Filipsson, C. (1995). Vårdnadsutredningar: En kritisk
granskning av 20 vårdnadsutredningar. Högskolan i
Örebro, rapport.
Dahl, O. (1967). Grunntrekk i historieforskningens metodelære. Oslo:
Universitetsforlaget.
Edvardsson, B. (1993a). Anmälarfallet. Modifierat sakkunnigyttrande. Edvardsson, B. (1993b). Dagisfallet. Modifierat sakkunnigyttrande. Edvardsson, B. (1995). Relationsfallet. Modifierat sakkunnigyttrande. Edvardsson, B. (1996a). Kritisk utredningsmetodik. Liber Utbildning. Edvardsson, B. (1996b). Flumfallet. Modifierat sakkunnigyttrande. Edvardsson, B. (1996c). Professorsfallet. Modifierat sakkunnigyttrande. Edvardsson, B. (1996d). Child protection investigations in the Swedish
social services – for the best of the children? Konferensföredrag under publicering.
Forsberg, A-C., & Örtenmalm, L. (1994). LVM-utredningar – en kritisk
granskning. Högskolan i Örebro, rapport.
Gunnarsson, L., & Johansson, C., & Karlsson, C. (1993). LVU-utredningar
– en kritisk granskning. Högskolan i Örebro, rapport.
Ivemyr, C., & Lindwall, C. (1995). Repetivitet i LVU-utredningar. Hög-
skolan i Örebro, rapport.
Naess, A. (1966). Empirisk semantik. Norstedts. Nilsson, B. (1993). Barnet i focus? Vissa faktorers inverkan i vårdnads-
och umgängesutredningar. Socialförvaltningen i Lund, rapport.
Trankell, A. (1963). Vittnespsykologins arbetsmetoder. Liber.
(Många fler rapporter etc. finns i dessa frågor.)
Särskilt yttrande av experten Jan Evers
med instämmande av
experten Rolf Nygren
Är offentlighetsprincipen förenlig med EG:s datadirektiv?
Inledning
Två utredningar – Datalagsutredningen (DLU) och Datalagskommittén (DLK) – har tagit ställning till frågan om den svenska offentlighetsprincipens förenlighet med EG:s datadirektiv.
DLU bedömde i sitt slutbetänkande (SOU 1993:10) det då föreliggande direktivförslaget från 1992, medan DLK behandlat den slutliga versionen från 1995. I den slutliga texten tillkom på svenskt initiativ en förklaringssats 72 i ingressen, vilken alltså inte fanns 1993. Beträffande artiklarna i direktivet finns vissa olikheter mellan den reviderade och den definitiva texten men ingen ändring har betydelse för nu aktuell fråga om normkollision. Vid en jämförelse mellan utredningarnas resonemang beträffande de enskilda artiklarna bör emellertid beaktas, att DLU i huvudsak utgått från de i ingressen angivna ändamålen medan DLK dessutom fäst stort avseende vid förklaringssats 72.
I regeringens direktiv till DLK anförs: ”I arbetet med direktivet har Sverige agerat hårt för att få till stånd sådana lösningar att direktivet inte står i motsättning till den svenska offentlighetsprincipen och annan grundlagsreglering. De svenska ansträngningarna på detta område har varit framgångsrika. Det finns i den gemensamma ståndpunkten inte någon bestämmelse som står i strid med tillämpning av den svenska offentlighetsprincipen. För att undanröja alla eventuella oklarheter vid tolkningen av direktivets förenlighet med offentlighetsprincipen, har på svenskt initiativ tagits in en klausul i ingressen som gör det möjligt att ta hänsyn till offentlighetsprincipen när direktivets bestämmelser införlivas i nationell rätt.”
DLK instämmer i vad som sägs i kommittédirektiven och argumenterar utförligt för sin ståndpunkt, dock utan att beröra DLU:s delvis motsatta uppfattning. DLU tolkade i flera avseenden artiklarna på annat sätt och ansåg att en normkollision förelåg.
Jag har funnit att framför allt förklaringssats 72 och artiklarna 6.1 b, 7 c samt 11 skapar problem som visar att tolkningsläget är mer komplicerat än DLK:s resonemang ger intryck av. Jag begränsar framställningen till ovan nämnda bestämmelser och förbigår bl.a. reglerna om känsliga uppgifter och om gallring.
Förklaringssats 72
Enligt den sista punkten i direktivets ingress gör direktivet det möjligt ”att vid genomförandet av dessa bestämmelser ta hänsyn till principen om allmänhetens tillgång till allmänna handlingar”.
DLK fäster stor vikt vid denna sats och anför: ”Vi anser att det är möjligt att – mot bakgrund av den uttryckliga bestämmelse som har tagits in i punkt 72 i ingressen – tolka bestämmelserna i EG-direktivet på ett sådant sätt att det som är grundlagsfäst eller annars särskilt betydelsefullt beträffande offentlighetsprincipen kan behållas.”
Det finns emellertid tre omständigheter som enligt min mening begränsar vikten och räckvidden hos punkt 72.
För det första är termen ”allmän handling” speciell för Sverige (och Finland). Den engelska, franska respektive tyska motsvarigheten i ingresstexten är ”official document”, ”document administratif” och ”amtliches Dokument”. Till skillnad från det svenska offentligrättsliga begreppet, som omfattar både inkomna och upprättade handlingar som förvaras hos en myndighet, innefattar de utländska begreppen bara i tjänsten upprättade handlingar och inte t.ex. inlagor från enskilda. Denna skillnad är betydelsefull och frågan är hur EG-domstolen skulle bedöma saken om den önskade fastlägga en EG-gemensam betydelse. Skulle den vidare svenska (och finska) begreppsbildningen väljas framför de andra medlemsländernas snävare begrepp?
För det andra är uttrycket ”ta hänsyn till” (”take into account”, ”prendre en compte”, ”die Berücksichtigung”) svagt och vagt. Man kan jämföra med den uttryckliga undantagsbestämmelsen i artikel 9, där medlemsländerna för vissa ändamål som rör yttrandefriheten ”skall […] besluta om undantag och avvikelser från bestämmelserna i detta kapitel”.
För det tredje har ingressen till ett direktiv ingen egentlig ställning som rättskälla. EG-domstolen åberopar visserligen ofta de uttalanden om ett direktivs ändamål som finns i företalen, men jag känner inte till något fall där en förklaringssats har använts till att undantränga en tydlig bestämmelse i en artikel.
Tillsammans ger de tre anförda omständigheterna anledning till försiktighet vid bedömningen av om och i vad mån punkt 72 innehåller en derogationsregel.
Artikel 6.1 b
Artikel 6.1 b kräver att personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att senare behandling av uppgifterna inte får ske på ett sätt som är oförenligt med dessa ändamål. Enligt legaldefinitionen i artikel 2 är utlämnande en form av behandling.
DLK anför: ”Enligt vår uppfattning kan en myndighets utlämnande av personuppgifter med stöd av offentlighetsprincipen inte anses vara oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in. Offentlighetsprincipen framgår av grundlagarna och får anses vara en integrerad del av all förvaltningsverksamhet som myndigheterna ägnar sig åt.”
DLU hade att ta ställning till samma artikel (med den skillnaden att det stod ”skall vara förenlig” i stället för ”får inte vara oförenlig”, vilket av rent formallogiska skäl inte gör någon skillnad i sak). Utredningen gjorde följande bedömning: ”En myndighet får […] samla in personuppgifter endast om uppgifterna skall behandlas i den verksamhet som myndigheten är ålagd att utföra. Ändamålet med behandlingen av uppgifterna skall definieras så klart som möjligt i enlighet härmed. Enligt utredningen kan man inte gärna hävda att en myndighet samlar in uppgifter för att tillgodose offentlighetsprincipen. Innebörden härav är att ändamålet med behandlingen av uppgifter inte kan bestämmas på det sättet att det skall tillgodose offentlighetsprincipen. Ett utlämnande av personuppgifter med stöd av offentlighetsprincipen kan därmed inte anses förenligt med den ändamålsangivning som artikel 6.1 b föreskriver.”
Problemet kan kort och gott uttryckas så: Innebär ett utlämnande av personuppgifter till en anonym person för vilket okänt ändamål som helst en tillräckligt preciserad ändamålsangivelse i direktivets mening? Det förefaller inte uppenbart att frågan bör bejakas.
Artikel 7 c
Enligt artikel 7 c får behandling av personuppgifter ske om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige.
DLK framhåller att de registeransvariga myndigheterna är rättsligt förpliktade att följa bl.a. grundlagsreglerna om utlämnade av allmänna handlingar och utlämnandet är också ett led i deras myndighetsutövning. Utlämnandet är alltså tillåtet enligt artikel 7 c.
Även DLU redovisade denna tolkningsmöjlighet men karakteriserade den som bokstavstolkning, vilken antagligen inte var förenlig med direktivets syfte: ”Enligt utredningen måste det anses tveksamt om den aktuella punkten verkligen kan ta sikte på bl.a. utlämnande enligt offentlighetsprincipen. Vad som talar för denna tolkning är att offentlighetsprincipen i betydelsen rätten att ta del av allmänna handlingar som den til??lämpas i Sverige saknar närmare motsvarighet i EG:s medlemsländer. Av betydelse för tolkning är också att syftet med direktivförslaget är att fastställa en hög skyddsnivå, ett syfte som nog inte kan uppnås om offentlighetsprincipen som den tillämpas i Sverige får gälla. De författningar som avses torde vidare få uppfylla vissa krav på konkretion. Utredningen är därför närmast benägen att hävda den ståndpunkten att artikel 7 inte tillåter något utlämnande enligt offentlighetsprincipen, även om den ovan redovisade punkten enligt sin bokstav inte utesluter en sådan tolkning.” (S. 87.)
Såvitt jag kan bedöma är det inte möjligt att med ledning av direktivets ingress eller lagtext avgöra vilken grad av konkretion en åsyftad författningsbestämmelse måste ha. Även på denna punkt har domstolen sista ordet.
Artikel 11
Om personuppgifter samlats in från någon annan än den registrerade själv och skall lämnas ut till någon tredje man, skall enligt artikel 11 den registrerade obligatoriskt underrättas om åtminstone den registeransvariges eller dennes ställföreträdares identitet och om ändamålet med behandlingen. I vissa fall skall ytterligare information lämnas. Undantag gäller för det fall att den registrerade redan känner till informationen, det är omöjligt eller oproportionerligt ansträngande att ge den eller om registrering eller utlämnande uttryckligen föreskrivs i författning.
DLK anför beträffande artikel 11: ”Eftersom offentlighetsprincipen innebär att var och en kan få ut personuppgifter och att den som får uppgif-
terna i princip har rätt att vara anonym, kan den myndighet som samlar in uppgifter inte lämna information om till vilka personer uppgifterna kan komma att lämnas ut. Däremot kan information givetvis lämnas om att uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen till den som begär det. Härigenom får de registrerade – på det sätt direktivet kräver – information om till vilka kategorier av mottagare som uppgifterna kan komma att lämnas ut. Eftersom utlämnande enligt offentlighetsprincipen sedan lång tid tillbaka föreskrivs i svensk grundlag, kan det vidare förutsättas att allmänheten redan känner till den informationen. Därför torde det inte vara helt nödvändigt att lämna information i detta hänseende.”
DLU tolkade artikeln (dåvarande artikel 12) på annat sätt: ”Det skulle i anslutning till dessa undantag i direktivförslaget kunna hävdas att allmänheten i Sverige är väl medveten om offentlighetsprincipens existens. Vidare är såväl myndigheternas skyldighet att lämna ut allmänna handlingar som anonymitetsskyddet reglerade i grundlag.
De nu berörda undantagen i direktivförslaget torde dock inte ge utrymme för att lämna ut personuppgifter enligt offentlighetsprincipen. Informationsskyldigheten för den persondataansvarige enligt direktivförslaget syftar till att ge den enskilde kunskap om behandling som pågår i det särskilda fallet så att han i fråga om den enskilda datasamlingen kan utöva sina rättigheter enligt dataskyddsbestämmelserna. Vidare torde de författningar som åsyftas i direktivförslaget få uppfylla vissa krav på konkretion.” (S. 91.)
Härtill kan fogas den kommentaren att med hänsyn till det svenska anonymitetsskyddet den enskilde, vars uppgifter lämnats ut till någon tredje man inte kan få – med DLK:s tolkning – reda på mer än att mottagaren tillhör en kategori personer vilken som helst. Detta kan knappast vara en information som är tillräcklig enligt denna artikel. I själva verket har DLK gjort ett undantag till huvudregel och till och med till en huvudregel utan undantag.
En realistisk syn på tolkningsläget beträffande kollisionsfrågan ger enligt min mening en mer komplicerad bild än den som förmedlas av kommittédirektiven och kommitténs betänkande. Icke minst har jag vid denna bedömning tagit hänsyn till EG-domstolens tolkningsmetoder. Det är ostridigt i litteraturen att domstolen i stor utsträckning använder en teleologisk tolkningsmetod. Denna innebär, att både begreppsliga och materiella juridiska problem löses på det sätt som anses bäst förenligt med rättsaktens i fråga ändamål. Datadirektivets syfte är dels att skapa ett fritt flöde av personinformation mellan medlemsländerna dels – och som en
förutsättning för informationsfriheten – att skapa en gemensam, hög skyddsnivå för den personliga integriteten. Tolkningen av enskilda bestämmelser blir rimlig endast om dessa bakomliggande personrättsliga syften beaktas.
Särskilt yttrande av
experten Barbro Fischerström
Det centrala begreppet i regleringen av allmänhetens insynsrätt är ”allmän handling”. Kommittén har stannat för att föreslå att man överger detta begrepp och i stället i fortsättningen använder sig av begreppet ”allmän uppgift”. Fördelen med detta är uppenbar. Begreppet är teknikneutralt. Det förenklar lagregleringen av offentlighetsprincipen. Och det skapar överensstämmelse med sekretesslagens inskränkningar i rätten till insyn.
Avsikten med kommitténs förslag är inte att åstadkomma någon förändring i sak när det gäller allmänhetens insynsrätt. Enligt min mening finns ändå en risk för att så blir fallet. Skälet härför är att handlingen som sådan har fått en betydelse i detta sammanhang som underordnats uppgiftens.
I offentlighetssammanhang har handlingen en självständig betydelse. Insynsrätten skall inte begränsas till en rätt att få del av uppgifter utan gäller också rätten att få insyn i hur uppgifterna presenteras, i vilken ”miljö” som de förekommer. Detta framgår enligt min mening inte i den föreslagna lagstiftningen med den tydlighet som kan krävas.
Förvisso innebär förslaget att den uppgift som skall lämnas ut i förekommande fall tillhandahålls genom att den handling i vilken uppgiften förekommer lämnas ut. Men att handlingen lämnas ut är därmed närmast att se som en metod för att lämna ut offentliga uppgifter i stället för som en självständig rätt att få ut handlingen. Offentlighetsprincipens ”portalparagraf” (TF 2 kap. 1 §) borde enligt min mening innehålla ett erkännande av denna rätt.
Kommitténs arbete i denna del har i allt väsentligt varit inriktat på TF 2 kap. Någon noggrann analys av de konsekvenser som förslaget att överge allmän handling som centralt begrepp i detta sammanhang kan ha i andra delar av det tryck- och yttrandefrihetsrättsliga området har inte skett. Tiden har inte medgett en sådan analys. Detta är otillfredsställande och föranleder enligt min uppfattning osäkerhet om huruvida begreppsskiftet kan ske utan att det innebär eller medför sakliga förändringar inom det tryck- och yttrandefrihetsrättsliga området.
Särskilt yttrande av
experten Anders S Forsberg
Med anledning av Datalagskommitténs förslag vill jag göra följande kommentar:
Datalagskommitténs uppdrag att införliva EU:s dataskyddsdirektiv i svensk lagstiftning har varit en stor utmaning. Det är därför glädjande att konstatera att förslaget om en ny persondatalag och reviderad tryckfrihetsförordning m.m., innebär fundamentala förändringar, huvudsakligen i positiv riktning för både förvaltning och allmänheten. DALK har särskilt slagit vakt om offentlighetsprincipens fortsatta giltighet på ett sådant sätt att man stärkt rättssäkerheten och de demokratiska möjligheterna till insyn i förvaltningen m.m. Samtidigt har man lagt grunden för en utveckling mot elektronisk förvaltning. Förslaget kan därmed på lång sikt leda till bättre service för allmänheten och lägre förvaltningskostnader, under förutsättning att statsmakterna också etablerar väl avvägda spelregler för informationshanteringen i en elektronisk förvaltning.
Dessvärre måste konstateras att förslaget i viktiga delar är ofullständigt. Jag har sålunda svårt att utifrån DALK:s förslag fullt ut bedöma de verksamhetsmässiga och ekonomiska konsekvenserna för förvaltningen och efterlyser därför främst en ordentlig konsekvensbedömning av kommitténs förslag. Helt klart är att förslaget ställer alla myndigheter inför nya förutsättningar när det gäller informationsförsörjning och informationsuttag. Enligt kommittédirektiv 1994:23 är varje kommitté skyldig att göra en konsekvensbedömning av det förslag som läggs samt redogöra för hur förslaget skall finansieras.
Jag har därför underhand inhämtat uppgifter från ett antal registerhållande myndigheter vars primära uppdrag är att sprida offentlig information. Det visar sig vid närmare granskning att flera av dessa myndigheter i hög grad kommer att påverkas negativt av Datalagskommitténs förslag om inte regeringen senast när den föreslagna persondatalagstiftningen träder i kraft vidtagit åtgärder som ”mildrar” konsekvenserna. Huvudregeln i nya TF, att myndigheterna blir skyldiga inte bara att presentera utan också att lämna ut allmänna handlingar/uppgifter elektroniskt, kommer
enligt min bedömning att innebära betydande problem – åtminstone på kort sikt – för vissa av myndigheterna. Utrymme ges för vissa kompensatoriska åtgärder som neutraliserar delar av förslaget, men det saknas ett grundläggande resonemang kring de finansiella aspekterna.
För de myndigheter som är intäktsfinansierade, kommer kommitténs förslag att få stor ekonomisk betydelse med avseende på den mängd offentlighetsuttag som kan förväntas. Tyvärr saknas i betänkandet en realistisk analys, t.ex. av hur kommittén tänkt sig myndigheternas hantering av en begäran från privata aktörer om utlämnande av stora mängder allmänna uppgifter, s.k. massuttag för kommersiella ändamål. Enligt min bedömning kommer kommitténs förslag att leda till oacceptabla konsekvenser för centrala delar av förvaltningen beträffande möjligheten till massuttag. Flera myndigheter har i dag mandat att tillämpa en högre uttagskostnad än vad avgiftsförordningen medger. För dessa myndigheter föreligger en uppenbar risk för underskott i verksamheten som måste täckas med intäkter från annat håll – eller finansieras över statsbudgeten. DALK har heller inte fört något principiellt resonemang kring prissättning av informationsuttag, vare sig det gäller offentlighetsuttag eller uttag för kommersiell försäljning – och om det bör föreligga någon skillnad härvidlag.
Sammanfattningsvis vill jag understryka att Datalagskommitténs förslag i grunden är riktiga, men att konsekvenserna för förvaltningens och statskassans del inte är tillräckligt belysta. Det är från mina utgångspunkter också oklart hur man tänkt sig att ett lagförslag som syftar till ökad elektronisk insynsmöjlighet m.m. ska kunna förverkligas i praktiken på bred front inom förvaltningen – utan att det finns en väl utvecklad finansieringsmodell för utbyggnaden av en elektronisk informationsinfrastruktur, som ju ska möjliggöra en allmän tillgänglighet till information i elektronisk form.
Min slutsats är således att förslaget i sin nuvarande form dels, riskerar att bli ”en kakelugn i papp”, på grund av att den elektroniska tillgängligheten är ojämn, dels är underfinansierat i storleksordningen ett par hundra miljoner kronor. Det kan inte uteslutas att underskottet kan komma att bli betydligt större. Enbart Datalagskommitténs förslag om Datainspektionens nya organisation och finansiering innebär uteblivna licensavgifter på ca 55 milj. kr årligen som därmed undergräver statsfinanserna med samma belopp.
Särskilt yttrande av experten Jan Freese
Den personliga integriteten skyddas inte bara av datalagen (1973:289). Andra regelverk av stor betydelse för skyddet är tryckfrihetsförordningens regler om allmänna handlingars offentlighet och sekretesslagen (1980:100), som balanserar tryckfrihetsförordningen när insynen enligt den blir för stor. Speciallagar på områdena för inkasso och kreditupplysning liksom TV-övervakning är andra exempel. Mera allmänt har regler bl.a. inom straff-, process- och förvaltningsrätt också stor betydelse för personskyddet.
Trots att skyddet för den personliga integriteten till och från stått i fokus och ofta angetts som beaktansvärt i allehanda lagstiftningsarbeten under mer än tre decennier har den skyddade personliga sfären fortlöpande inskränkts. En jämförelse med den av Stig Strömholm i Svensk Juristtidning 1971 (s. 698 f.) publicerade kränkningskatalogen eller kartläggningen i Offentlighets- och sekretesslagstiftningskommitténs betänkande (SOU 1972:47) Data och integritet och dagsläget talar sitt tydliga språk. Utvecklingen har bidragit till att utländska forskare som t.ex. David Flaherty, University of Western Ontario, redan 1989 i den internationella översikten Protecting Privacy in Surveillance Societies (Chapel Hill) utnämnde Sverige till ett ”övervakningssamhälle”.
Orsaken till denna utveckling är naturligtvis att det alltför ofta ansetts finnas skäl som betraktats som mer behjärtansvärda – fiskaliska eller till synes rationella m.fl. – att tumma på den personliga integriteten utan att se till det förödande helhetsresultatet. Tydliga exempel är skatteregisterlagen (1980:343) och skatteregisterförordningen (1980:666) som vid tillkomsten utlovades vara uttömmande från början. Få regelverk har kompletterats så mycket under resans gång. Andra påtagliga områden är sjuk- och socialförsäkringens.
I stället för att försöka sätta sig in i IT-utvecklingens effekter på människor och samhälle och överväga alternativa administrativa rutiner, anpassade till IT-åldern, har bl.a. allehanda samkörningar fått företrädesrätt. Resultatet har menligt inverkat på integritetsskyddet samtidigt som det ge-
nom den unika integreringen av personregistren nu inför Millenniumskiftet försätter Sverige i en väsentligt sämre position än andra länder.
Föreliggande förslag följer självfallet Europaparlamentets och Rådets datalagsdirektiv 95/46/EG som anpassats till Europarådskonventionen och OECD:s Guide Lines från 1980, vilka tog starka intryck från den svenska datalagen i 1973 års skepnad och den i sin tur följde Europarådets två resolutioner, då i tillblivelse, från 1973 och 1974 (res. 73:22 och 74:29). Resultatet har – i en tid då en PC-generation är tre till sex månader och teknikkonvergensen med alla sina effekter blir allt tydligare – blivit en föråldrad legal produkt som till skillnad från i en del andra länder inte kommer att leda till ett tillfredsställande integritetsskydd. Dessutom blir regelverket svårt att tillämpa.
Det hade funnits all anledning att, naturligtvis med beaktande av EU:s särskilda krav, utveckla en modern och mer generell integritetsskyddslagstiftning som hade blivit, dels mer varaktig, dels liksom datalagen 1973 vägledande för andra (medlems)länder.
Slutligen har jag inte övertygats om att punkten 72 i förarbetena till direktivet medger särbehandling annat än i exceptionella fall. Formuleringen kan knappast avse ett generellt undantag. För den händelse så ändock skulle vara fallet borde en sådan tolkning kullkasta grunderna för direktivet.
Särskilt yttrande av
experten Margareta Åberg
Nuvarande datalag omfattar endast bearbetning på ADB-medium. Ordet ”data”, som betyder uppgift, har därigenom kommit att förknippas med datorer. Det är därför missvisande att kalla en lag som omfattar annan teknik än ADB och även manuell hantering av personuppgifter för persondatalag. Lagen bör i stället få en rubrik som visar att den handlar om skydd av den personliga integriteten (jfr engelskans privacy). Den kan uttryckas på olika sätt, t.ex. integritetsskyddslag, lag om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter eller helt enkelt lag om behandling av personuppgifter (jfr Registerutredningens förslag till lag om polisens behandling av personuppgifter). I lagtexten bör ”persondata” bytas ut mot personuppgift.
Den föreslagna lagen skall tillämpas av många människor inom vitt skiftande samhällssektorer. Det ställer stora krav på lagens utformning. I den mån den nu gällande datalagen har medfört tolkningsproblem har tillståndssystemet inneburit att bedömningarna har gjorts i de enskilda fallen av Datainspektionen. När bedömningarna i större utsträckning i stället skall göras av den som avser att behandla personuppgifter själv behövs klara och precisa regler. Där brister den föreslagna lagen vilket särskilt hänger samman med att regler ur direktivet är direkt överförda till lagen. Dessa regler är så allmänt hållna att de kräver precisering och anpassning till svenska förhållanden. Precisering kommer med den föreslagna lagstiftningstekniken i stället att behöva göras i ett senare led av någon annan, regeringen, tillämpande myndighet eller enskilda. Särskilt bekymmersamt är att man inte direkt kan utläsa vad som är tillåtet resp. förbjudet.
När det gäller behandling av personuppgifter har från direktivet till lagförslagets 10 § g) hämtats att personuppgifter får behandlas oberoende av samtycke ”för ändamål som rör ett berättigat intresse hos den persondataansvarige eller hos sådana tredje män till vilka personuppgifterna lämnas ut när detta intresse väger tyngre än den registrerades intresse”. Denna bestämmelse är inte bara alltför generellt utformad och därför svår att til??lämpa utan också alltför tillåtande. Av motiveringen kan utläsas att
den bl.a. tar sikte på marknadsföring. Behandling för direkt marknadsföring bör i vart fall inte vara tillåten av uppgifter som lämnats med tvång till en myndighet utan att den som uppgifterna gäller i förväg gett sitt samtycke. Kommersialiseringen av offentliga uppgifter, dvs. behandling för kommersiella ändamål av uppgifter som man inte kan underlåta att lämna till myndigheter, är ett allvarligt integritetsproblem. En sådan behandling strider också mot grundtanken i direktivet om behandling för på förhand bestämda ändamål. Även om det rör sig om uppgifter som är harmlösa i sig kan en behandling komma att ske på ett sätt som kränker enskildas personliga integritet och där den enskilda har mycket svårt att värja sig särskilt vid behandling utanför Sverige. Ett särskilt bekymmer i detta sammanhang är också SPAR och dess försäljning av personuppgifter för kommersiella ändamål. En verksamhet som mot bakgrund av direktivet starkt kan ifrågasättas.
En viktig tanke bakom de nya reglerna är att tillsynsmyndigheten skall befrias från en rad rutinuppgifter. Samtidigt skapas en ny sådan uppgift i 4 § tredje stycket. Denna uppgift skulle mycket väl kunna utföras av någon annan myndighet, t.ex. Patent- och registreringsverket. Den som söker en uppgift om vem som företräder ett utländskt bolag eller dess dotterbolag i Sverige vänder sig rutinmässigt ändå dit i alla frågor.
I 20 § föreslås ett bemyndigande att föreskriva undantag från förbudet att behandla känsliga uppgifter. Undantaget kan avse i princip vad som helst och bör för att tillgodose integritetsskyddet begränsas så att det för undantag inte är tillräckligt med ett allmänt intresse av enbart ekonomisk natur.
Överföring av personuppgifter till stater som anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter tillåts generellt i 34 § andra stycket. I vilken omfattning överföringar till stater som inte är medlemmar i EU skall få ske kan inte vara enbart en nationell fråga. Syftet med direktivet är gemensamma regler inom EU och en gemensam hållning mot omvärlden. Det senare kan bara uppnås om de enskilda staterna och kommissionen tillsammans kommer fram till rimliga lösningar. Det gäller inte enbart Europarådskonventionen. F.n. pågår förhandlingar inom EU huruvida EU skall ansluta sig till Europarådets dataskyddskonvention. Uppfattningarna huruvida konventionen tillgodoser dataskyddsdirektivet är divergerande länderna emellan. Något generellt undantag för konventionsländerna kan mot bakgrund härav inte tillrådas.
I 44 § finns en bestämmelse om straff för osanna uppgifter. Det straffbara området har starkt begränsats och det föreslagna straffet är böter eller fängelse i högst sex månader eller om brottet är grovt fängelse i högst två år. I dag är straffmaximum fängelse i ett år vilket innebär en preskriptionstid på två år. De brott mot datalagen som anmäls är relativt få. De prioriteras normalt inte särskilt högt hos polis- och åklagarmyndigheter vilket ofta innebär att brotten preskriberas innan de hunnit utredas. För att utredning skall komma till stånd behövs en längre preskriptionstid. Det innebär i sin tur att straffskalan bör omfatta fängelse i högst två år. Någon uppdelning i normalbrott och grovt brott bör inte göras. Hur grovt brottet varit får avspeglas i straffet. Vidare skulle med utredningens förslag möjligheterna att använda tvångsmedel, t.ex. beslag ytterligare begränsas.
Den nya lagen skall enligt direktivet träda i kraft senast den 24 oktober 1998. Praktiska skäl eller traditioner i fråga om grundlags ikraftträdande kan inte motivera att lagen inte skulle träda i kraft förrän den 1 januari 1999. Den tid som den gamla lagen skall tillämpas på redan pågående behandlingar, i vart fall när det gäller register som förs med stöd av Datainspektionens beslut eller författningar, bör vara så kort som möjligt. Ett år framstår som en tillräcklig övergångstid.
BILAGA 1:
UTREDNINGS-
DIREKTIVEN
INNEHÅLL:
Inledning...................................................................................................711
Sammanfattning av uppdraget ..............................................................711
Bakgrund ..................................................................................................711
Förslaget till dataskyddsdirektiv ...........................................................712
Handlingsbegreppet m.m........................................................................714
Uppdraget.................................................................................................716
Datalagstiftning .........................................................................................716 Allmänna handlingars offentlighet............................................................717
Övrigt .......................................................................................................718
Regeringens direktiv till Datalagskommittén (dir. 1995:91)
Inledning
Vid sitt sammanträde torsdagen den 15 juni 1995 beslutade regeringen direktiv för utredningen (dir. 1995:91). Direktiven innehåller följande.
Sammanfattning av uppdraget
En parlamentariskt sammansatt kommitté tillkallas med uppgift att analysera på vilket sätt ett kommande EG-direktiv om skydd för personuppgifter skall införlivas i svensk lagstiftning samt lägga fram förslag till en ny lag på området.
Kommittén skall också föreslå de ändringar i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet som är motiverade för att grundlagsregleringen skall vara anpassad till den nya tekniken och terminologin på området.
Bakgrund
Datalagen (1973:289) syftar till att skydda den enskilde mot otillbörligt intrång i den personliga integriteten till följd av att personuppgifter registreras med hjälp av automatisk databehandling (ADB). Datainspektionen har till uppgift att pröva ansökningar om tillstånd och utöva tillsyn enligt datalagen.
Lagen kom till år 1973 och var den första lagen i världen av denna typ med nationell räckvidd. Sedan dess har utvecklingen inom informationstekniken (IT) medfört en alltmer ökande datoranvändning i samhället. Detta har bl.a. lett till att många europeiska länder infört någon form av speciallagstiftning till skydd för den personliga integriteten.
Datalagens grundläggande drag är oförändrade trots att det nu är över tjugo år sedan den tillkom. Lagen får därför i dag såväl innehållsmässigt som till sin lagtekniska utformning anses vara föråldrad.
Utvecklingstakten inom informationstekniken har sedan datalagens tillkomst varit i det närmaste explosionsartad. ADB-tekniken har kommit att användas på de flesta områden och den har fått en allt större betydelse för samhällsutvecklingen. Ett exempel på teknikens nya landvinningar är den kraftigt ökade användningen av globala datanätverk, t.ex. Internet, som lett till tidigare oförutsedda möjligheter att snabbt och billigt överföra information från en dator till en annan via telenätet. Utvecklingen har också medfört att olika medier används i en kedja, exempelvis satelliter, faxar, telefoner, datorer och papper. Likaså har s.k. multimedia fått ett vidgat utrymme.
Denna utveckling leder till att personuppgifter registreras, kommuniceras, bearbetas, lagras osv. i en ständigt ökande takt. Utvecklingen medför också ökade risker för att den enskildes personliga integritet kränks.
Redan vid datalagens tillkomst förutsattes att den skulle ses över inom en snar framtid. Så har också skett i olika etapper. Den senaste utredningen på området, Datalagsutredningen, lade fram sitt slutbetänkande En ny datalag (SOU 1993:10) i februari 1993.
Jämsides med Datalagsutredningens arbete pågick inom EG ett arbete med att ta fram ett direktiv om skydd för personuppgifter. Något direktiv fanns inte när Datalagsutredningen presenterade sitt slutbetänkande. Detta var en av orsakerna till att regeringen i proposition 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. gjorde bedömningen att utarbetandet av en ny datalag borde anstå till dess det fanns ett slutligt ställningstagande av EU:s medlemsländer till ett direktivförslag.
EU:s ministerråd har den 20 februari 1995 antagit en gemensam ståndpunkt i fråga om ett förslag till ett direktiv om skyddet för enskilda personer med avseende på behandlingen av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet, och ett slutligt ställningstagande till förslaget till direktiv förväntas under innevarande år. Det finns därför inte längre skäl att vänta med att inleda det angelägna arbetet med en ny lagstiftning på området.
Förslaget till dataskyddsdirektiv
Syftet med direktivförslaget är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter
medlemsländerna emellan. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.
I förslaget har man strävat efter flexibla lösningar som lämnar utrymme för medlemsstaterna att införliva direktivet på ett sätt som är förenligt med den nationella lagstiftningstraditionen på området och som tar hänsyn till att integritetsskyddet varierar från ett land till ett annat.
I arbetet med direktivet har Sverige agerat hårt för att få till stånd sådana lösningar att direktivet inte står i motsättning till den svenska offentlighetsprincipen och annan grundlagsreglering. De svenska ansträngningarna på detta område har varit framgångsrika. Det finns i den gemensamma ståndpunkten inte någon bestämmelse som står i strid med en tillämpning av den svenska offentlighetsprincipen. För att undanröja alla eventuella oklarheter vid tolkningen av direktivets förenlighet med offentlighetsprincipen, har på svenskt initiativ tagits in en klausul i förslagets ingress som gör det möjligt att ta hänsyn till offentlighetsprincipen när direktivets bestämmelser införlivas i nationell rätt.
Huvuddragen i direktivförslaget är följande. Direktivet är tillämpligt på all behandling av personuppgifter och således också på manuella register, dock endast på sådana manuella register som är sökbara utifrån särskilda kriterier. Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten (t.ex. den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område) och inte heller på register för personligt bruk. Behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål undantas från direktivets materiella bestämmelser.
Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet.
Personuppgifter får behandlas endast när samtycke lämnats, när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det finns en i författning reglerad förpliktelse att behandling av uppgifterna skall ske, när det är nödvändigt för att skydda den enskildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller slutligen, om det i övrigt skett en intresseavvägning som resulterat i att behandling av personuppgifter skall få ske.
Känsliga uppgifter (ras, religion, politisk åsikt, facklig tillhörighet, hälsotillstånd etc.) får inte behandlas. Dock gäller vissa undantag, bl.a. vid
den enskildes uttryckliga samtycke, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerad skyldighet.
Medlemsstaterna skall bestämma på vilka villkor personnummer får behandlas.
När personuppgifter samlas in skall de registrerade informeras om bl.a. vem som är registeransvarig och vad uppgifterna skall användas till.
All behandling av personuppgifter skall enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande från anmälningsskyldigheten undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter.
Behandling av personuppgifter som innebär särskilda integritetsrisker får inte förekomma utan att tillsynsmyndigheten först givit tillstånd till detta.
Den registrerade skall ha rätt att få sina rättigheter enligt den nationella lagen prövade av tillsynsmyndigheten och domstol.
Överföring av personuppgifter till ett tredje land får i princip endast ske om det mottagande landet har en acceptabel skyddsnivå.
Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha undersökningsbefogenheter och befogenheter att effektivt ingripa mot otillåten behandling av personuppgifter.
Medlemsstaterna skall införliva direktivet i nationell rätt inom tre år. För de automatiska register som redan finns är föreskrivet en övergångsperiod på ytterligare tre år. För redan existerande manuella register är övergångsperioden utsträckt till, som längst, tolv år.
Handlingsbegreppet m.m.
En fråga som är av central betydelse för lagstiftningen på IT-området är tryckfrihetsförordningens (TF) bestämmelser om allmänna handlingars offentlighet (2 kap.).
Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall, enligt 2 kap. 1 § TF, varje svensk medborgare ha rätt att ta del av allmänna handlingar. Rätten att ta del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till vissa särskilt i TF angivna intressen, t.ex. rikets säkerhet, intresset att förebygga eller beivra brott, skyddet för enskilds personliga eller ekonomiska förhållanden. Begränsning av rätten att ta del av allmänna handlingar skall anges noga i en sär-
skild lag, sekretesslagen (1980:100), eller i en annan lag som sekretesslagen hänvisar till. Sekretesslagen innehåller också bestämmelser om bl.a. registrering och hemligstämpling av allmänna handlingar (15 kap.). Sekretesslagen utgör tillsammans med datalagen en viktig del av integritetsskyddet i Sverige inom den offentliga sektorn.
Rätten att ta del av allmänna handlingar utgör grunden för det offentliga arkivväsendet. I arkivlagen (1990:782), som innehåller grundläggande föreskrifter om arkiv hos såväl statliga som kommunala myndigheter, finns bestämmelser om vad som ingår i en myndighets arkiv samt om vård och gallring av arkiv.
Rätten att ta del av material hos myndigheterna har från början gällt ”handlingar”. Med detta begrepp har ursprungligen avsetts pappersdokument. Genom 1949 års TF klargjordes att det också omfattade kartor, ritningar och bilder. År 1974 infördes nya bestämmelser i TF som slog fast att i princip samma regler som gällde för handlingar av traditionell typ skulle tillämpas på tekniska upptagningar inklusive ADB-upptagningar. Med upptagning för ADB skulle avses en uppgift som är fixerad på någon form av datamedium och som antingen finns i eller kan matas in i en datamaskin. I begreppet upptagning för ADB skulle också ligga att informationen var läsbar endast med ADB-teknik (prop. 1973:33). Den 1 januari 1978 fick TF:s regler om allmänna handlingars offentlighet en helt ny lydelse. I sak innebar den nya lydelsen dock inte någon större förändring.
Data- och offentlighetskommittén, DOK (Ju 1984:06) tillkallades år 1984 för att utreda användningen av personnummer i samhället. Kommittén fick genom tilläggsdirektiv (dir. 1984:48) i uppdrag att också utreda de problem som ansågs vara förenade med offentlighetsprincipens tillämpning på upptagningar för automatisk databehandling (ADB). Kommittén skulle särskilt överväga åtgärder för att stärka offentlighetsprincipen när det gällde dess egentliga syfte att ge medborgarna möjligheter till kontroll och insyn i myndigheternas verksamhet.
Kommittén avlämnade i december 1988 sitt slutbetänkande Integritetsskyddet i informationssamhället 5 (SOU 1988:64), där offentlighetsprincipens tillämpning på upptagningar för ADB behandlades.
I proposition 1990/91:60 om offentlighet, integritet och ADB lämnade härefter regeringen förslag som syftade till att stärka offentlighetsprincipen i fråga om ADB-upptagningar. I propositionen föreslogs vissa ändringar i tryckfrihetsförordningen. Departementschefen delade DOK:s uppfattning att svårigheterna med ADB-upptagningar i den praktiska tillämpningen av offentlighetsprincipen inte bör lösas genom någon genomgripande ändring
av de grundläggande bestämmelserna i 2 kap. TF. Oavsett vilka begrepp man använder sig av kommer sannolikt samma problem att kvarstå från offentlighetssynpunkt. Nya begrepp skulle enligt departementschefen tvärtom skapa fler problem än de skulle lösa. Departementschefens slutsats var att det inte fanns skäl att ändra begreppsapparaten i TF i fråga om ADB-upptagningar. Förslagen antogs av riksdagen (bet. 1990/91:KU11, rskr. 1990/91:160, bet. 1991/92:KU2, rskr. 1991/92:3).
I januari 1995 publicerades LEXIT, en rapport som är resultatet av ett utredningsarbete för vilket Datainspektionen ansvarat. I rapporten redovisas rättsliga hinder från rent verksamhetsmässiga utgångspunkter för en rationell IT-användning i förvaltningen. Där förordas bl.a. att datalagen skall ersättas av en teknikoberoende, mer generellt utformad integritetsskyddslagstiftning. Vidare påpekas att begreppet handling är svårt att applicera i en medievärld där bild, text och ljud förenas samt att arkivlagstiftningen blir allt svårare att tillämpa på grund av nuvarande handlingsbegrepp.
Uppdraget
Datalagstiftning
Enligt 2 kap. 3 § andra stycket regeringsformen skall varje medborgare i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av ADB.
Den nuvarande datalagen får mot bakgrund av utvecklingen på området anses vara såväl innehållsmässigt som till sin lagtekniska utformning föråldrad. Behovet av en total revision av datalagen är därför stort.
I och med att EU-rådet har antagit en gemensam ståndpunkt i fråga om direktivet om skydd för personuppgifter har den tidigare osäkerheten om den slutliga utformningen av direktivet till stor del undanröjts. Det föreligger därmed inte längre något hinder för det fortsatta arbetet med att revidera datalagen.
En kommitté skall därför tillkallas för att ta fram en ny lagstiftning på området. Utgångspunkten för kommitténs arbete skall vara att tillförsäkra den enskilde ett fullgott integritetsskydd i IT-samhället. Intresset av ett starkt integritetsskydd får dock inte hämma användningen av ny teknik i samhällsutvecklingen och får inte heller försvåra behandling av personuppgifter för forsknings- eller statistikändamål.
Ett dataskyddsdirektiv innebär inte att man skall anta en gemensam lag för hela EU. Ett direktiv är endast bindande i fråga om det resultat som skall uppnås och överlämnar åt medlemsstaterna att själva välja form och metod för detta. Dataskyddsdirektivet utgör därför en ram inom vilken medlemsländerna genom nationell lagstiftning skall införliva de principer som fastställs i direktivet. Medlemsländerna får själva bestämma i vilken utsträckning de vill utnyttja den spännvidd som kan finnas i de olika bestämmelserna.
Kommittén skall i sitt arbete utgå från hur en svensk lagstiftning bör utformas med beaktande av utvecklingen på området och de i sammanhanget långvariga erfarenheter vi har av den nuvarande datalagen. Utifrån denna utgångspunkt skall kommittén analysera på vilket sätt en sådan framtidsanpassad och modern lagstiftning kan göras förenlig med vad som anges i EG-direktivet.
Kommittén skall i sitt arbete bl.a. beakta utvecklingen på IT-området samt även den fortsatta utveckling som kan överblickas. Kommittén skall utgå från att en kommande lag skall vara teknikoberoende.
Datalagsutredningens slutbetänkande En ny datalag (SOU 1993:10), som till stor del bygger på EG-kommissionens förslag till direktiv från oktober 1992 kan, tillsammans med remissynpunkterna på betänkandet, utgöra ett värdefullt underlag i utredningens arbete.
Allmänna handlingars offentlighet
Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att ta del av allmänna handlingar. Detta är ett uttryck för offentlighetsprincipen. Genom denna skall rättssäkerheten, effektiviteten i förvaltningen och effektiviteten i folkstyret garanteras. Offentlighetsprincipen ger medborgarna möjlighet till kontroll och insyn i myndigheternas verksamhet. Offentlighetsprincipen är en viktig del i det svenska rättssystemet. Reglerna i TF om allmänna handlingars offentlighet skall ses över med hänsyn till utvecklingen på IT-området. Syftet med översynen är inte att förändra offentlighetsprincipen utan att överväga hur den skall kunna tillämpas under nya tekniska förutsättningar. Lagstiftningen måste vara anpassad till dagens förhållanden, och om möjligt även till framtidens. Den skall utformas så oberoende som möjligt av tekniska begrepp och termer. Allmänhetens tillgång till information skall vara oberoende av vilket sätt myndigheterna valt för att registrera denna information.
Kommittén skall särskilt överväga om begreppet handling i TF är ändamålsenligt eller om det bör ersättas. Utgångspunkten har tidigare varit att information hos en myndighet i princip alltid har funnits på ”papper” och att med handling (konventionell handling) förståtts t.ex. ett pappersdokument. Med den utveckling som ägt rum har med handling också kommit att förstås tekniska upptagningar inklusive ADB-upptagningar. Med den nya tekniken blir anknytningen till ett pappersdokument inte längre självklar.
Varje sammanställning av sakligt sammanhängande uppgifter som en myndighet kan göra med hjälp av tillgängliga program är att anse som en handling hos myndigheten. Förutsättningen är endast att sammanställningen skall kunna göras med rutinbetonade åtgärder. Därmed avses att det skall vara fråga om en begränsad arbetsinsats och utan nämnvärda kostnader. De konstellationer av uppgifter som kan göras tillgängliga på detta sätt brukar benämnas potentiella handlingar. En sådan handling är också att betrakta som allmän, under förutsättning att den förvaras hos myndigheten och är inkommen till eller upprättad hos myndigheten. En annan fråga som på nytt kan behöva analyseras utifrån utvecklingen mot globala nätverk är innebörden av den s.k. biblioteksregeln i 2 kap. 11 § andra stycket TF.
En anpassning av bestämmelserna som reglerar allmänna handlingars offentlighet till nya tekniska förutsättningar skall således göras och förslag till grundlagsändringar läggas fram. En förändring av TF:s grundbegrepp eller rent av införandet av en ny begreppsapparat kan bli aktuell. Kommittén skall även redovisa hur dess förslag påverkar reglerna om arkiv.
Övrigt
Kommittén skall ha stor frihet att ta upp de ytterligare frågor som den finner behöver övervägas inom ramen för uppdraget.
Regeringen tillsatte i maj 1994 en utredning med uppgift att utarbeta sådana förslag till rättslig reglering som kan behövas i samband med inrättandet av s.k. elektroniska anslagstavlor och för användningen av elektroniska dokument inom både förvaltningen och näringslivet (dir. 1994:42). Utredningsarbetet skall vara avslutat senast den 1 november 1995.
I september 1994 tillsatte regeringen en utredning om nya medier och grundlagarna m.m. (dir. 1994:104, tilläggsdirektiv dir. 1995:14). Kommittén har bl.a. till uppgift att analysera hur tryckfrihetsförordningen och yttrandefrihetsgrundlagen skall tillämpas på nya medier som används
vid förmedling av yttranden och annan information till allmänheten. Mot bakgrund av den analysen skall utredningen undersöka frågan om ett grundlagsskydd för moderna medier som nu inte har ett sådant skydd. Utredningsarbetet skall enligt direktiven vara avslutat vid utgången av 1996.
Kommittén bör hålla sig informerad om resultatet av dessa utredningars arbete och vid behov samverka med dem. Kommittén skall samråda med kommissionen för att främja en bred användning av informationsteknik (IT-kommissionen) som har i uppdrag att belysa olika rättsliga frågor inom det området.
För kommittén gäller regeringens direktiv att pröva offentliga åtaganden (dir. 1994:23), att redovisa de regionalpolitiska konsekvenserna av framlagda förslag (dir. 1992:50) och att redovisa jämställdhetspolitiska konsekvenser (dir. 1994:124). Kommittén skall bevaka den internationella utvecklingen på området.
Utredningsarbetet skall vara avslutat senast den 31 mars 1997.
BILAGA 2:
EG-DIREKTIVET
Europaparlamentets och rådets direktiv
95/46/EG
av den 24 oktober 1995
om skydd för enskilda personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter
INNEHÅLL:
ALLMÄNNA BESTÄMMELSER.........................................................738
Direktivets syfte................................................................................................... 738 Definitioner.......................................................................................................... 738 Tillämpningsområde............................................................................................ 739 Tillämplig nationell rätt....................................................................................... 740
ALLMÄNNA BESTÄMMELSER OM NÄR PERSONUPPGIFTER FÅR BEHANDLAS.........................................740
Principer om uppgifternas kvalitet............................................................741 Principer som gör att uppgiftsbehandling kan tillåtas ..............................741 Särskilda behandlingskategorier ...............................................................742
Behandlingen av särskilda kategorier av uppgifter ............................................. 742 Behandling av personuppgifter och yttrandefriheten........................................... 744
Informationsplikt till den registrerade ......................................................744
Information vid insamling av uppgifter från den registrerade............................. 744 Information när uppgifterna inte har samlats in från den registrerade ................ 744
Den registrerades rätt att få tillgång till uppgifter ....................................745
Rätt till tillgång.................................................................................................... 745
Undantag och begränsningar.....................................................................746
Undantag och begränsningar....................................................................746
Den registrerades rätt att göra invändningar.............................................747
Den registrerades rätt att göra invändningar........................................................ 747 Databehandlade beslut......................................................................................... 747
Sekretess och säkerhet vid behandling .....................................................748
Sekretess vid behandling ..................................................................................... 748 Säkerhet vid behandling ...................................................................................... 748
Anmälan.....................................................................................................749
Anmälningsplikt gentemot tillsynsmyndigheten ................................................. 749 Anmälans innehåll ............................................................................................... 750 Förhandskontroll.................................................................................................. 751 Behandlingarnas offentlighet............................................................................... 751
RÄTTSLIG PRÖVNING, ANSVAR OCH SANKTIONER...............752
Rättslig prövning ................................................................................................. 752 Ansvar.................................................................................................................. 752 Sanktioner............................................................................................................ 752
ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND ........................................................................................................753
Principer .............................................................................................................. 753 Undantag.............................................................................................................. 754
UPPFÖRANDEKODEX .........................................................................755
TILLSYNSMYNDIGHET OCH ARBETSGRUPP FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER...................................756
Tillsynsmyndighet ............................................................................................... 756 Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter.................................................................................................... 757
GEMENSKAPENS ÅTGÄRDER FÖR GENOMFÖRANDE............759
Kommittén........................................................................................................... 759
SLUTBESTÄMMELSER.......................................................................760
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 95/46/EG
av den 24 oktober 1995
om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV
med beaktande av Fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 100a i detta,
med beaktande av kommissionens förslag(1),
med beaktande av Ekonomiska och sociala kommitténs yttrande(2),
i enlighet med det förfarande som anges i fördragets artikel 189b(3), och med beaktande av följande: 1) Gemenskapens målsättningar som uttryckts i fördraget, såsom detta
ändrats genom Fördraget om Europeiska unionen, består i att förverkliga en allt fastare sammanslutning av de europeiska folken, i att upprätta allt närmare relationer mellan de stater som förenas i gemenskapen, i att säkerställa ekonomiska och sociala framsteg i sina länder genom gemensamma åtgärder för att undanröja de barriärer som delar Europa, i att fortgående förbättra levnadsvillkoren för dess folk, i att bevara och stärka fred och frihet och i att främja demokratin på grundval av de grundläggande rättigheter som erkänns i medlemsstaternas grundlagar och lagar liksom i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
(1) EGT nr C 277, 5.11.1990, s. 3, och EGT nr C 311, 27.11.1992, s. 30. (2) EGT nr C 159, 17.6.1991, s. 38. (3) Europaparlamentets yttrande av den 11 mars 1992 (EGT nr C 94, 13.4.1992,
s. 198), bekräftat den 2 december 1993 (EGT nr C 342, 20.12.1993, s. 30) rådets gemensamma ståndpunkt av den 20 februari 1995 (EGT nr C 93, 13.4.1995, s. 1) och Europaparlamentets beslut av den 15 juni 1995 (ännu inte offentliggjort i EGT).
2) Systemen för databehandling av uppgifter är till för människornas
skull. Oavsett fysiska personers medborgarskap eller hemvist måste systemen respektera dessa personers grundläggande fri- och rättigheter – särskilt rätten till privatlivet – och bidra till ekonomiska och sociala framsteg, handelns utveckling och enskilda personers välfärd.
3) Upprättandet av den inre marknaden och dennas funktion, som i en-
lighet med artikel 7a i fördraget innebär fri rörlighet för varor, personer, tjänster och kapital, förutsätter inte bara att personuppgifter fritt kan överföras från en medlemsstat till en annan utan också att enskilda personers grundläggande rättigheter skyddas.
4) Inom gemenskapen behandlas och används personuppgifter allt oftare inom olika ekonomiska och samhälleliga områden. Framstegen på informationsteknikens område har gjort det avsevärt lättare att behandla och utbyta sådana uppgifter. 5) Den ekonomiska och sociala integration som är en följd av upprättandet av den inre marknaden och dennas funktion i enlighet med artikel 7a i fördraget kommer med nödvändighet att leda till en betydande ökning av flödet av personuppgifter över gränserna mellan samtliga aktörer på de ekonomiska och samhälleliga områdena, oavsett om dessa aktörer tillhör den privata eller den offentliga sektorn. Utbytet av personuppgifter mellan företag i olika medlemsstater kommer att öka. De nationella myndigheterna i de olika medlemsstaterna måste som ett led i tillämpningen av gemenskapsrätten samarbeta och utbyta personuppgifter för att kunna fullgöra sina åligganden eller utföra arbetsuppgifter för en myndighet i en annan medlemsstat inom det område utan inre gränser som den inre marknaden innebär. 6) Det ökade vetenskapliga och tekniska samarbetet liksom det samord-
nade införandet av nya telekommunikationsnät inom gemenskapen nödvändiggör och underlättar dessutom det gränsöverskridande flödet av personuppgifter.
7) Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda
personers fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans. Denna skillnad kan därför utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen och hindra myndigheterna att fullgöra de skyldigheter som åligger dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på olikheter i nationella lagar och andra författningar.
8) För att hindren mot flöden av personuppgifter skall kunna avskaffas
måste skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana uppgifter vara likvärdig
i alla medlemsstater. Denna målsättning är av grundläggande betydelse för den inre marknaden men kan inte uppnås genom åtgärder endast av medlemsstaterna, i synnerhet med tanke på omfattningen av de skillnader som för närvarande finns mellan nationell lagstiftning på området och med tanke på behovet av att samordna lagstiftningen i medlemsstaterna för att säkerställa en sådan enhetlig reglering av det gränsöverskridande flödet av personuppgifter som överensstämmer med målsättningen för den inre marknaden enligt artikel 7a i fördraget. Det är därför nödvändigt att gemenskapen vidtar åtgärder för att åstadkomma en tillnärmning av lagstiftningen.
9) Eftersom tillnärmningen av de nationella lagstiftningarna kommer att
leda till ett likvärdigt skydd kommer medlemsstaterna inte längre att kunna hindra det fria flödet av personuppgifter mellan dem under hänvisning till enskilda personers fri- och rättigheter, särskilt rätten till privatliv. Medlemsstaterna kommer att få ett handlingsutrymme, som i samband med genomförandet av detta direktiv också kommer att kunna utnyttjas av näringslivet och arbetsmarknadens parter. Medlemsstaterna kommer därför att i sin nationella lagstiftning särskilt kunna ange de allmänna villkor som skall gälla för behandlingen av uppgifter. Medlemsstaterna skall härvid sträva efter att förbättra det skydd som deras nuvarande lagstiftning ger. Inom ramen för detta handlingsutrymme och i enlighet med gemenskapsrätten kan skillnader uppkomma vid genomförandet av direktivet, vilket kan påverka flödet av uppgifter såväl inom en medlemsstat som på gemenskapsnivå.
10) Ändamålet med den nationella lagstiftningen om behandling av per-
sonuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och i gemenskapsrättens allmänna rättsprinciper. Av denna anledning får tillnärmningen av denna lagstiftning inte medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen.
11) De principer om skydd för enskilda personers fri- och rättigheter, sär-
skilt rätten till privatlivet, som detta direktiv innehåller, utgör en precisering och en förstärkning av principerna i Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter.
12) Principerna för skyddet måste gälla för all behandling av personupp-
gifter som utförs av en person vars verksamhet regleras av gemenskapsrätten. En fysisk persons behandling av uppgifter uteslutande för
personliga ändamål eller för hemmabruk, såsom korrespondens eller förande av adressregister, skall dock inte omfattas.
13) Sådan verksamhet som avses i avdelningarna V och VI i Fördraget
om Europeiska unionen och som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område faller inte inom tillämpningsområdet för gemenskapsrätten, dock med förbehåll för medlemsstaternas skyldigheter enligt artiklarna 56.2, 57 eller 100a i Fördraget om upprättandet av Europeiska gemenskapen. Sådan behandling av personuppgifter som är nödvändig för att skydda statens ekonomiska välstånd omfattas inte av detta direktiv, när behandlingen har samband med frågor om statens säkerhet.
14) För närvarande görs inom ramen för informationssamhället betydande
framsteg såvitt avser tekniken för att uppta, överföra, bearbeta, registrera, lagra eller lämna ut ljud- eller bilduppgifter om fysiska personer; detta direktiv bör därför tillämpas på behandling av sådana uppgifter.
15) Behandlingen av sådana uppgifter omfattas av detta direktiv endast
om den sker med hjälp av automatisk databehandling eller om de uppgifter som behandlas ingår eller avses ingå i ett register som är uppbyggt efter vissa med utgångspunkt i för enskilda personer utformade kriterier för att underlätta tillgång till de berörda uppgifterna.
16) Behandlingen av ljud- och bilduppgifter – exempelvis i samband med
videoövervakning – omfattas inte av detta direktiv om den utförs för att tillgodose den allmänna säkerheten, försvaret, statens säkerhet eller statens verksamhet på straffrättens område eller till annan verksamhet som inte faller inom gemenskapsrättens tillämpningsområde.
17) När det gäller behandling av ljud- och bilduppgifter för journalistiska
ändamål eller i litterärt eller konstnärligt skapande, särskilt på det audiovisuella området, skall direktivets principer i enlighet med bestämmelserna i artikel 9 tillämpas restriktivt.
18) För att undvika att en enskild person förvägras det skydd som till-
kommer honom enligt detta direktiv skall varje behandling av personuppgifter inom gemenskapen ske i enlighet med lagstiftningen i en av medlemsstaterna. Med hänsyn till detta bör behandlingen av uppgifter som utförs av någon som på uppdrag av en registeransvarig som är etablerad i en medlemsstat regleras av den statens lagstiftning.
19) Etablering på en medlemsstats territorium förutsätter effektiv och
faktisk verksamhet med hjälp av en stabil struktur. Härvid har den berörda verksamhetens rättsliga form inte avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person. Om den ansvarige är etablerad på flera medlemsstaters territorier, särskilt genom dotterbolag, måste han för att undvika varje
kringgående garantera att varje verksamhet uppfyller bestämmelserna i den nationella lagstiftning som gäller för aktiviteterna.
20) Den omständigheten att den registeransvarige är etablerad i ett tredje
land får inte utgöra ett hinder för det skydd som enskilda personer ges i detta direktiv. I sådana fall skall på behandlingen av uppgifter til??lämpas den medlemsstats lagstiftning som innehåller de hjälpmedel som används för behandlingen. Det bör finnas garantier för att de rättigheter som följer av detta direktiv respekteras i praktiken.
21) Detta direktiv påverkar inte de territorialitetsregler som gäller på
straffrättens område.
22) Medlemsstaterna bör i sin lagstiftning eller genom andra bestämmel-
ser som antas för att genomföra detta direktiv närmare ange de allmänna villkoren för att en behandling skall vara tillåten. Särskilt artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att, oavsett de allmänna regler som gäller, ange särskilda villkor för behandlingen av uppgifter på särskilda områden och för de olika kategorier av uppgifter som behandlas i artikel 8.
23) Medlemsstaterna har befogenhet att genomföra skyddet för enskilda
personer både genom en generell lagstiftning om skydd för enskilda personer såvitt avser behandling av personuppgifter och genom särskild lagstiftning som till exempel om statistiska institut.
24) Sådan lagstiftning som rör skydd för juridiska personer med avseende
på behandling av uppgifter som angår dem berörs inte av detta direktiv.
25) Principerna för skyddet måste avspeglas dels i de förpliktelser som
åvilar personer, myndigheter, företag, institutioner, organ eller andra registeransvariga särskilt med avseende på uppgifternas kvalitet, den tekniska säkerheten, anmälningar till tillsynsmyndigheten och de omständigheter under vilka behandling får utföras, dels i de rättigheter som tillkommer enskilda personer, vilkas personuppgifter blir föremål för behandling, att bli informerade om att behandling sker, att få tillgång till uppgifterna, att begära rättelse och att under vissa omständigheter invända mot behandlingen.
26) Principerna för skyddet måste gälla all information som rör en identi-
fierad eller identifierbar person. För att avgöra om en person är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den registeransvarige eller av någon annan person. Skyddsprinciperna gäller inte för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. En sådan uppförandekodex som avses i artikel 27 kan vara ett användbart redskap för att ge vägledning
om hur uppgifter kan göras anonyma och behållas i en form som gör det omöjligt att identifiera den registrerade.
27) Enskilda personer skall skyddas både i samband med automatisk da-
tabehandling av uppgifterna och i samband med manuell behandling. Omfattningen av detta skydd får inte faktiskt bero på den teknik som används eftersom detta skulle kunna skapa en allvarlig risk för kringgående. När det gäller manuell behandling omfattar detta direktiv endast register och inte ostrukturerade akter. Särskilt innehållet i ett register måste vara strukturerat efter bestämda kriterier som avser enskilda personer, för att lätt ge tillgång till personuppgifter. I enlighet med definitionen i artikel 2 c) kan de olika kriterier som gör det möjligt att fastställa de enskilda delarna av en strukturerad samling personuppgifter och de olika kriterier som reglerar möjligheten att få tillgång till en sådan samling utformas av varje medlemsstat. Akter eller grupper av akter liksom dessas omslag, vilka inte är strukturerade enligt särskilda kriterier, faller inte under några omständigheter inom detta direktivs tillämpningsområde.
28) Varje behandling av personuppgifter måste vara laglig och korrekt
gentemot berörda personer. Uppgifterna måste särskilt vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. Sådana ändamål med behandlingen som läggs fast sedan uppgifterna samlats in får inte vara oförenliga med de ändamål som ursprungligen angavs.
29) Senare behandling av personuppgifter för historiska, statistiska eller
vetenskapliga ändamål kan – förutsatt att medlemsstaterna ger lämpliga garantier – inte allmänt sett anses oförenliga med de ändamål för vilka uppgifterna tidigare samlades in. Dessa garantier skall särskilt hindra att uppgifterna används för att vidta åtgärder mot eller fatta beslut som rör en viss person.
30) För att vara tillåten skall en behandling av personuppgifter dessutom
utföras med den registrerades samtycke eller vara nödvändig för ingåendet eller utförandet av förpliktelser i enlighet med ett avtal som är bindande för den registrerade, eller fordras enligt lagstiftning vid utförandet av något som är i det allmännas intresse eller är ett led i myndighetsutövning eller vara i en fysisk eller juridisk persons intresse förutsatt att skyddet av den registrerades fri- och rättigheter inte går före. För att särskilt garantera jämvikt mellan de berörda intressena och för att samtidigt säkerställa en effektiv konkurrens får medlemsstaterna närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som av företag och andra organ utövas i deras lö-
pande verksamhet. Medlemsstaterna får även närmare ange på vilka villkor personuppgifter i marknadsföringssyfte får vidarebefordras till tredje man, oavsett om detta sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, exempelvis av politisk karaktär, men förutsatt att regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att de uppgifter som rör honom behandlas utan att behöva ange sina skäl och utan att åsamkas kostnader för detta.
31) Behandling av personuppgifter måste även anses tillåten när den ut-
förs för att skydda ett intresse som är av avgörande betydelse för den registrerades liv.
32) Det ankommer på den nationella lagstiftningen att avgöra om den som
ansvarar för en behandling som utförs i det allmännas intresse eller vid myndighetsutövning skall vara en myndighet eller något annat offentligrättsligt eller civilrättsligt subjekt, såsom exempelvis en yrkesorganisation.
33) Uppgifter som på grund av sin natur kan kränka grundläggande fri-
och rättigheter eller privatlivets helgd får inte behandlas utan samtycke av den registrerade. Dock måste det finnas en uttrycklig möjlighet att för att tillgodose särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för ändamål som har samband med hälso- och sjukvården av personer som är underkastade tystnadsplikt eller för att genomföra berättigade åtgärder av vissa föreningar eller stiftelser vilkas syften är att skydda utövningen av vissa grundläggande fri- och rättigheter.
34) När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste
medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Dock åligger det medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.
35) Myndigheters behandling av personuppgifter för officiellt erkända
religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga samhälleliga intressen.
36) Om det i samband med att allmänna val hålls för att det demokratiska
systemet skall fungera är nödvändigt att de politiska partierna i vissa medlemsstater samlar in uppgifter om enskilda personers politiska
uppfattning får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen, på villkor att bestämmelser om lämpliga garantier föreskrivs.
37) För sådan behandling av personuppgifter som sker för journalistiska
ändamål eller för konstnärligt eller litterärt skapande – särskilt på det audiovisuella området – bör det fastställas undantag från eller begränsningar i förhållande till vissa bestämmelser i detta direktiv så långt detta är nödvändigt för att förena enskilda personers grundläggande rättigheter med yttrandefriheten, särskilt den rätt att ta emot och lämna upplysningar som särskilt fastslås i artikel 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. För att åstadkomma en avvägning mellan de grundläggande fri- och rättigheterna åligger det medlemsstaterna att besluta om nödvändiga undantag och begränsningar såvitt avser de generella åtgärder som har avseende på uppgiftsbehandlingens berättigande, åtgärder för att vidareföra uppgifter till tredje land och tillsynsmyndighetens befogenheter. Detta får dock inte leda till att medlemsstaterna beslutar om undantag från åtgärder som vidtas för att säkerställa behandlingens säkerhet. Den tillsynsmyndighet som är behörig på området bör utrustas med i vart fall vissa befogenheter att utövas efter behandlingen i fråga, exempelvis befogenhet att med jämna mellanrum offentliggöra en rapport eller att överlämna ärenden till rättsliga myndigheter.
38) En korrekt behandling av uppgifter förutsätter att de registrerade kan
få kännedom om behandlingen och att de – när uppgifter samlas in hos dem – kan få korrekt och fullständig information med hänsyn till de närmare omständigheterna vid insamlingen.
39) I vissa fall rör behandlingen uppgifter som den registeransvarige inte
har samlat in direkt från den registrerade. Vidare kan utlämnande av uppgifter till tredje man vara tillåten även om utlämnandet inte kunde förutses när uppgifterna samlades in från den registrerade. I samtliga dessa fall skall den registrerade informeras när uppgifterna registreras eller senast när uppgifterna för första gången lämnas ut till tredje man.
40) Det är dock inte nödvändigt att ställa detta krav om den registrerade
redan känner till informationen. Detta krav behöver inte heller ställas om registreringen eller utlämnandet uttryckligen regleras i lagstiftningen eller om lämnande av information till den berörda personen visar sig vara omöjligt eller innebära oproportionerligt stora ansträngningar, vilket skulle kunna vara fallet i samband med behandling för historiska, statistiska eller vetenskapliga ändamål. I detta sammanhang kan antalet registrerade, uppgifternas ålder och de kompensatoriska åtgärder som kan vidtas tas i beaktande.
41) Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör
dem och som är föremål för behandling, för att i detalj kunna försäkra sig om att uppgifterna är korrekta och om att behandlingen är tillåten. Av samma anledning måste var och en ha rätt att få reda på den logik som gäller för den automatiska databehandlingen av uppgifter som rör honom, åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1. Denna rättighet får inte kränka affärshemligheten eller upphovsrätten, särskilt inte den upphovsrätt som skyddar programvaran. Detta bör dock inte få resultera i att den registrerade nekas all information.
42) Medlemsstaterna kan av hänsyn till intresset hos den registrerade eller
till andras fri- och rättigheter begränsa rätten till tillgång till uppgifter och information. De kan till exempel besluta att tillgång till uppgifter av medicinsk art endast får erhållas genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården.
43) Rätten till tillgång till uppgifter och information samt vissa skyldighe-
ter hos den registeransvarige kan inskränkas av medlemsstaterna i den utsträckning som det är nödvändigt för att skydda till exempel statens säkerhet, försvaret, allmän säkerhet eller viktiga ekonomiska eller finansiella intressen som är av betydelse för en medlemsstat eller för unionen, liksom för brottsutredningar och åtal och åtgärder som rör överträdelser av etiska regler som gäller för sådana yrken som särskilt regleras i lagstiftning. På förteckningen över undantag och begränsningar bör upptas de uppgifter för övervakning, tillsyn eller reglering som är nödvändiga på de tre sistnämnda områdena, nämligen allmän säkerhet, ekonomiska och finansiella intressen samt beivrande av brott. Uppräkningen av uppgifter på dessa tre områden påverkar inte undantag eller begränsningar av hänsyn till statens säkerhet och försvaret.
44) För att uppfylla vissa av de nämnda målsättningarna kan medlemssta-
terna på grund av bestämmelser i gemenskapsrätten tvingas att avvika från bestämmelserna i detta direktiv om rätten till tillgång till uppgifter, skyldigheten att informera enskilda personer och kvaliteten på uppgifterna.
45) I sådana fall då uppgifter av hänsyn till allmänna intressen, på grund
av myndighetsutövning eller av hänsyn till en persons berättigade intressen kan bli föremål för tillåten behandling, skall varje berörd person ändå, på berättigade och avgörande skäl som avser hans särskilda situation, ha rätt att invända mot att uppgifter som rör honom själv behandlas. Medlemsstaterna har dock möjlighet att anta bestämmelser av motsatt innehåll.
46) Skyddet för de registrerades fri- och rättigheter förutsätter såvitt avser
behandling av personuppgifter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet för behandlingen utformas och när själva behandlingen sker, särskilt för att garantera säkerheten och för att på så sätt hindra all otillåten behandling. Det åligger medlemsstaterna att säkerställa att de registeransvariga respekterar dessa åtgärder. Åtgärderna skall garantera en lämplig säkerhetsnivå med hänsyn till den nuvarande utvecklingsnivån och till kostnaderna för genomförandet under hänsynstagande till de risker som behandlingen innebär och arten av de uppgifter som skall skyddas.
47) När ett meddelande som innehåller personuppgifter översänds genom
förmedling av en organisation för telekommunikation eller elektronisk post, vars enda ändamål är att översända sådana meddelanden, blir det normalt den från vilken meddelandet härrör och inte den person som erbjuder nämnda tjänst som anses ansvara för behandlingen av personuppgifterna. De som erbjuder sådana tjänster kommer dock normalt att anses som ansvariga för behandlingen av de ytterligare personuppgifter som fordras för att tjänsten skall kunna användas.
48) Anmälningsförfarandet är avsett för att göra en behandlings syfte och
viktigaste egenskaper allmänt kända för att säkerställa att behandlingen sker i enlighet med de nationella åtgärder som vidtas för att genomföra detta direktiv.
49) För att undvika olämpliga administrativa formaliteter kan medlems-
staterna besluta om undantag från och förenklingar av anmälningsplikten såvitt avser sådana fall då behandlingen sannolikt inte kommer att kränka de berörda personernas fri- och rättigheter, förutsatt att detta är i överensstämmelse med en åtgärd som vidtagits av en medlemsstat och som särskilt anger begränsningarna. Medlemsstaterna kan även besluta om undantag och förenklingar i fall då någon som utsetts av den registeransvarige försäkrar sig om att de utförda behandlingarna inte kommer att kränka de registrerades fri- och rättigheter. Den person som sålunda utsetts att skydda uppgifterna måste – vare sig han är anställd av den registeransvarige eller inte – ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt.
50) Undantag från anmälningsplikten och förenklad anmälan bör kunna
tillåtas särskilt då det är fråga om behandling av uppgifter som endast syftar till att ett register skall föras, som är avsett för att i enlighet med nationell lagstiftning ge allmänheten information och som är tillgängligt för allmänheten eller var och en som kan styrka att han har ett berättigat intresse.
51) Det förhållandet att den registeransvarige omfattas av förenklat an-
mälningsförfarande eller är undantagen från anmälningsplikt befriar honom inte från de övriga förpliktelser som följer av detta direktiv.
52) I detta sammanhang måste en efterföljande kontroll från den behöriga
myndighetens sida i allmänhet anses som en tillräcklig åtgärd.
53) Vissa typer av behandling – till exempel behandling som har till än-
damål att utesluta den berörde från möjligheten att utöva en rättighet, motta en förmån eller ingå ett avtal eller sådan behandling som innebär användning av ny teknik – kan på grund av sin natur, sin omfattning eller sitt ändamål innebära särskilda risker för att de registrerades fri- och rättigheter skall kränkas. Medlemsstaterna kan om de önskar det precisera dessa risker i sin lagstiftning.
54) Med tanke på omfattningen av den behandling av uppgifter som ut-
förs i samhället torde det antal behandlingar som innebär särskilda risker vara mycket begränsat. Medlemsstaterna måste föreskriva att tillsynsmyndigheten eller den som utövar tillsyn i samråd med tillsynsmyndigheten företar en förhandskontroll av dessa behandlingar innan de utförs. Sedan en sådan förhandskontroll genomförts får tillsynsmyndigheten i enlighet med den nationella lagstiftningen som gäller för myndigheten yttra sig över eller tillåta behandlingen. En sådan kontroll kan även företas som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder.
55) För de fall då den registeransvarige inte respekterar de registrerades
rättigheter måste det i medlemsstatens lagstiftning finnas möjlighet till rättslig prövning. Personer som lider skada till följd av otillåten behandling skall ha rätt till ersättning av den registeransvarige, vilken kan befrias från skadeståndsansvar om han kan visa att han inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure. Sanktioner skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt som överträder de nationella bestämmelser som antagits för att genomföra detta direktiv.
56) Gränsöverskridande flöden av personuppgifter är nödvändiga för den
internationella handelns utveckling. Det skydd som genom detta direktiv tillförsäkras enskilda personer inom gemenskapen hindrar inte att personuppgifter överförs till sådana tredje länder som garanterar en adekvat skyddsnivå. Frågan om skyddsnivåns adekvans skall bedömas med hänsyn till alla de omständigheter som har samband med en överföring eller en grupp av överföringar.
57) Om ett tredje land inte garanterar en adekvat skyddsnivå skall över-
föring av personuppgifter till det landet förbjudas.
58) Undantag från detta förbud skall under vissa omständigheter kunna
medges om den registrerade lämnar sitt samtycke, om överföring är nödvändig för ett avtal eller ett rättsligt anspråk, när skyddet av väsentliga samhällsintressen kräver det, till exempel vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter eller mellan socialförsäkringsmyndigheter eller om överföringen utförs med utgångspunkt i ett register som upprättats genom lagstiftning och som är avsett att vara tillgängligt för allmänheten eller för personer som har ett berättigat intresse. En sådan överföring bör inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse skall överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.
59) Särskilda åtgärder kan vidtas för att uppväga en otillräcklig skydds-
nivå i ett tredje land om den registeransvarige ställer lämpliga garantier. Bestämmelser om förfaranden för förhandling mellan gemenskapen och tredje land måste antas.
60) Överföring till tredje land får i vilket fall som helst endast utföras i
enlighet med bestämmelser som medlemsstaterna antagit för genomförande av detta direktiv, särskilt artikel 8 i detta.
61) Medlemsstaterna och kommissionen måste på sina respektive kompe-
tensområden uppmuntra berörda delar av näringslivet att anta uppförandekodexar för att underlätta genomförandet av detta direktiv med beaktande av de särskilda former av behandling som utförs på vissa områden och med respekt för de nationella bestämmelser som antagits för dess genomförande.
62) För skyddet av enskilda personer med avseende på behandlingen av
personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar oberoende tillsynsmyndigheter.
63) Dessa myndigheter måste ges nödvändiga resurser för att utföra sina
uppgifter, såsom befogenhet att – särskilt när det gäller klagomål från enskilda personer – undersöka och intervenera samt befogenheter att inleda rättsliga förfaranden. De måste även bidra till att garantera insyn i behandlingen av uppgifter i de medlemsstater under vilkas jurisdiktion de hör.
64) Tillsynsmyndigheterna i de olika medlemsstaterna kommer att behöva
bistå varandra i samband med utförandet av de uppgifter som åligger dem för att säkerställa att skyddsreglerna respekteras på ett tillfredsställande sätt i hela Europeiska unionen.
65) En arbetsgrupp för skydd av enskilda personer i samband med be-
handling av personuppgifter skall inrättas på gemenskapsnivå. Gruppen skall vid utförandet av sina uppgifter vara fullständigt oberoende. Gruppen skall med hänsyn till sin särskilda karaktär ge kommissionen råd och bidra till den enhetliga tillämpningen av de nationella regler som antagits för att genomföra detta direktiv.
66) Med avseende på överföring av uppgifter till tredje land fordrar ge-
nomförandet av detta direktiv att kommissionen ges befogenhet att besluta om genomförandet och att ett förfarande i enlighet med riktlinjerna i rådets beslut 87/373/EEG(1) införs.
67) Den 20 december 1994 träffade Europaparlamentet, rådet och
kommissionen en överenskommelse om ett ”modus vivendi” beträffande genomförandeåtgärder för rättsakter som antagits i enlighet med förfarandet i artikel 189b i Romfördraget.
68) De principer för skyddet av enskilda personers fri- och rättigheter,
och då särskilt rätten till privatliv, som i detta direktiv uppställs med avseende på behandling av personuppgifter skall för vissa områdens vidkommande kunna kompletteras eller preciseras med hjälp av särskilda bestämmelser som skall överensstämma med dessa principer.
69) Medlemsstaterna bör ges en frist på högst tre år räknat från ikraftträ-
dandet av de nationella bestämmelser som antas för att genomföra detta direktiv, så att de stegvis kan tillämpa de nya nationella bestämmelserna på alla sådana behandlingar som redan påbörjats. För att möjliggöra ett kostnadseffektivt genomförande av dessa bestämmelser skall medlemsstaterna tillåtas att under ytterligare en tidsperiod, som löper ut tolv år efter dagen för antagandet av detta direktiv, vidta åtgärder för att säkerställa att då befintliga manuella register bringas i överensstämmelse med vissa av direktivets bestämmelser. Uppgifter som ingår i dessa register och som behandlas manuellt under denna förlängda övergångsperiod skall dock när det är föremål för en ytterligare sådan behandling bringas i överensstämmelse med dessa bestämmelser.
70) Det är inte nödvändigt att den registrerade på nytt lämnar sitt sam-
tycke till att den registeransvarige fortsätter att behandla känsliga uppgifter, när en sådan behandling är nödvändig för genomförandet av att avtal som har slutits på grundval av frivilligt och informerat samtycke före dessa bestämmelsers ikraftträdande.
71) Detta direktiv hindrar inte en medlemsstat från att anta bestämmelser
för att reglera sådan marknadsföring som riktar sig till konsumenter
(1) EGT nr L 197 av den 18.7.1987, s. 33.
som har hemvist inom dess territorium, förutsatt att dessa regler inte rör skyddet av enskilda personer med avseende på behandling av personuppgifter.
72) Detta direktiv gör det möjligt att vid genomförandet av dessa be-
stämmelser ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL 1
ALLMÄNNA BESTÄMMELSER
Artikel 1
Direktivets syfte
1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.
Artikel 2
Definitioner
I detta direktiv avses med
a) personuppgifter: varje upplysning som avser en identifierad eller
identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet,
b) behandling av personuppgifter (behandling): varje åtgärd eller serie
av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,
c) register med personuppgifter (register): varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
d) registeransvarig: den fysiska eller juridiska person, den myndighet,
den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen och medlen för behandlingen bestäms av nationella lagar och andra författningar eller av gemenskapsrätten kan den registeransvarige eller de särskilda kriterierna för att utse honom anges i nationell rätt eller i gemenskapsrätten,
e) registerförare: den fysiska eller juridiska person, den myndighet, den
institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning,
f) tredje man: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ än den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna,
g) mottagare: den fysiska eller juridiska person, den myndighet, den
institution eller det andra organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare,
h) den registrerades samtycke: varje slag av frivillig, särskild och infor-
merad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.
Artikel 3
Tillämpningsområde
1. Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2. Detta direktiv gäller inte för sådan behandling av personuppgifter — som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen
har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område,
— av en fysisk person som ett led i verksamhet av rent privat natur eller
som har samband med hans hushåll.
Artikel 4
Tillämplig nationell rätt
1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när a) behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad. Om en registeransvarig är etablerad inom flera medlemsstaters territorier skall han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen,
b) den registeransvarige inte är etablerad inom en medlemsstats territo-
rium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten,
c) den registeransvarige inte är etablerad på gemenskapens territorium
och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen.
2. Under de omständigheter som avses i punkt 1 c) måste den registeransvarige utse en företrädare som är etablerad inom den berörda medlemsstatens territorium, utan att detta i övrigt påverkar de eventuella rättsliga åtgärder som kan komma att inledas mot den ansvarige själv.
KAPITEL II
ALLMÄNNA BESTÄMMELSER OM NÄR PERSONUPPGIFTER
FÅR BEHANDLAS
Artikel 5
Medlemsstaterna skall inom de begränsningar som bestämmelserna i detta kapitel innebär, precisera på vilka villkor behandling av personuppgifter är tillåten.
AVDELNING I
PRINCIPER OM UPPGIFTERNAS KVALITET
Artikel 6
1. Medlemsstaterna skall föreskriva att personuppgifter a) skall behandlas på ett korrekt och lagligt sätt,
b) skall samlas in för särskilda, uttryckligt angivna och berättigade än-
damål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,
c) skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,
d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder
måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,
e) förvaras på ett sätt som förhindrar identifiering av den registrerade
under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.
2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.
AVDELNING II
PRINCIPER SOM GÖR ATT UPPGIFTSBEHANDLING KAN
TILLÅTAS
Artikel 7
Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om a) den registrerade otvetydigt har lämnat sitt samtycke, eller b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller
c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller
d) behandlingen är nödvändig för att skydda intressen som är av grund-
läggande betydelse för den registrerade, eller
e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgifterna har lämnats ut, eller f) behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1.
AVDELNING III
SÄRSKILDA BEHANDLINGSKATEGORIER
Artikel 8
Behandlingen av särskilda kategorier av uppgifter
1. Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
2. Punkt 1 gäller inte om a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller
b) behandlingen är nödvändig för att fullgöra de skyldigheter och sär-
skilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder, eller
c) behandlingen är nödvändig för att skydda den registrerades eller nå-
gon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller
d) behandlingen utförs inom ramen för berättigad verksamhet hos en
stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som
på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke, eller
e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.
3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.
4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.
5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.
Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.
6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen.
7. Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.
Artikel 9
Behandling av personuppgifter och yttrandefriheten
Medlemsstaterna skall med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.
AVDELNING IV
INFORMATIONSPLIKT TILL DEN REGISTRERADE
Artikel 10
Information vid insamling av uppgifter från den registrerade
Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen: a) Den registeransvariges och dennes eventuella företrädares identitet. b) Ändamålen med den behandling för vilken uppgifterna är avsedda. c) All ytterligare information, exempelvis — mottagarna eller de kategorier som mottar uppgifterna, — huruvida det är obligatoriskt eller frivilligt att besvara frågorna
samt eventuella följder av att inte svara, — förekomsten av rättigheter att få tillgång till och att erhålla rättelse
av uppgifter som rör honom, i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
Artikel 11
Information när uppgifterna inte har samlats in från den registrerade
1. Om uppgifterna inte har samlats in från den registrerade, skall medlemsstaterna föreskriva att den registeransvarige eller hans företrädare vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna
först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till informationen: a) Den registeransvariges och dennes eventuella företrädares identitet. b) Ändamålen med behandlingen. c) All ytterligare information, exempelvis — de kategorier av uppgifter som behandlingen gäller, — mottagarna eller de kategorier som mottar uppgifterna, — förekomsten av rättigheter att få tillgång till och att erhålla rättelse
av de uppgifter som rör honom, i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
2. Bestämmelserna i punkt 1 skall inte gälla när det – särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål – visar sig omöjligt eller innebära en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.
AVDELNING V
DEN REGISTRERADES RÄTT ATT FÅ TILLGÅNG TILL
UPPGIFTER
Artikel 12
Rätt till tillgång
Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige a) utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader — få bekräftelse på om uppgifter som rör honom behandlas eller inte
och information om åtminstone ändamålen med behandlingen, de berörda uppgiftskategorierna och mottagarna eller mottagarkategorierna till vilka uppgifterna utlämnas, — få begriplig information om vilka uppgifter som behandlas och all
tillgänglig information om varifrån dessa uppgifter kommer, — få kännedom om den logik som används när uppgifter som rör
honom behandlas på automatisk väg åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1,
b) i förekommande fall få sådana uppgifter som inte behandlats i enlig-
het med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga,
c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b), om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.
AVDELNING VI
UNDANTAG OCH BEGRÄNSNINGAR
Artikel 13
Undantag och begränsningar
1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott
eller av överträdelser av etiska regler som gäller för lagreglerade yrken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat
eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen, g) skydd av den registrerades eller andras fri- och rättigheter.
2. Under förutsättning av lämpliga rättsliga garantier får medlemsstaterna, i synnerhet om uppgifterna inte används för åtgärder eller beslut som avser särskilda registrerade personer, i fall då det uppenbarligen inte föreligger någon risk att den berörda personens privatliv kränks, genom lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna endast behandlas för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna endast lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik.
AVDELNING VII
DEN REGISTRERADES RÄTT ATT GÖRA INVÄNDNINGAR
Artikel 14
Den registrerades rätt att göra invändningar
Medlemsstaterna skall tillförsäkra den registrerade rätten att
a) åtminstone i de fall som avses i artikel 7 e) och f) när som helst av
avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter,
b) efter anmodan och utan kostnader motsätta sig behandling av person-
uppgifter som rör honom och som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring, eller att bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring, och att uttryckligen få erbjudande om att utan kostnader motsätta sig ett sådant utlämnande eller sådan användning.
Medlemsstaterna skall vidta nödvändiga åtgärder för att säkerställa att de registrerade känner till den rättighet som anges i första stycket i b).
Artikel 15
Databehandlade beslut
1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande.
2. Om inte annat följer av övriga bestämmelser i detta direktiv skall medlemsstaterna föreskriva att en person får bli föremål för ett beslut av det slag som avses i punkt 1 om beslutet a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt att den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller att det vidtas lämpliga åtgärder för att skydda hans
berättigade intressen, exempelvis möjligheten för honom att göra sin uppfattning gällande, eller
b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den
registrerades berättigade intressen.
AVDELNING VIII
SEKRETESS OCH SÄKERHET VID BEHANDLING
Artikel 16
Sekretess vid behandling
Den som utför arbete under den registeransvarige eller registerföraren, liksom registerföraren själv, och som får tillgång till personuppgifter, får behandla dem endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag.
Artikel 17
Säkerhet vid behandling
1. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.
Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas.
2. Medlemsstaterna skall föreskriva att den registeransvarige, när behandlingen utförs för dennes räkning, skall välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder genomförs.
3. När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen skall särskilt föreskrivas att — registerföraren endast får handla på instruktioner från den registeransvarige, — de skyldigheter som anges i punkt 1, såsom de definieras i lagstiftningen i den medlemsstat i vilken registerföraren är etablerad, även skall åvila registerföraren.
4. För att säkra bevisning skall de delar av avtalet eller den rättsligt bindande handlingen som rör skyddet av uppgifter och de krav som rör åtgärder som anges i punkt 1 föreligga i skriftlig eller därmed jämförlig form.
AVDELNING IX
ANMÄLAN
Artikel 18
Anmälningsplikt gentemot tillsynsmyndigheten
1. Medlemsstaterna skall föreskriva att den registeransvarige eller hans eventuella företrädare före genomförandet av en behandling eller en serie behandlingar som helt eller delvis genomförs på automatisk väg och som har samma eller flera närbesläktade ändamål skall underrätta den tillsynsmyndighet som avses i artikel 28.
2. Medlemsstaterna får endast i följande fall och på följande villkor föreskriva om undantag från anmälningsplikten eller förenklad anmälningsplikt: — Om medlemsstaten för de typer av behandling, i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks, anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur länge uppgifterna skall bevaras och/eller — om den registeransvarige i enlighet med den nationella lagstiftning som gäller för denne, utser ett uppgiftsskyddsombud, som särskilt skall ha till uppgift — att på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av detta direktiv,
— att föra ett register över de behandlingar som utförs av den regis-
teransvarige, vilket register skall innehålla den information som nämns i artikel 21.2, för att på detta sätt säkerställa att de registrerades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av behandlingarna.
3. Medlemsstaterna får föreskriva att punkt 1 inte skall gälla för en sådan behandling vars enda syfte är förandet av ett register, som enligt lagar eller andra författningar är avsett att förse allmänheten med information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse.
4. Medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande för sådan behandling som avses i artikel 8.2 d).
5. Medlemsstaterna får föreskriva att vissa eller alla icke-automatiska behandlingar av personuppgifter skall anmälas eller att ett förenklat anmälningsförfarande skall gälla för dem.
Artikel 19
Anmälans innehåll
1. Medlemsstaterna skall precisera vilka uppgifter som anmälan skall innehålla. Den skall åtminstone innehålla
a) den registeransvariges och dennes eventuella företrädares namn och
adress,
b) ändamålen med behandlingen,
c) en beskrivning av den eller de kategorier av registrerade som berörs
och av de uppgifter eller kategorier av uppgifter som hänför sig till dem,
d) mottagarna eller de kategorier av mottagare till vilka uppgifterna kan
komma att lämnas ut,
e) föreslagna överföringar av uppgifter till tredje land, f) en allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av de åtgärder som i enlighet med artikel 17 vidtagits för att trygga säkerheten i behandlingen.
2. Medlemsstaterna skall ange villkoren för anmälan till tillsynsmyndigheten av förändringar som rör den i punkt 1 angivna informationen.
Artikel 20
Förhandskontroll
1. Medlemsstaterna skall bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter och skall säkerställa att dessa behandlingar kontrolleras innan de påbörjas.
2. Sådana förhandskontroller skall utföras av tillsynsmyndigheten när den mottagit anmälan från den registeransvarige eller från uppgiftsskyddsombudet, som i tveksamma fall skall rådfråga tillsynsmyndigheten.
3. Medlemsstaterna kan också utföra sådana kontroller som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd, som definierar behandlingens art och anger lämpliga skyddsåtgärder.
Artikel 21
Behandlingarnas offentlighet
1. Medlemsstaterna skall vidta åtgärder för att tillse att behandlingarna görs offentligt tillgängliga.
2. Medlemsstaterna skall föreskriva att tillsynsmyndigheten skall föra ett register över sådana behandlingar som har anmälts i enlighet med artikel 18.
Registret skall innehålla åtminstone den information som anges i artikel 19.1 a)–e).
Registret skall vara allmänt tillgängligt.
3. För sådan behandling som inte omfattas av anmälningsplikt skall medlemsstaterna föreskriva att de registeransvariga eller något annat organ, som medlemsstaterna utser, på lämpligt sätt skall tillhandahålla var och en som begär det åtminstone den information som anges i artikel 19.1 a)–e).
Medlemsstaterna får föreskriva att denna bestämmelse inte skall tillämpas på sådan behandling vars enda ändamål är att föra ett register, som i enlighet med lagar eller andra författningar är avsett att ge allmänheten information och som är tillgängligt för allmänheten eller för var och en som kan styrka ett berättigat intresse.
KAPITEL III
RÄTTSLIG PRÖVNING, ANSVAR OCH SANKTIONER
Artikel 22
Rättslig prövning
Medlemsstaterna skall – utan att det påverkar möjligheten att utnyttja något administrativt förfarande, till exempel vid den tillsynsmyndighet som avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en rättslig instans – föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling.
Artikel 23
Ansvar
1. Medlemsstaterna skall föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.
2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.
Artikel 24
Sanktioner
Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv.
KAPITEL IV
ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
Artikel 25
Principer
1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land – utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv – säkerställer en adekvat skyddsnivå.
2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där.
3. Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2.
4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till ifrågavarande tredje land.
5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att avhjälpa den situation som uppstått när kommissionen kommit till den slutsats som anges i punkt 4.
6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som – särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – åligger landet har
en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel.
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.
Artikel 26
Undantag
1. Med undantag från artikel 25 skall medlemsstaterna – om det inte finns tvingande regler om detta i deras lagstiftning – föreskriva att överföring av personuppgifter till ett tredje land som inte har en adekvat skyddsnivå i den mening som avses i artikel 25.2 får ske om
a) den registrerade otvetydigt har samtyckt till den planerade överför-
ingen, eller
b) överföringen är nödvändig för att fullgöra ett avtal mellan den regist-
rerade och den registeransvarige eller för att på den registrerades begäran genomföra åtgärder som vidtas innan avtalet ingås, eller
c) överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan
den registeransvarige och tredje man i den registrerades intresse, eller
d) överföringen är nödvändig eller bindande enligt författning av skäl
som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk, eller
e) överföringen är nödvändig för att skydda intressen som är av avgö-
rande betydelse för den registrerade, eller
f) överföringen görs från ett offentligt register som enligt lagar eller
andra författningar är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.
2. Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat til??låta överföring av personuppgifter till ett tredje land som inte säkerställer en skyddsnivå som är adekvat enligt artikel 25.2, om den registeransvarige ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler.
3. Medlemsstaten skall informera kommissionen och de övriga medlemsstaterna om de överföringar som tillåtits enligt punkt 2.
Om en medlemsstat eller kommissionen på grunder som är berättigade med hänsyn till skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter gör en invändning skall kommissionen vidta lämpliga åtgärder i enlighet med det förfarande som avses i artikel 31.2.
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.
4. Om kommissionen i enlighet med det förfarande som anges i artikel 31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garantier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut.
KAPITEL V
UPPFÖRANDEKODEX
Artikel 27
1. Medlemsstaterna och kommissionen skall uppmuntra utarbetande av uppförandekodexar som – med beaktande av de särskilda förhållandena på olika områden – skall bidra till att på ett riktigt sätt genomföra de nationella bestämmelser som medlemsstaterna antar för att genomföra detta direktiv.
2. Medlemsstaterna skall föreskriva att branschorganisationer eller andra organ som företräder andra kategorier av registeransvariga, som har upprättat förslag till nationella kodexar eller som avser att ändra eller utöka existerande nationella kodexar, kan lägga fram dessa för bedömning av den nationella myndigheten.
Medlemsstaterna skall föreskriva att denna myndighet bland annat skall kontrollera att de förslag som har lagts fram för myndigheten är i överensstämmelse med de nationella bestämmelser som antagits till följd av detta direktiv. Om myndigheten anser det lämpligt skall den inhämta synpunkter från de registrerade eller deras företrädare.
3. Förslag till gemenskapskodexar och förslag till ändringar eller tillägg till existerande sådana kodexar kan läggas fram för den arbetsgrupp som avses i artikel 29. Denna arbetsgrupp skall bland annat avgöra om de förslag som lagts fram för gruppen är i överensstämmelse med de nationella bestämmelser som antagits för att genomföra detta direktiv. Om gruppen an-
ser det lämpligt skall den inhämta synpunkter från de registrerade eller deras företrädare. Kommissionen kan tillse att de kodexar som godkänts av arbetsgruppen offentliggörs på lämpligt sätt.
KAPITEL VI
TILLSYNSMYNDIGHET OCH ARBETSGRUPP FÖR SKYDD AV
ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV
PERSONUPPGIFTER
Artikel 28
Tillsynsmyndighet
1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.
Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.
2. Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.
3. Varje tillsynsmyndighet skall särskilt ha — undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, — effektiva befogenheter att ingripa, som till exempel att kunna avge yttranden i enlighet med artikel 20 innan en behandling äger rum, och se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den registeransvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner, — befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.
Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.
4. Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått.
Var och en kan i samband med tillämpningen av de nationella bestämmelser som har antagits med stöd av artikel 13 i detta direktiv till tillsynsmyndigheten ge in en begäran om att få kontrollera om en behandling är tillåten. Den berörda personen skall informeras om vilka följder hans begäran har fått.
5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin verksamhet. Denna rapport skall offentliggöras.
6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.
De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.
7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal, även sedan deras anställning upphört, skall ha tystnadsplikt med avseende på förtrolig information som de har tillgång till.
Artikel 29
Arbetsgrupp för skydd av enskilda med avseende på behandlingen av
personuppgifter
1. En arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter, hädanefter kallad ”arbetsgruppen” inrättas härmed.
Arbetsgruppen skall vara rådgivande och oberoende.
2. Arbetsgruppen skall vara sammansatt av en företrädare för den eller de tillsynsmyndigheter som utsetts av varje medlemsstat, av en företrädare för den eller de myndigheter som har inrättats för gemenskapens institutioner och organ samt av en företrädare för kommissionen.
Varje medlem av arbetsgruppen skall utses av den institution eller av den eller de myndigheter som han företräder. När en medlemsstat har fler tillsynsmyndigheter än en, skall dessa utse en gemensam företrädare. Detsamma skall gälla för de myndigheter som inrättats för gemenskapens institutioner och organ.
3. Arbetsgruppen skall fatta beslut med enkel majoritet av tillsynsmyndigheternas företrädare.
4. Arbetsgruppen skall välja sin ordförande. Ordförandens mandattid skall vara två år. Mandatet kan förlängas.
5. Arbetsgruppens sekretariatsuppgifter skall ombesörjas av kommissionen.
6. Arbetsgruppen skall själv fastställa sin arbetsordning.
7. Arbetsgruppen skall behandla frågor som förts upp på dess dagordning av ordföranden, antingen på dennes eget initiativ eller på begäran av en företrädare för tillsynsmyndigheterna eller för kommissionen.
Artikel 30
1. Arbetsgruppen skall a) utreda varje fråga som rör tillämpningen av de nationella bestämmelser som antagits för genomförandet av detta direktiv, för att bidra till en enhetlig tillämpning av bestämmelserna,
b) yttra sig till kommissionen om skyddsnivån inom gemenskapen och i
tredje land,
c) ge kommissionen råd om varje föreslagen ändring av detta direktiv,
om vilka ytterligare eller särskilda åtgärder som bör vidtas för att skydda fysiska personers fri- och rättigheter med avseende på behandling av personuppgifter och om alla andra föreslagna gemenskapsåtgärder som rör sådana fri- och rättigheter,
d) avge yttranden om de uppförandekodexar som utarbetas på gemen-
skapsnivå.
2. Om arbetsgruppen konstaterar förekomsten av sådana skillnader mellan medlemsstaternas lagstiftning eller praxis, som kan vara till nackdel för likvärdigheten i skyddet för personer med avseende på behandlingen av personuppgifter inom gemenskapen, skall gruppen informera kommissionen om detta.
3. Arbetsgruppen kan på eget initiativ utfärda rekommendationer i alla frågor som rör skyddet av personer med avseende på behandlingen av personuppgifter inom gemenskapen.
4. Arbetsgruppens yttranden och rekommendationer skall framläggas för kommissionen och den kommitté som avses i artikel 31.
5. Kommissionen skall informera arbetsgruppen om det sätt på vilket den har tagit hänsyn till yttrandena och rekommendationerna. För att göra detta skall kommissionen utarbeta en rapport som också skall framläggas för Europaparlamentet och rådet. Rapporten skall offentliggöras.
6. Arbetsgruppen skall utarbeta en årsrapport om situationen rörande skyddet för fysiska personer med avseende på behandlingen av personuppgifter inom gemenskapen och i tredje land, som den skall översända till kommissionen, Europaparlamentet och rådet. Rapporten skall offentliggöras.
KAPITEL VII
GEMENSKAPENS ÅTGÄRDER FÖR GENOMFÖRANDE
Artikel 31
Kommittén
1. Kommissionen skall biträdas av en kommitté som är sammansatt av företrädare för medlemsstaterna och som har kommissionens företrädare som ordförande.
2. Kommissionens företrädare skall förelägga kommittén ett förslag till åtgärder. Kommittén skall yttra sig över förslaget inom en tid som ordföranden bestämmer med hänsyn till hur brådskande ärendet är.
Yttrandet skall avges med den majoritet som anges i artikel 148.2 i fördraget. Vid omröstning i kommittén skall medlemsstaternas röster vägas på det sätt som anges i den artikeln. Ordföranden skall inte rösta.
Kommissionen skall besluta om åtgärder som skall ha omedelbar verkan. Om emellertid åtgärderna avviker från kommitténs yttrande, skall kommissionen omedelbart underställa rådet ärendet. I detta fall gäller följande:
— Kommissionen skall uppskjuta genomförandet av åtgärderna under en
tidsfrist om tre månader räknad från meddelandedatum,
— Rådet kan med kvalificerad majoritet fatta ett avvikande beslut inom
den tidsfrist som anges i den första strecksatsen.
SLUTBESTÄMMELSER
Artikel 32
1. Medlemsstaterna skall sätta i kraft de lagar och andra författningar, som är nödvändiga för att följa detta direktiv, senast tre år efter dess antagande.
När en medlemsstat antar dessa bestämmelser skall de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall varje medlemsstat själv utfärda.
2. Medlemsstaterna skall se till att sådan behandling som redan pågår när de nationella bestämmelser som antas till följd av detta direktiv träder i kraft bringas i överensstämmelse med dessa bestämmelser inom tre år från denna tidpunkt.
I fråga om sådana uppgifter som redan finns i manuella register vid ikraftträdandet av de nationella bestämmelser som antas för att genomföra detta direktiv får medlemsstaterna, med avvikelse från föregående stycke, föreskriva att behandlingen skall bringas i överensstämmelse med artiklarna 6– 8 i detta direktiv inom tolv år räknat från dagen för direktivets antagande. Medlemsstaterna skall dock ge den registrerade rätt att på begäran och särskilt i samband med att han utövar sin rätt till tillgång till uppgifter, erhålla rättelse, utplåning eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den registeransvarige vill uppnå.
3. Med undantag från punkt 2 kan medlemsstaterna under förutsättning av lämpliga skyddsåtgärder föreskriva att uppgifter som endast bevaras för historisk forskning inte behöver överensstämma med artiklarna 6–8 i detta direktiv.
4. Medlemsstaterna skall till kommissionen överlämna texten till de nationella bestämmelser som de antar inom det område som omfattas av detta direktiv.
Artikel 33
Kommissionen skall första gången senast tre år efter den tidpunkt som anges i artikel 32.1 och därefter regelbundet till rådet och Europaparlamentet avge en rapport om genomförandet av detta direktiv, eventuellt försedd med lämpliga ändringsförslag. Rapporten skall offentliggöras.
Kommissionen skall särskilt undersöka tillämpningen av detta direktiv på behandling av ljud- och bilduppgifter som rör fysiska personer och skall framlägga alla lämpliga förslag som med beaktande av informationsteknikens och informationssamhällets utveckling, visar sig nödvändiga.
Artikel 34
Detta direktiv riktar sig till medlemsstaterna.
Utfärdat i Luxemburg den 23 oktober 1995
På Europaparlamentets vägnar På rådets vägnar
K. HÄNSCH L. ATIENZA SERNA
Ordförande Ordförande ___________________
BILAGA 3: CYBERSPACE,
REAL LIFE OCH
JURIDIKEN
—
Rapport av
Christian Wettergren
och
Björn Pehrson
Kungl. Tekniska Högskolan/Teleinformatik
INNEHÅLL:
1 Introduktion.........................................................................................767
2 Egenskaper hos ”Cyberspace”...........................................................768
3 Personuppgifter kopplade till elektroniska identiteter ...................771
4 Hur få en positiv utveckling på datasäkerhetsområdet? ................775
5 ”Fria” personuppgifter .......................................................................779
6 Sammanfattning ..................................................................................782
Referenser ............................................................................................784
Cyberspace, Real Life och juridiken
—
Datalagskommitténs betänkande ur
teknisk synvinkel
Av
doktoranden Christian Wettergren och
professorn Björn Pehrson
1 Introduktion
Denna rapport diskuterar ett antal aspekter som är relevanta för den kommande datalagstiftningen, och Datalagskommitténs betänkande. Den är skriven ur ett tekniskt perspektiv, och diskuterar speciellt aspekter som rör säkerhet och den privata sfären. Rapporten utgår från de praktiska erfarenheter som författarna har av datasäkerhetsarbete i en Internetmiljö, och de problemställningar som uppkommit där. Det finns ett underliggande antagande att dessa problemställningar kommer att sprida sig till övriga ITsektorer allteftersom. Internet utgör därmed ett tidigt test på kommande problem.
Rapportens huvudsakliga författare är doktorand Christian Wettergren, men prefekt Björn Pehrsons synpunkter är invävda i texten, och författarna har diskuterat innehållet i rapporten.
De grundläggande egenskaperna hos Cyberspace i kontrast mot den fysiska världen diskuteras i avsnitt 2. Den typ av personuppgifter som ej kopplas till den fysiska identiteten utan till den elektroniska diskuteras i avsnitt 3. Persondatalagens möjlighet att initiera en nödvändig förbättring av datasäkerheten i samhället diskuteras i avsnitt 4. Mängden ”fria personuppgifter” som finns i samband med privat kommunikation och privat be-
arbetning diskuteras i avsnitt 5. En sammanfattning av de konkreta förslagen avslutar rapporten i avsnitt 6.
2 Egenskaper hos ”Cyberspace”
I och med IT-revolutionen flyttar verksamheter från den fysiska världen in i Cyberspace. Denna flytt sker eftersom IT erbjuder en rationell hantering av många verksamheter, och IT dessutom är flexibel på ett helt annat sätt än fysiskt realiserade verksamheter. Ekonomiskt sett utgör IT ett helt nytt fenomen; enbart fasta kostnader, och rörliga kostnader nära noll. Denna ekonomiska drivkraft är mycket stark, och kommer att påverka hela samhället de närmaste decennierna.
I samband med denna IT-revolution uppkommer frågor om säkerheten och integriteten hos den nya verksamheten. Cyberspace har andra egenskaper än den fysiska världen, och därför uppkommer andra frågeställningar än då verksamheten sker i den fysiska världen. Nedan diskuteras några viktiga egenskaper hos Cyberspace, som drastiskt skiljer sig från den fysiska världen.
Först och främst måste man uppmärksamma att buggar alltid existerar i alla system488, och att även om man kan reducera antalet kraftigt leder detta till alltför stora utvecklingskostnader. En del av dessa allmänna buggar får säkerhetsrelevans, och blir därmed säkerhetshål. Vi kan därför inte förvänta oss att bygga det helt säkra systemet. I stället måste målet bli att kostnaderna för att lokalisera och designa en framgångsrik attack överstiger den förväntade vinst attacken kan ge. Detta förfarande är analogt med hur det fungerar i den fysiska världen, det som har värde måste skyddas ”tillräckligt”. En av de viktigaste egenskaperna hos IT är dess fenomenala förmåga att automatisera verksamheter. Marginalkostnaden att utföra en procedur fler gånger när den väl kan utföras en gång med IT är
488 Fel och svagheter finns givetvis i alla mänskliga konstruktioner. Dessa imperfektioner utgör dock ett mycket större hot i IT-världen, jämfört med de traditionella teknologierna. I IT är det område varifrån en imperfektion kan utnyttjas mycket större än i fysiska konstruktioner. Dessutom sker allting snabbt och automatiskt i Cyberspace. En ytterligare faktor av vikt i IT är att IT är transitiv till sin natur, dvs. att om A och B kan kommunicera, och B och C kan kommunicera, betyder det att A och C också kan kommunicera. Påverkan förblir inte lokal. Detta sammantaget leder till att en angripare har betydande skalfördelar i Cyberspace jämfört med den fysiska världen.
obetydlig. Detta innebär att aktioner som skulle kräva en stor organisation med betydande resurser om de utfördes i den fysiska världen kan utföras av enskilda individer i Cyberspace. Dessa aktioner kan givetvis vara av kriminell art. Ett illustrativt exempel är till exempel att Swedish Hacker
Association lyckades obemärkt ”dyrka 150 000 lås” i Cyberspace, dvs. gissa 150 000 användares lösenord. Tänk er motsvarande aktion i den fysiska världen! Den obetydliga kostnaden för replikation och automatisering är ytterst viktig då man resonerar om lagstiftningen i Cyberspace.
Tyvärr är grundtekniken i IT-systemen inte robust nog. En till synes obetydlig bugg kan utnyttjas mycket effektivt av en angripare, och effekten av buggen kan lätt förstoras till att omfatta hela system. Ofta kombinerar en angripare ihop effekten av flera buggar och systemets medvetna funktion till en attackkedja som uppnår angriparens mål. Eftersom grundtekniken är i stort sett densamma över hela IT-världen, är svagheterna i stort sett desamma överallt. Dessutom blir de åtgärder som behövs för att göra tekniken mer robust likartad. Målet måste vara att grundtekniken skall bli såpass robust att ”vanliga” programmerarmisstag inte skall kunna utnyttjas och förstoras, utan att effekterna förblir lokala runt buggen.
Orsaken till IT:s oerhörda vitalitet kan sägas bero på att informationen kan flöda fritt inom systemet. Nya program laddas ner över Nätet, olika meddelanden skickas mellan användare, automatiska sökmotorer samlar på sig all information i enorma databaser. Det som behövs för att utföra en attack är information, och det som behövs för att skydda ett system är information. Kostnaden för att utföra en attack beror alltså på hur stora kostnaderna är för att införskaffa den nödvändiga informationen. Införskaffandet kan antingen ske genom att man själv skapar informationen, vilket ofta innebär arbetstid, eller byter den till sig från någon som har informationen. Dessvärre finns det en välorganiserad Computer Underground, där information byts utan kostnad. Dessutom drivs medlemmarna av ett brinnande intresse för IT-system, och arbetar därför gärna gratis, eller för en viss status i denna subkultur. Vi kan därför konstatera att kostnaderna för en attack på ett system i dag ligger nära noll. I värsta fall behöver angriparen investera någon arbetsvecka för att ta sig in.
En annan egenskap hos Cyberspace som inte uppmärksammats ordentligt ännu är den oerhörda transitivitet som informationen får i systemet. System som man trodde var helt separerade kan visa sig vara nära i Cyberspace genom att de delar på någon resurs. Informationen kan då rinna iväg åt icke-förväntade eller icke-önskade håll. En medveten angripare kan därför ofta hitta ”bakvägar” in i systemen.
I IT-system agerar ett antal olika personer, ”parter”, samtidigt. Säkerhetsfunktionerna måste förhindra att de olika parterna otillbörligt påverkar de andra parterna. Säkerhetsfunktionerna i moderna IT-system byggs nästan alltid efter det jag kallar Systemparadigmen. Med det menar jag att separationen av parterna uppnås genom att en ytterligare part, Systemet, införs, som tillser denna separation. Eftersom Systemet separerar parterna måste alla parter lita på Systemet, och den som kontrollerar Systemet har möjlighet att förfalska varje parts medverkan i IT-systemet. Filosofin bakom Systemparadigmen går ut på att Systemet ska göras säkert. Tyvärr brukar Systemet bli stort och komplext, och innehåller därför buggar. Erfarenheten visar att Systemet nästan alltid kan komprometteras på något sätt.
Systemparadigmen håller på att ersättas av andra paradigmer. I öppna system, med allmän och delad nätinfrastruktur, kan inte nätet antas vara del av Systemet. I detta koncept sammanbinds de olika parterna av en komponent som ingen part litar på, och det finns ingen omfattande Systemkomponent, utan varje part hanterar sina egna behov själva. För att uppnå robust säkerhet bör komponenterna distribueras ut i systemen, och göras så små och därmed många, som möjligt.
Vi behöver antagligen ompröva var på spektrat flexibilitet–säkerhet vi vill befinna oss för olika verksamheter och funktioner. Vissa kritiska funktioner skall kanske göras väsentligt mindre flexibla än vad de är i dag?
Enskilda personers aktiviteter i Cyberspace lämnar omfattande spår efter sig. En viktig konsekvens av att IT-teknologin är så billig och att informationen kan rör sig så fritt är att det är relativt enkelt och billigt att samla in och sammanställa sådana spår till en heltäckande bild av vad en viss person företar sig. I de fall IT används i samband med fysisk verksamhet kan denna typ av informationsinsamling även komma att omfatta aktiviteter i den fysiska världen.489 Det är därför mycket viktigt att minimera informationsläckaget från olika IT-tjänster ut i systemet.
Grundläggande bestäms säkerheten i Cyberspace av ekonomiska kalkyler. Om kostnaden för att bryta sig in i ett system blir kännbar för angriparen kommer vederbörande att vara mer tveksam i att attackera. Ökande kostnader stänger ute allt fler angripare. Få angripare är motiverade om kostnaderna för attacken överstiger den förväntade vinsten, multiplicerat med sannolikheten för en lyckad attack. Denna fundamentala ekvation be-
489 Ett exempel är det läckage av geografisk plats som ägaren av en GSM-telefon läcker in i GSM-systemet. Denna information används numera regelbundet av polisen.
stämmer hur omfattande säkerhetsproblem vi kan komma att få. Tyvärr är kostnaderna i dag i det närmaste noll, som vi konstaterat tidigare490. Följaktligen kan vi vänta oss problem framöver.
IT-tekniken förändrar maktbalansen mellan olika parter, eftersom den ekonomiska grunden för deras verksamhet förändras. Applicerat på brottsbekämpning betyder det att den eviga kampen mellan brottslingar och polis får nya förutsättningar i Cyberspace. Det går inte att avgöra åt vilket håll maktbalansen tippar, eftersom båda parters verksamhet påverkas. Eftersom läget är så osäkert kommer båda sidor försöka stärka sina positioner, och vad som är önskvärt beror på vilka värderingar man har. Vi kan konstatera att vare sig en polisstat med omfattande övervakning av oskyldiga personer ”för säkerhets skull”, eller total anarki är attraktiv för de flesta491. Det i någon mån ”neutrala alternativet” är att bygga IT-system som har liknande ekonomisk trade-off mellan polismakt och brottslingar som den i dag existerande fysiska världen har. Detta är ju i praktiken inte görligt, men kan utgöra en utgångspunkt för diskussionen.
3 Personuppgifter kopplade till elektroniska identiteter
I lagförslaget utgår man ifrån begreppet personuppgift. Detta begrepp utgår från den historiskt viktiga databasen, som registrerar fakta och uppgifter om människor. Databasen övervakar alltså människorna i den fysiska
490 Värdet av informationen, och därmed den potentiella vinsten, i IT-system kommer att öka med tiden, vilket alltså innebär att vi i stället måste öka kostnaden för en attack. Att lyckas med detta kommer att bli svårt. Det skulle vara mycket svårt att förhindra hackers att byta information med varandra. En viktig faktor i en attacks förväntade vinst är hur många gånger den kan upprepas på ett identiskt sätt, det vill säga hur stor replikationsfaktorn är. Det går att minska replikationsfaktorn genom att ha diversitet i IT-systemen, men detta är dyrt. Replikationsfaktorn kan också reduceras genom att koppla bort IT-system från kommunikationsmöjligheter, men detta är oftast inte ett alternativ. En angripare kan också avskräckas på grund av efterräkningar, men det förutsätter att man vet vem angriparen är, och det kan man ofta inte göra i Cyberspace. Det slutliga alternativet är att drastiskt öka den tekniska kostnaden för ett intrång genom att på något sätt förändra grundtekniken i IT-systemen. Hur dessa ändringar av grundtekniken skall se ut är en grannlaga forskningsuppgift. 491 Detta är givetvis kulturberoende. Svenskar torde ha större tilltro till Staten än exempelvis många amerikanska medborgare.
verkligheten. Eftersom personuppgifter inte enbart förekommer i databaser, har begreppet generaliserats till att omfatta sökbara samlingar av personuppgifter.
[Avsnitt 1 Gällande rätt i huvuddrag] Med personuppgift avses upplysning som avser enskild person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas som personuppgifter. Enligt lagmotiven avses även uppgifter om en persons bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav och upplysningar i övrigt om en persons ekonomiska ställning. […]
En personuppgift kan hänföras till en viss person antingen direkt genom själva uppgiften eller med hjälp av en identitetsuppgift som också ingår i registret. Även register som innehåller identitetsuppgifter av sådan art att bara den invigde kan utläsa vilka personer som finns registrerade omfattas av datalagen. Likaså omfattas statistiska uppgifter där beteckningar som också återfinns på dokument gör det möjligt att knyta uppgifterna till en viss person.
[Avsnitt 3.2.2.2 Personuppgifter och den registrerade]
Med personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En person är identifierbar om han eller hon kan identifieras direkt eller indirekt, t.ex. genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans eller hennes fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Kopplingen till den fysiska personen är stark, och det är logiskt med tanke på dagens situation. En annan typ av ”personuppgifter” kan dock bli viktig inom de närmaste åren, som inte tydligt ingår i definitionen ovan, nämligen uppgifter som knyts till den elektroniska identiteten.
Personuppgifter om den elektroniska identiteten innebär att man samlar in uppgifter om ett subjekts aktiviteter i Cyberspace, utan att för den skull försöka knyta uppgifterna till en fysisk person. Man behöver inte ens försöka tillse att man enbart samlar uppgifter om en enstaka persons aktiviteter. Dessa uppgifter kan man sedan använda för marknadsföring, övervakning, marknadsundersökningar, skräddarsydda tjänster (personalisering) och bevisinsamling.
Denna typ av personuppgifter kan komma att utgöra en väg runt lagstiftningen, och kan bli nog så viktig för företagen.
[…] I punkt 26 i ingressen betonas att man, för att avgöra om en person är identifierbar, skall beakta alla hjälpmedel som kan komma att användas för
att identifiera personen. Däremot gäller inte direktivet för uppgifter som har gjorts anonyma på ett sådant sätt att personen inte längre är identifierbar.
[…] I kommissionens förklaring anges som exempel på direkt identifiering att personen kan identifieras genom namnet. Indirekt identifiering kan vara när personen kan identifieras genom ett telefonnummer, ett bilregistreringsnummer, ett socialförsäkringsnummer eller ett passnummer. Ett annat exempel är när identifieringen av en person sker genom en kombination av särskiljande kriterier (ålder, yrke, bostadsort etc.), vilka gör att personen kan kännas igen genom att den grupp han eller hon tillhör omfattar färre och färre andra personer. Det framgår vidare av kommissionens förklaring att frågan om en person är identifierbar är oberoende av kostnaden för att fastställa personens identitet. Definitionen omfattar även uppgifter om utseende, röst, fingeravtryck och genetiska karakteristika.
Eftersom uppgifterna inte nödvändigtvis knyts till enskild person, kan företagen argumentera att detta inte är personuppgifter i lagens mening. Uppgifterna kan bli alltmer detaljerade, men det är inte säkert att de därför innebär att man kan identifiera den fysiska individen. Och vad händer om den fysiska individen namnger sig själv i samband med någon tjänst? Tidigare var det ju inget personregister, men i och med detta blir det ett? En analogi med den fysiska världen skulle kunna vara omfattande övervakning med kameror och mikrofoner. Eftersom individerna inte är identifierade så rör det sig inte om personuppgifter, men denna omfattande övervakning utgör ändå ett omfattande integritetsintrång. Analogin haltar dock, eftersom uppgifter insamlade i Cyberspace är väsentligt mer lättbearbetade än video och ljud.
Dessa cyber-personuppgifter kan bli mycket detaljerade, jämfört med de traditionella personuppgifterna. Insamling av beteendeuppgifter i Cyberspace är mycket billigt, jämfört med om man skulle samla in samma uppgifter i den fysiska världen. Bearbetningen av dessa uppgifter sker dessutom i samma medium, vilket innebär att det inte finns några omfattande konverteringskostnader. Ytterligare en förvärrande faktor är att individen inte har någon möjlighet att avgöra om han/hon är övervakad eller inte i Cyberspace. En motsvarande omfattande fysisk övervakning skulle vara synlig, alternativt kräva stora investeringar för att inte synas. Ett förslag är att tjänster som är allmänt tillgängliga måste deklarera om de loggar användaren, vad som loggas och hur länge denna information sparas. Man kan också tänka sig att reglera handeln med dylika personuppgifter mellan företag.
De flesta av dagens IT-system läcker personuppgifter till omgivningen. Avlyssning av den allmänna nätstrukturen avslöjar dels vilka användare
som kommunicerar med varandra, dels vad de gör. De som använder samma server kan ofta iaktta varandras aktiviteter. Kvarvarande spår i olika datorer kan ofta berätta för en senare användare vad som företagits med datorn. Mycket få program och applikationer utvecklas med tanke på att minimera denna typ av läckage. Det har förekommit fall i USA där headhunters har kontrollerat vilka användare som arbetat sent för att hitta lämpliga kandidater att rekrytera. Det kan noteras att det enda verktyg vi har för att åtgärda detta problem är kryptering.
IT-revolutionen har inte hunnit så långt ännu, och användning av personuppgifter knutna till elektroniska identiteter har inte kommit i allmän bred användning ännu. Konceptet används dock bl.a. i Postens webbplats
Torget med hjälp av så kallade Cookies.492 I USA är personalisering av webbsidor det senaste, vilket också baserar sig på personuppgifter knutna till en elektronisk identitet. När alltfler verksamheter flyttas till Cyberspace kommer denna typ av personuppgifter att bli allt viktigare.
Rent tekniskt går registrering av dylika personuppgifter till som så att varje aktör i ett system bär på något kännetecken, en markör. En markör kan antingen vara en redan existerande särskiljande datamängd, eller så kan denna datamängd läggas till vid interaktionen. Aktiviteter som aktören utför loggas med markören som nyckel. Det behöver inte finnas en absolut koppling mellan aktören i Cyberspace och en enskild individ, utan man kan ha markerat en (liten) grupp individer med en markör. Det kanske räcker med att registrera ett hushålls vanor, exempelvis. Det är möjligt att välja markörer som aktören är tvungen att använda för att kunna utnyttja tjänsterna. Det är också möjligt att välja markörer som används av flera tjänsteleverantörer, vilket underlättar korskorrelering av insamlad information. Ett exempel på markör kan vara att använda en persons publika nyckel som knutits till ett nationellt ID-kort, eller datorns ändnodsadress (IP-nummer). Dessa markörer är besvärliga att byta.
Tidigare integritetsproblem kommer att blekna jämfört med de problem vi potentiellt har framför oss. Jag tror att det är viktigt att fortlöpande följa integritetsproblematiken, och att vara beredd att reglera avarterna. En möjlighet vore att ge Datainspektionen ett uppdrag att utgöra allmänhetens integritetsombudsman. Jag ser det som mycket viktigt att samhället initie-
492 Så här ser ett utdrag ut ur en Cookie-fil:
.torget.se TRUE / FALSE 1291165200 TorgetUser 851564382 www-elec.enst.fr FALSE / FALSE 946511999 RoxenUserID 0x59 .socialstudies.com TRUE / FALSE 946684799 INTERSE sl67231788 www.dn.se FALSE FALSE 859839554 DNetVisits 6
rar och stödjer forskning som syftar till att ta fram system som minimerar integritetsproblemet. Vi kan inte förvänta oss att marknaden tar tag i detta problem.
4 Hur få en positiv utveckling på datasäkerhetsområdet?
Datasäkerhet är ett oerhört eftersatt område i dag, och medvetenheten om säkerhetsbristerna är låg. I princip samtliga datorsystem går att bryta sig in i med relativt små resurser. Som nämnts tidigare är det kapital en inbrottstjuv behöver information, och denna typ av information är normalt sett billigt att få tag på.
Militären har fått upp ögonen för denna fara, och kallar ämnet för ”information warfare”. De undersöker problemen ur både defensiv och offensiv synvinkel. Rapporterna [1] [2] [3] målar en skrämmande bild där alla datorsystem kan manipuleras, och där dessa manipulationer kan få dramatiska konsekvenser med försörjningskriser, störtande flygplan och krockande tåg. De militära analytikerna noterar att användningen av detta ”vapen” inte begränsar sig till nationalstater, utan även små grupper med begränsade resurser kan nyttja det.
För att tillse att otillåtna samkörningar mellan persondataregister ej sker måste man ha en hög datasäkerhetsnivå i systemen, annars kan en part med ont uppsåt omärkligt bryta sig in i de intressanta persondataregistren, kopiera persondata, och sedan genomföra samkörningen med egen utrustning.
Med utgångspunkt i mitt tekniska kunnande och baserat på en del av den litteratur jag har läst håller jag det inte för orimligt att främmande makt har fullständig access till vissa av våra persondataregister med känsligt innehåll. Den amerikanska militären hävdar att det är av avgörande strategisk vikt att de besitter ”information high ground”, dvs. att de har tillgång till all information de behöver. Det är sannolikt att den amerikanska signalspaningsorganisationen NSA har säkrat fri tillgång till intressanta register.493 Jag bedömer det som fullt möjligt att även betydligt
493 Enligt obekräftade rykten, som bland annat återgetts i Washington Post, hade NSA genom avlyssning fullständig tillgång till all intern information hos EUkommissionen. NSA hade modifierat en hårdvarukomponent i kommissionens PC-maskiner för att uppnå detta. Tyvärr saknas referenser på denna händelse.
mindre organisationer kan skaffa sig tillgång till dessa register. Jag bedömer det som mycket svårt att skydda stora samlingar av intressanta persondata från otillbörligt intrång.
Enligt den nu gällande datalagen (1973) får Datainspektionen utfärda föreskrifter om hur behandlingen skall genomföras med hänseende på kontroll och säkerhet (6 § DL).
6 § DL Lämnas tillstånd till inrättande och förande av personregister, skall datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift om …
4. den tekniska utrustningen, … 10. kontroll och säkerhet, …
EU:s dataskyddsdirektiv reglerar säkerheten vid behandling av personuppgifter närmare. Dataskyddsdirektivet skall omsättas i nationell lag, i och med Datalagskommitténs betänkande och den efterföljande behandlingen.
Artikel 17: Säkerhet vid behandling
1. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling. Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas.
2. Medlemsstaterna skall föreskriva att den registeransvarige, när behandlingen utförs för dennes räkning, skall välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder genomförs.
3. När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen skall särskilt föreskrivas att — registerföraren endast får handla på instruktioner från den registeransvarige, — de skyldigheter som anges i punkt 1, såsom de definieras i lagstiftningen i den medlemsstat i vilken registerföraren är etablerad, även skall åvila registerföraren.
Datalagskommittén diskuterar inte säkerhetskraven närmare, utan refererar till skrivningarna i dataskyddsdirektivet. Jag tror att dessa paragrafer kan komma att bli viktiga de närmaste åren, och skulle gärna se en skärpning av kraven.
Till att börja med är det orimligt att lägga samma säkerhetskrav oberoende av datasamlingens omfattning och struktur. För privat användning av en mindre mängd persondata i en ostrukturerad samling torde dagens kommersiella produkter med lösenordsskydd vara tillräckligt.
Eftersom automatiska bearbetningar är praktiskt taget utan kostnader i Cyberspace, utgör de stora samlingarna av strukturerade persondata problemet. Små register som är organiserade efter olika kriterier, och använder olika databasteknik, eller på annat sätt har olika struktur, leder till omfattande manuellt efterarbete. Dessutom blir inte alla intrång identiska, eftersom systemen är olika, vilket ytterligare fördyrar hopsamlandet av informationen.
De stora persondatasamlingarna sitter däremot i mitten av stora informationsbehandlingssystem med tillhörande stora accessnät ut i organisationens administration. Ofta räcker det med ett intrång i ett sådant system för att en angripare skall få tag på den information som han är ute efter. Dessutom leder det stora accessnätet till att det finns många vägar in i systemet, och databastekniken är mer standardiserad.
Dessa stora informationsbehandlingssystem leder till kraftiga rationaliseringsvinster för organisationen. Samtidigt ökar risken för intrång i registret kraftigt med storleken. De stora registren bör därför ha större säkerhetskrav på sig än de små registren.
De investeringar som dessa ökade krav orsakar, leder till samhällsekonomiska vinster, eftersom de minskar sårbarheten i samhället. Det är troligt att hotet från ”information warfare” kommer att leda till att staten i vilket fall tvingas genomföra program för att minska sårbarheten hos de mest kritiska IT-systemen, för att trygga informationsförsörjningen. De stora administrativa systemen hör till dessa kritiska system.
Mitt förslag är att förstärka kraven på säkerhet i samband med större persondatasamlingar. Innehavare av stora register bör vara skyldiga att demonstrera att säkerheten är tillfredsställande inför exempelvis en expertkommitté. Denna kontroll bör ske regelbundet. Att ha en koppling till state-of-the-art innebär tyvärr bara att det eftersatta området datasäkerhet inte rör sig framåt. Kraven bör vara målrelaterade, och inte produktrelaterade. Ett minimum är att varje organisation skyddar sig mot de kända attacker som finns. Organisationen bör också skydda sig mot attacktyper som är troliga att utnyttjas allmänt inom en snar framtid. Man bör också notera att organisationer med resurser alltid kan använda mer avancerade och okända attacktyper på systemet. Om innehållet i registren är känsligt, eller hotbilden på annat sätt visar att kvalificerade attacker är troliga, bör organisationen vara skyldig att skydda sig mot dessa hot också.
Jag tror också att det är viktigt att säkerhetsbestämmelserna förknippas med reella och kännbara påföljder. Nuvarande 23 § DL kan leda till att den registeransvarige får ersätta skada orsakad på grund av brott mot 20 § DL, exempelvis mot föreskrifter angående kontroll och säkerhet (6 § 1 st. 10 DL). EU:s dataskyddsdirektiv innehåller följande:
Artikel 23: Ansvar
1. Medlemsstaterna skall föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.
2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.
I Datalagskommitténs föreslagna lydelse av persondatalagen har detta formulerats:
31 § Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
d) hur pass känsliga de behandlade personuppgifterna är.
När den persondataansvarige anlitar ett persondatabiträde, skall den persondataansvarige förvissa sig om att persondatabiträdet kan genomföra de sä-
kerhetsåtgärder som måste vidtas och se till att persondatabiträdet verkligen vidtar åtgärderna.
Skadestånd
43 § Den persondataansvarige skall ersätta den registrerade för den skada som en behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats med stöd av lagen har fört med sig. Ersättning skall betalas också för ren förmögenhetsskada och för den kränkning av den personliga integriteten som behandlingen har inneburit.
Ersättningsskyldigheten enligt första stycket kan i den utsträckning det är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar att felet inte berodde på honom eller henne.
Först föreslår jag alltså att fallet e) att åtgärderna skall relateras till antalet registrerade i persondataregistret, inkluderas i 31 § ovan.
Jag föreslår vidare att den registeransvarige skall kunna hållas skadeståndsskyldig även vid fall av intrång av tredje man. 43 § andra stycket kan tolkas så att vid intrång av tredje man är inte den persondataansvarige skadeståndsskyldig med avseende på intrång i den personliga integriteten, eftersom ”felet inte berodde på honom eller henne”.
Skadeståndsansvaret bör vidare vara strikt, så att intrång av tredje man i ett register alltid leder till en viss skadeståndskostnad för den persondataansvarige. Skadeståndets storlek kan dock reduceras om den persondataansvarige kan demonstrera att tillräckliga målrelaterade åtgärder vidtagits för att tillse säkerheten i behandlingen och lagringen av registret, på liknande sätt som i den föreslagna 43 §.
5 ”Fria” personuppgifter
Den föreslagna persondatalagen innehåller ett antal undantag från när lagen tillämpas.
Undantag för privat användning av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.
Undantag med hänsyn till yttrandefriheten
7 § Bestämmelserna i 9–29 och 33–46 §§ samt 47 § första stycket och 49 § skall inte tillämpas på
a) sådana förfaranden som är skyddade enligt tryckfrihetsförordningen eller
b) spridningen av sådana yttranden som är skyddade enligt tryckfrihetsför-
ordningen eller yttrandefrihetsgrundlagen, eller
c) sådan behandling av personuppgifter som annars sker uteslutande för
journalistiska ändamål eller konstnärligt eller litterärt skapande.
10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig
a) för att fullgöra ett avtal med den registrerade,
b) för att på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c) för att den persondataansvarige skall kunna fullgöra en rättslig skyldig-
het,
d) för att skydda vitala intressen för den registrerade,
e) för att utföra en arbetsuppgift av allmänt intresse,
f) för att den persondataansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
g) för ändamål som rör ett berättigat intresse hos den persondataansvarige
eller hos sådana tredje män till vilka personuppgifterna lämnas ut när detta intresse väger tyngre än den registrerades intresse.
Dessutom kan uppgift föras över till tredje land, där undantag från lagstiftningen kan trädda in.
34 § Utan hinder av 33 § är det tillåtet att föra över personuppgifter till tredje land, om den registrerade har samtyckt till överföringen eller när överföringen är nödvändig för att
a) fullgöra ett avtal mellan den registrerade och den persondataansvarige,
b) på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c) ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och
tredje man som är i den registrerades intresse,
d) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,
eller
e) skydda vitala intressen för den registrerade.
Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.
En del av dessa undantag rör det fall då den registrerade själv har lämnat medgivande om behandling, en del fall rör tryck- och yttrandefriheten, och ytterligare fall rör rent privat behandling. Resultatet av dessa undantag kommer att bli att en stor mängd av ”fria” persondatauppgifter kommer att existera.
IT innebär att intressegrupper lätt kan formas och kommunicera med varandra. Dessa nya fora behöver inte ha en fast form, utan kan uppkomma spontant och upplösas spontant. De kan dessutom vara helt baserade på personlig kommunikation inom en liten grupp av individer. Att delta i
dessa fora är en grundläggande rättighet såväl med avseende på mötesfrihet som föreningsfrihet (2 kap. 1 § RF). I många fall rör sig detta om privat kommunikation – ett cybermöte – och Yttrandefrihetsgrundlagen (YGL) och Tryckfrihetsförordningen (TF) borde då inte appliceras, dvs. ingen ansvarig utgivare, ingen ”självsanering”, inga genmälen. Det faktum att denna kommunikation sker över elektroniska infrastrukturer bör inte påverka denna grundläggande rätt att kommunicera. Enligt den föreslagna
6 § ovan har varje person dessutom rätt att behandla personuppgifter för privat verksamhet. Rimligen borde denna rent privata bearbetning kunna baseras på information som erhållits genom privat kommunikation. Dessutom skulle efterlevnaden av en lag som förbjöd denna typ av behandling inte kunna kontrolleras.
Det är troligt att mängden ”fria personuppgifter” kommer att växa kraftigt framöver. De självmant lämnade uppgifterna kommer att öka, och de privata mottagarna kommer att kunna lagra dessa uppgifter494. Dessa uppgifter kan sedan komma att spridas i andra hand i privata möten eller i småskaliga ”massmedier”, som nyhetsbrev och diskussionsgrupper. Vi kan redan konstatera att det förekommer ryktesspridning på Internet som är mycket livskraftig. Om ett rykte uppfattas som trovärdigt och angeläget sprids det vidare, och det är därför troligt att vi kommer att få se betydligt fler ärekränkningsmål framöver.
Nätets gränslöshet ställer dock till problem när det gäller ärekränkning, eftersom olika nationer har olika ärekränkningslagar. Traditionella massmedier kommer antagligen ställa upp på självsanerande kontrollverksamhet, men kommer ”nya massmedier” att göra det?495 Det är inte särskilt troligt, och var gränsen mellan ”slutet möte” och ”massmedier” ska dras kan verkligen diskuteras. Min erfarenhet från Internettjänsten Usenet496 är att man inte nödvändigtvis kan förvänta sig en ”god samtalston”, till stor del baserat på det faktum att deltagargruppen är så heterogen, och att exponeringen för diametralt motsatta åsikter får vissa deltagare att tappa fatt-
494 Det är vanligt att flitiga e-post-användare har stora mängder e-post lagrade, ibland uppåt flera tusen stycken. Denna e-post är full med personuppgifter, och kan sökas i baserat på ämne, avsändare, datum eller valfritt nyckelord. 495 Se exempelvis den omskrivna servern Flashback (http://www.flashback.se) med tillhörande nyhetsbrev Flashback News Agency (FNA), som går ut till omkring 12 000 svenska prenumeranter. 496 Ett världsomspännande diskussionsforum med ämnesrelaterade möten där deltagare från hela världen deltar.
ningen.497 Denna situation leder ibland till en upptrappning, som emellanåt slutar i en större mängd stämningar för förtal mellan kontrahenterna.
12 § I de fall där behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.
Denna rätt att återkalla uppgifter lämnade med samtycke kan rent praktiskt vara ogörligt för denna typ av ”fria personuppgifter” som diskuteras. Spridningen av dessa uppgifter är okontrollerbar. Inlägg i diskussionslistor hamnar exempelvis hos alla prenumeranter av diskussionslistan, och vissa av dem kan ha lämnat listan vid tidpunkten då begäran om ett ”återkallande” skickas ut.
I grunden finns det en fundamental motsättning mellan rätten till privat kommunikation och allmänhetens och enskildas oro för att bli ”registrerade”. Om och hur denna motsättning bör regleras är oklart för mig. Jag tror att det är viktigt att vara medveten om att en större mängd ”fria personuppgifter” kommer att ackumuleras i IT-systemen, och jag föreslår att Datainspektionen får i uppdrag att fortlöpande undersöka omfattningen av det integritetsintrång denna information utgör. Jag tror också att är viktigt att nya system som minimerar mängden ”fria personuppgifter” med hög identifikationsgrad utvecklas.498
6 Sammanfattning
I Cyberspace gäller andra fundamentala begränsningar än vad som gäller i den fysiska världen, och det gör att andra problemställningar blir aktuella.
497 Denna typ av exponering för extrema åsikter och främmande uppfattningar kommer också att öka kraftigt i omfattning, och det är mycket svårt att åtgärda. Min uppfattning är att vi måste bli mer toleranta mot dylika yttringar. Det innebär dock inte att de skall stå oemotsagda. 498 Vid KTH/Teleinformatik har vi nyligen genomfört två examensarbeten (OnTheMove-projektet) som syftat till att ta fram ett system med pseudonymer. I detta system antar vi att man kommunicerar, men identifikationsgraden kan varieras, och varje fysisk person har flera pseudonymer, vilket försvårar korrelationen mellan fysisk person och yttrande.
Datalagen (1973) sysslade med register; datasamlingar om fakta om den fysiska världen och individer i den. Allteftersom verksamheter flyttar från den fysiska världen till Cyberspace, kommer mer och mer uppgifter att enbart röra Cyberspace. De fundamentala egenskaperna hos Cyberspace kommer därför att bli viktiga.
Ett förslag är att tjänster som är allmänt tillgängliga måste deklarera om de loggar användaren, vad som loggas och hur länge denna information sparas. Man kan också tänka sig att reglera handeln med dylika personuppgifter mellan företag.
Den föreslagna definitionen av personuppgift är bra, men den tar ej hänsyn till identiteter som enbart rör sig i Cyberspace, utan explicit koppling till den fysiska individen. Detta kan utgöra en väg runt den föreslagna persondatalagen. Det är inte heller säkert att enbart enskild individ kan råka ut för integritetsintrång, utan även en liten grupp av individer kan råka ut för detta.
Ett förslag är att ge Datainspektionen en allmän roll som allmänhetens Integritetsombudsman. DI skulle då få ett fortlöpande uppdrag att tillvarata individens integritet under IT-revolutionens fortskridande. Det är viktigt att samhället initierar och stödjer forskning som syftar till att ta fram system som minimerar integritetsproblemet. Det föreslås också att omfattningen av vidtagna säkerhetsåtgärder skall göras beroende av storleken på persondatasamlingen. Det föreslås att den föreslagna 31 § kompletteras med
e) att åtgärderna skall relateras till antalet registrerade i persondataregistret
Att ha en koppling till datasäkerhetens state-of-the-art innebär tyvärr bara att det eftersatta området datasäkerhet inte rör sig framåt. Kraven bör vara målrelaterade, och inte produktrelaterade.
Det föreslås vidare att den persondataansvarige skall kunna hållas skadeståndsskyldig även vid fall av intrång av tredje man. Skadeståndsansvaret bör vidare vara strikt, så att intrång av tredje part i ett register alltid leder till en viss skadeståndskostnad för den persondataansvarige. Detta förslag rör 43 § andra stycket.
I grunden finns det en fundamental motsättning mellan rätten till privat kommunikation och allmänhetens och enskildas oro för att bli ”registrerade”. Om och hur denna motsättning bör regleras är oklart. Det är viktigt att vara medveten om att en större mängd ”fria personuppgifter” kommer att ackumuleras i IT-systemen. Vi föreslår att Datainspektionen
får i uppdrag att fortlöpande undersöka omfattningen av det integritetsintrång denna ”fria” information utgör. Det är också viktigt att nya system som minimerar mängden ”fria personuppgifter” med hög identifikationsgrad utvecklas. ___________________
Detta arbete har finansierats av EU genom ACTS-projektet OnTheMove. För mer information om OnTheMove, se http://www.sics.se/~onthemove/.
Denna bilaga finns tillgänglig på http://www.it.kth.se/~cwe/phd/dalk/.
Referenser
[1] Roger C. Molander, Andrew S. Riddile, Peter A. Wilson, Strategic In-
formation Warfare: A New Face of War, http://www.rand.org/publications/MR7MR661/MR661.html http://www.rand.org/publications/MR7MR661/MR661.pdf [2] Robert H. Anderson, Anthony C. Hearn, An Exploration of Cyberspace
Security R&D Investment Strategies for DARPA: ‘The Day After… Cyberspace II’ http://www.rand.org/publications/MR/MR797/ [3] Information War and the Air Force: Wave of the Future? Current
Fad? http://www.rand.org/publications/IP/IP149/
BILAGA 4:
PERSONLIG
INTEGRITET
—
Rapport av
Göran Collste
Centrum för tillämpad etik
Universitetet i Linköping
INNEHÅLL:
1 Några exempel .................................................................................789
2 Vad är personlig integritet? ...........................................................790
Självkontroll ......................................................................................790 Känsliga uppgifter om personer: det privata och det avvikande ......791 Den personliga integritetens extension.............................................792 Att vara kränkt och att uppleva sig kränkt........................................794 Kan bara personer kränkas? ..............................................................795 Slutsats: begreppet personlig integritet.............................................796
3 Personlig integritet i svensk tradition ...........................................796
4 Är personlig integritet en rättighet? .............................................799
5 Behandling av personuppgifter och rättigheten till personlig integritet ..........................................................................801
6 Värdekonflikter ...............................................................................803
Sambearbetning .................................................................................806
7 Sammanfattning ..............................................................................807
Behandling av personuppgifter och personlig integritet. En etisk analys
Av Göran Collste
I denna studie är det två frågor som står i fokus: Vad betyder personlig integritet? Är personlig integritet något viktigt och värdefullt? Studien inleds med exempel på några situationer där personlig integritet har aktualiserats. Med hjälp av dessa exempel görs ett försök att precisera innebörden i begreppet kränkning av personlig integritet. Efter att ha behandlat frågan hur man sett på personlig integritet inom svensk tradition ställs frågan om personlig integritet är en rättighet. Avslutningsvis behandlas några exempel på hur respekten för personlig integritet kan komma i konflikt med andra värden.499
1 Några exempel
A. I förtroende berättade A för P att han för något år sedan försökt ta sitt
liv. När A fick reda på att P talat med några arbetskamrater om detta kände han att hans personliga integritet blivit kränkt. B. När B går ut bland människor, känns det som alla stirrar på honom.
Han upplever att hans personliga integritet blir kränkt. C. Fröken C har valt att ställa upp och medverka i en pornografisk tid-
skrift. När X får reda på det, hävdar hon att Cs personliga integritet blir kränkt, vilket C förnekar. D. Tidningen x-pressen publicerade en lista över de tio rikaste personerna
i länet. D fanns med på listan och upplevde publiceringen som en kränkning av sin personliga integritet.
499 Ett tack riktas till deltagare i seminariet för tillämpad etik vid Linköpings universitet för värdefulla synpunkter på denna studie.
E. En diskett med datajournaler från en vårdcentral råkade i orätta händer.
Es journal fanns med och när hon fick reda på detta upplevde hon att hennes personliga integritet blivit kränkt. F. Flygbolaget LINSAS installerar datoriserade övervakningssystem för
att kunna kontrollera hur mycket personalen använder bokningssystemet. F arbetar med bokning och upplever det nya systemet som en kränkning av hennes personliga integritet. G. Den utvecklingsstörda flickan G blir utsatt för ett övergrepp av en vår-
dare. När X får reda på detta hävdar hon att Gs personliga integritet blivit kränkt. H. Under semestern hade inbrottstjuvar gått igenom Hs lägenhet. H upp-
levde att hans personliga integritet blivit kränkt.
2 Vad är personlig integritet?
Vi står här inför ett antal skilda händelser som har det gemensamt att någon uppfattat att en handling utförts som medfört att de berörda personernas integritet blivit kränkt. Finns det något gemensamt mellan de olika händelserna som kan leda oss fram till en definition av vad personlig integritet är? Är det i samtliga fall rimligt att hävda att de berördas personliga integritet verkligen blivit kränkt?
Kan en persons integritet kränkas utan att personen själv är medveten om detta (fall C)? En analogi skulle kunna vara att en person som lever i en diktatur utan frihet (vilket kan visas genom avsaknad av yttranderätt, föreningsrätt osv.) trots detta inte upplever sig ofri.
Kan en person uppleva sig kränkt utan att vara kränkt (ev. fall B), dvs. den subjektiva upplevelsen av kränkning motsvaras inte av en faktisk kränkning? Svaren på dessa frågor får bilda underlag för ett förslag till avgränsning av begreppet personlig integritet.
Självkontroll
Ett återkommande element i beskrivningar av personers upplevelser av integritetskränkning är upplevelsen av en förlorad kontroll över sin egen person eller över en viss typ av uppgifter om sig själva. Vi ser det i exemplet där flickan G blir utsatt för ett övergrepp, i exemplet A där A förlorade kontrollen över uppgiften att han försökt begå självmord, liksom i exempel E där fru E förlorat kontrollen över uppgifter i datajournalen. I exemplet F
är det känslan av att vara kontrollerad av någon annan som upplevs som en integritetskränkning.
När det gäller personliga uppgifter som man upplever att man förlorat kontrollen över behöver det inte handla om sådana uppgifter som endast är tillgängliga för de berörda personerna själva. I exemplen hade uppgifterna lämnats ut till en vän respektive till sjukvårdspersonal, men de berörda personerna hade själva kontroll över vilka andra som fått ta del av uppgifterna.
Känsliga uppgifter om personer: det privata och det avvikande
Vilka uppgifter om personer är integritetskänsliga? Det tycks inte vara vilka uppgifter som helst som man vill ha kontroll över. Exemplen A och E handlar om självmordsförsök respektive uppgifter i sjukdomsjournaler, dvs. uppgifter som gäller personliga förhållanden, det privata.
Å andra sidan är inte detta något som är självklart. I exempel B tycks det som om herr B uppfattar sig kränkt av att andra ser hans ansikte. I vår kultur kan vi uppfatta en sådan upplevelse som orimlig, ja till och med patologisk, men i andra kulturer kan detta vara en naturlig reaktion. Bildförbud och den muslimska kvinnans beslöjande av delar av sitt ansikte är uttryck för detta.
Det finns också uppenbarligen personer som inte delar majoritetens uppfattning om var gränsen ska dras mellan personliga uppgifter som hör till de skyddsvärda och de som kan göras offentliga. Fröken C som medverkar i en pornografisk tidskrift drar gränsen mellan vad som hör till det privata och det offentliga på ett annat sätt än X.
Är det möjligt att dra någon bestämd gräns mellan uppgifter som är integritetskänsliga och därmed hör till privatlivet och sådana som inte är det? I den engelskspråkiga världen används privacy för det som i den svenska diskussionen betecknas personlig integritet. Den amerikanske filosofen W A Parent definierar privacy på följande sätt:
”Privacy is the condition of not having undocumented personal knowledge about one possessed by others.”
Parent avgränsar själv de personliga uppgifter det handlar om som
”…facts about a person which most individuals in a given society at a given time do not want widely known about themselves.”500
Vilken typ av uppgifter det rör sig om varierar mellan olika samhällen. I USA, liksom i Sverige, hör säkerligen uppgifter om personers sexualvanor och alkoholvanor dit. När sådana uppgifter om oss blir offentliga upplever de flesta detta som en integritetskränkning. I Sverige där religion blivit en privatsak kan uppgifter om personers religiösa uppfattningar räknas som tillhörande det privatas område, till skillnad från i USA.
Det kan ifrågasättas om information om privatlivet, för att falla in under begreppet privacy, inte får vara dokumenterad. Parents motivering för denna avgränsning är att informationen blir offentlig i och med att den dokumenteras och därmed, definitionsmässigt, upphör att vara privat. Möjligen kan denna avgränsning vara förnuftig när det gäller begreppet privacy, dock knappast när det gäller begreppet personlig integritet. En integritetskränkande uppgift som sprids om en person kan vara kränkande såväl första som andra som de ytterligare gånger som denna uppgift ges spridning.
Men är det verkligen möjligt att bygga myndigheters handlande, såsom exempelvis lagstiftning för behandling av personuppgifter, på en – antagen – majoritetsuppfattning eller för att använda Parents uttryck, på vad ”…most individuals in a given society…” uppfattar som kränkande? Mot detta talar att det finns personer som kan uppleva sådant som för majoriteten är trivialt, t.ex. offentliggörande av uppgifter om personers längd, som ytterligt känsliga. En vuxen person som är 1 m 30 cm kan uppleva sig kränkt av att hans längd meddelas offentligt. Ett annat problem är att det i mångkulturella samhällen blir svårt att uppnå en bred enighet. Jag ska återkomma till frågan om skillnaden mellan ”objektiva” och ”subjektiva” integritetskränkningar.
Den personliga integritetens extension
Vad innefattas i begreppet ”person” när vi talar om ”personlig integritet”? Var går gränsen mellan jaget/personen och resten av världen? Eller, med
500 Parent, W A, Privacy, Morality and the Law, i Philosophy and Public Affairs, 1983, s. 216.
andra ord, vilken extension (utbredning) har den personliga integriteten? Frågorna är inte alldeles lätta att besvara. Kroppen hör till personen, men en person är inte endast en levande kropp. Själen eller psyket, medvetandet, karaktär och personliga egenskaper, idéer och uppfattningar, hör också dit. När man talar om vad en person är, är det knappast rimligt att i platonsk anda dra någon gräns mellan kroppen och själen. Exempelvis när den utvecklingsstörda flickan G blir kränkt är det dels genom ett rent kroppsligt övergrepp, men nära förknippat med detta är den psykiska upplevelsen av övergreppet.
Människan är en social varelse. Vi står i olika typer av förbund med andra människor och vi kan leva oss in i deras upplevelser och känslor. Därmed kan vi också uppleva oss kränkta när andra som står oss nära kränks. Om mitt barn kränks kan jag uppleva det som att jag kränks. Vad som hör till det personliga tycks kunna beskrivas som sfärer. En person består av kropp och själ eller psyke där också andra personer gör sina avtryck. I denna mening kan man kanske säga att också delar av den sociala omgivningen ”ingår” i personen. Dessa sfärer är inflätade i varandra.
Vi såg att H upplevde inbrottet som en kränkning av den personliga integriteten. Upplevelsen han ha sin grund i att inbrottstjuven ”rotade” i sådant som H uppfattar som en del av sin privata sfär. H kan också ha upplevt det som en kränkning av sin person att inbrottstjuven tog Hs ägodelar. Det gör han kanske därför att han ser sin egendom som en viktig del av sitt jag, sin person. Hans personliga sfär innefattar också hans egendom. Andra personer skulle kanske inte uppfatta inbrottet som en kränkning av sin person (däremot som en kränkning av sin äganderätt). Här har vi ett exempel på hur upplevelser av kränkning kan skifta mellan olika individer.
Exemplet illustrerar också att det går att göra en distinktion mellan kränkning av person och kränkning av personlig integritet. Den personliga integriteten kränks när det sker ett intrång i personens privatliv, eller med andra ord när personen förlorar kontrollen över sin privata sfär. Enligt detta förslag till begreppsanvändning är kränkning av person ett vidare begrepp än kränkning av personlig integritet. Alla kränkningar av personlig integritet är kränkningar av personen men vissa kränkningar av personen kan inte betecknas som kränkningar av den personliga integriteten.
I andra kulturer där individen utgör en del av en större gemenskap som klanen, stammen etc. dras gränsen för såväl personens som den personliga
integritetens extension på ett annat sätt än hos oss.501 Även denna aspekt på personlig integritet är således kulturbunden.
Att vara kränkt och att uppleva sig kränkt
Går det att skilja mellan att vara kränkt och att uppleva sig kränkt, mellan rimlig och orimlig, t.ex. sjuklig upplevelse av kränkning, mellan objektiv och subjektiv kränkning? Svaret är betydelsefullt bland annat därför att om man vill lagstifta om vilken typ av personuppgifter som kan ingå i offentliga register, så måste en sådan lag grundas på en uppfattning om var gränsen går mellan rimlig och orimlig upplevelse av kränkning.
Vi kan illustrera frågan med hjälp av ett fyrfältsdiagram:
Kränkt Icke kränkt
Upplever sig kränkt 1 2
Upplever sig icke kränkt 3 4
Ruta 1 innebär att man är kränkt och att man upplever sig kränkt, ruta 2 att man inte är kränkt men upplever sig kränkt, ruta 3 att man är kränkt men inte upplever sig kränkt och ruta 4 att man inte är kränkt och inte upplever sig kränkt.
Som vi sett tidigare kan en persons integritet kränkas på olika sätt. Det kan exempelvis ske genom ett kroppsligt eller psykiskt övergrepp och genom att uppgifter om personens privatliv sprids om honom eller henne.
Mitt förslag när det gäller att avgränsa vad det är rimligt att uppfatta som integritetskränkande uppgifter om personer, anknyter till Parents generalisering. En objektiv integritetskränkning föreligger när uppgifter som de flesta individer i ett visst samhälle inte vill ska spridas om sig görs offentliga. Avgränsningen blir därmed socialt grundad. Utöver detta kan enskilda individers upplevelser av att vara kränkta uppfattas som faktiskt grundade om det finns rimlig grund för upplevelsen. Ett exempel på rimlig grund kan vara att man har ett lyte eller något annat man skäms över och som man därmed inte vill att andra ska få kunskap om.
501 Mbiti, J S, African religions and philosophy, London 1969, s. 104 ff.
Exempel på subjektiva upplevelser av kränkning som inte uppfyller villkoret ”rimlig grund” är upplevelser som bygger på felaktig information. Personen P trodde, felaktigt, att A hade spridit känsliga uppgifter om honom och kände sig därmed kränkt. Andra upplevelser av kränkning som inte uppfyller villkoret ”rimlig grund” är upplevelser som kan betecknas som irrationella eller patologiska502.
Med utgångspunkt i detta förslag till avgränsning kan fallet A ovan, mannen vars självmordsförsök blev känt, se som ett exempel på 1, fröken C som medverkar i pornografiska tidskrifter kan utgöra ett exempel på 3. Att en persons förmögenhet blir allmänt känd kan knappast uppfattas som en kränkning av hans personliga integritet. Fallet D är därmed ett exempel på 2, liksom B som upplever att alla stirrar på honom. B är exempel på 2 om inte han exempelvis har stora bölder i ansiktet. Då finns det ett rimligt skäl till varför han upplever sig kränkt om hans ansikte visas offentligt. Mannen som är 1.30 lång har ett rimligt skäl för att inte vilja att hans längd offentliggörs, något som för personer med normallängd kan göra detsamma.
Kan bara personer kränkas?
Det förekommer i den filosofiska diskussionen olika försök att avgränsa begreppet person. Syftet med sådana avgränsningar är vanligen att dra en gräns mellan de individer som har och de som inte har moralisk status. Exempel på sådana avgränsningar är Harry Frankfurts, som med person avser individ som kan ha önskningar av andra ordningen, dvs. önskningar om att ha vissa önskningar snarare än andra503 och Jonathan Glover som hävdar att personer är individer med självmedvetande504.
Denna typ av avgränsningsförsök har kritiserats för att de fungerar diskriminerande när det gäller vilka mänskliga individer som har moralisk
502 Vi kan lätt föreställa oss upplevelser av integritetskränkning som inte är rimliga. Det är dock inte så lätt att karakterisera dessa. Det finns en risk för att man antingen gör sig skyldig till ett cirkelresonemang eller utgår från ett problematiskt normalitetskriterium när man hävdar att de upplevelser som inte är rimligt grundade, är irrationella eller patologiska. 503 Frankfurt, H, Freedom of the Will and the Concept of a Person, Journal of Philosophy, 1970. 504 Glover, J, Jag. Den personliga identitetens filosofi och psykologi. Stockholm 1990, s. 80.
status. Moralisk status förutsätter rationell förmåga, vilket små barn och utvecklingsstörda saknar. När integritet definieras i termer av respekt för personers ”åsikter, önskningar och värderingar”505 finns risken att en liknande begränsning av vilka individer som har en personlig integritet som är skyddsvärd görs. Det skulle exempelvis kunna leda till att den utvecklingsstörda flickan G inte har någon personlig integritet som kan kränkas. Hon kan ju tänkas vara så gravt utvecklingsstörd att hon inte utvecklat några ”åsikter, önskningar och värderingar”.
Slutsats: begreppet personlig integritet
Vilken innebörd har begreppet personlig integritet? Eftersom det är lättare att identifiera kränkning av personlig integritet än begreppet personlig integritet i sig, väljer jag att utgå från begreppet kränkning av personlig integritet:
Personers integritet kränks i den mån som 1) det sker ett intrång i deras privata sfär och/eller 2) uppgifter om dem, som det finns rimliga skäl att beteckna som integri-
tetskänsliga, sprids ut. Dessa uppgifter kan gälla personers egenskaper, uppfattningar eller handlingar.
3 Personlig integritet i svensk tradition
De ökade tekniska möjligheterna att samla in uppgifter om individer genom exempelvis modern elektronik, datateknik och genteknik har gjort det nödvändigt för samhällets beslutsfattare och lagstiftare att reflektera över innebörden av begreppet personlig integritet och hur den personliga integriteten skall skyddas. Sedan 1970 har flera utredningar behandlat frågor om hur personlig integritet skall skyddas från otillbörlig avlyssning, från kränkande registrering och från övervakning och kontroll på arbetsplatsen.
Den svenska samhällsutvecklingen under 1900-talet kännetecknas av framväxten av ”det starka samhället”. Stat, kommun och landsting har haft uppgiften att på olika sätt skapa förutsättningar för ett gott liv för medborgarna. Man kunde tänka sig att denna betoning på samhällsgemenskapens intressen skulle lett till att myndigheter, i den sociala ingenjörskonstens in-
505 Hermerén, G, Kunskapens pris, Stockholm 1986, s. 156.
tresse, fått rätten att utveckla datoriserade personregister utan hänsyn till den enskilde individens personliga integritet. Ser man till utredningar och till den lagstiftning som genomförts i Sverige under de senaste 30 åren finner man dock att denna farhåga tycks vara obefogad. I stället var Sverige det första land som lagstiftade om dataskydd genom datalagen som stiftades 1973 och betecknas i en internationell jämförande studie som en ”modell” i detta avseende.506
Kanske har detta att göra med den gamla tradition av offentlighet och öppenhet som rått i Sverige, en tradition som går tillbaka till 1700-talets myndighetsutövning. Offentlighetsprincipen har hindrat myndigheter att i hemlighet samla in personliga integritetskänsliga uppgifter om medborgarna.
Ett återkommande konstaterande i de utredningar som behandlat frågan är att det är svårt att definiera begreppet personlig integritet. Vanligen används begreppet skydd för personlig integritet synonymt med skydd för privatlivet eller ”privatlivets helgd”507. När det gäller arbetslivet uppfattas skyddet för personlig integritet som detsamma som ”en fredad sektor” för den enskilde.508 I utredningen Data och integritet, SOU 1972:47, där regler för dataregistrering för första gången formuleras av svenska myndigheter, anknyter man till den socialliberale filosofen John Stuart Mills begrepp ”privat sfär”, dvs. en gräns inom vilken den enskilde får bestämma över sig själv, och till de amerikanska juristerna Brandeis och Warrens ”privacydoktrin” som fastställer en ”right to be alone”509. I utredningar som syftar till att reglera hantering av genetisk information hävdas att ”Genetisk integritet är en del av den personliga integriteten”510
Vilka uppgifter om individer är det då som bör skyddas? Enligt den utredning som behandlar skydd för avlyssning bör den enskilde ”…åtnjuta skydd mot utomståendes insyn i hans privata förhållanden”511.
De utredningar som har till uppgift att utforma regler för dataregistrering anger vissa personuppgifter som är känsliga. De uppgifter som nämns
506 Michael, J, Privacy and Human Rights. An International and Comparative Study, with Special Reference to Developments in Information Technology. Aldershot 1994, s. 53. 507 SOU 1972:47, Data och integritet, s. 56. 508 Ds 1989:24, Datatekniken och den personliga integriteten i arbetet, s. 115. 509 SOU 1972:47, s. 56. 510 Ds 1996:13, Genetisk integritet, s. 25. 511 SOU 1970:47, Skydd mot avlyssning, s. 56.
i utredningen Data och integritet är bl.a. uppgifter om begångna brott, påföljder, tvångsåtgärder och nykterhetsvård liksom om enskilda personers uppfattningar i politiska och religiösa frågor. Uppgifter om betyg och inkomst hör också till de personuppgifter som enligt utredningen bör skyddas.512 Liknande personuppgifter nämns i det förslag till ny datalag som lades fram 1993. Här tillkommer dock uppgifter om ras och etniskt ursprung.513 De personuppgifter som kan uppfattas som känsliga i arbetslivet är bl.a. uppgifter om de anställdas arbetsprestationer, värdeomdömen om arbetstagare samt de anställdas hälsouppgifter.514 De utredningar som reglerar genetisk information understryker att information om personers arvsanlag hör till de uppgifter som är integritetskänsliga.
Hur ser man då på skyddet av personlig integritet i förhållande till andra värden? Det finns en enighet om att skyddet för personlig integritet måste avvägas mot andra värden. Det kan således i vissa fall vara nödvändigt att använda övervakningsapparatur eller föra register, även om detta utgör ett hot mot vissa individers integritet.
I utredningen Skydd mot avlyssning hävdas att myndigheter måste kunna göra ”…mer eller mindre vittgående undantag” från integritetsskyddet.515 I utredningen Data och integritet tar man avstånd från tanken att integritetsskydd innebär detsamma som att bli lämnad i fred. Det finns samhälleliga krav på medborgarna i form av beskattning och upplysningar om personliga förhållanden516. Denna typ av dataregistrering av personuppgifter kommer möjligen i konflikt med Brandeis och Warrens mycket snäva definition: rätten att bli lämnad ifred. I En ny datalag hävdar man att vissa ”övergripande intressen” kan få begränsa integritetsskyddet i samband med upprättandet och användandet av dataregister. Man avstår dock från att precisera i vilka fall detta kan ske.517
Information om individers arvsanlag bör skyddas genom att individer själva bestämmer om användningen, hävdas i Genetisk integritet. Om individen anser att han eller hon kan ha nytta av att dela med sig av infor-
512 SOU 1972:47, s. 59 f. 513 SOU 1993:10, En ny datalag, s. 418. 514 Ds 1989:24, s. 16. 515 SOU 1970:47, s. 56. 516 SOU 1972:47, s. 56. 517 SOU 1993:10, s. 161.
mation kan detta vara möjligt, så länge inte detta också innebär att information om anhörigs arvsanlag förmedlas.518
Några mer utförliga motiveringar till varför det är viktigt att skydda den enskildes integritet formuleras inte. Man tycks se det som ett självklart värde eller rättighet i demokratiska samhällen. Det konsekvensetiska argument som man anför i utredningen Genetisk integritet är bl.a. att individer kan löpa risk att diskrimineras i arbetslivet och i andra sammanhang om deras arvsanlag blir kända519.
4 Är personlig integritet en rättighet?
Ofta hävdas att personlig integritet är en rättighet. Om man med rättighet menar ”valid claim”,520 dvs. välgrundat anspråk, som implicerar skyldigheter för omgivningen, kan vi precisera påståendet att personlig integritet är en rättighet på följande sätt: Varje person har ett välgrundat anspråk att andra personer handlar på ett sådant sätt att hans eller hennes personliga integritet respekteras.
Vad betyder det då att se personlig integritet som en rättighet? Enligt rättsfilosofen Ronald Dworkin är det i varje samhälle nödvändigt att hävda vissa individuella rättigheter för att förhindra att den enskilde individens fundamentala intressen eller den enskildes värdighet blir kränkt till förmån för majoritetens intressen eller önskningar.521
Tillämpad på personregister innebär satsen att personlig integritet är en rättighet och att medborgarna har berättigat anspråk att myndigheter och andra registerinnehavare hanterar register på ett sådant sätt att medborgarnas personliga integritet respekteras.
Varför har då medborgarna ett sådant anspråk? Vilka skäl kan anföras för att personlig integritet är en rättighet? Det går att anföra en rad skäl för detta. Några utgår från att personlig integritet är viktigt i sig, andra att det har ett instrumentellt värde, dvs. det bidrar till att något annat värde realiseras.
518 Genetisk integritet, Ds 1996:13, s. 25. 519 A.a. 520 Feinberg, J, Social Philosophy, Englewood Cliffs 1973, s. 67. 521 Dworkin, R, Taking Rights Seriously, London 1977.
1) Respekt för personers integritet utgör en del av respekten för personer.
Att respektera personer eller som Immanuel Kant uttrycker det: behandla personer som ”ändamål” och aldrig enbart som medel522, kan ses som en grundläggande plikt som inte ytterligare behöver motiveras.
Man kan tänka sig ett samhälle där den personliga integriteten inte alls respekteras när det gäller insamlande av personuppgifter, DDR utgör ett näraliggande historiskt exempel. I ett sådant samhälle riskerar personer att förlora sin känsla av att vara unika, att vara autonoma eller med andra ord sin moraliska personlighet. I ljuset av detta exempel framstår respekten för personlig integritet som ett nödvändigt villkor för att personers autonoma jag eller moraliska personlighet skall kunna utvecklas. 2) Det finns en utbredd oro hos allmänheten att myndigheter samlar upp-
gifter om dem som kan användas för att kontrollera dem. Denna oro talar för att det upplevs negativt av personer att veta eller att misstänka att deras personliga integritet blir kränkt. 3) Den som har kunskap om en person kan därigenom få makt över per-
sonen. Om integritetskänsliga uppgifter om en person sprids till obehöriga personer kan dessa utsätta personen för påtryckningar och tvång. Till obehöriga personer kan här, förutom enskilda individer, också exempelvis arbetsgivare räknas. Som utredaren av skyddet för personers genetiska integritet påpekar kan en arbetsgivare som har tillgång till en anställds genetiska information använda denna kunskap mot den enskildes intresse vid beslut om avskedanden eller liknande. Genetisk information kan också användas av försäkringsbolag på ett sätt som strider mot den enskildes intresse.5234) I ett samhälle där det finns fördomar mot vissa vanor eller personliga
egenskaper kan det medföra att personer utsätts för trakasserier eller blir till åtlöje om upplysningar om sådana vanor och egenskaper sprids till obehöriga.
Vi finner således att det finns flera starka skäl för ståndpunkten att det är viktigt att respektera personers integritet och därmed se den personliga integriteten som en rättighet. Det är dock knappast rimligt att se rättigheten till personlig integritet som absolut. Det kan ju tänkas att det finns situationer där andra moraliska värden står på spel och som skulle motivera att
522 Kant, I, Grundlegung zur Metaphysik der Sitten, Hamburg 1965, s. 52. 523 Ds 1996:13.
den enskilde individens personliga integritet sätts åt sidan. Vi ska illustrera detta med ett fiktivt exempel:
En person A är bärare av en sjukdom som vid hudkontakt utsätter en annan person för förgiftning som, om inte motåtgärder vidtas, dödar personen inom en vecka. A antecknar i sin dagbok vilka personer han träffar men han vägrar att lämna ut dessa anteckningar.
Onekligen innebär det en kränkning av As personliga integritet att mot As vilja med list eller tvång ta reda på innehållet i dagboken. Här verkar det dock rimligt att hävda att det finns andra och överordnade värden som motiverar en kränkning av detta slag: Det är oskyldiga människors liv som står på spel.
Med den engelske filosofen W D Ross kan vi se rättigheten till personlig integritet som en prima facie-rättighet524. Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.
5 Behandling av personuppgifter och rättigheten till personlig integritet
En övergripande fråga inför utvecklingen av ett datasamhälle är om det är önskvärt att allt fler och mer omfattande dataregister upprättas. Vilka följder får detta för samhällsklimat, demokrati och medborgarnas förtroende för politiker och myndigheter? Dessa viktiga socialetiska frågor kommer jag inte här att ta upp. I stället är det den mer begränsade frågan hur en avvägning mellan å ena sidan värdet av olika typer av personregistrering och sambearbetning och å andra sidan det eventuella hotet mot individers personliga integritet som kommer att behandlas.
Ett argument mot att upprätta datoriserade personregister kan vi kalla ”polisstatsargumentet”. Argumentet innebär att man inte bör upprätta personregister därför att de i en annan tänkbar politisk situation där diktatur råder kan användas av makthavarna för att förfölja medborgarna. Visst skulle systemet i DDR fungerat ännu effektivare och mer förtryckande med en utbyggd datoriserad personregistrering. Å andra sidan kan ”polisstatsargumentet” användas mot många verksamheter i samhället. Även polismakten, militären, tidningar och TV kan i en annan politisk si-
524 Ross, W D, The Right and the Good, Indianapolis 1988.
tuation användas som medel för förtryck. Detta utgör dock knappast ett argument mot att det finns en poliskår, tidningar etc. i ett demokratiskt samhälle där mänskliga fri- och rättigheter respekteras!
Ett annat argument mot personregister eller sambearbetning av register innebär att om man tillåter en viss typ av register, t.ex. register över vilka personer som är HIV-positiva, så kommer vi snart ha registrerat alla som är sjuka, vare sig det gäller halsfluss eller blindtarmen. Detta argument betecknas ibland ”the slippery slope argument” eller på svenska ”det sluttande planets argument”. Inte heller detta argument är särskilt övertygande. Det finns inget logiskt samband mellan den ena typen av register och den andra. Det är ju fullt möjligt att formulera kriterier för vilken typ av register som bör tillåtas, kriterier som därmed utesluter andra typer av register.
Det finns anledning att göra en rad distinktioner när man diskuterar frågan vilken typ av behandling av personuppgifter som kan hota den personliga integriteten.
1. Slutna och öppna system En första distinktion är mellan öppna och slutna system. Öppna system är de system som alla kan ha tillgång till, slutna de som kräver tillgång till en ”nyckel”, dvs. det finns någon form av behörighetskrav för att få tillgång till uppgifter i registret. Det kan förefalla som om denna distinktion löser problemet med hotet mot den personliga integriteten. Om nämligen integritetskänsliga uppgifter om individer samlas i slutna system, så kan endast de personer som har anledning att ta del av dessa uppgifter ha tillträde till de slutna systemen. Erfarenheten visar dock att denna uppfattning inte håller. Genom slarv med säkerhetsrutiner, misstag och avsiktligt intrång kan slutna system öppnas. Då det inte finns några system som med säkerhet är slutna, måste diskussionen om risker för kränkning av den personliga integriteten även föras när det gäller sådana register.
2. Avsikt och resultat Vi måste också skilja mellan den avsikt som finns bakom registeranvändningen och de effekter som registret kan ha. Exempelvis kan avsikten med en sambearbetning av två olika register vara att uppnå något effektivitetsmål för myndigheten medan effekten kan vara att integritetskänsliga uppgifter får spridning.
3. Individmål eller samhällsmål Syftet med att registrera personuppgifter kan antingen vara att uppnå ett individmål eller ett samhällsmål. Exempel på individmål är hälsojournaler som upprättas för att vara ett medel för individens hälsa, exempel på samhällsmål är att upprätta register som underlättar skatteindrivning.
4. Samtycke – icke samtycke Register kan föras med den registrerades samtycke eller utan. Om ett informerat samtycke inhämtats från den enskilde personen är risken mindre att den personliga integriteten kommer att kränkas.
5. Identifiering – avidentifiering Personuppgifter kan antingen föras så att de enskilda personerna går att identifiera genom namn och/eller personnummer eller också kan registret vara avidentifierat. Det går då inte att spåra vilka personuppgifter som gäller en bestämd individ. Dessa s.k. avidentifierade register utgör inte något hot mot personlig integritet.
6 Värdekonflikter
Många personregister är okontroversiella när det gäller risken för integritetskränkningar då de inte innehåller någon information som är integritetskänslig. När register som innehåller integritetskänslig information ska upprättas uppstår en värdekonflikt mellan å ena sidan värdet av att upprätta registret och å andra sidan den risk för integritetskränkning som uppstår.
Vi har tidigare hävdat att personlig integritet är en prima facie-rättighet. Det innebär att individer har moraliskt välgrundade anspråk att deras personliga integritet skyddas. Med beaktande av svårigheten att skydda personuppgifter i register kan en utgångspunkt för diskussionen om personregister vara att villkor för att få upprätta register där det finns integritetskänslig information är att dessa är avidentifierade eller baserade på informerat samtycke. Om dessa villkor inte kan uppfyllas måste det finnas starka skäl för att upprätta register. De mål som kan uppnås genom personregister kan då inte inom ramen för rimliga kostnader uppnås på annat sätt.
Vid beslut om behandling av personuppgifter, exempelvis genom upprättandet av dataregister, är det också nödvändigt att göra någon form av sannolikhetsbedömning av risken för integritetskränkning. Värdet av de mål som uppnås genom registrering måste vägas mot en bedömning av värdet av skyddet för den personliga integriteten och den sannolika risk
som föreligger att integritetskänsliga personuppgifter läcker ut ur systemet. Diskussionen om ett systems legitimitet gäller därför förutom frågan vilka känsliga uppgifter som ingår också frågan vilken säkerhet som är möjlig att uppnå och vilket eller vilka värden som systemet kan realisera.
Vilka värdekonflikter ger upprättandet av personregister upphov till? Vilka värden eller rättigheter är det som står emot varandra? Dessa frågor bör ställas och svaren preciseras inför varje upprättande av register och inför varje sambearbetning av registeruppgifter. Här ska jag endast antyda några värdekonflikter på en mer generell nivå.
Tre huvudtyper av register som gett upphov till offentlig diskussion kommer att behandlas. Register förs bl.a. av samhällsekonomiska skäl, av hälso- och sjukvårdsskäl och för brottsbekämpning.
Register med identifierbara personuppgifter upprättas för att upprätthålla en god skatteförvaltning och för att sociala förmåner och bidrag skall utbetalas på ett korrekt sätt. I det moderna, storskaliga samhället har denna typ av dataregister blivit nödvändig för att hushålla med begränsade ekonomiska resurser på ett optimalt sätt. Skattesystemet motiveras också av att det är ett medel att omfördela resurser i samhället för att uppnå en ökad jämlikhet. De värden som ligger till grund för denna typ av register är således både ekonomisk utveckling och jämlikhet.
Även om enskilda personer kan uppleva det som integritetskränkande att uppgifter om deras inkomst eller förmögenhet registreras är det svårt att uppfatta denna upplevelse som sakligt grundad. Det föreligger således knappast någon objektiv kränkning och därmed inte heller någon värdekonflikt.
Utifrån vårt förslag till precisering av begreppet personlig integritet kan en person som är berättigad till socialbidrag eller arbetslöshetsersättning uppleva det som en kränkning att han eller hon för att få bidrag måste registreras som bidragsmottagare respektive arbetslös. Onekligen kan vissa typer av offentliggörande av sådana uppgifter om den enskilde innebära en integritetskränkning. I detta sammanhang, när uppgifterna registreras i slutna register, kan man se det som en registrering som den enskilde ger sitt samtycke till, en registrering av detta slag är ju en nödvändig förutsättning för bidragssystemen och det finns därmed inte skäl för den registrerade att uppleva registreringen som kränkande.
Datoriserade journaler är ett exempel på behandling av personuppgifter inom hälso- och sjukvårdsområdet. Journaler innehåller ofta integritetskänsliga uppgifter. Dessa system har ett instrumentellt värde genom att de kan förbättra vården och därmed patienternas hälsa. Under förutsättning att
patienterna får information om hur datajournalen används kan även denna form av behandling av personuppgifter legitimeras utifrån ett informerat samtycke. Den som inte vill finnas med i en journal kan välja att avstå från sjukvård.
Ett av de mest omdiskuterade datoriseringsprojekten under senare år är FAS 90. FAS 90 är en förkortning för ”Framtida ADB-verksamhet för socialförsäkringen på 90-talet och därefter”. I FAS 90, som på grund av en proteststorm aldrig kom att realiseras, skulle sjukförsäkringsregistret med personuppgifter, sjukfallsregistret för redan pågående fall och historikregister för avslutade sjukdomsfall sammanföras med syftet att kunna upptäcka hälsovådliga arbetsplatser och arbetsmiljöer. De lokala sjukfallsregistren, som innehåller mycket integritetskänslig information, skulle finnas att tillgå på lokala socialförsäkringskontor.
FAS 90 ställde stora krav på en säker hantering av slutna system. Kritiker menade att det skulle vara omöjligt att undvika att uppgifter från ett stort antal lokala register läckte ut, trots stränga säkerhetskrav.
Genom FAS 90 skulle kunskapen om skadliga arbetsmiljöer öka och åtgärder för att förbättra dessa kunna vidtagas. Det värde som systemet syftade till att realisera var således en förbättad folkhälsa, vilket mer precist betyder bättre hälsa och minskad risk att dö i förtid för ett stort antal individer. Ett ställningstagande till denna typ av register förutsätter en vägning mellan å ena sidan värdet av en förbättrad folkhälsa och å andra sidan möjliga risker för integritetskränkningar. Man bör också ställa frågan om inte folkhälsovärdet kan uppnås på annat sätt.
Även frågan om upprättande av register över HIV-positiva individer väcker principiella frågor. Ett register av detta slag har motiverats med att det är nödvändigt för att begränsa spridningen av sjukdomen aids, t.ex. i samband med blodgivning. Det kan onekligen ses som en kränkning av den HIV-positives integritet att bli registrerad på detta sätt. Ser vi personlig integritet som en prima facie-rättighet finns det dock skäl att hävda att det sociala målet att begränsa spridningen av aids eller med rättighetstermer; medborgarnas rättighet att inte utsättas för HIV-smitta, väger så tungt att det berättigar att HIV-positiva personer utsätts för denna kränkning.
I samband med brottsbekämpning har man i USA öppna system med integritetskänsliga personuppgifter. Ett exempel är formerna för efterlysning av brottslingar. Där kan man på postkontor se fotografier av efterspanade brottslingar med personuppgifter. Man har uppenbarligen gjort den bedömningen att brottsbekämpning väger tyngre än respekten för brottslingars personliga integritet. I Sverige har man gjort en annan bedömning.
Register över brottslingar aktualiserar också en värdekonflikt. Skälet att föra register över brottslingar eller brottsmisstänkta personer är att det är ett viktigt led i brottsbekämpning att i spaningsarbete kunna leta i ett register efter möjlig gärningsman. Ytterst kan detta motiveras av medborgarnas behov av säkerhet och trygghet för liv och egendom.
Ett register över dömda brottslingar kan uppfattas som ett berättigat undantag från integritetsskyddet av ett annat skäl. Den som medvetet begår ett brott har därigenom ställt sig utanför det skyddsnät som omfattas av medborgarna i samhället. Han eller hon kan inte göra anspråk på alla de rättigheter som tillkommer den vanlige medborgaren. Genom att begå brottet har brottslingen själv valt att kunna bli utsatt för en integritetskränkning av detta slag.
Sambearbetning
Den etiska diskussionen om behandling av personuppgifter har bl.a. handlat om det berättigade i att sambearbeta olika register. När Arbetsmarknadsstyrelsen 1994 önskade sambearbeta register över personer som mottar arbetslöshetsersättning och personer som mottar ersättning från allmänna försäkringskassan väckte detta en omfattande debatt. Syftet med sambearbetningen var att kunna spåra personer som fuskar genom att för samma tid få del av båda typerna av ersättning.
Ett motiv som låg bakom sambearbetningen var det som vi sett ligger bakom ekonomiska register över huvud taget, dvs. att uppnå ett så optimalt resursutnyttjande som möjligt. Därutöver motiverades sambearbetningen med att man därigenom kunde motverka fusk och lagbrott, dvs. det fanns både etiska och juridiska motiv bakom sambearbetningen.
Är denna typ av sambearbetning av personregister moraliskt berättigad? Den som svarar nej på frågan kan hävda att åtgärden motiveras av en misstanke att de som uppbär arbetslöshetsersättning gör sig skyldiga till fusk. Att misstänkas för att ha fuskat innebär en kränkning av den personliga integriteten. Det som skiljer denna typ av ”brottsbekämpning” från annan är då att man frångår principen om att presumera individens oskuld innan en undersökning vidtas.
Den som svarar ja på frågan kan hävda att åtgärden inte föranleds av att varje person som mottar bidrag är misstänkt för fusk, utan att endast denna misstanke gäller några få. Därmed frångår man inte heller principen att presumera individens oskuld, åtminstone inte i större utsträckning än vid
en vanlig polisiär trafikkontroll. Att sambearbeta register på detta sätt innebär således inte i sig att de registrerades personliga integritet blir kränkt.
Denna typ av etisk konflikt kan naturligtvis enklast lösas genom att man innan man utför välmotiverade sambearbetningar inhämtar de registrerades informerade samtycke till att sådana bearbetningar kommer att genomföras.
7 Sammanfattning
I denna studie har jag hävdat att en kränkning av en persons integritet är en typ av kränkning av personen som sker när det görs ett intrång i personens privata sfär och/eller när det mot hans eller hennes vilja sprids uppgifter om egenskaper, uppfattningar och handlingar som det finns grund för att uppfatta som känsliga.
Man har rättighet till personlig integritet i första hand därför att respekten för den personliga integriteten är en del av respekten för personen, vilket kan uppfattas som en grundläggande plikt, men också för att det medför negativa följder om personers integritet inte respekteras. Rättigheten till personlig integritet kan dock inte vara absolut. Det finns situationer där andra värden än respekten för personlig integritet bör väga tyngre och därmed avgöra handlingens utfall.
BILAGA 5:
ALLMÄNHETENS
INSTÄLLNING
—
Rapport av
Johan Åhlfeldt
Institutionen för socialmedicin
Uppsala universitet
INNEHÅLL:
Inledning...................................................................................................813
Syfte, metod och avgränsningar.............................................................814
Begreppslig ram.......................................................................................818
Resultat .....................................................................................................827
Direkt observation ...................................................................................828
Den enskildes uppgiftslämnande............................................................831
Användning av uppgifter om enskilda hos myndigheter och
företag ...................................................................................................850
Uppgiftslämnande och dataregistrering.
Allmänhetens inställning 1970–1995
Av Johan Åhlfeldt
Inledning
I ett modernt samhälle används uppgifter om enskilda individer i en mängd olika sammanhang, både av offentliga och privata användare. Sedan automatisk databehandling blev kommersiellt gångbar i slutet av 1960-talet har bearbetningar av personuppgifter med hjälp av automatisk databehandling ökat mycket kraftigt. Det har inte bara ersatt manuella rutiner eller bearbetningar med annan äldre teknik utan också möjliggjort en ökad behandling av personuppgifter över huvud taget. I början av 1970-talet var bearbetning av uppgifter om enskilda med hjälp av automatisk databehandling relativt sällsynt och inskränkte sig till ett litet antal stora datorsystem, företrädesvis inom den offentliga sektorn men också inom stora företag i den privata sektorn. Tidiga datorsystem inom den offentliga sektorn byggdes ut inom folkbokföring och beskattning, den officiella statistiken och den statliga forskningen, hos polis- och åklagarväsendet samt hos försvaret. Inom den privata sektorn fanns tidigt datorsystem med personregister inom bank- och kreditväsendet. I dag möter den enskilde behandling av personuppgifter överallt. Många av de stora datorsystemen med centrala personregister är förvisso kvar men antalet mindre användare har också ökat. Tekniken har möjliggjort en både utvidgad och fördjupad användning av personuppgifter med stora möjligheter till utbyte av uppgifter mellan olika personregister. Detta har underlättats genom den utbredda användningen av gemensamma och unika identitetsbeteckningar – personnummer.
Sverige införde tidigt en dataskyddslagstiftning med syfte att reglera både privat och offentlig användning av automatisk databehandling av personuppgifter och värna den enskildes integritet, datalagen (1973:289). In-
rättande och förande av personregister krävde tillstånd från Datainspektionen. Undantagna var endast personregister vars inrättande beslutats av regering eller riksdag. Upptagningar på medium för automatisk databehandling hade en osäker status i tryckfrihetsförordningen då det inte klart framgick om de var att betrakta som allmänna handlingar. Frågan påkallade en snar lösning eftersom personuppgifter efterfrågades med stöd av offentlighetsprincipen av både privata och offentliga användare. Sekretesskyddet hade också allvarliga brister, särskilt när det gällde utbyte av uppgifter om enskilda individer myndigheter emellan. Dessa problem gav upphov till farhågor hos allmänheten om en ökad kontroll och en okontrollerad spridning av personuppgifter i samhället.
Syfte, metod och avgränsningar
Syftet med denna PM är att redogöra för forskningsläget om allmänhetens inställning till användningen av personuppgifter med hjälp av automatisk databehandling i samhället. I genomgången skall särskilt uppmärksammas hur allmänhetens inställning förändrats över tid och om inställningen varierar mellan olika grupper i samhället och mellan olika regioner. I Sverige har Statistiska centralbyrån (SCB) undersökt allmänhetens inställning till personregister på data, särskilt med hänsyn till användningen av ADB för framställning av officiell statistik. SCB har även undersökt allmänhetens attityder till Statistiska centralbyrån som producerar (ansvarade) för merparten av den officiella statistiken. Bakgrunden till dessa undersökningar var tilltagande problem med att upprätthålla en hög svarsfrekvens i statistiska undersökningar som SCB och andra statistikproducenter samt företrädare för forskningen började uppleva i början av 1970-talet.
I denna redogörelse undersöker jag användningen av personuppgifter i både privat och offentlig sektor. Personuppgifter är uppgifter om enskilda fysiska personer som kan hänföras till enskild person med namn, personnummer eller annan beteckning som gör det möjligt att identifiera den enskilde. Jag ansluter mig här till samma definition av begreppet som förekommer i datalagen (1973:289) och som avses med uppgift om enskild i allmän handling i sekretesslagen (1980:100). Behandling av personuppgifter sker i dag i mycket stor utsträckning med hjälp av automatisk databehandling (ADB). Denna användning har väckt farhågor om de registrerades personliga integritet. Datalagen har till uppgift att förhindra otillbörliga intrång i de registrerades personliga integritet i samband med inrättande
och förande av personregister. Denna redogörelse handlar uteslutande om behandling av personuppgifter med sådan teknik. Användning av avidentifierade eller anonymiserade uppgifter om enskilda faller utanför denna rapport liksom manuell behandling av personuppgifter. Det har diskuterats om inte statistikproduktionen och forskningen i mycket högre grad än i dag kan klara sin verksamhet med användning av sådana uppgifter. Denna fråga liksom frågan om behovet av personregister för olika ändamål behandlas inte här. Hanteringen av personuppgifter med data för uteslutande privat bruk omfattas inte heller av redogörelsen.
Att lämna en redogörelse över kunskapsläget om allmänhetens inställning till behandlingen av personuppgifter i samhället är en mycket omfattande uppgift. För att ge en bra överblick måste framställningen göras systematiskt. Det faktum att forskningsresultat saknas på vissa områden är av intresse i sig. Till min hjälp har jag ansett det nödvändigt att utveckla begrepp som kan relateras till varandra och analytiskt belysa rapportens frågeställningar.
Att jämföra människors föreställningar och attityder över en tidsperiod på över 20 år är problematiskt eftersom de teknologiska, sociala, legala och politiska förutsättningarna för behandling av personuppgifter i hög grad har förändrats. De föreställningar och attityder människor i dag redovisar eller redovisade vid tidigare undersökningstillfällen är vid tidpunkten resultatet av ett komplicerat samspel mellan olika faktorer. Särskilt iögonfallande är naturligtvis den snabba teknologiska utvecklingen på området. Insamling, bearbetning, bevarande och utlämnande av personuppgifter äger rum i situationer där enskilda individer träder in i bestämda sociala relationer till de som samlar in och behandlar personuppgifter. Dessa situationer har också förändrats i termer av auktoritet, demokratisering och utbildning för att nämna några betydelsefulla förändringar, om än inte lika dramatiskt. Även om vi analytiskt kan definiera begrepp som ”personuppgift” och ”personregister” med giltighet över tid, refererar dessa till olika innehåll vilket i sin tur styr människornas erfarenhetsrum och förväntningshorisont.
Jämförelse över tid möjliggörs genom ett antal undersökningar om allmänhetens syn på automatisk databehandling och integritet, alltsedan utvärderingen av folk- och bostadsräkningen 1970 till vår undersökning ”Medborgarna och forskningen” 1995. Jag skall här kortfattat presentera dessa undersökningar.
År 1976 genomförde Statistiska centralbyrån en undersökning om allmänhetens inställning till integritetsfrågor i allmänhet och till SCB:s sta-
tistikproduktion i synnerhet. Undersökningen gjordes på uppdrag av en inom verket tillsatt utredning rörande uppgiftslämnar- och bortfallsproblem i statistikproduktionen. SCB hade uppmärksammat att vägrarbortfallet i urvalsundersökningar ökat, trots stora informationsinsatser riktade till uppgiftslämnarna. Den nyinrättade tillstånds- och tillsynsmyndigheten Datainspektionen hade aviserat en restriktivare hållning mot metoder för att kompensera bortfall i urvalsundersökningar, imputering och indirekta intervjuer. Undersökningen genomfördes som en del av SCB:s Omnibus, och var en intervjuundersökning som omfattade personer kyrkobokförda i Sverige i åldern 16–74 år. Urvalet omfattade 1 271 personer och svarsfrekvensen uppgick till 78 procent.525 SCB har redovisat resultatet i rapporten SCB och allmänheten (SCB, Stockholm, 1977). De flesta frågor i undersökningen redovisas i tabellform uppdelat på variablerna kön, utbildning, boenderegion och yrkesställning.
Under början av 80-talet hade integritetsfrågorna fått ökad aktualitet i debatten. Våren 1984 tillsattes en statlig kommitté, Data- och offentlighetskommittén (DOK), som hade till uppgift att utreda användningen av personnummer i samhället. Statistiska centralbyrån genomförde samma år ytterligare en undersökning om integritetsfrågor och allmänhetens inställning till SCB. Resultatet från denna undersökning redovisades i rapporten
Data och integritet (SCB, Stockholm 1985). Till vissa delar replikerade denna undersökning den tidigare från 1976. Undersökningen genomfördes med hjälp av besöksintervjuer och vände sig till befolkningen i åldern 18– 74 år. Urvalet omfattade 1 020 personer och av dessa medverkade 75 procent.526 De flesta frågor i undersökningen redovisades i en tabellbilaga till rapporten. Svarsfrekvensen för dessa variabler särredovisas mot bakgrundsvariablerna kön, ålder och utbildning. Vissa variabler särredovisades också mot boenderegion och kunskap om datorer.
DOK gav 1986 Statistiska centralbyrån i uppdrag att undersöka allmänhetens inställning till personregister och personnummer. SCB kompletterade för egen räkning frågeformuläret med några frågor om allmänhetens uppfattning om statistikproduktionen. Undersökningen genomfördes med hjälp av en postenkät till personer i åldern 16–74 år. Urvalet omfattade 1 200 personer och den vägda svarsfrekvensen efter två på-
525 SCB och allmänheten. Resultat från en intervjuundersökning våren 1976. Statistiska centralbyrån, I/Utredningsinstitutet, Stockholm 1977-01-17. 526 Data och integritet. Allmänhetens kunskaper och attityder allmänt och till SCB. Statistiska centralbyrån/Utredningsinstitutet, Stockholm, mars 1985.
minnelser beräknades till 78 procent.527 Resultatet av undersökningen redovisades dels i Data- och offentlighetskommitténs betänkande SOU 1987:31 Integritetsskyddet i informationssamhället 4, (Stockholm 1987) dels i SCB:s rapport SCBs image 1986 (SCB, Stockholm 1987). I betänkandet redovisades inga råtabeller och redovisningen av svarsfördelningar för vissa frågor är ofullständig. I SCB:s rapport fanns en tabellbilaga men redovisningen omfattade endast frågorna som SCB själv ansvarade för.
Förutom dessa tre attitydundersökningar har Statistiska centralbyrån gjort utvärderingar av informationskampanjerna i samband med Folk- och bostadsräkningarna FoB 65, FoB 70, FoB 75 och FoB 80. Dessa undersökningar kom i ökad omfattning att innehålla frågor om integritet och registrering av personuppgifter för statistikproduktion.528 Våren 1975 genomförde SCB på uppdrag av en utredning om integritetsskyddsåtgärder inom statistikproduktionen, en undersökning om olika personuppgifters känslighet.529
Inom forskningsprojektet ”Medborgarnas deltagande i forskning – Effektivitet och legitimitet i användning av personuppgifter i forskning och statistik” vid Institutionen för socialmedicin, Uppsala universitet genomfördes i samarbete med Hälsodatakommittén (S 1994:31) under våren 1995 en postenkätundersökning. Syftet var att undersöka allmänhetens inställning till att bidra med personuppgifter och i vissa fall mänsklig vävnad för forskning. Ett annat syfte var att undersöka allmänhetens inställning till att redan befintliga uppgifter hos myndigheter och företag används för forskning och statistik. Undersökningspopulationen omfattade personer i åldern 18–74 år och urvalet uppgick till 1 501 personer. Den vägda svars-
527 SCBs image 1986. Statistiska centralbyrån/utredningsinstitutet, Stockholm 1987. 528 Wärneryd, Bo ”Allmänhetens inställning till folk- och bostadsräkningen 1970”
Statistisk tidskrift 1972:3. Rudén, Britt. Information om FoB 75, SCB, U/UI,
Stockholm 1976-02-25. Davidsson, G. FoB 80. Utvärdering av informationskampanjen. Allmänheten. Statistiska centralbyrån, Stockholm 1982. Undersökningen omfattade personer i åldern 16 år och äldre och genomfördes som en besöksintervju med telefonuppföljning. Urvalet omfattade 807 personer och svarsfrekvensen uppgick till 83 procent.
529 Langlet, Pieter. Undersökning rörande personuppgifters känslighet. SCB U/UI, Stockholm 1975-10-29. Undersökningen ingick i SCB:s Omnibus juni 1975. Svarsfrekvensen var ovanligt låg, endast 64 procent. Personuppgifter om ekonomi, vilket parti man hade röstat på i riksdagsval och kontakter med vårdgivande myndigheter ansågs mest känsliga.
frekvensen efter två påminnelser och telefonuppföljning beräknades till 69 procent.530 Några frågor från SCB:s tidigare undersökningar upprepades för att möjliggöra jämförelser över tid. De flesta av dessa frågor kom dock att omarbetas antingen genom att svarsalternativen eller frågornas formulering ändrades något. Med ledning av resultatet från en provundersökning förtydligades bl.a. frågan om överföring av redan insamlade folkbokföringsuppgifter. För urvalspersonen betonades att det handlade om uppgifter med personnummer.531
Begreppslig ram
Behandling av personuppgifter kan förstås som en process som antingen syftar till att framställa upplysningar som ett led i att vidta administrativa åtgärder/fatta beslut om enskilda, eller som syftar till att producera generell kunskap om människa och samhälle. Till det förra fallet räknas all administration och beslutsfattande mot enskilda för att fördela och leda arbete, för att sälja och köpa varor och tjänster, eller för att administrera individens skyldigheter och rättigheter gentemot offentlig myndighet. Exempel på sådana ändamål kan vara anställning, arbetsledning, försäljning, hälso- och sjukvård, barnomsorg, taxering och folkbokföring. För den enskilde har besluten som fattas eller åtgärderna som vidtas positiva eller negativa
530 Undersökningen genomfördes inom ramen för forskningsprojektet Medborgarnas deltagande i forskning – Effektivitet och legitimitet i användningen av personuppgifter i forskning och statistik med stöd från Socialvetenskapliga forskningsrådet (SFR) SFR-93-0135:1A. Projektledare var professor Tom R Burns, Sociologiska institutionen. Övriga projektmedlemmar var professor Claes-Göran Westrin, Institutionen för socialmedicin och FK Johan Åhlfeldt, Sociologiska institutionen och Institutionen för socialmedicin, Uppsala universitet. Hälsodatakommittén (S 1994:31) bidrog till undersökningens finansiering och medverkade i konstruktionen av frågeformuläret i vissa delar. 531 I SCB:s undersökning från 1984 löd frågan ”För bl.a. folkbokföring och beskattning har myndigheterna personregister på data. Där finns t ex följande uppgifter om Dig: personnummer, namn, civilstånd, adress, antal barn, inkomst, fastighetsinnehav och medborgarskap. Tycker Du att det är riktigt att de här uppgifterna skulle kunna föras över till ”. I vår undersökning var ingressen till frågan, de uppräknade myndigheterna och företagen desamma som i SCB:s fråga. Själva frågan fick följande lydelse: ”Tycker Du att det är riktigt att uppgifter med personnummer om folkbokförda skall få föras över till…”. Detta förtydligande bedömdes som nödvändigt eftersom flera i provundersökningen hade uppgivit att deras ställningstagande var beroende av om uppgifterna var avidentifierade eller ej.
konsekvenser. Individen blir behandlad för en sjukdom eller skada han lider av, den anställde får sin arbetsinsats utvärderad och den kreditsökande får en kredit beviljad.
I det senare fallet är intresset för individen helt underordnat. Här är det i stället många individers handlingar, verksamheter eller förloppet av en händelse som är av intresse. Behandlingen av personuppgifter är då ett led i utvärderingen och planeringen av sociala aktiviteter och verksamheter, eller att framställa generellt giltig kunskap om människan och samhället. Produktion av kunskap syftar inte till att fatta beslut eller vidta åtgärder mot enskilda individer i administrativt syfte och behandlingen av personuppgifter har därför inga avsedda konsekvenser för den enskilde. Exempel på sådana ändamål är journalistik, forskning, samhällsplanering och utvärdering av privata och offentliga verksamheter. Behandling av personuppgifter för dessa båda ändamål är naturligtvis centrala funktioner för både privata och offentliga samhällsinstitutioner.
Den process som vi benämner behandling av personuppgifter omfattar fyra moment, insamling och bearbetning av uppgifter om enskilda individer. När uppgifterna bearbetats tillkommer ytterligare moment i bevarande och utlämnande av personuppgifter. Två parter är alltid involverade, den som efterfrågar, samlar in och bearbetar uppgifter och den som lämnar uppgifter. Uppgiftslämnaren är oftast den som uppgifterna refererar till, dvs. att den enskilde individen lämnar uppgifter om sig själv.532 Sedan uppgifterna samlats in och bevarats (lagrats) kan den som först samlade in uppgifterna komma att bli uppgiftslämnare om någon annan efterfrågar uppgifterna. Ett sådant utlämnande har dock alltid föregåtts av enskildas uppgiftslämnande, ibland i samband med direkt observation t.ex. en läkarundersökning.
532 Uppgifter om en person kan också lämnas av andra privatpersoner, t.ex. vårdnadshavare eller förmyndare. Vid sjukdom eller olycksfall kan närstående lämna uppgifter om den som insjuknat eller skadats om denne är oförmögen att göra det själv. Vardagslivet innehåller också andra situationer då vänner, grannar, arbetskamrater kan bli uppgiftslämnare om förhållanden som berör en annan person än dem själva. De som blivit vittne till brott är skyldiga att inför polis och domstol uppge vad de har iakttagit om den som är misstänkt för brott. Uppgifter om enskilda kan också samlas in genom direkt observation. Med observation avses insamling av uppgifter genom kroppsundersökning, provtagning, iakttagelse av beteende och aktivitet. Direkt observation kan vara öppen som vid en läkarundersökning, eller dold, t.ex. när polisen bedriver spaning mot misstänkta.
Den långtgående automatiseringen har inneburit en ökad teknisk-administrativ kapacitet att behandla personuppgifter. I de olika momenten handlar det dock inte bara om ett instrumentellt förfogande av personuppgifter utan det finns i varierande grad inslag av kommunikativt handlande. Det instrumentella handlandet värderas utifrån effektivitet. Det innebär att insamling, bearbetning, bevarande (lagring) och utlämnande av personuppgifter skall ske snabbt, med hög säkerhet och till en låg kostnad. Datateknikens utveckling har i denna mening möjliggjort en ökad effektivitet som vi ännu inte ser slutet på. Det kommunikativa handlandet däremot tar sin utgångspunkt i att samförstånd om villkoren för behandling av personuppgifter måste uppnås mellan dem som uppgifterna avser och den som behandlar uppgifterna. Detta anspråk bottnar naturligtvis i de förväntade eller upplevda konsekvenserna för den enskildes personliga integritet. Samförstånd krävs för att verksamheten skall åtnjuta de berördas förtroende och acceptans både när det gäller insamling av uppgifter från individerna själva eller den vidare behandlingen av dessa. Att uppnå samförstånd handlar inte enbart om på vilka grunder ett uppgiftslämnande kommer till stånd och vilka uppgifter som lämnas ut. Den enskildes anspråk berör även honom i egenskap av registrerad och vad som sker med uppgifterna under bearbetningen (t.ex. frågan om vilka bearbetningar och för vilka ändamål de får göras), bevarandet (t.ex. hur länge uppgifterna får bevaras) och utlämnandet (t.ex. till vem och för vilka ändamål får uppgifterna lämnas ut). I uppgiftslämnarsituationen har den enskilde att ta ställning till alla momenten av behandling av personuppgifter. Under vår undersökningsperiod, då den tekniskt-administrativa kapaciteten har ökat, har betydelsen av det kommunikativa inslaget i processen också kommit att öka, både i form av uppgiftslämnarnas krav på information och medbestämmande, men också författningsregleringen och inte minst andra arrangemang i form av t.ex. etiska kommittéer och riktlinjer.
Samförstånd om formerna för behandling av personuppgifter kan uppnås på olika sätt, antingen genom överenskommelse mellan uppgiftslämnaren och den som behandlar uppgifterna eller bestämmelser i författning. Kan sådant samförstånd vid en viss tidpunkt och i en viss social situation inte uppnås kan det få till följd att den instrumentella kapaciteten inte kan utnyttjas i enlighet med dess egna tekniska och administrativa förutsättningar.
Den specifika reaktionen från uppgiftslämnarna eller de registrerade bestäms ytterst av grunden för uppgiftslämnandet, om den är ett fullgörande av ett avtal eller en plikt, eller om uppgiftslämnandet är frivilligt.
Typiska reaktioner är att människors beredvillighet att frivilligt lämna uppgifter minskar, att människor medvetet lämnar felaktiga eller ofullständiga uppgifter, att människor undandrar sig kontakt med myndigheter och företag av rädsla och olust, samt att människor ger uttryck för protester, antingen direkt till dem som efterfrågar uppgifter eller offentligt för att skapa opinion för politisk förändring. Vilken reaktion som är den typiska bestäms av den enskildes handlingsutrymme i uppgiftslämnarsituationen. ”Protest” är typisk för situationer då den enskilde av antingen formell skyldighet eller materiell nödvändighet är tvungen att lämna uppgifter. ”Sorti” är en typisk respons i situationer när uppgiftslämnandet saknar direkta konsekvenser för den enskilde, dvs. då det är frivilligt.533
Vi har diskuterat flera omständigheter som talar för att förhållandet mellan de instrumentella och de kommunikativa aspekterna av behandlingen av personuppgifter blivit problematiska. Det finns också omständigheter som inte inverkar restriktivt på processens instrumentella effektivitet. Hos allmänheten finns ett starkt uttryck för att myndigheterna och företagen skall utnyttja den ökade kapaciteten för att minimera kreditrisker, kartlägga hälsorisker, att hålla samhällsservice tillgänglig och rätt avpassad till befolkningens behov, att ”bidragsfusket” skall stoppas, att kriminalitet skall bekämpas – åtgärder som ofta innebär att ett stort antal och känsliga uppgifter om enskilda individer samlas in och bevaras under lång tid och att redan insamlade uppgifter sambearbetas. Med en utbredd registrering av personuppgifter i samhället måste kanske den enskilde själv balansera effektivitet och integritet, antingen det sker i form av ökade krav på information och inflytande som uppgiftslämnare och registrerad eller att som samhällsmedborgare delta i den offentliga diskussionen om denna avvägning. Detta ger upphov till intressanta frågor inför redovisningen av det empiriska materialet.
Omfattningen och djupet av behandling av personuppgifter i samhället bestäms dels utifrån vad som är tekniskt-administrativt möjligt (kostnadnytta), dels vad som är tillåtet (eller inte uttryckligen förbjudet) inom ramen för de rättsliga regler som gäller för användningsområdet (legalitet),
533 Sedan uppgifterna insamlats och behandlingen av personuppgifter fortsätter har den enskilde uppgiftslämnaren inte lika stora möjligheter att utöva inflytande. Uppgifter i allmänna handlingar som åtnjuter sekretess har den enskilde rätt att efterge sekretess. Datalagens 10 § ger den enskilde möjlighet att kontrollera vilka uppgifter som lagrats och om de inte är korrekta, att få uppgifterna rättade. Protest är annars en vanlig reaktion från de registrerade sedan en viss behandling uppmärksammats eller beslutats efter att uppgifterna samlats in.
dels vad som överenskommits mellan avtalsparter, dels vad som kan göras för att upprätthålla förtroende för behandlingen av personuppgifter så att t.ex. enskilda individer lämnar uppgifter över huvud taget och att lämnade uppgifter är fullständiga och sanningsenliga (legitimitet). En viss praxis för att garantera verksamhetens legitimitet kan vara stadfäst som bindande etiska regler för en bransch (t.ex. direktreklam), för en profession (läkare) eller för en verksamhet (forskningsetiska regler). För behandling av personuppgifter, där de tekniska och ekonomiska förutsättningarna förändras mycket snabbt, kan vi anta att det tekniskt-administrativa användningsområdet hela tiden varit större än det legalt tillåtna och det socialt accepterade. Det finns också ett samband mellan legalitet och legitimitet. Blir gapet mellan vad som är rättsligt tillåtet (eller inte uttryckligen förbjudet) och vad som av en större opinion betraktas som oacceptabelt finns det förutsättningar för en politisk förändring av rättsbestämmelserna.
Avvägningen mellan de instrumentella och de kommunikativa aspekterna av behandling av personuppgifter sker inte bara hos dem som behandlar uppgifter utan också hos dem som lämnar uppgifter och blir registrerade. Den enskilde individen värderar å ena sidan nyttan av en effektiv behandling för honom själv, för den grupp han tillhör eller för samhället i stort, allt efter det ändamål för vilket behandlingen vidtas, och å andra sidan villkoren för behandlingen så att hans förtroende och acceptans kan upprätthållas. Denna avvägning sker inom ramen för den sociala relation uppgiftslämnaren eller den registrerade har till den som behandlar personuppgifter.
Grunden för uppgiftslämnande bestäms av vad för slags social relation som finns mellan den enskilde individen och den som behandlar uppgifter om honom. Denna grund består antingen av ett avtal eller ett pliktförhållande. Ett avtal baseras på förväntningar om ömsesidig nytta mellan parterna och motiveras av deras egenintresse. Ett pliktförhållande baseras på förväntningar om gillande eller ogillande från omgivningen riktat mot den enskilde. Reaktionen från omgivningen kan vara legalt eller normativt sanktionerad.
Avtalet reglerar vilka prestationer som kan förväntas av parterna, t.ex. att den enskilde skall lämna ut vissa uppgifter om sig själv till den som tillhandahåller en anställning, en bostad, en vara eller en tjänst. Detta berör
den enskilde i egenskap av anställd och kund.534 Inom det privaträttsliga området kan det också finnas bestämmelser som reglerar vilka uppgifter som över huvud taget kan efterfrågas. Det kan vara kollektivavtal och bestämmelser i författning. Grunden för uppgiftslämnande kan också baseras på medlemskap i en organisation. Medlemmar kan sägas ha överenskommit med medlemsorganisationen att lämna uppgifter om sig själva om det innefattas av medlemskapet. Normativt sanktionerade pliktförhållanden i den privata sektorn finns mellan privatpersoner och organisationer. Den kan bestå i att organisationer vädjar till allmänheten om ekonomiska bidrag eller andra frivilliga insatser. Enskilda individers uppgiftslämnande till privata företag för opinions- och marknadsundersökningar är exempel på detta. Även enskildas uppgiftslämnande till massmedia räknas hit, i den mån det inte förekommer ekonomisk ersättning.
Legala pliktförhållanden förekommer uteslutande i enskildas relation till offentlig myndighet. I ett legalt pliktförhållande är omfattningen av en uppgiftsskyldighet för den enskilde reglerad i lag. För t.ex. taxerings- och folkbokföringsändamål finns en lagstadgad uppgiftsskyldighet för den enskilde. Om den enskilde inte fullgör sin plikt riskerar han att tvångsåtgärder vidtas mot honom. Även utan en formell uppgiftsskyldighet kan den enskilde vara tvingad att lämna uppgifter om sig själv som ett villkor för att få rätten till bistånd bedömd eller för att få adekvat vård och behandling. Sanktionen i detta fall är utebliven ersättning, understöd eller vård. Den enskilde kan då sägas vara föremål för ett administrativt tvång t.ex. i fråga om hälso- och sjukvård, socialförsäkring och socialtjänst. När den enskilde är föremål för en lagstadgad skyldighet eller ett politiskt-administrativt tvång är det i relationen som klient till en offentlig myndighet.
Medborgarskapet kan också innebära förpliktelser som inte formulerats som lagstadgade skyldigheter eller välfärdspolitiska rättigheter. När en offentlig myndighet efterfrågar insatser från den enskilde i form av uppgiftslämnande för samhällsplanering, officiell statistik, forskning, eller i form av vävnadslämnande för vård av annan person (blodtransfusion, transplantation) och medicinsk forskning är det den enskilde i egenskap av medborgare myndigheten adresserar. Förpliktelsen är normativ eftersom
534 Den enskilde kan också vara anställd och kund till offentliga förvaltningar i den mån de tillhandahåller anställning, varor och tjänster och de är baserade på ett privaträttsligt avtal. Även privata medlemsorganisationer kan ha anställda.
den saknar tvångsmaktens sanktion och appellerar till den enskildes solidaritet och identifikation med det allmänna bästa.535
Figur 1 sammanfattar behandlingen av personuppgifter i samhällets privata och offentliga sektor med avseende på ändamålet med behandlingen och relationen mellan uppgiftslämnaren och den som använder uppgifterna. Två situationer av uppgiftslämnande särskiljs, när uppgifter inhämtas från den enskilde uteslutande på basis av uppgifter som denne lämnar, och när inhämtandet av uppgifter också (eller uteslutande) sker på basis av direkt observation av individens inre kroppsliga och själsliga tillstånd, eller individens yttre beteende. Figuren beskriver en rad olika situationer för uppgiftslämnande alltifrån ifyllandet av ett enkätformulär på frivillig grund i individens eget hem till en kroppsundersökning under tvång på anstalt.
Behandling av personuppgifter kan antingen syfta till att framställa upplysningar för administration av enskilda individer (för att fatta beslut eller vidta åtgärd), eller framställa kunskap om människa och samhälle. För administrativa ändamål baseras uppgiftslämnandet på avtal, medlemskap, administrativt och lagstadgat tvång. När uppgifter inhämtas för planering, utvärdering och forskning är enskildas uppgiftslämnande baserat på normativ förpliktelse (frivillighet).536
535 Även de lagstadgade skyldigheterna innehåller element som upprätthålls normativt. För det är ju inte enbart hotet om rättsliga sanktioner som får medborgarna att inställa sig till värnplikt och som vittnen i domstol samt att betala skatt. 536 I den senaste folk- och bostadsräkningen (FoB 90) förelåg uppgiftsskyldighet för folkbokförda att lämna hushålls- och fastighetsuppgift till Statistiska centralbyrån. Syftet med FoB 90 var enbart att skapa ett underlag för officiell statistik, samhällsplanering, forskning och allmän information, inte som tidigare att samtidigt kontrollera folkbokföringen. Undersökningen kan sägas utgöra ett undantag från sambandet mellan grund för uppgiftslämnande och ändamål med behandling av personuppgifter.
Figur 1: Behandling av personuppgifter i samhället. Enskildas uppgiftsläm-
nande och direkt observation.
Personuppgifter insamlas av
privat företag, medlemsorganisation
offentlig myndighet
Verksamhetens ändamål administrativt ickeadministrativt
administrativt icke-
administrativt
Uppgiftslämnarens relation till användare
kund, anställd, medlem
privatperson klient medborgare
Personuppgifter
inhämtas genom direkt observation kliniska undersökningar i privat hälso- och sjukvård och företagshälsovård, övervakning av anställda:
avtal
kliniska undersökningar i privat forskning, journalistik:
frivillighet
kliniska undersökningar i hälso- och sjukvården:
administrativt tvång.
psykiatrisk tvångsvård, kriminalvård, allmän försäkring, arbetarskydd, rättegångsbalken, polisspaning:
legalt tvång
kliniska undersökningar i offentlig forskning, blodgivning, organdonation:
frivillighet
lämnas av den enskilde själv
administration av kunder, anställda och medlemmar:
avtal; medlemskap
marknads- och opinionsundersökningar, journalistik: frivillig-
het
folkbokföring, beskattning:
uppgiftsskyldighet.
allmän försäkring, hälso- och sjukvård, socialtjänst:
administrativt tvång
statistiska urvalsundersökningar:
frivillighet.
folk- och bostadsräkning:
uppgifts- skyldighet
Vi skall nu återvända till problematiken omkring utlämnande av befintliga uppgifter om enskilda individer hos organisationer respektive myndigheter i privat och offentlig sektor. Som vi sett av ovanstående genomgång är det uppgifter om individer i egenskap av anställda och kunder, medlemmar, klienter, privatpersoner och medborgare. Grunden för uppgiftslämnande varierar med relationen mellan den enskilde uppgiftslämnaren och den som samlar in och bearbetar uppgifterna. Uppgifter om enskilda personer har olika status beroende på var de bevaras. En grundläggande distinktion går mellan privata organisationer och offentliga myndigheter. Alla handlingar med uppgifter om enskilda i den privata sektorn är till sin natur privata. Utlämnande av uppgifter till andra än avtalsparterna får ske endast med stöd av avtalet. Statsmakterna kan dock i lag ålägga enskilda företagare och näringsidkare att lämna uppgifter till myndigheter, t.ex. arbetsgivares skyldighet att lämna kontrolluppgift om anställda till skattemyndigheten. Huvudregeln i den offentliga sektorn däremot är att allmänna handlingar med uppgifter om enskilda är offentliga och måste lämnas ut till den som efterfrågar uppgiften (TF). Känsliga uppgifter i allmänna handlingar
skyddas dock av sekretess med hänsyn till enskilds ekonomiska eller personliga förhållanden (sekretesslagen 1980:100). Sekretessen kan vara absolut eller göras till föremål för en prövning om skada och men för den enskilde om uppgiften lämnas ut. Den enskilde kan helt eller delvis efterge sekretess som gäller till förmån för honom själv.
Datalagen (1973:289) tar sin utgångspunkt i det förhållandet att behandling av personuppgifter med hjälp av automatisk databehandling kräver ett särskilt skydd för den enskildes integritet som inte kan upprätthållas med grundbestämmelserna om offentlighet och sekretess eller avtalsrätt i den privata sektorn. Lagstiftning om integritetsskydd är ett uttryck för att statsmakterna vill ha kontroll över behandlingen av personuppgifter i samhället. Den som avser att inrätta och föra ett personregister måste i dag anmäla detta till Datainspektionen och få licens. I vissa fall då känsliga uppgifter skall registreras måste den registeransvarige ansöka om tillstånd. Personregister som beslutats av statsmakterna är undantagna från tillståndsplikten.
Distinktionen mellan privat och offentligt är viktig i en diskussion om utlämnande av befintliga personuppgifter. Uppgifter kan lämnas ut från privata respektive offentliga organisationer och myndigheter och lämnas till både privata och offentliga användare. Tar vi i beaktande för vilket ändamål uppgifterna ursprungligen samlades in samt för vilket ändamål de skall användas får vi åtta olika fall att diskutera. Samutnyttjande och sambearbetning av personuppgifter är mycket vanlig och sker ofta med hjälp av automatisk databehandling. Både inhämtande och utlämnande av personuppgifter som skall ingå respektive ingår i personregister är föremål för författningsreglering genom datalagen. Vi måste också göra skillnad på om den som förfogar över uppgifter enligt lag är skyldig att lämna ut uppgifter537 eller om det sker med stöd av avtal mellan den enskilde som uppgifterna refererar till eller med stöd av dennes frivilliga samtycke. Skall uppgifter som lämnas ut ingå i personregister hos någon annan och utlämnandet inte sker med stöd av den enskildes samtycke, författning eller tidigare tillstånd från Datainspektionen måste den som vill inrätta ett sådant personregister söka tillstånd. Den som lämnar ut uppgifter är också skyldig att
537 Uppgiftsskyldighet kan bestå av att en privat organisation eller myndighet enligt lag är skyldiga att regelmässigt lämna ut uppgifter om anställda, kunder, medlemmar och klienter till myndighet. Offentlighetsprincipen stadgar också en skyldighet för myndigheter att lämna ut uppgifter till den som efterfrågar dem om uppgifterna inte skyddas av sekretess.
se till att uppgifter inte används i strid med de övriga bestämmelserna i datalagen.
Vilka möjligheter har då den enskilde att få information och påverka om uppgifter som han lämnat tidigare lämnas ut till någon annan? Datainspektionen skall i sin tillståndsgivning särskilt beakta inställningen hos dem som skall komma att registreras. Det har bl.a. utmynnat i krav på underrättelse och inhämtande av samtycke från de registrerade.
All uppgiftsskyldighet för enskilda juridiska personer, kommuner och landstingskommuner till statliga myndigheter måste ha stöd i lag. I modern lagstiftning som berör inrättande och förande av centrala personregister hos myndigheter finns bestämmelser om information till de registrerade.
Figur 2: Behandling av personuppgifter i samhället. Utlämnande av uppgifter
från myndigheter och medlemsorganisationer.
Personuppgifter insamlas av
privat företag, medlemsorganisation
offentlig myndighet
Verksamhetens ändamål administrativt ickeadministrativt
administrativt icke-
administrativt
Den registrerades relation till användare
kund, anställd, medlem
privatperson klient medborgare
Personuppgifter lämnas ut av
Företag eller medlemsorganisation (om anställda, kunder och medlemmar)
personupplysning inkassoåtgärd:
avtal
smittskydd, kontrolluppgifter från arbetsgivare, banker och försäkringsbolag:
uppgiftsskyldighet enligt lag
uppgiftslämnande till den officiella statistiken:
uppgiftsskyldighet enligt lag
Myndighet (om klienter och patienter) ärenden hos kronofogden:
offentlighetsprincipen (TF); uppgiftsskyldighet enligt lag.
patientuppgifter vid tecknande av privat försäkring:
medgivande från enskild (SekrL)
värvning av kunder, anställda och medlemmar, urvalsdragning och bortfallsanalys:
offentlighetsprincipen (TF), Datalagen , SPAR, spärr mot direktreklam
kontroll av rätt till förmåner:
uppgiftsskyldighet enligt lag eller offentlighetsprincipen (TF)
samhällsinformation, urvalsdragning och bortfallsanalys, registerundersökningar:
uppgiftsskyldighet enligt lag eller offentlighetsprincipen (TF), medgivande från enskild (SekrL)
Resultat
Redovisningen av tidigare forskningsresultat disponeras på följande sätt. Ur integritetssynpunkt är det centralt hur och från vem uppgifterna inhämtas. Jag har valt att låta detta styra framställningen. I modellen ovan har
följande situationer för uppgiftslämnande särskilts. Direkt observation, uppgiftslämnande från den enskilde själv, från företag eller organisationer om anställda, kunder och medlemmar, samt från offentlig myndighet (statlig, landstingskommunal, kommunal) om klienter. Jämförelser möjliggörs horisontellt i modellen, dvs. vi kan göra jämförelser om allmänhetens inställning till behandling av personuppgifter mellan verksamheter för olika ändamål (administrativa och icke-administrativa ändamål) inom respektive privat och offentlig sektor såväl som mellan samhällssektorer.
Direkt observation
Direkt observation förekommer i praktiker såsom kliniska undersökningar (medicinska, psykiatriska, psykologiska). Sådana praktiker finns i både privat och offentlig verksamhet, företagshälsovård, allmän och privat hälso- och sjukvård. De kan initieras av försäkringsbolag, arbetsgivare, allmän försäkringskassa, Arbetarskyddsstyrelsen, polis, åklagare och militär myndighet. När den allmänna hälso- och sjukvården tar initiativ till undersökning av enskilda benämns det screeningverksamhet. Den kan vara inriktad på att upptäcka viss sjukdom hos människor i normalriskpopulationer eller högriskpopulationer. Den enskilde själv kan också ta initiativ till att låta undersöka sig, då han har behov av det. I de flesta fall är ändamålet att vidta åtgärder eller att fatta beslut om behandling av den enskilde. Det finns dock fall där syftet kan vara att behandla annan person, t.ex. genom blodtransfusion och transplantation, eller att inhämta uppgifter för forskning. Även om den enskilde själv primärt inte är föremål för beslut eller åtgärd framkommer uppgifter i undersökningen som är av intresse för honom. Blodgivning kan ju sägas vara en mindre hälsoundersökning för den enskilde även om det inte är eller får vara motivet för den enskilde att lämna blod. En sådan situation ställer emellertid krav på att information lämnas till den enskilde och att han vid behov får en hänvisning till annan instans för adekvata åtgärder. Direkt observation genom klinisk undersökning genererar ofta känsliga uppgifter om den enskilde, uppgifter om förhållanden som den enskilde själv ofta inte känner till. Direkt observation kan också förekomma i andra praktiker än kliniska undersökningar. Övervakning av anställda av arbetsgivare kan utgöra ett led i en utvärdering av de anställdas arbetsinsatser. Med datatekniken finns möjligheter att registrera arbetets utförande av arbetstagare som betjänar elektronisk utrustning. Polisens övervakning av den allmänna ordningen, trafiken, spaning
mot enskilda som misstänks för brott är en annan praktik som ibland är dold för den som står under övervakning. Även här har modern datateknik möjliggjort en effektivare övervakning.
Statistiska centralbyrån frågade 1984 vad allmänheten uppfattade som ett intrång i privatlivet. Praktiker som kan räknas till direkt information var TV-övervakning av varuhus, TV-övervakning av offentliga platser, kroppsvisitation i tullen, poliskontroll av bilförares alkoholhalt.
Tabell 1: Syn på privatlivet, reaktion inför olika förfaranden för direkt observa-
tion, procent.
Stör mig inte alls
Är något besvärande
Ser det som ett intrång i privatlivet
Totalt
TV-övervakning i varuhus 81
15
3
100
Poliskontroll av alkoholhalt 80
15
1
100
TV-övervakning på offentlig plats
63 20 15 100
Kroppsvisitation i tullen
45
39
13
100
Källa: Data och integritet, SCB 1985.
TV-övervakning på offentlig plats och kroppsvisitation i tullen förknippades mest med ett intrång i privatlivet. Män ansåg i något större utsträckning att TV-övervakning av offentlig plats var ett intrång i deras privatliv. En sådan uppfattning var mycket vanligare bland yngre än äldre och vanligare bland personer med utbildning på lägst gymnasienivå. Kvinnor ansåg oftare än män att en kroppsvisitation var ett intrång i privatlivet, 18 procent jämfört med 8 procent. För övriga bakgrundsfaktorer var skillnaderna små med en liknande tendens åt utfallet om TV-övervakning av offentlig plats. Upplevelsen av en alkoholtest i samband med bilkörning upplevdes sällan som ett intrång i privatlivet men kvinnor, yngre och personer med akademisk utbildning ansåg oftare att det var besvärande. För TVövervakning av varuhus var tendensen den motsatta hos män som i högre utsträckning upplevde det som besvärande, men i övrigt var svarsmönstret likartat som för andra typer av direkt observation.
I undersökningen ”Medborgarna och forskningen” frågade vi om inställningen till att patientuppgifter inom hälso- och sjukvården registreras med hjälp av data. Sådana uppgifter kommer från någon form av medicinsk undersökning. I vår undersökning hade 69 % besökt öppen hälso- och sjukvård i privat eller offentlig regi de senaste 12 månaderna, 11 % hade
varit inlagda på sjukhus. Nästan hälften (49 %) uppgav att de var oroade över att obehöriga kunde få tillgång till patientuppgifter på data inom hälso- och sjukvården. Däremot var det en minoritet (17 %) som instämde i att det var besvärande att patientuppgifter bevarades på data. Flertalet (82 %) instämde i påståendet att bevarande av patientuppgifter på data gjorde vården tryggare. Inom hälso- och sjukvården har på senare tid patientnära system börjat introduceras, det kan vara system för journalhantering och provsvar som finns på avdelningsnivå.
Ett annat område för uppgiftslämnande förekommer i samband med givande av blod för transfusion eller annan vävnad för transplantation. För att bli accepterad som blod- eller plasmagivare måste den enskilde lämna en hälsodeklaration och blodprov som analyseras för att bestämma blodgrupp och antikroppar men också för att konstatera om det föreligger hinder för blodgivning, t.ex. infektionssjukdom. Enligt vår skattning hade knappt 8 procent av den vuxna befolkningen lämnat blod de senaste 12 månaderna. Om en person uttryckt en vilja att efter döden låta sin vävnad eller organ komma till användning för transplantation eller andra medicinska ändamål är de legala förutsättningarna uppfyllda för sjukvården att använda vävnad eller organ för medicinska ändamål. Viljeyttringen kan gälla all vävnad som kan användas, avse viss användning eller vissa organ. En sådan vilja kan komma till uttryck genom anmälan till donationsregister hos Socialstyrelsen, på donationskort eller muntligt till sjukvårdspersonal eller anhörig. Är den avlidnes uppfattning ej känd har närstående rätt att förbjuda ett sådant ingrepp. I vår undersökning kunde 65 procent tänka sig att deras organ användes efter döden. Om det gällde en avliden anhörig, som inte hade uttryckt någon åsikt, kunde endast 41 procent tänka sig att medge transplantation. Något färre, 60 procent, kunde tänka sig att deras organ fick användas för medicinsk forskning efter döden. Andelen osäkra var 23 procent när det gällde användning av egna organ för transplantation, 33 procent när det gällde anhörigs organ och 24 procent när det gällde egna organ eller vävnad för medicinsk forskning.
Ett intressant exempel på direkt observation är den screeningverksamhet för vissa medfödda ämnesomsättningssjukdomar hos nyfödda. bl.a. fenylketonuri (PKU). Socialstyrelsen har rekommenderat sjukvårdshuvudmännen att delta i denna verksamhet. Analyserna görs centralt på Huddinge sjukhus där ett identifierbart blodprov också sparas för framtiden. I princip alla personer födda 1965 och senare ingår i ett centralt personregister på Huddinge sjukhus med länk till ett blodprov som kan användas för framtida medicinsk forskning. Förekomsten av detta register
öppnar upp intressanta frågeställningar särskilt med anknytning till DNA/RNA-tekniken. Det är åtminstone två integritetsaspekter som får en delvis ny innebörd. Undersökning av människans arvsmassa ger kunskap om andra genetiskt besläktade individer. Frågor om samtycke och information blir här komplicerade, särskilt med tanke på att den genetiskt besläktade familjen i dag inte alltid sammanfaller med den sociala familjen och att mycket av den information som framkommer vid en genetisk undersökning är av mycket känslig natur och svår att kommunicera. Den andra frågan handlar om vävnadsprovets potentiella informationsinnehåll i takt med att den mänskliga arvsmassan kartläggs och nya metoder för diagnostik utvecklas. I en annan rekommendation har Socialstyrelsen rekommenderat patologavdelningar att tills vidare spara alla prover dels med hänvisning till patientens vård och behandling, dels med hänvisning till den medicinska forskningen behov.
Andra förfaranden med direkt observation som varit föremål för debatt och politiska överväganden är användningen av medicinska undersökningar i arbetslivet och undersökningar av människans arvsmassa med DNA/RNA-teknik i arbetslivet och vid tecknande av privata liv- och sjukförsäkringar. Övervakning av anställda med hjälp av automatisk databehandling var föremål för Datalagsutredningens överväganden.
Den enskildes uppgiftslämnande
Om inte uppgifter inhämtas genom direkt observation är den enskilde själv eller en honom närstående person uppgiftslämnare. En vårdnadshavare är uppgiftslämnare för minderåriga och en anhörig kan vara uppgiftslämnare då enskilds förmåga att själv kommunicera är nedsatt, tillfälligt eller permanent. Vi skall här inte gå in på närståendes ställning som uppgiftslämnare. I de undersökningar som redovisas här finns ingen kunskap om detta med undantag för medicinska förfaranden för transplantation, obduktion och medicinsk forskning. Andra utomstående, t.ex. vittnen vid brottsplats eller olycka har skyldighet att på uppmaning av polis eller domstol redogöra för vad de observerat. Ett vittnes uppgiftsskyldighet är ej administrativt i förhållande till honom själv utan den han vittnar mot.
Vi har tidigare diskuterat den enskildes uppgiftslämnande i olika situationer. I den privata sektorn är informationsutbyte (uppgiftslämnande) en naturlig del av ett avtal mellan två parter. Det handlar antingen om ett anställningsförhållande eller ett kundförhållande. Det finns bestämmelser i
författning (lag) som begränsar enskilds rätt att avtala om att vissa uppgifter lämnas ut. Uppgiftslämnande i ett anställningsförhållande kan också begränsas av kollektivavtal mellan företrädare för arbetsgivare och arbetstagare. Ett medlemskap i ekonomisk eller ideell förening kan också utgöra grunden för uppgiftslämnande från den enskilde till föreningen. De vanligast förekommande personregistren i den privata sektorn är kundregister, personregister för administration av personal och löner samt medlemsregister. Sådana personregister kräver oftast inte tillstånd enligt datalagen. Datalagen medger föreningar att registrera uppgifter av känslig natur om de utgör grunden för medlemskapet. Arbetsgivare får registrera uppgifter om enskilds sjukdom eller hälsotillstånd om det behövs för åtgärd om rehabilitering. Frivillighet som grund för uppgiftslämnande av enskilda i den privata sektorn sammanfaller med att anknytning som följer av anställning, kundförhållande eller medlemskap saknas.
Företag och organisationer har ett berättigat intresse att rekrytera nya medarbetare, kunder eller medlemmar. När ett företag tar kontakt med den enskilde i detta sammanhang finns ingen etablerad anknytning mellan företaget och den enskilde. Den enskilde är privatperson i förhållande till företaget. Denna har om den är riktad till enskild person föregåtts av att uppgifter om den enskilde har lämnats ut av någon annan. Till detta återkommer vi nedan. Vi återkommer även till de fall då ett företag eller organisation kontaktar den enskilde för att denne skall bidra med uppgifter om sig själv i samband med marknads- eller opinionsundersökningar. Den enskilde kan naturligtvis själv söka upp ett företag eller en organisation som han önskar att etablera en förbindelse med. När den enskilde nåtts av kontaktförsöket står det honom fritt att ta kontakt. Något uppgiftslämnande är det inte frågan om förrän den enskilde ansöker om medlemskap i förening, att bli kund till eller anställd i ett företag. Först då är ändamålet med företagets eller organisationens inhämtande av uppgifter beslutande eller åtgärdande gentemot den enskilde. Det kan finnas villkor förenade med en ansökan, t.ex. kreditupplysning, som innebär att den enskilde lämnar uppgifter om sina personliga och ekonomiska förhållanden eller informeras om att uppgifter inhämtas om honom. I de fall befintliga uppgifter skyddas av sekretess avstår den enskilde sekretessen som gäller till förmån för honom (utlämnande av patientuppgifter vid tecknande av privat pensions- eller sjukförsäkring). I författning finns regler om vilka uppgifter ett företag eller organisation får efterfråga. Ett aktuellt lagförslag i en departementspromemoria från socialdepartementet vill förbjuda att arbetsgivare och försäkringsbolag får efterfråga uppgifter om enskilda personer från
undersökningar genomförda med DNA/RNA-teknik. Det finns i ett demokratiskt samhälle en formell frivillighet att ingå avtal eller inträda som medlem i sammanslutningar. Formellt sett är parterna som skall komma överens om innehållet i ett avtal likaberättigade. Materiellt sett hänger en sådan frivillighet och möjligheterna att ställa villkor samman med resurser hos parterna som påverkas av en rad faktorer som bl.a. gett upphov till organisering av konsumenter, hyresgäster och arbetstagare i intresseföreningar men också lagstiftning för att skydda den svagare parten.
SCB frågade i undersökningar genomförda 1984 och 1986 om det var befogat att vissa myndigheter, företag och organisationer hade personregister på data.
Tabell 2: Inställning till att myndigheter och företag har personregister på data
år 1984 och år 1986, procent.
Befogat Tveksamt Obefogat Vet ej Samtliga
Försäkringskassan
91 (76) 6 (14) 2 (7)
1 (3)
100 (100)
Skattemyndigheter 84 10 4 2 100 Banker 66 (44) 21 10 2 100 Försäkringsbolag 63 (37) 20 13 3 100 Statistiska centralbyrån 53 (34) 25 (26) 18 (29) 4 (11) 100 (100) Socialnämnderna 47 (42) 29 21 3 100 Kontokortsföretag 33 (20) 16 47 4 100 Kundregister, t.ex. på varuhus
15 (7) 14
68
3
100
Bokklubbar 8 (4) 12 77 3 100
Källa: Data och integritet. SCB (1985) och SOU 1987:31Integritetsskyddet i informationssamhället 4. Stockholm 1987. Siffror inom parentes är tillgängliga uppgifter från 1986 års undersök-
ning.
En mycket stor andel ansåg 1984 att personregister hos försäkringskassan, sjukhus, och skattemyndigheter var befogade. Över hälften ansåg personregister befogade hos banker, försäkringsbolag och Statistiska centralbyrån. För kundregister hos företag som tillhandahåller varor fanns inte samma stöd. Något större stöd fanns för personregister hos kontokortsföretag. När det förelåg skillnader mellan olika grupper av människor var det ofta de äldre som inte ansåg att personregister var befogade, undantagna var deras inställning till personregister hos socialnämnderna och kundregister hos varuhus som var positivare än yngre grupper. Personer med akademisk utbildning var positivare till förekomsten av personregister hos framför allt Statistiska centralbyrån, 72 % jämfört med drygt 50 %, men också till personregister hos skattemyndigheterna, socialnämnderna och
kontokortföretag, än personer med lägre utbildning. I Data- och offentlighetskommitténs undersökning 1986, som genomfördes av SCB, har andelen positiva markant minskat. Allra mest minskade stödet för de kundregister som redan två år tidigare hade lågt stöd, minskningen var över 40 %. Personregister hos försäkringskassan och socialnämnderna behöll i högre grad stöd hos allmänheten jämfört med två år tidigare. Allmänhetens inställning till dataregistrering under 80-talet återkommer vi till nedan.
En stor del av debatten och kritiken har åtminstone tidigare gällt användningen av personnummer. År 1984 uppgav 15 % att de känt obehag över att lämna ut personnummer, 10 % hade till och med vägrat att göra det. Även om personer med denna erfarenhet utgjorde en minoritet hade andelen personer med obehagskänsla fördubblats år 1986 liksom andelen som någon gång vägrat lämna sitt personnummer. I vår undersökning år 1995 uppgav 17 % att de någon gång vägrat att lämna sitt personnummer. Kritiken har också gällt användningen av personnummer. År 1984 ansåg nära 40 % att de hade tyckt att det var onödigt att lämna sitt personnummer, 1986 hade nära 55 % denna upplevelse. Dessa upplevelser och erfarenheter var vanligare hos yngre och medelålders, välutbildade och personer med stor kunskap om datorer. Särskilt tydliga var dessa upplevelser hos personer med akademisk utbildning och hos tjänstemän. Bland tjänstemän var en vägran att lämna personnummer dubbelt så vanlig jämfört med andra grupper, 14 % jämfört med 8 % bland arbetare och 5 % bland företagare. Detta gällde också akademiker (18%) jämfört med andra (7 och 11%). Skillnaderna kvarstår i vår undersökning från 1995.
Av frågan om vägran att lämna ut personnummer framgår inte vilken grund för uppgiftslämnande som gällde och inte heller konsekvenserna för den enskilde. Frågan gällde både när en myndighet eller företag bad att den enskilde skulle uppge personnummer, detta formulerades explicit i vår undersökning 1995. Stod den enskilde inför att ingå ett avtal kan resultatet ha varit att avtal inte kom till stånd, eller att villkoren för avtalets ingående ändrades till hans fördel.
Grunden för uppgiftslämnande i den offentliga sektorn kan vara legalt tvång. Tvång som innebär frihetsberövande eller åligganden för den enskilde gentemot myndigheterna måste ha stöd i lag. För enskildas uppgiftslämnande i administrativt syfte finns lagstadgad uppgiftsskyldighet i verksamheter för bl.a. folkbokföring, och beskattning. Denna skyldighet upprätthålls med straffsanktion. Inom socialförsäkringen upprätthålls uppgiftsskyldighet med sanktion om förlust av ersättning. Lämnande av felaktiga eller ofullständiga uppgifter innebär att utgiven ersättning kan
krävas tillbaka. Inom hälso- och sjukvården finns ingen formell uppgiftsskyldighet för den enskilde men myndigheterna är skyldiga att dokumentera insatser riktade mot den enskilde. Provtagning för HIV-infektion utgör enda undantaget och kan göras anonymt. Är resultatet av analysen positivt bortfaller rätt till anonymitet och uppgiftsskyldighet enligt smittskyddslagen infaller. Inom hälso- och sjukvården och socialtjänsten förutsätts snarare att den enskilde samarbetar för att bli bemött på ett adekvat sätt och få den hjälp han behöver. Särskilt inom sjukvården kan det få förödande konsekvenser för patienten om han inte lämnar riktiga och fullständiga uppgifter till sjukvårdspersonalen. När uppgiftslämnande sker för ett administrativt, beslutande eller åtgärdande ändamål säger vi att den enskilde är klient till den myndighet han lämnar uppgifterna. Grund för uppgiftslämnande är här ett administrativt tvång. När det inte finns en uttalad legal uppgiftsskyldighet för den enskilde (beskattning, folkbokföring, smittskydd osv.) står det honom i princip fritt att avstå från att begära vård eller annan hjälp från det allmänna. Det är allmänt känt att enskilda kan ha svårt att söka ekonomisk hjälp från socialtjänsten även om de är i behov av ekonomisk hjälp eftersom det anses utpekande och obehagligt. Möjligheten till anonyma HIV-test skall också ses mot denna bakgrund och att det ligger i det allmännas intresse att människor vet om de bär på infektionen eller inte. Skillnaden består i att den enskilde kan tvingas till att betala skatt men i allmänhet inte tvingas till att söka vård och behandling eller att få sjukpenning. Det finns dock föreskrifter i lag om tvångsvård. Om däremot den enskilde accepterar att ta emot vård eller behandling, ekonomisk ersättning eller understöd måste han finna sig i att lämna uppgifter som är fullständiga och sanningsenliga och att lämnade uppgifter registreras hos handläggande myndighet.
Alla människor har någon erfarenhet av uppgiftslämnande för administrativa syften. Vi kan här skilja mellan uppgiftslämnande och registrering av uppgifter för å ena sidan vanligt förekommande administrativa syften som anställning, kundförhållande, medlemskap i den privata sektorn och folkbokföring, beskattning och socialförsäkring i den offentliga sektorn och å andra sidan mer ovanligt förekommande, känsliga och utpekande administrativa syften som vård och behandling, ekonomiskt stöd från socialtjänst och tvångsåtgärder av olika slag. Erfarenhet av uppgiftslämnande för vissa sådana ändamål, har vi försökt skatta som bakgrundsvariabler i vår undersökning. Det är situationer då enskilda sökt hjälp, vård eller erhållit ersättningar för längre tids arbetslöshet och sjukdom. Av de tillfrågade hade under de senaste 12 månaderna 11 % varit in-
lagda på sjukhus, 1 % fått hjälp eller omvårdnad av socialtjänsten, 14 % hade sökt bostadsbidrag, 4 % hade sökt socialbidrag och 16 % hade varit sjukskrivna en sammanhängande period om mer än sex dagar. På frågan om urvalspersonernas huvudsakliga sysselsättning under de senaste 6 månaderna uppgav 7 % att de var arbetslösa och 1 % att de var långtidssjukskrivna. 50 % av de tillfrågade förvärvsarbetade på heltid medan 14 % förvärvsarbetade mindre än heltid. Inga frågor ställdes om tvångsåtgärder gentemot enskilda.
Det allmänna har också behov av att efterfråga information från enskilda för andra syften än administrativa. Det allmänna har ett ansvar för att framställa information om hur samhället ser ut och fungerar, särskilt att utvärdera de offentliga verksamheterna, framställa den officiella statistiken och att bedriva vetenskaplig forskning. När enskilda tas i anspråk som uppgiftslämnare för sådana ändamål finns inget administrativt intresse riktat mot honom från myndighetens sida. Uppgiftslämnandet är frivilligt. En sådan inbjudan kan riktas mot den enskilde som representant för allmänheten eller på grundval av en befintlig eller avslutad klient-relation med en myndighet. Oavsett vilken kategori den enskilde tillhör är relationen till den myndighet som efterfrågar uppgifter för sådana icke-administrativa ändamål alltid utan aktuellt administrativt eller åtgärdande intresse. Undantag är klinisk forskning där patienten erbjuds att medverka i en studie där aktiv behandling erbjuds. Även om syftet fortfarande är att utveckla nya metoder eller söka ny kunskap inom medicinen, finns också ett åtgärdande syfte riktat mot patienten. Avhängigt vilken relation undersökningsdeltagaren har eller har haft till den som genomför undersökningen eller undersökningens syfte är medverkan formellt sett frivilligt. Sedan kan de materiella grundvalen för medverkan variera. Eftersom denna relation med myndigheten är utan administrativt intresse benämner vi den enskilde medborgare i detta sammanhang. Grunden för uppgiftslämnande är formell frivillighet.
I vår undersökning frågade vi urvalspersonerna om de hade erfarenhet av uppgiftslämnande för planering, utvärdering, statistik och forskning. Vi fann det inte meningsfullt att försöka skatta sådant uppgiftslämnande i den privata och den offentliga sektorn var för sig. Grunden för sådant uppgiftslämnande är frivillighet i båda fallen. 75 % uppgav att de någon gång blivit tillfrågade att medverka i sådana undersökningar. På frågan när detta senast hade hänt uppgav 41 % att det hade inträffat åtminstone en gång under de senaste 12 månaderna. Av de tillfrågade hade 90 % deltagit vid detta tillfälle. Vår undersökning visar att efterfrågan på uppgifter från enskilda
för statistiska undersökningar är både utbredd och frekvent. Beredvilligheten att medverka är dock inte så hög som våra undersökningsdeltagare uppger. Det kan nämligen befaras att de som valt att inte deltaga i vår undersökning också har vägrat att deltaga i andra undersökningar. I SCB:s undersökning ”Data och integritet” år 1984 hade 57 % någon gång blivit ombedda att deltaga i en statistisk undersökning. Efterfrågan på uppgifter från privatpersoner/medborgare kan sägas ha ökat under perioden mellan de båda mättillfällena.
Vi undersökte det upplevda besväret av olika intrång i privatlivet. Detta säger inte uttryckligen något om hur stort berättigande sådana åtgärder har i allmänhetens ögon. Däremot kan synen på det berättigade i sådana åtgärder påverka det upplevda besväret. Vi återkommer till det nedan.
Tabell 3: Syn på privatlivet. Allmänhetens upplevelser av olika intrång i privat-
livet, procent.
Hur reagerar Du Inte alls besvärande
Inte särskilt besvärande
Ganska besvärande
Mycket besvärande
Kan inte säga
Samtliga
Om någon myndig-
het ber dig medverka i statistisk undersökning om hushållens privatekonomi
32
36
17
8
5
100
Om Du blir uppringd
av ett företag som vill sälja varor
4 13 29 51 2 100
För reklam med Ditt
namn på i brevlådan
12 30 28 29 1 100
Om ett marknads-
undersökningsinstitut ber dig medverka i undersökning om hushållens inköpsvanor
22 40 22 11 4 100
Om uppgifter om att
Du fått vård på sjukhus används för medicinsk forskning
30 35 14 11 10 100
Om uppgifter om Din
inkomst och förmögenhet används för framställning av officiell statistik
19 30 20 26 6 100
Om myndigheter
sammanställer uppgifter från olika register för att kontrollera om Du försöker skaffa Dig förmåner som Du inte har rätt till
37 26 12 18 6 100
Ingen av frågorna handlar om att den enskilde lämnar uppgifter om sig själv för administrativa ändamål. Däremot berör frågorna uppgiftslämnande för planerande, utvärderande och forskningsändamål, både i privat och offentlig regi. Flera frågor berör upplevelsen av besvär i samband med att andra än den enskilde själv lämnat ut uppgifter om honom. Den enskilde
utsätts för uppvaktning av utomstående i sitt hem på fritiden. Sådana kontaktförsök är gemensamma för både offentliga och privata undersökningsinstitut men också för företag som kontaktar den enskilde i hemmet för att värva nya kunder o.dyl. Det har föregåtts av att uppgifter om den enskilde lämnats ut av någon som förfogar över sådana, vanligast är utlämnande från SPAR-registret. Upplevelsen av besvär mellan dessa typer av kontakter skiljer sig åt markant i vår undersökning. Medan omkring 30 % upplever sig besvärade av en förfrågan om medverkan i både privata och offentliga undersökningar känner sig 60 % besvärade av adresserad direktreklam och så mycket som 80 % av företag som försöker sälja varor och tjänster per telefon. I det senare fallet är så mycket som drygt 50 % mycket besvärade.
När det gäller utlämnande av känsliga uppgifter och sekretesskyddade uppgifter för både administrativa (kontrollerande) ändamål och för forskning och statistik uppger omkring 30 % att de känner sig besvärade av att uppgifter om att de fått vård eller behandling lämnas ut för medicinsk forskning och att myndigheter sambearbetar uppgifter för att kontrollera om enskilda försöker skaffa sig förmåner de inte har rätt till. Däremot upplever sig 46 % besvärade av att uppgifter från skattemyndigheterna används för framställning av den officiella statistiken. Utgångspunkten i datalagen är att all kontakt från utomstående gentemot enskilda utgör intrång i deras privatliv. Sådana intrång kan vara tillbörliga och otillbörliga. När otillbörliga intrång skall förebyggas har datainspektionen bl.a. att ta hänsyn till inställningen hos de som skall registreras. I vissa fall får enskilda finna sig i intrång i deras privatliv eftersom sådana kan vara motiverade av starka samhällsintressen. I vår undersökning upplevs användning av befintliga uppgifter i kommersiella sammanhang och i viss utsträckning (drygt en fjärdedel) för framställning av den officiella statistiken som mest besvärande när det gäller privatlivet. Enskilda finner sig i att bli kontaktade för medverkan i statistiska undersökningar och att myndigheter sambearbetar personuppgifter för att komma åt bidragsfusk. För det senare ändamålet är nästan 20 % mycket besvärade.
SCB ställde 1984 en liknande fråga men med andra svarsalternativ. Svarsalternativen var ”stör mig inte alls”, ”är något besvärande” samt ”ser det som ett intrång i privatlivet”. På frågan om medverkan i statistisk undersökning uppgav 69 % att de inte alls blev störda, 25 % var något besvärade och endast 5 % upplevde en sådan förfrågan som ett intrång i privatlivet. Även om svarsalternativen inte är direkt jämförbara uppvisar de en likartad fördelning, dvs. om ”stör mig inte alls” jämförs med ”inte alls be-
svärande” och att ”mycket besvärande” jämförs med ”intrång i privatlivet”. Däremot förelåg en skillnad jämfört med privat marknadsundersökning, den uppgavs i SCB:s undersökning handla om vilket tvättmedel man använde, 27 % upplevde en sådan förfrågan om medverkan som ett intrång i privatlivet. Här kan dock frågans formulering ha bidragit till den höga andelen negativa. På frågan hur de reagerade inför att bli uppringda av företag som ville sälja varor svarade 40 % att de såg det som ett intrång i privatlivet, 14 % sa att det inte störde dem alls. Direktadresserad reklam ansåg 30 % vara ett intrång i privatlivet medan 25 % sa att de inte blev störda av detta. Jämfört med vår undersökning har människor blivit mer uttalat negativa när det gäller företag som bedriver telefonförsäljning och något mindre positiva när det gäller direktreklam.
Upplevelsen av påfrestningar på privatlivet kan inte bara ställas i relation till ändamålet och nyttan med åligganden och förpliktelser för den enskilde, det kan också ha att göra med skyddet för privatlivet eller den personliga integriteten när personuppgifter behandlas. I undersökningar från 1970 och fram till 1984 har Statistiska centralbyrån konstaterat att människor har dålig kännedom om innebörden av sekretesslagen. År 1984 trodde endast en mindre del att uppgifterna fick lämnas ut fritt (7 %), men tydligast var att enskilda överskattade sekretesskyddet, 46 % trodde att sekretessen var absolut. År 1970 trodde nästan 70 % att uppgifterna bara fick användas av SCB i statistikproduktionen. Vid samma tillfälle befarade 35 % att det fanns risk för att lämnade uppgifter kunde komma ut till obehöriga. En ökande del av allmänheten tror emellertid att uppgifter som man lämnat till SCB kan komma att användas på ett sätt som man ogillar. År 1976 var andelen 9 % och år 1986 då frågan sist ställdes hade den ökat till 32 %. Om allmänhetens kännedom om sekretesskydd ser ut på samma sätt när det gäller andra myndigheter är svårt att säga. Dock kan man väl misstänka att allmänhetens föreställningar om sekretess inte medger att uppgifter dyker upp i helt andra sammanhang. För detta talar ovan redovisade överskattning av sekretesskyddet, den debatt som registreringen av sekretesskyddade uppgifter för bl.a. forskning och statistik har gett upphov till samt att reglerna, med bl.a. prövning om skada eller men för den uppgifterna handlar om, är svårbegripliga. SCB genomförde en allmän skattning av skyddet för privatlivet i undersökningarna 1976 och 1984. Vid det första undersökningstillfället upplevde 31 % att privatlivet var mindre skyddat än för fem år sedan, vid det andra tillfället hade andelen stigit till 40 %.
Vi har länge uppehållit oss vid de kommunikativa aspekterna av behandlingen av personuppgifter. Vi lade dock inledningsvis stor tonvikt vid
de tekniskt-administrativa möjligheterna som kommer med automatisk databehandling. De kan användas för att uppnå större effektivitet i behandlingen av personuppgifter. Men vilka är de ändamål för vilka behandlingen görs. Hänger inte allmänhetens inställning till registrering av personuppgifter samman med värderingen av de resultat som uppnås. Det finns inte bara en stark opinion för ökad restriktivitet mot sambearbetningar av personregister, opinionen är också stark för en ökad kontroll över samhällsutvecklingen och dess bieffekter. Allmänheten utövar ett starkt tryck på ansvariga myndigheter att ta fram kunskap om risker för människors välfärd och hälsa, t.ex. genom ökat stöd för forskningen. Ökad effektivitet kommer också enskilda till godo som bättre service för företagens kunder och myndigheternas klienter. I SCB:s undersökning 1984 instämde 44 % helt med påståendet att dataregister gör det lättare för myndigheter att ge en effektiv service åt allmänheten, ytterligare 34 % instämde delvis i påståendet. Lika stor andel instämde i påståendet att det komplicerade bidragssystemet gjorde en effektiv kontroll av enskilda nödvändig för att komma åt bidragsfusket. En sådan inställning återfanns i större utsträckning hos äldre, lågutbildade, och i arbetar- och företagarkategorin. Påståendet att datorer bidrog till en bättre service hade allmän uppslutning, inga märkbara skillnader kunde konstateras bland olika grupper.
I ett annat påstående värderades nödvändigheten att i ett modernt samhälle ha bra statistik om människornas levnadsförhållanden, 31 % instämde helt och ytterligare 27 % instämde delvis i påståendet. Bland de äldsta var denna inställning ännu något mer positiv. I SCB:s undersökning 1986 skulle angelägenheten av statistik på olika områden värderas. Över 50 % ansåg att det var viktigt med statistik om hälsotillståndet, sysselsättning och arbetslöshet, arbetsmiljön, Sveriges ekonomi, prisutvecklingen och för samhällsplanering. Mindre viktig ansågs statistik om fritidsintressen och partisympatier vara. Statistik om alkoholkonsumtion intog en mellanställning. Medan 47 % ansåg att statistik var mycket betydelsefull som underlag för samhällsplanering ansåg endast 17 % att den var mycket viktig för egen del som information om hur samhället fungerar och utvecklas. Frågorna är intressanta men olika till sin karaktär. I den första frågan uppmanas den enskilde att ta ställning till ett samhälleligt behov, i den andra till ett personligt behov. Bland äldre personer var andelen som värderade det personliga behovet av statistik som mycket viktigt högre. I den första frågan var svarsmönstret fördelat på ett likartat sätt mellan olika grupper. Dessa resultat tyder på att statistisk information bedöms viktig som ett un-
derlag åt myndigheterna att planera samhällelig service och att man anser det angeläget med initiativ på eller åtminstone bevakning av områden som arbetsmiljö och befolkningens hälsa. Områden som tillhör enskildas privatsfär behöver inte i samma utsträckning belysas med statistisk information. Endast för en mindre del, särskilt äldre, är statistisk information viktig för att själv skaffa sig kunskap om samhällsutvecklingen.
Vi ställde en liknande fråga i vår undersökning 1995, i den instämde 38 % helt i påståendet att bra statistik måste finnas för att allmänheten skall kunna bilda sig en saklig uppfattning om samhällsutvecklingen. Alla dessa påståenden är dock lätta att allmänt instämma i. På det sätt som påståendena är konstruerade kommer de inte i konflikt med andra intressen. SCB gjorde dock ett försök att bygga in en intressekonflikt i en fråga om angelägenheten av statistik på olika samhällsområden mot bakgrund av den uppoffring det innebär för enskilda att lämna uppgifter. Även här ansågs statistik om hälsotillståndet, arbetsmiljön, sysselsättning och arbetslöshet samt ungdomens yrkes- och utbildningsplaner vara mycket viktiga. Mer fritidsbetonade områden och opinionen i vissa samhällsfrågor ansågs mindre viktiga. Är detta helt enkelt ett uttryck för att allmänheten mycket väl förstår kopplingen mellan uppgiftslämnande och möjligheten att framställa statistik på olika områden och att man bestämt avvisar medverkan i statistiska undersökningar om sakområden som man antingen värderar som oviktiga eller som man i en prioritering kan avstå ifrån till förmån för sitt privatliv?
Det finns ytterligare ett sätt att studera allmänhetens beredvillighet att medverka som uppgiftslämnare i statistiska undersökningar. Eftersom medverkan är frivillig kan vi helt enkelt studera hur stor andel av de tillfrågade som vid olika tillfällen har svarat. Man kan tänka sig flera angreppssätt beroende på vad man vill studera. Det finns olika typer av undersökningar med avseende på hur enskilda lämnar uppgifter. Det kan ske skriftligt med hjälp av en enkät, eller genom en intervju. Intervjun kan genomföras som ett hembesök eller per telefon. De som någon gång blivit tillfrågade att medverka i en statistisk undersökning (76 %) blev i vår undersökning uppmanade att redovisa förhållandena vid den senaste undersökningen. Det vanligaste sättet för uppgiftslämnande var telefonintervju (47 %), därefter kom postenkäten (32 %) och besöksintervju (10 %). Vilken typ av uppgiftslämnande som innebär mest intrång i privatlivet kan inte bedömas. Man skulle kunna tänka sig att ju högre grad av personlig kontakt man blir föremål för, desto större upplevs intrånget. Det kan också vara tvärtom att ju mindre anonymt och opersonligt uppgiftslämnandet är
desto starkare tillit känner man inför att lämna uppgifter till någon utomstående. Sedan beror det också på uppgifternas känslighet. SCB:s undersökning från 1975 bekräftar att de rätt väl sammanhänger med grad av sekretesskydd i offentlig verksamhet. Känsliga områden som framträdde var ekonomi, ideologi och stigmatiserande kontakter med myndigheterna.
Frågornas karaktär har ett nära samband med undersökningens syfte. Vi har ovan visat hur allmänheten ser på statistik om olika sakområden. Frågan om undersökningens syfte ligger nära vem som efterfrågar uppgifterna. Är den undersökande institutionen privat eller offentlig? Det kan vara av avgörande betydelse för hur resultatet av undersökningen blir tillgängligt och kan komma till nytta. Är det medicinsk eller samhällsvetenskaplig forskning? Dessa faktorer kan antas påverka allmänhetens vilja att medverka vid ett bestämt tillfälle. Vid jämförelser av detta slag vill man dock konstanthålla alla parametrar utom den man studerar. Viljan att medverka förändras också över tid. Vid sådana jämförelser är det viktigt att jämföra likartade undersökningar vid flera undersökningstillfällen.
SCB gör ett antal undersökningar sedan lång tid. De olika undersökningarnas uppläggning har varit förhållandevis konstant över tid. Användningen av datainsamlingsmetoder varierar även om telefonintervju dominerar. Figur 3 visar utvecklingen av vägrarbortfallet i de respektive undersökningarna över tid. Arbetskraftundersökningen (AKU) är en telefonintervju som genomförts sedan början av 1960-talet. Telefonintervjun tar cirka 10 minuter att genomföra. Undersökningen om levnadsförhållanden (ULF) startade 1974 och är en besöksintervju. Intervjun tar över en timme att genomföra och berör en mängd känsliga frågor. Uppgifter inhämtas också från SCB:s inkomst- och förmögenhetsregister och registret över kontrolluppgifter. Uppgifterna till dessa register inhämtas från skattemyndigheterna. Hushållens inköpsplaner är en telefonintervju och startade 1973. Telefonintervjun tar mellan 15 och 35 minuter att genomföra, beroende på hur många följdfrågor som måste ställas. Partisympatiundersökningen (PSU) startade 1972. Det är också en telefonintervju som går snabbt att genomföra. Inkomstfördelningsundersökningen (HINK) genomförs sedan 1973. Den är en kombinerad registerundersökning och telefonintervju. Tyngdpunkten ligger på inhämtande av uppgifter från myndigheternas personregister. I PSU ingår endast röstberättigade till skillnad från de andra undersökningarna som vänder sig till populationen folkbokförda.
Utvecklingen över vägrarbortfallet låter sig analyseras över en mängd faktorer. Den enda faktorn som konstanthålls är att SCB genomför undersökningen, därför låter sig jämförelser av olika undersökande institutioner
inte göras. Det är emellertid en fördel ur en annan synvinkel, att SCB har likartade rutiner för att minimera vägran att medverka. Samtliga undersökningar har liknande status och ingår i den Officiella statistiken, varför detta ändamål inte kan jämföras med något annat. Andelen vägrare är lägst i AKU. Det är en kort telefonintervju om ett område som vi ovan konstaterat har ett stort stöd bland allmänheten. I andra telefonintervjuer är vägrarbortfallet högre. HIP och PSU berör områden som inte ansågs vara lika viktiga och som dessutom berör känsliga uppgifter som partisympati och ekonomi. HINK är numera också en telefonintervju. Fram till 1983 genomfördes den dock som en enkätundersökning. Ur integritetssynpunkt är problemet med denna undersökning att uppgifterna huvudsakligen inhämtas från befintliga personregister. Om detta var anledningen till att SCB övergav enkätundersökningen till förmån för telefonintervju kan jag inte bedöma. Det sammanfaller dock med att sambearbetningar av detta slag började debatteras. Vägrarbortfallet i undersökningen steg kraftigt mellan 1982 och 1983. Trots sambearbetningarna har undersökningen inte högre vägrarbortfall än HIP och PSU. ULF har den största andelen vägrare. Det är också den mest omfattande undersökningen av dem vi nu jämför. I ULF inhämtas personuppgifter till en del, i likhet med HINK, också från befintliga personregister. Vi kan konstatera att andelen vägrare varierar mest i denna undersökning. Någon postenkätundersökning finns tyvärr inte med i jämförelsen. Resultatet av jämförelsen tycks tyda på att graden av personlig kontakt inverkar menligt på beredvilligheten att medverka. Det kan dock bero på att uppgiftslämnandet är av mycket större omfattning i ULF än i de andra undersökningarna. Det skall nämnas att bortfallet i enkätundersökningar brukar ligga på en högre nivå, mellan 20 och 30 %. Frågeområde tycks också spela en roll för viljan att medverka. Det kan förklara att AKU har ett mycket lägre bortfall än PSU och HIP trots likheterna i övrigt.
Figur 3: Andel vägrare i urvalsundersökningar 1963-1993
0 5 10 15 20
1961 1963 1965 1967 1969 1971 1973 1975 1977 1979 1981 1983 1985 1987 1989 1991 1993
År
%
AKU ULF HIP PSU
Att viljan att deltaga i undersökningar har minskat över tid framgår inte omedelbart av figuren. Det är endast i AKU som det har skett en långsam ökning av andelen vägrare. Det gäller även i ULF från 1982. Där har dock andelen vägrare fluktuerat kraftigt vilket gör det svårt att konstatera om det föreligger en trend. Särskilt låg var svarsfrekvensen 1986. I HIP och PSU gick andelen vägrare upp i mitten på 70-talet för att sedan falla tillbaka till en tämligen konstant nivå. I HIP har bortfallet till och med minskat på senare år. I AKU ökade andelen vägrare snabbare 1971, 1975 och 1986. Dessa år sammanfaller rätt väl med kulmen på debatten om data och integritet i Sverige. 1970 och 1971 debatterades folk- och bostadsräkningen livligt. Det var Sveriges första debatt om personregistrering och integritet. Som ett resultat av denna och faktorer som jag berörde inledningsvis fick Sverige en datalag som började gälla 1974. En av de första konflikter som den nya tillsynsmyndigheten Datainspektionen hade var med SCB och företrädare för forskningen. Denna debatt utlöstes av att SCB överklagade Datainspektionens beslut angående föreskrifter i samband med att tillstånd lämnades för personregistret levnadsförhållanden. Denna konflikt uppmärksammades också i massmedia. Det höga bortfallet för ULF inledningsvis kan relateras till denna händelse. Förtroendet för undersökningen ökade sedan fram till 1982/83 då utvecklingen vände.
Denna vändpunkt sammanfaller med en kraftig uppgång av andelen vägrare i HINK. För AKU däremot sker ingen uppgång av bortfallet vid denna tidpunkt. Omkring 1983 debatterades samkörningar i offentligheten.
SCB hade publicerat ett förslag om en folk- och bostadsräkning helt baserad på användningen av befintliga registeruppgifter (FOBALT). För att klara detta hävdade SCB dessutom att det behövdes fyra nya centrala personregister för statistiska ändamål. SCB ville också att folkbokföringen skulle ändras så att enskilda boende i flerfamiljshus skulle folkbokföras på lägenhet i stället för fastighet. Det skulle innebära att man fick en mer rättvisande bild av hushållens sammansättning än annars med hjälp av befintliga registeruppgifter. Två av de föreslagna registren inrättades så småningom, utbildningsregistret och sysselsättningsregistret. Eftersom både ULF och HINK använder registeruppgifter ligger det nära till hands att anta att uppgången av vägrarbortfallet hade att göra med att frågor om samkörningar uppmärksammades. Särskilt som bortfallet i andra undersökningar inte ökar.
Nästa kraftiga ökning sammanfaller med debatten om forskningsprojektet Metropolit vid Stockholms universitet. Forskarna i projektet hade samlat in uppgifter om en årskull stockholmare födda 1953, dels från myndigheter, dels från individerna själva. Syftet var att studera hur uppväxtmiljön påverkade deras möjligheter senare i livet. En mängd synnerligen känsliga uppgifter hade registrerats sedan 53-ornas barndom. Uppgifter om avvikande beteende upprörde många. En mycket upprörd debatt om förutsättningarna för forskning och statistik, samt de registrerades personliga integritet fördes. Detta fick till följd att andelen vägrare ökade i samtliga undersökningar. En ökning av bortfallet kan också noteras år 1990. Då debatterades återigen folk- och bostadsräkningen. Vid denna räkning var det ett stort antal personer som trots uppgiftsskyldighet vägrade att lämna uppgifter, särskilt i Stockholmsregionen. Svarsandelen för Stockholm var 84 % före första påminnelse. Vid 1975 och 1980 års räkning hade den varit omkring 94 %.538
Vi har kunnat påvisa ett samband mellan offentlig uppmärksamhet och debatt om personregistrering och integritet och allmänhetens beredvillighet att medverka i urvalsundersökningar som ingår i den officiella statistiken. SCB har varit inblandad i samtliga debatter även om myndigheten inte alltid varit huvudaktör. Att döma av bortfallsutvecklingen i AKU och i ULF från början av 80-talet har offentlig uppmärksamhet om behandlingen av personuppgifter i den officiella statistiken resulterat i en minskad vilja hos
538 SOU 1993:41Folk- och bostadsräkningen år 1990 och i framtiden. Stockholm 1993, (s. 66-67). Svarsandelen för hela riket var 91 % före första påminnelse. Den slutliga svarsandelen var för riket 97 %.
allmänheten att bidra med uppgifter om sina personliga förhållanden. Denna minskning har varit övergående och förtroendet har sakta återhämtats. Dock aldrig riktigt till de nivåer som gällde innan. Denna slutsats stöds bara delvis av variationer i beredvilligheten att medverka i de andra undersökningarna.
Figur 4: Andel ej anträffade i urvalsundersökningar 1963-1993
0 5 10 15 20
1961 1963 1965 1967 1969 1971 1973 1975 1977 1979 1981 1983 1985 1987 1989 1991 1993
År
%
AKU ULF HIP PSU
En annan svårighet att bedriva undersökningar med frivilligt uppgiftslämnande är att enskilda är svåra att anträffa, se figur 4. Det är ett resultat av ändrade levnadsvanor där arbetstiderna är mer oregelbundna, att en allt mindre del av fritiden tillbringas i hemmet och att många skaffar sig hemligt telefonnummer. Detta skall ses mot bakgrunden att en majoritet av urvalsundersökningarna genomförs med telefonintervjuer. En annan strategi att göra s.k. indirekta intervjuer, dvs. att fråga någon närstående till urvalspersonen om dennes personliga förhållanden, minskade kraftigt i mitten på 70-talet. Andelen ej anträffade har sedan 1985 åter ökat kraftigt. Det är i SCB:s telefonintervjuer ett lika stort problem som vägrarbortfallet, i AKU till och med ett större problem.
En annan indikator på allmänhetens förtroende för användningen av personuppgifter är möjligheterna till insyn genom 10 § datalagen. Enskild har rätt att en gång om året få veta om han förekommer i ett personregister och vilka uppgifter som finns om honom. I vår undersökning uppgav 11 procent av befolkningen att de någon gång begärt ett registerutdrag. För de flesta (65 %) låg den senaste begäran mer än 5 år tillbaka i tiden. Detta
tyder på att intresset för registerutdrag avtagit de senaste åren. Jag har låtit sammanställa uppgifter om antalet förfrågningar om registerutdrag hos myndigheter med ansvar för framställningen av den officiella statistiken, nämligen Statistiska centralbyrån, Socialstyrelsen och Riksförsäkringsverket. Uppgifter föreligger från SCB sedan tillkomsten av datalagen 1974.539Hos Socialstyrelsen finns uppgifter tillgängliga från 1985540 och hos Riksförsäkringsverket från 1989541, se figur 5–7. Dessa myndigheter har personregister över i princip hela den svenska befolkningen. Intresset för registerutdrag varierar mellan myndigheterna, år 1990 var ärendevolymen hos SCB 30 000, hos Riksförsäkringsverket 25 000 och hos Socialstyrelsen mindre än 5 000. Intresset har också varierat kraftigt över tid. Gemensamt för de tre är att intresset efter år 1990 markant har avtagit. Denna förändring inträffade tidigt hos Socialstyrelsen, redan efter 1986.
Figur 5: Statistiska centralbyrån, registerutdrag enligt 10 §
datalagen 1974-1993, antal.
0 5000 10000 15000 20000 25000 30000 35000 40000
1974 1976 1978 1980 1982 1984 1986 1988 1990 1992
År
539 Muntlig uppgift av Kerstin Landgren 1994-03-07, SCB, Örebro. 540 Muntlig uppgift Veijo Andersson 1994. Socialstyrelsen, Stockholm. 541 Muntlig uppgift av Britt-Marie Sélen 1994-03-17. Riksförsäkringsverket, ADBavdelningen, Sundsvall.
Figur 6: Socialstyrelsen, registerutdrag enligt 10 § datalagen
1985-1993, antal
0
5000 10000 15000 20000 25000 30000 35000 40000
1974 1976 1978 1980 1982 1984 1986 1988 1990 1992
År
Figur 7: Riksförsäkringsverket, registerutdrag enligt 10 §
datalagen 1989-1993, antal
0
5000 10000 15000 20000 25000 30000 35000 40000
1974 1976 1978 1980 1982 1984 1986 1988 1990 1992
År
Det är bara hos SCB som vi kan följa intresset för registerutdrag från 1974. Först 1975 gällde datalagen hela året. Hos SCB finns fyra perioder med högt intresse för registerutdrag. De kulminerar 1975, 1980, 1987 och 1990. Dessa perioder av högt intresse för registerutdrag har olika utsträckning i tiden. Den första perioden 1975 avtar året därpå. Intresset vid nästa period omkring 1980 blev inte lika stort men kan sägas omfatta föregående och nästföljande år. Från 1983 ökar intresset åter och varar fram till 1988. År 1987 inträffade en tillfällig uppgång då SCB:s högsta ärendevolym noterades med strax under 40 000 förfrågningar. Den senaste perioden av ökat intresse omfattade endast år 1990. Min hypotes att intresset varierar med
uppmärksamhet för data- och integritetsfrågor får stöd. Tidpunkter med ökat intresse för registerutdrag sammanfaller med tidpunkterna för en minskad beredvillighet att lämna uppgifter. Därtill kommer några nya. Det kan noteras att varje år med en folk- och bostadsräkning sammanfaller med ett stort intresse för registerutdrag. Vid dessa tidpunkter har åtminstone sedan FoB 85 förekommit debatter som har ifrågasatt folk- och bostadsräkningen. SCB har också på blanketten för uppgiftslämnande upplyst de uppgiftsskyldiga om deras rätt att begära registerutdrag. Därtill kommer uppgången år 1987. Enligt muntlig uppgift från SCB sammanhänger den med inrättandet av utbildningsregistret som också gav upphov till överklagande hos regeringen. Datainspektionen hade meddelat föreskrift om att 1/3 av de registrerade varje år skulle få ett registerutdrag utan att de själva begärt det. SCB överklagade beslutet hos regeringen.
Användning av uppgifter om enskilda hos myndigheter och företag
Frågan om utlämnande av uppgifter från Statens person- och adressregister (SPAR), vilket innehåller uppgifter från folkbokföring och taxering, har förekommit i SCB:s undersökningar vid tre tillfällen 1976, 1984 och 1976 och upprepades med några mindre justeringar även i vår undersökning 1995. Genom dessa undersökningar kan vi följa en utveckling över tid för ett minskat stöd för utlämnande av uppgifter från en myndighet till andra myndigheter och företag. De uppgifter det här är frågan om är var för sig offentliga hos de myndigheter som samlat in dem. Genom det statliga adress- och personregistret får de användas för uppdatering av adresser, direktreklam och urvalsdragning av dem som efterfrågar uppgifterna. Den enskilde kan begära att uppgifter om honom spärras mot direktreklam. Skall uppgifterna ingå i ett personregister krävs tillstånd från Datainspektionen om den registeransvarige saknar anknytning som följer av medlemskap, anställning eller kundförhållande. Den registeransvarige måste i sådana fall kunna åberopa särskilda skäl för att få registrera personer utan sådan anknytning. Det som får minst stöd hos allmänheten i dessa undersökningar är att uppgifter förs över till företag för kommersiell användning riktad mot privatpersoner. En mycket liten andel säger sig kunna acceptera detta. Från företagets sida handlar det om att värva nya kunder eller medlemmar. Även utlämnande av uppgifter till andra privata och offentliga
verksamheter utan anknytning till den registrerade har svagt stöd hos allmänheten. Överföring av folkbokföringsuppgifter till forskningsinstitution, Statistiska centralbyrån och Socialstyrelsen accepteras av omkring 25 %. Uppgifterna skall användas till urvalsdragningar för genomförande av bl.a. statistiska undersökningar. Verksamheter som den enskilde har anknytning till i egenskap av klient eller kund erhåller störst stöd för inhämtande av uppgifter från SPAR, dvs. överföringar av uppgifter till bank där den enskilde är kund och till socialtjänsten.
Tabell 4: Allmänhetens inställning till överföring av uppgifter från statens
adress- och personregister 1995, procent.
Ja
Kanske Nej
Vet ej Samtliga
Bank där du har konto 36
17
41
5
100
Socialtjänsten 30 20 40 8 100 Kreditupplysningsföretag
28 17 48 5 100
Statistiska centralbyrån 26
22
42
8
100
Forskningsinstitution 26 22 41 10 100 Socialstyrelsen 25 22 42 10 100 Försäkringsbolag där Du ej är kund
3 5 88 3 100
Reklamföretag 1 2 91 3 100
En fråga som uppmärksammats mycket är vilket inflytande enskilda skall ha över användningen av uppgifter för andra ändamål än de insamlats för. Det är en viktig dimension av begreppet personlig integritet. Utifrån principen om informerat samtycke skall den enskilde avgöra sådan användning. Det har också hävdats att den enskilde inte själv kan få bestämma fullt ut hur uppgifter om honom kommer till användning. Det finns situationer där den enskildes integritetsintresse måste få stå tillbaka till förmån för viktiga samhällsintressen. Det blir då en uppgift för politiska beslutsfattare att göra en sådan avvägning och i varje sådant fall noga ange på vilket sätt uppgifterna får användas. Vi ställde flera frågor som berörde detta. I en fråga gavs en kort beskrivning av hur uppgifter som enskilda lämnat i administrativa sammanhang också används för framställning av officiell statistik och i viss forskning. Frågan gällde vilket inflytande enskilda skulle ha över sådan användning. Mer än hälften, 59 % svarade att den enskilde måste själv bestämma om uppgifter om honom får komma till användning för forskning och statistik. En tredjedel kunde acceptera att enskilda skulle ha möjlighet att förhindra sådan användning och endast
4 % svarade att enskilda inte skulle ha möjlighet att själva avgöra detta. 6 % kunde inte ta ställning i frågan.
Det finns alltså ett starkt stöd bland allmänheten för att enskilda skall ha ett avgörande inflytande över användningen. Ytterligare en fråga ställdes som mer detaljerat angav förutsättningarna för att redan befintliga uppgifter kan få komma till nytta för forskning. Det gällde uppgifter hos försäkringskassan, 58 % instämde helt i påståendet att uppgifter inte fick användas för forskning utan urvalspersonens medgivande, ytterligare 19 % instämde delvis i påståendet. Ett motsatt påstående gällde att myndigheter inte behöver informera om uppgifter skall användas för statistik och forskning. Här var osäkerheten stor, 14 % kunde inte ta ställning till påståendet, majoriteten, 63 %, tog helt eller delvis avstånd från påståendet, 22 % instämde helt eller delvis.
Av de krav på insatser som kan ställas på den enskilde i egenskap av privatperson eller medborgare konstaterade vi tidigare att allmänheten har svårt att acceptera överföringar av uppgifter som de lämnat i något annat sammanhang för kommersiell användning. Sådan överföring har ägt rum innan den enskilde blir kontaktad genom direktreklam eller per telefon. Allmänheten upplever i mycket stor utsträckning att sådana kontaktförsök är besvärande. På liknande sätt kontaktas enskilda för medverkan i statistiska undersökningar. Detta upplevs i mindre grad som besvärande även om det saknas stöd för överföring av befintliga uppgifter för sådana ändamål. Om samhällsnyttan av sådana överföringar upplevs som angelägen kan allmänheten i högre utsträckning acceptera att detta äger rum, t.ex. vid överföringar av patientuppgifter till Socialstyrelsens cancerregister. Det upplevda besväret över att sådana överföringar sker varierar också med den förmodade nyttan. Det är i mindre grad besvärande med samkörningar för kontroll av bidragsfusk än om uppgifter används för den officiella statistiken. Även om sambearbetningar för angelägna samhällsbehov kan accepteras anser allmänheten att enskilda skall informeras och ha ett avgörande inflytande över denna användning.
BILAGA 6:
LITTERATUR-
FÖRTECKNING
INNEHÅLL:
OFFENTLIGT TRYCK .........................................................................855
Departementsserien (Ds) ...........................................................................855 Statens offentliga utredningar (SOU) .......................................................855 Propositioner .............................................................................................858 Utskottsbetänkanden .................................................................................860 Utredningsdirektiv.....................................................................................861 Övrigt .......................................................................................................861
ÖVRIG LITTERATUR ..........................................................................862
OFFENTLIGT TRYCK
Departementsserien (Ds)
DsJu 1977:11
Handlingssekretess och tystnadsplikt (Del 1) – Förslag till ny sekretesslag
DsJu 1981:15
Tillstånd och tillsyn enligt datalagen – Förslag till åtgärder på kort sikt m.m. (Promemoria av Datalagstiftningskommittén)
DsC 1984:11
Remissyttranden över statistikutredningens betänkande ( SOU 1983:74 ) Framtida statlig statistik – En sammanställning från civildepartementet
DsJu 1987:8
Integritetsskyddet i informationssamhället 3 – Grundlagsfrågor (Delbetänkande av Data- och offentlighetskommittén)
Datatekniken och den personliga integriteten i arbetet – en kartläggning
Skyddet för enskilda personers privatliv – En studie (gjord av Per Jermsten)
Elektronisk dokumenthantering inom skatteförvaltningen (Promemoria av Per Furberg)
Lag om kriminalvårdsregister
Moderna telekommunikationer åt alla
Kassettersättning m.m.
Översyn av registerlagarna inom socialförsäkringsadministrationen
Rättsligt skydd för databaser
Nya register för tullens brottsbekämpande verksamhet
Statens offentliga utredningar (SOU)
Straffrättskommitténs betänkande med förslag till lagstiftning om brott mot staten och allmänheten
Offentlighet och sekretess
Data och integritet (Delbetänkande av Offentlighets- och sekretesslagstiftningskommittén)
Tryckfriheten och reklamen (Betänkande av Massmedieutredningen)
Lag om allmänna handlingar (Betänkande av Offentlighets- och sekretesslagstiftningskommittén)
Massmediegrundlag (Betänkande av Massmedieutredningen)
Radio och TV 1978–1985 (Betänkande av 1974 års radioutredning)
Personregister – Datorer – Integritet – Översyn av datalagen(Delbetänkande av Datalagstiftningskommittén)
Privatlivets fred (Betänkande av Integritetsskyddskommittén)
Offentlighetsprincipen och ADB (Delbetänkande av
Datalagstiftningskommittén)
Värna yttrandefriheten (Förslag av Yttrandefrihetsutredningen)
Framtida statlig statistik (Betänkande av Statistikutredningen)
Upphovsrätt 3 – Upphovsrätt och datorteknik (Delbetänkande av Upphovsrättsutredningen)
Integritetsskyddet i informationssamhället 2 – Myndigheternas försäljning av personuppgifter m.m. (Delbetänkande av Data- och offentlighetskommittén)
Integritetsskyddet i informationssamhället 4 – Personregistrering och användning av personnummer (Delbetänkande av Data- och offentlighetskommittén)
Öppenhet och minne – Arkivens roll i samhället (Betänkande av Arkivutredningen)
Integritetsskyddet i informationssamhället 5 – Offentlighetsprincipens tillämpning på upptagningar för automatisk databehandling (Slutbetänkande av Data- och offentlighetskommittén)
Tullregisterlag m.m. (Delbetänkande av Utredningen om lagstiftningsbehovet vid tulldatorisering [TDL-utredningen])
Forskningsetisk prövning – Organisation, information och utbildning (Betänkande av Forskningsetiska utredningen)
Etisk granskning av medicinsk forskning – De forskningsetiska kommittéernas verksamhet (En underlagsstudie från Forskningsetiska utredningen; Bengt Erik
Eriksson)
Meddelarrätt – Meddelarfrihet i företag och föreningar, m.m. (Betänkande av Meddelarskyddskommittén)
Förenklad statistikreglering (Betänkande av Statistikregelutredningen)
Personregistrering inom arbetslivs-, forsknings- och massmedieområdena (Delbetänkande av Datalagsutredningen)
Effektivare statistikstyrning – Den statliga statistikens finansiering och samordning (Delbetänkande av 1990 års statistikutredning)
Ersättning för kränkning genom brott (Delbetänkande av Kommittén om ideell skada)
Information och den nya InformationsTeknologin – Straff- och processrättsliga frågor m.m. (Betänkande av Datastraffrättsutredningen)
En ny datalag (Slutbetänkande av Datalagsutredningen)
Ny anställningsskyddslag (Delbetänkande av 1992 års arbetsrättskommitté)
Statistik och integritet Del 1 (Delbetänkande av Integritetsskyddsutredningen)
Integritet och effektivitet på kreditupplysningsområdet (Slutbetänkande av Kreditupplysningsutredningen)
Ändrad ansvarsfördelning för den statliga statistiken (Betänkande av Genomförandekommittén)
Års- och koncernredovisning enligt EG-direktiv – En anpassning av den svenska redovisningslagstiftningen till EG:s fjärde, sjunde och elfte bolagsdirektiv (Delbetänkande av Redovisningskommittén)
Vallagen (Slutbetänkande av 1993 års vallagskommitté)
Personnummer – integritet och effektivitet (Betänkande av Personnummerutredningen)
Statistik och integritet Del 2 (Slutbetänkande av Integritetsskyddsutredningen)
Övergång av verksamheter och kollektiva uppsägningar – EU och den svenska arbetsrätten (Delbetänkande av 1992 års arbetsrättskommitté)
Ny lagstiftning om radio och TV (Slutbetänkande av
Radiolagsutredningen)
Dokumentation och socialtjänstregister (Slutbetänkande av Socialtjänstkommittén)
EG:s arbetstidsdirektiv och dess konsekvenser för det svenska regelsystemet (Delbetänkande av 1995 års arbetstidskommitté)
Hälsodataregister Vårdregister (Betänkande av Hälsodatakommittén)
Ny lag om europeiska företagsråd (Delbetänkande av 1995 års Arbetsrättskommission)
Reform på recept (Delbetänkande av HSU 2000)
Förbättrad tillsyn över hälso- och sjukvårdspersonal (Betänkande av Utredningen om förbättrad tillsyn över hälso- och sjukvårdspersonalen)
Kriminalunderrättelseregister DNA-register (Delbetänkande av Registerutredningen)
Elektronisk dokumenthantering (Betänkande av IT-utredningen)
Medicinska undersökningar i arbetslivet (Betänkande av Utredningen om medicinska undersökningar i arbetslivet)
Rättspsykiatriskt forskningsregister (Betänkande av
Utredningen om register för forskning inom rättspsykiatrin)
Kameraövervakning (Slutbetänkande av Utredningen om användningen av övervakningskameror)
Nationell teleadresskatalog (Betänkande av Katalogutredningen)
Översyn av redovisningslagstiftningen (Slutbetänkande av Redovisningskommittén)
Fastighetsdataregister (Betänkande av Fastighetsdatautredningen)
Propositioner
Prop. 1948:230 med förslag till tryckfrihetsförordning m.m. Prop. 1973:33 med förslag till ändringar i tryckfrihetsförordningen , m.m. Prop. 1973:90 med förslag till ny regeringsform och ny riksdagsordning Prop. 1973:123 med förslag till ändring i tryckfrihetsförordningen Prop. 1975/76:160 om nya grundlagsbestämmelser ang. allmänna hand-
lingars offentlighet
Prop. 1975/76:209 om ändring i regeringsformen Prop. 1978/79:109 om ändring i datalagen
Förslag till sekretesslag m.m.
Prop. 1980/81:20 om besparingar i statsverksamheten, m.m. Prop. 1981/82:37 om offentlighetsprincipen och ADB Prop. 1981/82:189 om ändring i datalagen m.m. Prop. 1984/85:133 om skärpningar av statistiksekretessen Prop. 1984/85:189 om patientjournallag m.m. Prop. 1986/87:116 om ändring i datalagen Prop. 1986/87:151 Ändringar i tryckfrihetsförordningen m.m. Prop. 1987/88:57 om grundlagsfäst integritetsskydd Prop. 1988/89:85 om upphovsrätt och datorer Prop. 1989/90:40 om tullregisterlag m.m. Prop. 1989/90:72 om arkiv m.m. Prop. 1989/90:90 Forskning Prop. 1990/91:53 om lag om folkbokföringsregister, m.m. Prop. 1990/91:60 om offentlighet, integritet och ADB Prop. 1990/91:64 om yttrandefrihetsgrundlag m.m. Prop. 1990/91:126 om följdlagstiftning med anledning av den nya
summariska processen, m.m.
Prop. 1991/92:118 om förenklad statistikreglering Prop. 1991/92:170 Bilaga 9 Den s.k. EES-propositionen – Arbetsmark-
nadsdepartementet
Prop. 1992/93:48 Ändringar i de immaterialrättsliga lagarna med anled-
ning av EES-avtalet, m.m.
Prop. 1992/93:75 Satellitsändningar av TV-program Prop. 1992/93:101 om den statliga statistikens finansiering och samord-
ning
Prop. 1992/93:193 om sjukförsäkringsregister hos de allmänna försäk-
ringskassorna
Prop. 1993/94:67 om ändringar i lagen om anställningsskydd och i la-
gen om medbestämmande i arbetslivet
Prop. 1993/94:100 Bilaga 8 Budgetpropositionen 1994 – Finansdeparte-
mentet
Prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. Prop. 1993/94:197 Datapantbrev Prop. 1993/94:217 En reformerad datalag Prop. 1993/94:224 Ändringar i skatteregisterlagen , m.m. Prop. 1993/94:235 Lag om arbetsförmedlingsregister Prop. 1994/95:8
Lag om socialförsäkringsregister
Prop. 1994/95:19 Sveriges medlemskap i Europeiska unionen (Del 1) Prop. 1994/95:34 Den svenska tullagstiftningen vid ett EU-medlemskap Prop. 1994/95:50 Nya kapitaltäckningsregler m.m.
Prop. 1994/95:93 Elektronisk dokumenthantering inom skatteförvalt-
ningen, m.m.
Prop. 1994/95:100 Bilaga 3 Förslag till statsbudget för budgetåret
1995/96 – Justitiedepartementet
Prop. 1994/95:102 Övergång av verksamheter och kollektiva uppsäg-
ningar
Prop. 1994/95:144 Riktlinjer för registrering av påföljder m.m. Prop. 1994/95:168 Elektronisk dokumenthantering inom exekutionsväsen-
det m.m.
Prop. 1994/95:200 Lag om vissa personregister för officiell statistik m.m. Prop. 1994/95:201 Avisering av folkbokföringsuppgifter Prop. 1994/95:227 Hemlig teleavlyssning och hemlig teleövervakning Prop. 1995/96:90 Registerbaserad folk- och bostadsräkning år 2000
m.m.
Prop. 1995/96:125 Åtgärder för att bredda och utveckla användningen av
informationsteknik
Prop. 1995/96:160 Radio- och TV-lag Prop. 1995/96:162 EG:s arbetstidsdirektiv Prop. 1995/96:163 Europeiska företagsråd Prop. 1995/96:176 Förstärkt tillsyn över hälso- och sjukvården Prop. 1996/97:5
Forskning och samhälle
Prop. 1996/97:27 Läkemedelsförmåner och läkemedelsförsörjning m.m. Prop. 1996/97:65 Ändringar i kreditupplysningslagen Prop. 1996/97:70 Ny vallag
Utskottsbetänkanden
KU 1987/88:19 om grundlagsfäst integritetsskydd (prop. 1987/88:57) KrU 1989/90:29
Arkiv m.m.
LU 1989/90:37
Skydd för företagshemligheter
KU 1990/91:11
Offentlighet, integritet och ADB
KU 1992/93:32
Förslag till en lag om personregister i riksdagens informationssystem Rixlex
KU 1994/95:10
Vissa datalagsfrågor
SkU 1994/95:15
Elektronisk dokumenthantering inom skatteförvaltningen
LU 1994/95:27
Elektronisk dokumenthantering inom exekutionsväsendet m.m.
KU 1995/96:13
Registrering av ledamöternas ekonomiska intressen
KU 1995/96:29
Radio- och TV-frågor
UbU 1996/97:3
Forskningspolitiken
Utredningsdirektiv
Dir. 1984:48 (Data- och offentlighetskommittén [Ju 1984:06];
tilläggsdirektiv)
Dir. 1989:26 (Datalagsutredningen [Ju 1989:02]) Dir. 1992:50 (Kommittédirektiv till kommittéer och särskilda utredare att redovisa regionalpolitiska konsekvenser) Dir. 1993:7 (Personnummerutredningen [Ju 1993:01]) Dir. 1994:23 (Direktiv till samtliga kommittéer och särskilda utredare att pröva offentliga åtaganden) Dir. 1994:104 (Mediekommittén [Ju 1994:13]) Dir. 1994:124 (Direktiv till samtliga kommittéer och särskilda utredare att redovisa jämställdhetspolitiska konsekvenser) Dir. 1995:38 (Registerutredningen [Ju 1995:01]) Dir. 1995:96 (Utredningen [S 1995:07] om register för forskning inom rättspsykiatrin) Dir. 1995:120 (Utredningen om fastighetsdatasystemets författningsreglering [Ju 1995:09]) Dir. 1995:125 (Katalogutredningen [K 1995:06]) Dir. 1996:14 (Pliktregisterutredningen [Fö 1996:03]) Dir. 1996:22 (Registerutredningen [Ju 1995:01]) Dir. 1996:31 (Utredningen om det allmännas skadeståndsansvar vid överträdelse av EG-rätten [Ju 1996:04]) Dir. 1996:43 (Grunddatabasutredningen [Fi 1996:06]) Dir. 1996:49 (Direktiv till samtliga kommittéer och särskilda utredare att redovisa konsekvenser för brottsligheten och det brottsförebyggande arbetet) Dir. 1996:55 (Utredningen om åtgärder mot vissa bulvanförhållanden m.m. [Ju 1996:06]) Dir. 1996:89 (En utredning om register för skattebrottsutredningar m.m.) Dir. 1996:108 (En utredning om bostadsrättsregister samt frågor om förvärv och pantsättning av bostadsrätt [Ju 1996:10]) Dir. 1996:117 (En utredning om en översyn av bestämmelserna inom trafikregisterområdet [K 1996:06])
Övrigt
Statsrådsberedningens PM 1996:4; Redaktionella och språkliga frågor i
EU-arbetet
ÖVRIG LITTERATUR
Bernitz, Ulf m.fl.; Immaterialrätt, 5 uppl. 1995 Blume, Peter; ”Arbejdsmarked og persondatabeskyttelse” i UfR B 1996 s.
427 ff.
Blume, Peter; Personregistrering, 3. rev. udgave, 1996 Bohlin, Alf; Allmänna handlingar, 1988 Bohlin, Alf; ”Offentlighet och sekretess i myndighets forskningsverksam-
het” i Förvaltningsrättslig tidskrift 1996 s. 183 ff.
Bohlin, Alf; Offentlighetsprincipen, 4 uppl., 1994 Cappelen-Smith, Hans; ”Behöver lagstiftningen om emissionsprospekt re-
formeras?” i SvJT 1996 s. 205 ff.
Corell, Hans m.fl.; Sekretesslagen – Kommentar till 1980 års lag med
ändringar, 3 uppl., 1992
Europarådet; Data protection and the media – Study prepared by the
Committee of Experts on Data Protection (CJ-PD) under the authority of the European Committee on Legal Co-operation (CDCJ), 1991
Evers, Jan; EG och behandling av personuppgifter, 1993 Fahlbeck, Reinhold; ”Employee Privacy in Sweden” i Comparative Labor
Law Journal, volym 17, nr 1, 1995, s. 139 ff.
Fahlbeck, Reinhold; ”Employee Privacy in Sweden” i JT 1991–92 s. 41 ff. Freese, Jan; Rapport om skyddet för enskilda personers privatliv – ett mer
samlat grepp?, 1995
Gränström, Claes & Lundquist, Lennart & Fredriksson, Kerstin; Arkiv-
lagen – Bakgrund och kommentarer, 1992
Hiselius, Patrik; SCB:s statistikverksamhet och gällande rätt, IRI-rapport
1990:7
Holmberg, Erik & Stjernquist, Nils; Grundlagarna med tillhörande författ-
ningar, 1980
Hultqvist, Anders; Legalitetsprincipen vid inkomstbeskattningen, 1995 Koktvedgaard, Mogens & Levin, Marianne; Lärobok i immaterialrätt,
4 uppl., 1996
Koskull, Anders von; ”Personvärn och personalrekrytering, eller transfor-
mation och skygglappar” i FJFT 1996 s. 391 ff.
Kring, Claes & Wahlqvist, Sten; Datalagen med kommentarer, 1989 Magnusson Sjöberg, Cecilia; Rättsautomation – Särskilt om statsförvalt-
ningens datorisering, 1992
Michael, James; Privacy and Human Rights – International and Com-
parative Study, with Special Reference to Developments in Information Technology, 1994
Petersson, Bo; Forskning och etiska koder, 1994
Påhlsson, Robert; Riksskatteverkets rekommendationer – Allmänna råd
och andra uttalanden på skatteområdet, 1995
Riksrevisionsverket; Principer för prissättning av informationstjänster,
RRV 1995:64
Seipel, Peter; ADB-upptagningars offentlighet – Rapport till Data- och
offentlighetskommittén, IRI-rapport 1988:1 (intagen som bilaga 2 till SOU 1988:64)
Seipel, Peter; Juristen och datorn – Introduktion till rättsinformatiken,
5 uppl., 1994
Seipel, Peter; Offentlighetens begrepp – TF, ADB och allmänna hand-
lingar, IRI-rapport 1983:8
Statistiska centralbyrån; Data och integritet – Allmänhetens kunskaper och
attityder allmänt och till SCB, 1985
Statistiska centralbyrån; Datorvanor 1995 – Undersökning gjord på upp-
drag av IT-kommissionen, 1995
Statistiska centralbyrån; SCB och allmänheten – Resultat från en intervju-
undersökning våren 1976, 1977
Statistiska centralbyrån; SCBs image 1986 – En enkätundersökning, 1987 Strömberg, Håkan; Normgivningsmakten enligt 1974 års regeringsform,
Andra upplagan, 1989
Strömberg, Håkan; Tryckfrihetsrätt och annan yttrandefrihetsrätt,
11 uppl., 1995
Strömholm, Stig; ”Integritetsskyddet – Ett försök till internationell läges-
bestämning” i SvJT 1971 s. 695 ff.
Suviranta, Antti; ”Workers Privacy in Finland” i Comparative Labor Law
Journal, volym 17, nr 1, 1995, s. 45 ff.
Toppledarforum; Elektronisk post och katalog i offentlig förvaltning – En
förstudie, 1995
Toppledarforum; Offentlighet & IT – Vägledning för den offentliga förvalt-
ningen, Statskontoret 1995:14
Toppledarforum; LEXIT – Förstudie, 1995
BILAGA 7:
SUMMARY IN
ENGLISH
INTEGRITY • RIGHT-OF-ACCESS • INFORMATION TECHNOLOGY
SUMMARY
A new Personal Data Protection Act
Our task has been to conduct a review of the current Data Protection Act which has been in force since 1973. The aim has been to produce modern, technically independent legislation to protect personal integrity in the processing of personal information.
The draft we now submit for an entirely new Personal Data Protection Act is largely based upon a recent EU directive in this field. A prerequisite for being able to submit a draft law of this kind was that the directive should be in line with what is protected under the Swedish constitution or what is otherwise of particular importance from a Swedish point of view. The new legislation must not impinge upon the constitutional right for every citizen to have access to documents and data held by authorities (the right-of-access principle), nor upon freedom of expression or freedom of the press. This prerequisite has been fulfilled. Sweden’s participation in the final negotiations enabled Sweden’s viewpoints to be taken into consideration in the directive. We propose unambiguous provisions in the new Personal Data Protection Act which make clear that the Act should not be applied to an extent which would curtail rights protected by the constitution. Accordingly the proposed Act neither affects nor changes these rights.
In common with the EU directive the proposed legislation is based upon regulation of the actual handling of data containing personal infor-
mation. An alternative would be to allow the handling of personal information to remain largely free, only seeking to prevent any handling which might be deemed as misuse of that information. With due regard to the unease which many people increasingly feel towards collections of electronic data relating to themselves, we have decided that the time is not right to allow largely unrestricted handling of computer based personal information. Neither would Sweden fulfil its international commitments if we were to choose a model entirely different from that of the EU directive. However, we consider that, in the long term, a policy of constraint and legal steps against misuse would be preferable to regulation of a kind of data handling which virtually anyone can engage in.
The proposed Personal Data Protection Act may be seen as a framework which provides guidelines for all processing of personal data. The aim is that the Government and the Swedish Data Inspection Board should be able to make the regulations more precise within this legal framework. The special register statutes which include rules for many important public records, are not part of our brief. We would like to point out that these provisions must be reviewed in the coming years and be adapted to the new Personal Data Protection Act.
Purely private use of personal data is outside the bounds of the proposed Act. One such example of this worthy of mention is E-Mail between private persons.
The expression “processing of personal data” comprises everything which can be done with such data, e.g. the retrieval, collection, storage and dissemination of data. Processing of personal data which is partly or wholly automatic, i.e. largely computerised, comes under the proposed Act. Manual processing of such data (on paper) is only included if the data is to form part of a proper register.
The proposed Act defines certain basic requirements for all processing of personal data. The person responsible for the processing of personal data (the controller) must ensure that the data is only collected for certain expressly stated and justifiable purposes. The data may not later be used for any purpose incompatible with the ones for which the data was originally collected. Superfluous data may not be processed, and that data which is processed must be adequate and relevant. Inaccurate, misleading or incomplete data must be corrected. The data may be stored only as long as is necessary with respect to the purposes of the processing. There are special rules for data which is processed for historical, statistical or scientific purposes.
The proposed Act contains a comprehensive list of cases in which personal data may be processed. Personal data may always be processed if the individuals in question (the data subjects) have given their consent. In other cases the processing must be necessary for the attaining of certain stated purposes. Those situations in which processing may be undertaken without consent may be summarised as follows: N In connection with a contract N In order to fulfil a legal obligation N In order to protect vital interests of the data subject N In order to carry out a task of public interest or in connection with the
exercising of official authority N After a balance of interests where the interests of the data subject are
weighed against the interests on the part of the controller
The proposed Act contains special rules applying to the processing of sensitive personal data. Sensitive data includes information relating to a person’s health or sex life and data which reveals race, ethnic origin, political opinions, religious or philosophical beliefs, or membership of a trade union. Such data may only be processed in those cases listed in the Act. However, the Government or the Data Inspection Board may permit the processing of sensitive personal data in other cases provided that it is necessary on grounds of substantial public interest.
Sensitive data may be processed when the data subject has given his/her consent or when he or she has manifestly made the data public. Those cases in which data relevant to the purpose of the processing may otherwise be processed can be summarised as follows. N In order to fulfil obligations or to exercise rights within the field of la-
bour law N In order to protect vital interests when the data subject is unable to give
his/her consent N In order to establish, exercise or defend legal claims N Inside non-profit organisations sensitive data, e.g. relating to members
and sympathisers may be processed, but may not be disclosed to a third party N Within the health service N For scientific research and statistics purposes where a research ethics
committee has approved the project or where the public interests clearly override the risks to integrity
As a principal rule, data pertaining to criminal offences, etc., may only be processed by public authorities. As is the case today, the national personal identification number may only be used when it is clearly motivated by the purpose of the data processing, the importance of a definite identification or any other significant reason.
The data subjects shall be informed about the processing of their data. The proposed Act stipulates that the controller shall at his own initiative provide information about the processing to the data subject. However, in cases where data is collected from any other source than the data subject himself, it is not necessary to notify the person concerned if the registration or disclosure of the data is regulated by statute or if the effecting of the notification would involve a disproportionate effort.
The proposal states that the data subject shall have the right to request, free of charge, once per year information relating to the data being processed, i.e. a transcript from the registers. The controller shall, on request, correct any personal data which is inaccurate, misleading or incomplete, or which has otherwise not been processed in accordance with current regulations.
Certain restrictions are proposed for transfers of personal data outside the EU and the EEA.
The proposed Act contains regulations pertaining to security in the processing of personal data.
The current obligation to report processing to the Data Inspection Board should be kept to a minimum. Instead, the Board should concentrate on supervision, information and advice. The Data Inspection Board shall also issue instructions which clarify the provisions of the Act in various areas.
If anyone contravenes the proposed Act, the Data Inspection Board shall seek to achieve rectification. The proposal allows the Board to impose penalties and to bring cases aimed at erasing the personal data in question.
Broadly speaking, the penalties for violation of the proposed Act primarily comprise damages to injured data subjects. As has been the case up to now, they shall, in addition to other compensation, have a right to general (punitive) damages for the violation of their rights. In principle, there should be a strict liability for damages, i.e. damages should be paid out as soon as the rules have been broken. However, we propose that, within reason, damages shall be reduced in cases where the controller can
prove that the incorrect processing was not dependent on his or her action or failure to take action.
The proposed Act should come into force on January 1, 1999 and be fully applied to all processing commenced thereafter. For processing already underway when the Act comes into force, the former Data Protection Act should apply up until October 2001.
The principle of right-of-access in the IT society
The second part of our task has been to review the provisions of Chapter 2 of the Freedom of the Press Act concerning citizens’ rights to gain access to public documents (documents received or created by an authority including manual or electronic registers) – the right-of-access principle. The aim has not been to alter this principle, but rather to investigate how it can be applied in a modern IT environment. We have set out two premises for this work: N Right-of-access shall be as broad as possible N The rules must be clear and simple to apply
Wide reaching right-of-access provides checks on power, thus helping to strengthen democracy. Our proposal also aims at extending in the long term the possibilities for the general public to gain benefit from the enormous amounts of data held by the public authorities.
We propose that the central concept of the right-of-access principle should be “public data” rather than “public document”. The concept of data is technically neutral, and the Official Secrets Act is already based upon it. In this respect the proposed amendments do not involve any major objective changes: if one today can obtain access to a document one should according to our proposal have access to the data contained in that document. One improvement is that one no longer needs to resort to hypothetical notions, such as the expression “potential documents”, for electronic records to be included in the right-of-access principle.
We propose that the concept of a document shall remain in the Act as a “storage space” for data. A document has a defined content, namely the content which the person who once wrote the document ascribed to it. It is of no significance whether the document takes the form of a piece of paper or if it exists in digital form.
We refer to those storage spaces which do not constitute documents as databases. What typifies a database is that individual elements of data are
arranged in such a way that they can be searched, and that they can be combined in various ways. Registers are typical examples of databases. Manual databases and those maintained via digital technology have the same status.
Thus data may either be found in documents or in databases. One prerequisite for data to be public within a public authority is that it is in the keeping of that authority. In the 1970s a rule was introduced which provides that all data technically accessible to an authority is deemed as in the keeping of that authority. In the mainframe computer environment of that time, such a rule was reasonable. However, we observe that such a rule cannot be applied in a modern IT environment in which virtually everything is “technically available”, e.g. via Internet. One prerequisite for the right-of-access principle to be able to function in practice is that the boundaries between authorities are maintained. Authorities otherwise will have impaired capacity for keeping their data in order, impairing the preconditions for the general public to be able to locate it.
We propose that the concept of “storage” should reassume its original meaning, but that it should also include electronic storage. The obligations of an authority to release public data should thus comprise such data as it stores, either purely physically (on paper, CD-ROM, floppy- or hard disk) or logically (in an electronic file belonging to the authority).
Data contained in an authority’s library is not affected by the right-ofaccess principle. The new way of regarding storage means that this provision can be simplified. A book in a library should be treated in the same way regardless of whether it is printed on paper or if it is stored on a CD-ROM.
In cases where the general public want certain information, authorities are currently assumed to have a certain obligation to make extra searches and compilations over and above their normal course of work. Usually, anything which can be produced by “routine measures” is deemed to be a public document. This should also apply in future, but should be related to costs. An authority should have a duty to carry out any extra work which can be carried out without incurring significant costs. Since technology will provide even broader and cheaper opportunities to search for and compile data, the future ability of the general public to gain insight into the workings of authorities and to share in their knowledge will increase.
Regarding the actual issue of public data to the general public, we propose that the right-of-access principle be extended. According to our proposal, it should also include a right to obtain public data in electronic form.
We are aware that such a right could not be introduced generally and immediately. According to the proposed stipulation the general public’s right to obtain public data on disk or via E-Mail must be adapted to the particular authority’s technical capabilities. Since these are continually being improved, insight will also become more effective. There may be certain special regulations which forbid an authority to issue data in digital form, and in certain cases such an issue might be subject to secrecy legislation, but the principle should be that one has the same right to obtain data in electronic form as on paper. This should, in the long run at least, be a positive development also for the authorities who will cut down on their dependence on costly paper handling.
The right to obtain data in electronic form should not include computer programs since this might infringe upon copyright. On the other hand, we consider that there is a public interest in finding out how various authorities’ computer programs work. This is especially true in cases where the authority makes automated decisions using computer programs. In order to strengthen public insight, we therefore propose that the authorities, where such programs are used, should be obliged to provide descriptions (system documentation) on how those programs work.
Our proposal for new concepts in the Freedom of the Press Act, which form part of our constitution, will necessitate consequential changes in statutes and regulations of inferior rank. We submit proposals for such changes in the Official Secrets Act and the Archives Act.
The Freedom of the Press Act does not currently stipulate what will happen to public documents when they are no longer current. Since it is of major practical importance for public insight that public data be stored and preserved, we propose the introduction of a provision in the Freedom of the Press Act which refers to the Archives Act. ___________________
The following committee members expressed dissenting opinions: Anders Christner (Christian Democrat Party), Tomas Ohlin (Liberal Party) and Inger René (Moderate Party) jointly, and Bo Edvardsson (Green Party).
Statements of opinion were submitted by Bo Edvardsson (Green Party), by Jan Evers with Rolf Nygren, and by Barbro Fischerström, Anders S Forsberg, Jan Freese and Margareta Åberg.