Till statsrådet och chefen för Justitiedepartementet

Vid sitt sammanträde torsdagen den 15 juni 1995 beslutade regeringen att tillkalla en parlamentariskt sammansatt kommitté med uppgift att lägga fram förslag till en ny lag om skydd för personuppgifter och förslag till ändringar i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet (dir. 1995:91).

Den 7 december 1995 förordnade chefen för Justitiedepartementet, statsrådet Laila Freivalds, justitierådet Staffan Vängby till ordförande i kommittén. Den 20 december 1995 förordnades som ledamöter i kommittén N advokaten Anders Christner (kd), N universitetslektorn Bo Edvardsson (mp), N riksdagsledamoten Helena Frisk (s), N riksdagsledamoten Tomas Eneroth (s), N riksdagsledamoten Birgitta Hambraeus (c), N riksdagsledamoten Barbro Hietala Nordlund (s), N utredningsledaren Ulrika Landergren (fp), N riksdagsledamoten Inger René (m), N riksdagsledamoten Per Rosengren (v), N riksdagsledamoten Majléne Westerlund Panke (s) och N riksdagsledamoten Sven-Erik Österberg (s).

Ulrika Landergren har den 12 november 1996 ersatts av fil.lic. Tomas Ohlin (fp).

Som experter har arbetat ombudsmannen Christer Arvsten, advokaten Tom Ekelund, universitetslektorn Jan Evers, verkställande direktören Barbro Fischerström, departementssekreteraren Anders S Forsberg, generaldirektören Jan Freese, hovrättsassessorn Per Furberg, överdirektören Claes Gränström, departementsrådet Martin Holmgren, professorn Rolf Nygren, bolagsjuristen Kerstin Osterman, chefsjuristen Per Samuelson,

professorn Björn Pehrson, kanslirådet Thomas Rolén, professorn Peter Seipel och datarådet Margareta Åberg.

Per Furberg har under tiden den 1 juli–31 augusti 1996 arbetat på heltid för kommittén med ett underlag avseende allmänna handlingars offentlighet.

Till sekreterare förordnades den 15 december 1995 hovrättsassessorerna Charlotte Brokelind, Jönköping, och Sören Öman, Stockholm.

Kommittén (Ju 1995:08) har antagit namnet Datalagskommittén. Bitr. professorn Göran Collste, Centrum för tillämpad etik, Universitetet i Linköping, och doktoranden Johan Åhlfeldt, Institutionen för socialmedicin, Uppsala universitet, har anlitats som konsulter i fråga om begreppet personlig integritet respektive allmänhetens inställning till behandling av personuppgifter. Deras rapporter finns fogade som bilagor till betänkandet.

Härmed får kommittén överlämna betänkandet Integritet • Offentlighet

Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp) och Inger René (m) gemensamt samt av Bo Edvardsson (mp).

Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan

Evers, med instämmande av Rolf Nygren, av Barbro Fischerström, Anders S Forsberg, Jan Freese samt av Margareta Åberg.

Utredningsarbetet är härmed avslutat.

Stockholm den 5 mars 1997

Staffan Vängby

Anders Christner Bo Edvardsson

Helena Frisk Tomas Eneroth

Birgitta Hambraeus Barbro Hietala Nordlund

Tomas Ohlin Inger René

Per Rosengren Majléne Westerlund Panke

Sven-Erik Österberg

/Charlotte Brokelind Sören Öman

INNEHÅLLSFÖRTECKNING H UVUDRUBRIKER :

FÖRKORTNINGAR ........................................................................................................ 1 SAMMANFATTNING..................................................................................................... 3 FÖRFATTNINGSFÖRSLAG......................................................................................... 11 UTREDNINGSARBETET ............................................................................................. 75

EN NY PERSONDATALAG....................................................................83

1 Gällande rätt i huvuddrag ........................................................................................ 85 2 Datalagsutredningens förslag och utvecklingen därefter ......................................... 91 3 EG-direktivet om personuppgifter ......................................................................... 107 4 Övriga internationella regler .................................................................................. 165 5 Teknikens möjligheter ........................................................................................... 175 6 Reglering av bruk eller missbruk........................................................................... 177 7 En teknikoberoende och generell persondatalag.................................................... 195 8 Förhållandet till särskilda registerförfattningar ..................................................... 203 9 Förhållandet till offentlighetsprincipen ................................................................. 213 10 Förhållandet till yttrandefriheten ........................................................................... 221 11 Forskning och statistik ........................................................................................... 267 12 Innehållet i den nya persondatalagen ..................................................................... 319 13 Regler i datalagen som bör flyttas till andra lagar ................................................. 461

D ETALJERAD INNEHÅLLSFÖRTECKNING :

FÖRKORTNINGAR...................................................................................1

SAMMANFATTNING................................................................................3

FÖRFATTNINGSFÖRSLAG ..................................................................11 a)

Förslag till Persondatalag (1998:000) ............................................11

b) Förslag till Lag om ändring i Tryckfrihetsförordningen ................29 c) Förslag till Lag om ändring i Regeringsformen .............................47 d) Förslag till Lag om ändring i Yttrandefrihetsgrundlagen (1991:1469).....................................................................................51 e) Förslag till Lag om ändring i Sekretesslagen (1980:100) ..............53 f) Förslag till Lag om ändring i Arkivlagen (1990:782) ....................71

UTREDNINGSARBETET .......................................................................75

Utredningsuppdraget ...................................................................................75 Hur utredningen har bedrivits .....................................................................75 Dispositionen av betänkandet .....................................................................78

EN NY PERSONDATALAG....................................................................83

1 Gällande rätt i huvuddrag ...........................................................85

2 Datalagsutredningens förslag och utvecklingen därefter .........91 2.1 Inledning .........................................................................................91 2.2

Sammanfattning av Datalagsutredningens förslag .........................92 2.2.1 Lagens tillämpningsområde........................................92 2.2.2 Förhållandet till offentlighetsprincipen......................93 2.2.3 Förhållandet till yttrandefriheten................................93 2.2.4 Tillstånd eller tillsyn...................................................94 2.2.5 Den materiella regleringen i datalagen.......................95

2.2.5.1 Regler för de olika momenten i behandlingen .......................... 95 2.2.5.2 Personuppgift ............................................................................ 95 2.2.5.3 Persondataansvarig .................................................................. 96 2.2.5.4 Ändamålsanknytningen ............................................................. 96 2.2.5.5 Förutsättningarna för att få behandla personuppgifter............ 97 2.2.5.6 Känsliga personuppgifter.......................................................... 97 2.2.5.7 Gallring av personuppgifter...................................................... 98

2.2.6 Bemyndigande att meddela föreskrifter .....................99

2.3 Sammanfattning av remissutfallet ..................................................99 2.4 Genomförda förändringar .............................................................101 2.4.1 Sammanfattning ........................................................101 2.4.2 Normgivningen på dataskyddsområdet ....................101

2.4.2.1 Bakgrund ................................................................................. 101 2.4.2.2 Datainspektionens normgivning.............................................. 102

2.4.3 Yttranden från Datainspektionen .............................103 2.4.4 Vite............................................................................104 2.4.5 Överklagande............................................................104

3 EG-direktivet om personuppgifter............................................107 3.1 Bakgrund .......................................................................................107 3.1.1 Inledning ...................................................................107 3.1.2

Genomförandet av EG-direktiv ................................107

3.1.3 Bakgrunden till direktivet.........................................110 3.2 Tillämpningsområdet ....................................................................112 3.2.1 Inledning ...................................................................112 3.2.2 Definitioner...............................................................112

3.2.2.1 Inledning ................................................................................. 112 3.2.2.2 Personuppgifter och den registrerade .................................... 113 3.2.2.3 Behandling .............................................................................. 114 3.2.2.4 Register ................................................................................... 114 3.2.2.5 Registeransvarig ..................................................................... 115 3.2.2.6 Registerförare ......................................................................... 116 3.2.2.7 Tredje man .............................................................................. 116 3.2.2.8 Mottagare................................................................................ 116 3.2.2.9 Samtycke.................................................................................. 116

3.2.3 Sådant som faller utanför gemenskapsrätten............118 3.2.4 Privat användning av personuppgifter .....................118 3.2.5 Det territoriella tillämpningsområdet .......................119

3.3 Förhållandet till yttrandefriheten ..................................................121 3.4 Grundläggande krav på uppgiftsbehandlingen.............................122 3.4.1 Inledning ...................................................................122 3.4.2 Korrekt och laglig behandling..................................123 3.4.3 Ändamålet med behandlingen ..................................123 3.4.4 Personuppgifterna skall vara adekvata, relevanta och inte för omfattande.............................124 3.4.5 Personuppgifterna skall vara riktiga och aktuella......................................................................124 3.4.6 Personuppgifterna får inte förvaras längre än nödvändigt ................................................................125 3.5 Förutsättningar för att uppgiftsbehandling skall kunna tillåtas ............................................................................................125 3.5.1 Inledning ...................................................................125 3.5.2 Samtycke...................................................................126 3.5.3 I samband med avtal .................................................126 3.5.4 Rättslig förpliktelse ..................................................126 3.5.5 För att skydda vitala intressen ..................................127

3.5.6 Myndighetsutövning eller allmänt intresse ..............128 3.5.7 Efter en intresseavvägning .......................................128

3.6 Behandling av särskilt känsliga uppgifter ....................................129 3.6.1 Ett principiellt förbud mot behandling av uppgifter om ras eller etniskt ursprung, religiösa, filosofiska eller politiska åsikter, fackföreningsmedlemskap, hälsa och sexualliv .......129 3.6.2 Undantag från förbudet.............................................130

3.6.2.1 Samtycke.................................................................................. 130 3.6.2.2 Inom arbetsrätten .................................................................... 130 3.6.2.3 För att skydda vitala intressen ................................................ 130 3.6.2.4 Politiska, filosofiska, religiösa och fackliga organisationer ......................................................................... 131 3.6.2.5 Den registrerades offentliggörande ........................................ 131 3.6.2.6 Nödvändig med hänsyn till rättsliga anspråk ......................... 131 3.6.2.7 Hälso- och sjukvård ................................................................ 132 3.6.2.8 Viktigt allmänt intresse ........................................................... 132

3.6.3 Uppgifter om brott m.m. ...........................................134 3.6.4 Användning av personnummer.................................134

3.7 Rätten att motsätta sig uppgiftsbehandling ..................................135 3.7.1 Inledning ...................................................................135 3.7.2 I vissa fall vid avgörande och berättigade skäl ........135 3.7.3 Direkt marknadsföring..............................................136 3.8 Rätten att slippa automatiserade beslut ........................................136 3.9 Information till den registrerade ...................................................137 3.10 Rätten att på begäran få tillgång till uppgifterna och rättelse ......139 3.10.1 Inledning ...................................................................139 3.10.2 Information om uppgifterna .....................................140 3.10.3 Rättelse......................................................................141 3.10.4 Underrättelse till tredje man om rättelse ..................141 3.10.5 Undantag...................................................................141 3.11 Möjlighet till undantag och begränsningar...................................142 3.12 Sekretess och säkerhet vid behandlingen .....................................144 3.13 Anmälan till tillsynsmyndigheten.................................................146 3.13.1 Inledning ...................................................................146 3.13.2 Anmälningsplikt för alla automatiska behandlingar .............................................................146 3.13.3 Möjlighet till undantag från och förenklingar av anmälningsproceduren.........................................147

3.13.3.1 Inledning ................................................................................. 147 3.13.3.2 Om det inte är sannolikt att rättigheter kränks ....................... 148 3.13.3.3 När ett uppgiftsskyddsombud har utsetts ................................ 149 3.13.3.4 Författningsreglerat register för allmänheten ........................ 149

3.13.3.5 Icke vinstdrivande organs behandling av känsliga personuppgifter ....................................................................... 149

3.13.4 Förhandskontroll av särskilt riskfyllda behandlingar .............................................................150 3.13.5 Offentliggörande av behandlingar............................151

3.13.5.1 Inledning ................................................................................. 151 3.13.5.2 Offentligt register över anmälda behandlingar ...................... 151 3.13.5.3 Skyldighet att på begäran lämna information om icke anmälda behandlingar ............................................................ 151

3.14 Överföring av uppgifter utanför EG .............................................152 3.14.1 Överföring är tillåten till länder som säkerställer en adekvat skyddsnivå ..........................152 3.14.2 Överföring till länder med sämre skydd...................154

3.14.2.1 Fall där överföring måste tillåtas ........................................... 154 3.14.2.2 Överföring får tillåtas om den registeransvarige kan garantera skydd....................................................................... 155

3.15 Sanktioner .....................................................................................155 3.15.1 Rätt till domstolsprövning ........................................155 3.15.2 Rätt till skadestånd ...................................................156 3.15.3 Andra sanktioner.......................................................156 3.16 Uppförandekodexar.......................................................................157 3.16.1 Inledning ...................................................................157 3.16.2 Nationella kodexar....................................................157 3.16.3 Kodexar på gemenskapsnivå ....................................157 3.17 Tillsynsmyndighetens ställning ....................................................158 3.18 Tillsynsmyndigheterna inom EG bildar en arbetsgrupp...............159 3.19 Medlemsstaterna ingår i en kommitté med kommissionen ..........160 3.20 Ikraftträdande och övergångsbestämmelser .................................160 3.21 Den fortsatta utvecklingen inom EG ............................................162

4 Övriga internationella regler .....................................................165 4.1 Inledning .......................................................................................165 4.2 OECD:s riktlinjer ..........................................................................168 4.3 Europarådets konvention ..............................................................170 4.4 Utländsk rätt ..................................................................................172

5 Teknikens möjligheter ................................................................175

6 Reglering av bruk eller missbruk..............................................177 6.1

Integritet och effektivitet ..............................................................177

6.2 Olika modeller för regleringen .....................................................179 6.2.1 Hanteringsmodellen och missbruksmodellen ..........179 6.2.2 Valet på lång sikt av modell för regleringen............181 6.2.3 Valet nu av modell för regleringen...........................189

6.3 Den lagstiftningsstruktur som EG-direktivet anvisar...................191

7 En teknikoberoende och generell persondatalag.....................195 7.1 Förutsättningar ..............................................................................195 7.2 Överväganden ...............................................................................196 7.2.1

Olika typer av behandlingar .....................................196

7.2.2 Uppgifter om juridiska personer...............................198 7.2.3 Den nya lagen bör liksom hittills vara generell .......198 7.2.4 Privat användning av personuppgifter .....................199 7.2.5 Lagens namn .............................................................201

8 Förhållandet till särskilda registerförfattningar .....................203 8.1 Bakgrund .......................................................................................203 8.2 Överväganden ...............................................................................207 8.2.1

De särskilda registerförfattningarna omfattas inte av vårt uppdrag ..................................................207

8.2.2 Undantag från den generella lagstiftningen för särskilda registerförfattningar ..................................207 8.2.3 Datainspektionen skall höras när registerförfattningar beslutas....................................210

9 Förhållandet till offentlighetsprincipen....................................213 9.1 Inledning .......................................................................................213 9.2

Utlämnande av personuppgifter enligt offentlighetsprincipen ...................................................................214

9.3 Rättelse av uppgifter hos myndigheter .........................................217 9.4 Myndigheternas arkiv ...................................................................219

10 Förhållandet till yttrandefriheten .............................................221 10.1 Inledning .......................................................................................221 10.2 Yttrandefriheten ............................................................................222 10.2.1 Allmänt .....................................................................222 10.2.2

Vad innebär grundlagsskyddet? ...............................222

10.2.3 Vilka skrifter omfattas av grundlagsskyddet?..........223 10.2.4 Vilka övriga yttranden omfattas av grundlagsskyddet? ....................................................224 10.2.5 Vilka personer omfattas av grundlagsskyddet? .......225 10.2.6 Skyddet mot myndighetsingripanden.......................227

10.2.6.1 Censurförbudet........................................................................ 227 10.2.6.2 Anonymitetsskyddet ................................................................. 228

10.3 Hur beaktas den personliga integriteten? .....................................229 10.3.1 Allmänt .....................................................................229 10.3.2 Straffbara förfaranden...............................................230

10.3.3 Beriktigande och genmäle ........................................231

10.3.3.1 Allmänt .................................................................................... 231 10.3.3.2 Pressen .................................................................................... 231 10.3.3.3 Radio och TV........................................................................... 231 10.3.3.4 Förslag till lagreglering.......................................................... 232

10.3.4 Privatlivets fred.........................................................234

10.3.4.1 Självsanering........................................................................... 234 10.3.4.2 Förslag till lagreglering.......................................................... 235

10.4 Yttrandefriheten i nya massmedier ...............................................236 10.5 Internationella förhållanden..........................................................236 10.5.1 EG-direktivet ............................................................236 10.5.2 Europarådsbestämmelser ..........................................237 10.5.3 En internationell jämförelse .....................................238 10.6 Närmare om normkonflikten.........................................................242 10.6.1 Allmänt .....................................................................242 10.6.2 Datalagsutredningens förslag och remissutfallet.............................................................243 10.6.3 Några regeringsavgöranden......................................246 10.7 Överväganden ...............................................................................247 10.7.1 Allmänt om konflikten mellan persondatalagstiftningen och yttrandefriheten .........247 10.7.2 Skall undantaget vara generellt? ..............................251 10.7.3 Hur skall undantaget utformas?................................252 10.7.4 Vilka behandlingar omfattas av undantaget? ...........254

10.7.4.1 Allmänt .................................................................................... 254 10.7.4.2 Behandlingar som syftar till att framställa yttranden............. 254 10.7.4.3 Behandlingar som syftar till att anskaffa och meddela uppgifter .................................................................................. 256 10.7.4.4 Lagring och spridning av uppgifter ........................................ 257 10.7.4.5 Behandling för flera ändamål ................................................. 258 10.7.4.6 Överflödiga uppgifter.............................................................. 259 10.7.4.7 Falska invändningar om grundlagsskydd ............................... 260 10.7.4.8 Prövning av undantagsregeln ................................................. 260

10.7.5 Förhållandet till EG-direktivet .................................261

11 Forskning och statistik................................................................267 11.1 Inledning .......................................................................................267 11.2 Statistik..........................................................................................268 11.2.1 Inledning ...................................................................268 11.2.2

Den statliga statistiken..............................................269

11.2.2.1 Inledning ................................................................................. 269 11.2.2.2 Officiell statistik ...................................................................... 269 11.2.2.3 Övrig statistik .......................................................................... 271

11.2.3 Privat och kommunal statistik ..................................271 11.2.4 Tillämpningen av datalagen .....................................272

11.2.5 Registerutdrag...........................................................274 11.2.6 Sekretess ...................................................................275 11.3 Forskning ......................................................................................277 11.3.1 Inledning ...................................................................277 11.3.2 Tillämpningen av datalagen .....................................278 11.3.3 Granskning av forskningsetiska kommittéer............281 11.3.4 Forskningsetiska utredningen...................................288 11.4 Internationella regler.....................................................................291 11.4.1 Europarådets rekommendation på området..............291 11.4.2 EG-direktivet ............................................................293 11.5 Datalagsutredningen .....................................................................295 11.5.1 Förslagen...................................................................295 11.5.2 Remissutfallet ...........................................................296 11.6 Överväganden ...............................................................................296 11.6.1 Inledning ...................................................................296 11.6.2 Huvudprincipen bör vara samtycke vid behandling av känsliga personuppgifter ..................297 11.6.3 Behandling av känsliga personuppgifter utan samtycke ...................................................................298

11.6.3.1 Det måste ske en avvägning i varje enskilt fall ....................... 298 11.6.3.2 Vem bör göra avvägningen ..................................................... 299 11.6.3.3 De forskningsetiska kommittéerna .......................................... 300 11.6.3.4 En avvägningsnorm i lagtexten ............................................... 303 11.6.3.5 Förhållandet till internationella regler................................... 306

11.6.4 Behandling av icke känsliga personuppgifter ..........307 11.6.5 Betydelsen av det ändamål för vilket uppgifterna samlats in...............................................308

11.6.5.1 Inledning ................................................................................. 308 11.6.5.2 Personuppgifter för forskning och statistik används för att vidta åtgärder beträffande enskilda................................... 309 11.6.5.3 Verksamhetsstatistik................................................................ 310 11.6.5.4 Personuppgifter för administrativa ändamål lämnas ut för forskning och statistik........................................................ 311 11.6.5.5 Personuppgifter för forskning och statistik återanvänds i ett annat projekt .................................................................... 311

11.6.6 Strykningsrätt............................................................313 11.6.7 Registerutdrag och rättelse .......................................316

12 Innehållet i den nya persondatalagen .......................................319 12.1 Lagstiftningstekniken....................................................................319 12.1.1 Allmänt .....................................................................319 12.1.2

Regeringen eller Datainspektionen kan precisera lagreglerna.................................................321

12.2 Begrepp som används ...................................................................329 12.2.1 Inledning ...................................................................329 12.2.2 Behandling av personuppgifter ................................334 12.2.3 Blockering.................................................................334 12.2.4 Känsliga personuppgifter .........................................335 12.2.5 Mottagare och tredje man .........................................335 12.2.6 Persondataansvarig och persondatabiträde ..............336 12.2.7 Personuppgifter och den registrerade.......................340 12.2.8 Register .....................................................................341 12.2.9 Samtycke...................................................................343 12.2.10 Tillsynsmyndigheten ................................................345 12.2.11 Tredje land ................................................................346 12.2.12 Automatisk respektive icke automatisk behandling.................................................................346 12.2.13 Skriftligen respektive undertecknad.........................348 12.3 Det territoriella tillämpningsområdet ...........................................349 12.4 Grundläggande krav på all behandling av personuppgifter .........352 12.4.1 Inledning ...................................................................352 12.4.2 Korrekt och laglig behandling..................................352 12.4.3 Ändamålet med behandlingen ..................................353 12.4.4 Personuppgifternas kvalitet och omfattning ............354 12.4.5 Personuppgifterna får inte sparas längre än nödvändigt ................................................................356 12.4.6 Behandling för historiska, statistiska och vetenskapliga ändamål..............................................356

12.4.6.1 Inledning ................................................................................. 356 12.4.6.2 Särskilt om arkiv ..................................................................... 356 12.4.6.3 Lämpliga skyddsåtgärder........................................................ 359

12.5 När behandling av personuppgifter skall vara tillåten .................360 12.5.1 Allmänna förutsättningar för när personuppgifter får behandlas ..................................360

12.5.1.1 Inledning ................................................................................. 360 12.5.1.2 Samtycke.................................................................................. 361 12.5.1.3 Nödvändighetskravet............................................................... 361 12.5.1.4 I samband med avtal ............................................................... 362 12.5.1.5 Rättslig skyldighet ................................................................... 363 12.5.1.6 För att skydda vitala intressen ................................................ 364 12.5.1.7 Myndighetsutövning eller allmänt intresse ............................. 364 12.5.1.8 Efter en intresseavvägning ...................................................... 365

12.5.2 När den registrerade motsätter sig behandling av personuppgifter ....................................................366

12.5.2.1 Inledning ................................................................................. 366 12.5.2.2 Samtycke återkallas................................................................. 367 12.5.2.3 Direkt marknadsföring ............................................................ 368

12.5.3 Ett principiellt förbud mot behandling av känsliga personuppgifter ..........................................369

12.5.3.1 Inledning ................................................................................. 369 12.5.3.2 Definitionen av känsliga personuppgifter ............................... 371 12.5.3.3 Undantag från förbudet........................................................... 372 12.5.3.4 Uppgifter om brott................................................................... 381

12.6 Användning av personnummer .....................................................384 12.7 Information till den registrerade ...................................................386 12.7.1 Inledning ...................................................................386 12.7.2 När uppgifterna samlas in.........................................386

12.7.2.1 Inledning ................................................................................. 386 12.7.2.2 När skall informationen lämnas.............................................. 387 12.7.2.3 Vilken information skall lämnas.............................................. 388 12.7.2.4 Undantag från informationsskyldigheten................................ 389

12.7.3 På ansökan av den registrerade ................................391 12.7.4 Förhållandet till bestämmelser om sekretess och tystnadsplikt .......................................................397 12.8 Rättelse ..........................................................................................399 12.8.1 Inledning ...................................................................399 12.8.2 Korrigeringsregeln....................................................400

12.8.2.1 Inledning ................................................................................. 400 12.8.2.2 På begäran av den registrerade.............................................. 401 12.8.2.3 Valet av korrigeringsmetod..................................................... 401 12.8.2.4 Rättelse.................................................................................... 402 12.8.2.5 Utplånande.............................................................................. 402 12.8.2.6 Blockering ............................................................................... 403

12.8.3 Underrättelse till tredje man om korrigeringen ........403 12.9 Automatiserade beslut...................................................................406 12.9.1 EG-direktivet ............................................................406 12.9.2 Vårt förslag ...............................................................407 12.10 Säkerhet och sekretess vid behandlingen .....................................410 12.10.1 Inledning ...................................................................410 12.10.2 Behandling får bara utföras enligt instruktion från den persondataansvarige ...................................410 12.10.3 Säkerhetsåtgärder......................................................412 12.10.4 När den persondataansvarige anlitar ett persondatabiträde......................................................414 12.11 Överföring av personuppgifter utanför EU ..................................415 12.11.1 Inledning ...................................................................415 12.11.2 Ett principiellt förbud mot överföring......................416 12.11.3 Undantag i persondatalagen från förbudet ...............417 12.11.4 Behörighet att medge ytterligare undantag ..............418 12.12 Anmälningsbyråkrati eller tillsyn .................................................421 12.12.1 Våra utgångspunkter.................................................421

12.12.2 Genomförandet av EG-direktivet .............................423

12.12.2.1 EG-direktivet i korthet............................................................. 423 12.12.2.2 En principiell anmälningsskyldighet måste införas ................ 424 12.12.2.3 Undantag från anmälningsskyldigheten ................................. 425 12.12.2.4 Särskilt om persondataombud................................................. 427 12.12.2.5 Förhandskontroll av särskilt integritetskänsliga behandlingar ........................................................................... 430 12.12.2.6 Upplysningar skall på begäran lämnas om behandlingar som inte anmälts ............................................... 431 12.12.2.7 Datainspektionens register över anmälda behandlingar ........ 431

12.13 Sanktioner .....................................................................................432 12.13.1 Inledning ...................................................................432

12.13.1.1 EG-direktivet ........................................................................... 432 12.13.1.2 Datalagen ................................................................................ 433 12.13.1.3 Datalagsutredningens förslag................................................. 434 12.13.1.4 Skrivelse från Landstingsförbundet......................................... 434

12.13.2 Vår bedömning .........................................................435

12.13.2.1 Omfattningen av skadeståndsskyldigheten.............................. 435 12.13.2.2 Jämkning ................................................................................. 436 12.13.2.3 Förhållandet till andra skadeståndsbestämmelser ................. 439 12.13.2.4 Övriga sanktioner.................................................................... 440

12.14 Datainspektionens uppgifter och finansiering..............................443 12.14.1 Datainspektionens uppgifter och befogenheter........443

12.14.1.1 EG-direktivet ........................................................................... 443 12.14.1.2 Datainspektionens befogenheter enligt datalagen .................. 445 12.14.1.3 Våra överväganden ................................................................. 445

12.14.2 Överklagande............................................................449 12.14.3 Datainspektionens finansiering och organisation ..............................................................450

12.14.3.1 Finansieringen i dag ............................................................... 450 12.14.3.2 Våra överväganden ................................................................. 451

12.15 Ikraftträdande och övergångsbestämmelser .................................454 12.15.1 EG-direktivet ............................................................454 12.15.2 Våra överväganden ...................................................455

12.15.2.1 Dagen för ikraftträdandet ....................................................... 455 12.15.2.2 Behandling som pågår vid ikraftträdandet ............................. 456 12.15.2.3 Manuell behandling som pågår vid ikraftträdandet ............... 457 12.15.2.4 Personuppgifter som lagras för historisk forskning ............... 457 12.15.2.5 Vissa övriga övergångsfrågor................................................. 458

13 Regler i datalagen som bör flyttas till andra lagar..................461 13.1 Inledning .......................................................................................461 13.2 Dokumentationsskyldighet ...........................................................461 13.3

Straff för dataintrång.....................................................................462

13.4 Det statliga person- och adressregistret ........................................462

FÖRKORTNINGAR

A. Anförd/anförda ArkivlagenArkivlagen (1990:782) Arkivförordningen Arkivförordningen (1991:446) BrB Brottsbalken Dataförordningen Dataförordningen (1982:480) Datalagen Datalagen (1973:289) Datalagsutredningens

slutbetänkande

En ny datalag (SOU 1993:10)

DIFS Datainspektionens författningssamling Dir. Direktiv Dnr Diarienummer Ds Departementsserien EES Europeiska ekonomiska samarbetsområdet EG Europeiska gemenskapen (tidigare Europeiska

ekonomiska gemenskapen, EEG)

EG-direktivet (ibland

bara direktivet)

Europaparlamentets och rådets direktiv

95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

EG-domstolen Europeiska gemenskapernas domstol EG-fördraget Fördraget om upprättandet av Europeiska ge-

menskapen

EGT Europeiska gemenskapernas officiella tidning EU Europeiska unionen FJFT Tidskrift utgiven av juridiska föreningen i

Finland

FörvaltningslagenFörvaltningslagen (1986:223) ILO International Labour Organization IT Informationsteknik (tidigare: Informationstek-

nologi)

JT Juridisk Tidskrift vid Stockholms universitet Kommissionen Europeiska gemenskapernas kommission KU Konstitutionsutskottets betänkande

NJA Nytt juridiskt arkiv, avdelning 1 OECD Organisation for Economic Co-operation and

Development

Prop. Proposition RA-FS Riksarkivets författningssamling RF Regeringsformen RB Rättegångsbalken RÅ Regeringsrättens årsbok Rådet Europeiska unionens råd SekretesslagenSekretesslagen (1980:100) SFS Svensk författningssamling SOU Statens offentliga utredningar SPAR Det statliga person- och adressregistret SvJT Svensk Juristtidning TF Tryckfrihetsförordningen UfR Ugeskrift for retsvæsen URL Lagen (1960:729) om upphovsrätt till litterära

och konstnärliga verk

Utredningsdirektiven Dir. 1995:91 (direktiven till Datalags-

kommittén)

Verksförordningen Verksförordningen (1995:1322) YGL Yttrandefrihetsgrundlagen

SAMMANFATTNING

En ny persondatalag

Vi har haft i uppdrag att göra en översyn av datalagen, som kom till redan år 1973. Syftet har varit att åstadkomma en modern och teknikoberoende lagstiftning om skydd för den personliga integriteten vid behandling av personuppgifter.

Vi lämnar förslag till en helt ny persondatalag som till största delen bygger på ett färskt EG-direktiv på området. En förutsättning för att vi skulle kunna lämna ett sådant förslag har varit att direktivet går att förena med det som i Sverige är grundlagsskyddat eller annars särskilt betydelsefullt från svenska utgångspunkter. Den nya lagstiftningen får inte inkräkta på offentlighetsprincipen eller tryck- och yttrandefriheten. Denna förutsättning är uppfylld. Genom att Sverige deltog i de slutliga förhandlingarna om direktivet har de svenska synpunkterna kommit att beaktas i det. Vi föreslår tydliga bestämmelser i persondatalagen som klargör att lagen inte skall tillämpas i den utsträckning det skulle inskränka grundlagsskyddade rättigheter. Den föreslagna lagen berör och förändrar således inte dessa rättigheter.

Den föreslagna lagstiftningen bygger liksom EG-direktivet på att själva hanteringen av personuppgifter regleras. Ett alternativ skulle vara att lämna hanteringen av personuppgifter i stort sett fri och i stället hindra bara det som kan betecknas som ett missbruk. Med hänsyn till den oro som många människor alltjämt känner för samlingar av elektroniska uppgifter om dem har vi dock inte ansett tiden mogen att i princip släppa hanteringen av databaserade personuppgifter fri. Sverige skulle inte heller fullgöra sina internationella åtaganden om vi valde en helt annan modell än EGdirektivets. Vi anser dock att man i ett längre perspektiv bör inrikta sig mera på att stävja och beivra missbruk än på att reglera en hantering som snart sagt alla kan hålla på med.

Den föreslagna persondatalagen kan ses som en ramlag som ger generella riktlinjer för all behandling av personuppgifter. Avsikten är att rege-

ringen och Datainspektionen skall inom den ram som lagen drar upp närmare precisera regleringen. De särskilda registerförfattningarna, som innehåller regler för bl.a. många viktiga myndighetsregister, omfattas inte av vårt uppdrag. Vi påpekar att dessa författningar inom de närmaste åren måste ses över och anpassas till den nya persondatalagen.

Rent privat användning av personuppgifter undantas från den föreslagna lagen. Som exempel kan nämnas e-post mellan privatpersoner.

Med behandling av personuppgifter avses i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter. Behandling av personuppgifter som är helt eller delvis automatisk – dvs. i första hand datoriserad – omfattas av den föreslagna lagen. Manuell behandling av sådana uppgifter (på papper) omfattas bara om uppgifterna skall ingå i ett regelrätt register.

I den föreslagna lagen slås fast vissa grundläggande krav på all behandling av personuppgifter. Den persondataansvarige skall se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna ursprungligen samlades in. Fler uppgifter än nödvändigt får inte behandlas, och de behandlade uppgifterna skall vara adekvata och relevanta. Felaktiga, missvisande eller ofullständiga uppgifter skall korrigeras. Uppgifterna får sparas bara så länge det är nödvändigt med hänsyn till ändamålen med behandlingen. För uppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål finns särskilda regler.

Den föreslagna lagen innehåller en uttömmande uppräkning av de fall då personuppgifter får behandlas. Personuppgifter får alltid behandlas om den registrerade har lämnat sitt samtycke. I annat fall krävs att behandlingen är nödvändig för vissa angivna ändamål. De situationer då behandling är tillåten utan samtycke kan sammanfattas enligt följande. N I samband med avtal N För att fullgöra en rättslig skyldighet N För att skydda vitala intressen för den registrerade N För att utföra en arbetsuppgift av allmänt intresse eller i samband med

myndighetsutövning N Efter en intresseavvägning där den registrerades intressen vägs mot in-

tressen på den persondataansvariges sida

För behandling av känsliga personuppgifter gäller enligt den föreslagna lagen särskilda regler. Som känsliga uppgifter anses sådana uppgifter som

rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Sådana uppgifter får behandlas bara i de fall som räknas upp i lagen. Regeringen eller Datainspektionen kan dock tillåta att känsliga personuppgifter behandlas också i andra fall, under förutsättning att det behövs med hänsyn till ett viktigt allmänt intresse.

Känsliga personuppgifter får behandlas när den registrerade har lämnat sitt samtycke eller när han eller hon på ett tydligt sätt har offentliggjort uppgifterna. De fall där sådana för ändamålet relevanta uppgifter annars får behandlas kan sammanfattas enligt följande. N För att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten N För att skydda vitala intressen när den registrerade inte kan lämna sam-

tycke N För att rättsliga anspråk skall kunna fastställas, göras gällande eller för-

svaras N Inom ideella organisationer får känsliga uppgifter om medlemmar och

t.ex. sympatisörer behandlas, men inte lämnas ut till någon utomstående N Inom hälso- och sjukvård N För forskning och statistik när en forskningsetisk kommitté har godkänt

projektet eller när samhällsintresset av behandlingen annars klart överväger integritetsriskerna

Uppgifter om lagöverträdelser m.m. får enligt huvudregeln behandlas bara av myndigheter. Personnummer skall liksom i dag få användas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

De som registreras skall få kännedom om behandlingen av uppgifterna. Enligt förslaget skall den persondataansvarige i samband med insamlingen av uppgifter självmant lämna de registrerade information om behandlingen. När uppgifterna hämtas in från någon annan källa än den registrerade, behöver information dock inte lämnas, om registreringen eller utlämnandet av uppgifterna är författningsreglerat eller om det skulle innebära en oproportionerligt stor arbetsinsats att informera.

Den registrerade skall enligt förslaget ha rätt att på begäran en gång per kalenderår gratis få information om de uppgifter som behandlas, dvs. ett registerutdrag. Den persondataansvarige skall vidare på begäran korrigera personuppgifter som är felaktiga, missvisande eller ofullständiga eller annars inte har behandlats enligt de bestämmelser som gäller.

För överföring av personuppgifter utanför EU och EES föreslås vissa restriktioner.

Den föreslagna lagen innehåller bestämmelser om säkerheten vid behandling av personuppgifter.

Den nuvarande skyldigheten att i förväg anmäla behandlingar till Datainspektionen bör begränsas till ett minimum. Inspektionens verksamhet skall i stället koncentreras till tillsyn, information och rådgivning. Datainspektionen skall också genom föreskrifter precisera lagens regler på olika områden.

Om någon bryter mot den föreslagna lagen skall Datainspektionen söka åstadkomma rättelse. Inspektionen får enligt förslaget förelägga vite och föra talan om att personuppgifter skall utplånas.

I övrigt är påföljden för brott mot den föreslagna lagen i första hand skadestånd till de registrerade som har drabbats av skada. De skall utom annan ersättning liksom hittills ha rätt till ideellt skadestånd för kränkning. Skadeståndsansvaret bör vara i princip rent strikt, dvs. skadestånd skall betalas så snart reglerna inte har följts, men vi föreslår en möjlighet att efter skälighet sätta ned skadeståndet för det fall att den persondataansvarige kan bevisa att den felaktiga behandlingen inte berodde på honom eller henne.

Den föreslagna lagen bör träda i kraft den 1 januari 1999 och tillämpas fullt ut på behandlingar som påbörjas därefter. För behandlingar som redan pågår vid ikraftträdandet, bör den gamla datalagen få gälla ända till den 1 oktober 2001.

Offentlighetsprincipen i IT-samhället

Den andra delen av vårt uppdrag har varit att se över reglerna i 2 kap. tryckfrihetsförordningen om medborgarnas rätt att ta del av allmänna handlingar – offentlighetsprincipen. Syftet har inte varit att förändra denna princip utan att undersöka hur den kan tillämpas i en modern IT-miljö. Vi har satt upp två utgångspunkter för detta arbete: N Offentligheten skall vara så vid som möjligt N Reglerna måste vara tydliga och lätta att tillämpa

En vidsträckt offentlighetsinsyn medger en kontroll av makten och stärker på så sätt demokratin. Våra förslag syftar också till att på sikt vidga allmänhetens möjligheter att dra nytta av det enorma uppgiftsmaterial som finns samlat hos de offentliga myndigheterna.

Vi föreslår att det centrala begreppet i offentlighetsprincipen skall vara ”allmän uppgift” i stället för ”allmän handling”. Begreppet uppgift är teknikneutralt och sekretesslagen bygger redan nu på det. Förslaget innebär i denna del ingen större saklig förändring; har man kunnat få ut en handling skall man kunna få ut en uppgift som finns i en handling. En fördel är att man inte behöver använda fiktioner som uttrycket ”potentiella handlingar” för att föra in elektroniska register under offentlighetsprincipen.

Begreppet handling finns enligt vårt förslag kvar i lagen som en ”förvaringsplats” för uppgifter. En handling har ett bestämt innehåll, nämligen det innehåll som den som en gång skrev handlingen gav den. Det har ingen betydelse om handlingen har formen av ett papper eller om den finns i digital form.

Sådana förvaringsplatser som inte är handlingar kallar vi databaser. Det som är typiskt för en databas är att uppgifterna är ordnade på ett sådant sätt att det går att söka bland dem och att man kan kombinera uppgifterna på olika sätt. Register är typiska exempel på databaser. Manuella databaser och sådana som förs med hjälp av digital teknik är likställda.

Uppgifter kan alltså finnas antingen i handlingar eller i databaser. En förutsättning för att en uppgift skall vara allmän hos en myndighet är att den förvaras hos myndigheten. På 1970-talet infördes en bestämmelse som innebär att allt som är tekniskt tillgängligt för en myndighet anses förvarat hos denna. I den tidens stordatormiljö var en sådan regel rimlig. Vi konstaterar emellertid att en sådan regel inte går att tillämpa i en modern IT-miljö där snart sagt allt är ”tekniskt tillgängligt” t.ex. via Internet. En förutsättning för att offentlighetsprincipen skall fungera i praktiken är att gränserna mellan myndigheterna upprätthålls. Myndigheterna har annars sämre möjligheter att hålla ordning på sina uppgifter, och därmed försämras förutsättningarna för att allmänheten skall kunna finna dem.

Vi föreslår att begreppet förvar återfår sin egentliga betydelse, men att det får innefatta även elektroniska förvar. Myndighetens skyldighet att lämna ut allmänna uppgifter skall alltså omfatta sådana uppgifter som den förvarar, antingen rent fysiskt (på papper eller på en cd-romskiva, diskett eller hårddisk) eller logiskt (i ett elektroniskt arkiv som tillhör myndigheten).

Sådant som tillhör myndighetens bibliotek omfattas inte av offentlighetsprincipen. Det nya sättet att se på förvar innebär att den bestämmelsen kan förenklas. En bok i biblioteket bör behandlas på samma sätt oavsett om den är tryckt på papper eller om den finns på en cd-romskiva.

I dag anser man att myndigheterna har en viss skyldighet att när allmänheten vill ha ut uppgifter göra extra sökningar och sammanställningar utöver det som myndigheten själv normalt gör. Det brukar uttryckas så att det som kan tas fram med ”rutinbetonade åtgärder” anses vara en allmän handling. Detta bör gälla även i framtiden men bör relateras till kostnaden. Det extra arbete som myndigheten kan utföra utan nämnvärda kostnader skall den vara skyldig att göra. Eftersom tekniken kommer att ge allt vidare och billigare möjligheter att söka och sammanställa uppgifter kommer också allmänhetens möjligheter att få insyn i myndigheternas verksamhet och del av deras kunskaper att öka i framtiden.

När det gäller själva utlämnandet av allmänna uppgifter till allmänheten föreslår vi en utvidgning av offentlighetsprincipen. Den bör, enligt vårt förslag, även omfatta en rätt att få ut allmänna uppgifter i elektronisk form. Vi är medvetna om att en sådan rätt inte kan införas generellt och omedelbart. Enligt den föreslagna regeln skall allmänhetens rätt att få allmänna uppgifter t.ex. på en diskett eller via e-post vara anpassad efter myndighetens tekniska möjligheter. Eftersom dessa fortlöpande förbättras kommer också insynen att bli mer effektiv. Det kan finnas särskilda bestämmelser som förbjuder myndigheter att lämna ut uppgifter i digital form och i vissa fall kan sådant utlämnande falla under sekretess, men principen bör vara att man har samma rätt att få uppgifter i elektronisk form som på papper. Detta bör, åtminstone på sikt, vara positivt även för myndigheterna som slipper dyrbar pappershantering.

Rätten att få uppgifter i elektronisk form bör inte omfatta datorprogram, eftersom detta skulle kunna inkräkta på upphovsrätten. Vi anser däremot att det finns ett allmänt intresse av att få reda på hur myndigheternas datorprogram fungerar; detta gäller särskilt när myndighetens beslut fattas automatiskt genom datorprogram. För att förstärka offentlighetsinsynen föreslår vi därför att myndigheterna, när det gäller sådana program, skall vara skyldiga att tillhandahålla beskrivningar (systemdokumentation) över hur programmen fungerar.

Vårt förslag till ny begreppsapparat i tryckfrihetsförordningen kräver följdändringar i andra lagar. Vi lämnar förslag till sådana ändringar i sekretesslagen och arkivlagen.

Tryckfrihetsförordningen anger inte i dag vad som skall hända med de allmänna handlingarna när de inte längre är aktuella. Eftersom det är av stor praktisk betydelse för offentlighetsinsynen att allmänna uppgifter bevaras föreslår vi att det införs en bestämmelse i tryckfrihetsförordningen som hänvisar till arkivlagen.

___________________

Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp) och

Inger René (m) gemensamt samt av Bo Edvardsson (mp).

Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan

Evers, med instämmande av Rolf Nygren, av Barbro Fischerström, Anders S Forsberg, Jan Freese samt av Margareta Åberg.

FÖRFATTNINGSFÖRSLAG

a) Förslag till

Persondatalag ( 1998:000 )

Härmed föreskrivs1 följande.

Inledande bestämmelser

Syftet med lagen

1 § Syftet med denna lag är att skydda människor mot otillbörligt intrång i den personliga integriteten vid behandling av personuppgifter.

Avvikande bestämmelser i annan lagstiftning

2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall dessa bestämmelser gälla.

1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).

Definitioner

3 § I denna lag används följande beteckningar med nedan angiven betydelse.

Beteckning Betydelse Behandling (av personuppgifter)

Varje åtgärd som vidtas beträffande personuppgifter.

Blockering (av personuppgifter)

Varje åtgärd som kan vidtas för att personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.

Den registrerade

Den som en personuppgift avser.

Känsliga personuppgifter

Sådana personuppgifter som avses i 13 §.

Mottagare

Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som åligger den, anses dock inte myndigheten som mottagare.

Persondataansvarig

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Persondatabiträde

Den som behandlar personuppgifter för den persondataansvariges räkning.

Personuppgifter

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Samtycke

Varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.

Tillsynsmyndigheten Den myndighet som regeringen utser. Tredje land

En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

Tredje man

Någon annan än den registrerade, den persondataansvarige, persondatabiträdet och sådana personer som under den persondataansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla personuppgifter. Ett sådant persondataombud som avses i 37 § anses inte som tredje man.

Tillämpningsområdet

Det territoriella tillämpningsområdet

4 § Denna lag gäller för sådana persondataansvariga som är etablerade i

Sverige.

Lagen tillämpas också när den persondataansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.

I det fall som avses i andra stycket skall den persondataansvarige utse en företrädare för sig som är etablerad i Sverige. Den persondataansvarige skall, innan utrustningen börjar användas, till tillsynsmyndigheten skriftligen anmäla vem som har utsetts och därvid bifoga ett skriftligt medgivande från den utsedde. Vad som anges i denna lag om den persondataansvarige skall också gälla den företrädare som har anmälts på detta sätt.

Vilken behandling av personuppgifter omfattas av lagen

5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatisk.

Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Med register avses varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Undantag för privat användning av personuppgifter

6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.

Undantag med hänsyn till yttrandefriheten

7 § Bestämmelserna i 9–29 och 33–46 §§ samt 47 § första stycket och 49 § skall inte tillämpas på

a) sådana förfaranden som är skyddade enligt tryckfrihetsförordningen

eller yttrandefrihetsgrundlagen,

b) spridningen av sådana yttranden som är skyddade enligt tryckfrihets-

förordningen eller yttrandefrihetsgrundlagen, eller

c) sådan behandling av personuppgifter som annars sker uteslutande för

journalistiska ändamål eller konstnärligt eller litterärt skapande.

Förhållandet till offentlighetsprincipen

8 § Bestämmelserna i denna lag skall inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar sina allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelserna i 9 § tredje stycket gäller inte för personuppgifter i en myndighets arkiv.

Grundläggande krav på behandlingen av personuppgifter

9 § Den persondataansvarige skall se till

a) att personuppgifter behandlas bara när det är lagligt, särskilt att sam-

tycke inhämtas när så krävs,

b) att personuppgifter alltid behandlas på ett korrekt sätt,

c) att personuppgifter samlas in bara för särskilda, uttryckligt angivna och

berättigade ändamål,

d) att personuppgifter inte behandlas för något ändamål som är oförenligt

med det för vilket uppgifterna samlades in,

e) att de personuppgifter som behandlas är adekvata och relevanta i för-

hållande till ändamålen med behandlingen,

f) att inte fler personuppgifter behandlas än som är nödvändigt med hän-

syn till ändamålen med behandlingen,

g) att de personuppgifter som behandlas är riktiga och, om det är nöd-

vändigt, aktuella,

h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna så-

dana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i) att personuppgifter inte bevaras under en längre tid än vad som är nöd-

vändigt med hänsyn till ändamålen med behandlingen.

Beträffande första stycket d) gäller att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I fråga om första stycket i) gäller att personuppgifter får bevaras under längre tid än som sagts där för historiska, statistiska eller vetenskapliga ändamål.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder beträffande den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades eller någon annans vitala intressen.

När behandling av personuppgifter är tillåten

Allmänt

10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig

a) för att fullgöra ett avtal med den registrerade,

b) för att på den registrerades begäran vidta åtgärder innan ett avtal

träffas,

c) för att den persondataansvarige skall kunna fullgöra en rättslig skyl-

dighet,

d) för att skydda vitala intressen för den registrerade,

e) för att utföra en arbetsuppgift av allmänt intresse,

f) för att den persondataansvarige eller en tredje man till vilken person-

uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

g) för ändamål som rör ett berättigat intresse hos den persondataansvarige

eller hos sådana tredje män till vilka personuppgifterna lämnas ut när detta intresse väger tyngre än den registrerades intresse.

Direkt marknadsföring

11 § Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

Samtycke återkallas

12 § I de fall där behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

Förbud mot behandling av känsliga personuppgifter

13 § Det är förbjudet att behandla personuppgifter som avslöjar

a) ras eller etniskt ursprung,

b) politiska åsikter,

c) religiös eller filosofisk övertygelse, eller

d) medlemskap i fackförening.

Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Undantag från förbudet mot behandling av känsliga personuppgifter

Allmänt

14 § Utan hinder av 13 § är det tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§.

I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.

Samtycke eller offentliggörande

15 § Känsliga personuppgifter får behandlas, om den registrerade har samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Behandlingen är nödvändig i vissa fall

16 § Känsliga personuppgifter får behandlas när behandlingen är nödvändig för att

a) den persondataansvarige skall kunna fullgöra sina skyldigheter eller

utöva sina rättigheter inom arbetsrätten,

b) skydda vitala intressen för den registrerade eller någon annan och den

registrerade inte kan lämna samtycke, eller

c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.

Uppgifter som behandlas med stöd av första stycket a) får lämnas ut till tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för den persondataansvarige att göra det eller den registrerade har samtyckt till utlämnandet.

Ideella organisationer

17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med denna. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade har samtyckt till det.

Hälso- och sjukvård

18 § Känsliga personuppgifter får behandlas, om behandlingen är nödvändig för

a) förebyggande hälso- och sjukvård,

b) medicinska diagnoser,

c) vård eller behandling, eller

d) administration av hälso- och sjukvård.

Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får alltid behandla känsliga personuppgifter som omfattas av tystnadsplikten.

Forskning och statistik

19 § Känsliga personuppgifter får behandlas för forsknings- och statistikändamål, om behandlingen är nödvändig och om samhällsintresset av det forsknings- eller statistikprojekt vari behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Har projektet godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt första stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av sekretesslagen (1980:100).

Bemyndigande att föreskriva ytterligare undantag

20 § Regeringen eller den myndighet som regeringen bestämmer får föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.

Uppgifter om lagöverträdelser

21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål.

Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från förbudet i första stycket.

Användning av personnummer

22 § Uppgift om personnummer får behandlas bara när det är klart motiverat med hänsyn till

a) ändamålet med behandlingen,

b) vikten av en säker identifiering, eller

c) något annat beaktansvärt skäl.

Information till den registrerade

Information skall lämnas självmant när uppgifterna samlas in

23 § När uppgifter om en person samlas in från denne själv, skall den persondataansvarige självmant lämna den registrerade information rörande behandlingen.

24 § Om personuppgifterna har samlats in från annan källa än den registrerade, skall den persondataansvarige självmant lämna den registrerade information rörande behandlingen när uppgifterna noteras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock lämnas först när uppgifterna lämnas ut för första gången.

Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-

betsinsats. Om uppgifterna används för att vidta åtgärder beträffande den registrerade, skall dock information alltid lämnas senast i samband med att så sker.

Vilken information skall lämnas självmant

25 § Information enligt 23 § eller 24 § första stycket skall omfatta

a) uppgift om den persondataansvariges identitet,

b) uppgift om ändamålen med behandlingen, och

c) all övrig information som behövs för att den registrerade skall kunna ta

till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information.

Uppgifter behöver dock inte lämnas om sådant som den registrerade redan känner till.

Information skall också lämnas efter ansökan

26 § Den persondataansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna information, om personuppgifter som rör sökanden behandlas eller inte. Behandlas sådana uppgifter skall skriftlig information lämnas också om

a) vilka uppgifter om sökanden som behandlas,

b) varifrån dessa uppgifter har hämtats,

c) ändamålen med behandlingen, och

d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-

nas ut.

En ansökan enligt första stycket skall göras skriftligen hos den persondataansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Det är dock tillåtet att lämna information bara vid tre över året jämnt fördelade tillfällen, om det finns särskilda skäl för det.

Information enligt första stycket behöver inte lämnas beträffande personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas bara för historiska, statistiska eller vetenskapliga ändamål eller, såvitt gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23– 26 §§.

Regeringen eller den myndighet som regeringen bestämmer får medge undantag från bestämmelserna i 23–26 §§, om det behövs för att skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott.

Rättelse

28 § Den persondataansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den persondataansvarige skall också underrätta de tredje män till vilka uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Någon sådan underrättelse behöver dock inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Automatiserade beslut

29 § Ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för denne får grundas enbart på automatisk behandling av personuppgifter, vilka är avsedda att bedöma egenskaper hos den berörda personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat på manuell väg.

Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den persondataansvarige om vilka regler som har styrt den automatiska behandling som har lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §.

Säkerheten vid behandling

De personer som arbetar med personuppgifter

30 § Ett persondatabiträde och den eller de personer som arbetar under dennes eller den persondataansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den persondataansvarige. I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas i stället bestämmelserna i sekretesslagen (1980:100).

Det skall finnas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I det avtalet skall det särskilt föreskrivas att persondatabiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den persondataansvarige och att persondatabiträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket.

Skyddsåtgärder

31 § Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

a) de tekniska möjligheter som finns,

b) vad det skulle kosta att genomföra åtgärderna,

c) de särskilda risker som finns med behandlingen av personuppgifterna,

och

d) hur pass känsliga de behandlade personuppgifterna är.

När den persondataansvarige anlitar ett persondatabiträde, skall den persondataansvarige förvissa sig om att persondatabiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att persondatabiträdet verkligen vidtar åtgärderna.

Tillsynsmyndigheten får besluta om skyddsåtgärder

32 § Tillsynsmyndigheten får besluta om vilka skyddsåtgärder som den persondataansvarige skall vidta enligt 31 §.

I 47 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite.

Överföring av personuppgifter till tredje land

Förbud mot överföring

33 § Det är förbjudet att till tredje land föra över personuppgifter som behandlas. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.

Undantag från förbudet

34 § Utan hinder av 33 § är det tillåtet att föra över personuppgifter till tredje land, om den registrerade har samtyckt till överföringen eller när överföringen är nödvändig för att

a) fullgöra ett avtal mellan den registrerade och den persondataansvarige,

b) på den registrerades begäran vidta åtgärder innan ett avtal träffas,

c) ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och

tredje man som är i den registrerades intresse,

d) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,

eller

e) skydda vitala intressen för den registrerade.

Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.

35 § Regeringen får för överföring av personuppgifter till vissa stater föreskriva undantag från förbudet i 33 §. Regeringen får också föreskriva att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som innehåller vissa bestämmelser till skydd för de registrerades rättigheter.

Regeringen eller den myndighet som regeringen bestämmer får vidare medge undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

Anmälan till tillsynsmyndigheten

Anmälningsskyldighet

36 § Behandling av personuppgifter som är helt eller delvis automatisk omfattas av anmälningsskyldighet. Den persondataansvarige skall innan en sådan behandling eller en serie av sådana behandlingar, som har samma eller liknande ändamål, genomförs göra en skriftlig anmälan till tillsynsmyndigheten.

Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.

Anmälan behöver inte göras om det finns ett persondataombud

37 § När den persondataansvarige har offentliggjort en uppgift om att ett persondataombud utsetts och vem det är, behöver anmälan enligt 36 § inte göras.

Persondataombudets uppgifter

38 § Persondataombudet skall ha till uppgift att självständigt se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne.

Har persondataombudet anledning att misstänka att den persondataansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall persondataombudet anmäla förhållandet till tillsynsmyndigheten.

Persondataombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.

39 § Persondataombudet skall föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit.

40 § Persondataombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga, missvisande eller ofullständiga.

Obligatorisk anmälan för särskilt integritetskänsliga behandlingar

41 § Regeringen får föreskriva att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §.

Upplysningar till allmänheten om behandlingar som inte anmälts

42 § Den persondataansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 36 § skulle ha omfattat. Den persondataansvarige är dock inte skyldig att lämna ut uppgifter om vilka säkerhetsåtgärder som har vidtagits.

Skadestånd

43 § Den persondataansvarige skall ersätta den registrerade för den skada som en behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats med stöd av lagen har fört med sig. Ersättning skall också betalas för ren förmögenhetsskada och för den kränkning av den personliga integriteten som behandlingen har inneburit.

Ersättningsskyldigheten enligt första stycket kan i den utsträckning det är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar att felet inte berodde på honom eller henne.

Straff för osanna uppgifter

44 § Till böter eller fängelse högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet lämnar osann uppgift

a) i information till registrerade som föreskrivs i denna lag,

b) i anmälan till tillsynsmyndigheten enligt 36 §, eller

c) till tillsynsmyndigheten när myndigheten begär information enligt 45 §.

Tillsynsmyndighetens befogenheter

45 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

a) tillgång till de personuppgifter som behandlas,

b) upplysningar och dokumentation rörande behandlingen av personupp-

gifter och säkerheten vid denna, och

c) tillträde till sådana lokaler som har anknytning till behandlingen av

personuppgifter.

46 § Om tillsynsmyndigheten inte efter begäran enligt 45 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten vid vite förbjuda den persondataansvarige att behandla personuppgifter på annat sätt än genom att lagra dem.

47 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.

Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, får myndigheten vid vite förbjuda den persondataansvarige att fortsätta att behandla personuppgifterna på annat sätt än genom att lagra dem.

Om den persondataansvarige inte frivilligt följer ett beslut om skyddsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite för att beslutet skall genomföras.

48 § Innan tillsynsmyndigheten beslutar om vite enligt 46 eller 47 §, skall den persondataansvarige ha fått tillfälle att yttra sig. Om det är riskfyllt att vänta, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall prövas om, när yttrandetiden har gått ut.

Ett vitesföreläggande skall delges den persondataansvarige. Delgivning enligt 12 § delgivningslagen (1970:428) får dock användas bara om det

finns skäl att anta att den persondataansvarige har avvikit eller håller sig undan på något annat sätt.

49 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas.

Beslut om utplånande får inte meddelas om det är oskäligt.

Överklagande

50 § Tillsynsmyndighetens beslut enligt denna lag om annat än generella föreskrifter får överklagas hos allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas.

Närmare föreskrifter

51 § Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om

a) i vilka fall behandling av personuppgifter är tillåten,

b) vilka krav som ställs på den persondataansvarige vid behandling av

personuppgifter,

c) i vilka fall användning av personnummer är tillåten,

d) innehållet i en anmälan eller ansökan till en persondataansvarig,

e) vilken information som skall lämnas till registrerade och hur lämnandet

av information skall gå till, och

f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter

har ändrats.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 1999, då datalagen (1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före den 1 januari 1999.

2. Beträffande sådan behandling av personuppgifter som pågår vid ikraftträdandet skall till utgången av september månad 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande.

3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behandling av personuppgifter som pågår vid ikraftträdandet.

4. Beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Dessförinnan skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av punkt 2 eller 3 ovan.

5. Anmälan enligt 36 § i den nya lagen får göras före ikraftträdandet.

6. Ett samtycke som har lämnats före ikraftträdandet skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen.

7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in före ikraftträdandet men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen.

8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträdandet. I annat fall tillämpas de äldre bestämmelserna.

b) Förslag till

Lag om ändring i

Tryckfrihetsförordningen

Härigenom föreskrivs i fråga om tryckfrihetsförordningen (1949:105)

dels att 1 kap. 1 §, 2 kap. 1–19 §§, 7 kap. 3 och 5 §§ samt rubriken till

2 kap. skall ha följande lydelse,

dels att det skall införas en ny paragraf, 2 kap. 20 §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §

Med tryckfrihet förstås varje svensk medborgares rätt att, utan några av myndighet eller annat allmänt organ i förväg lagda hinder, utgiva skrifter, att sedermera endast inför laglig domstol kunna tilltalas för deras innehåll, och att icke i annat fall kunna straffas därför, än om detta innehåll strider mot tydlig lag, given att bevara allmänt lugn, utan att återhålla allmän upplysning.

I överensstämmelse med de i första stycket angivna grunderna för en allmän tryckfrihet och till säkerställande av ett fritt meningsutbyte och en allsidig upplysning skall det stå varje svensk medborgare fritt att, med iakttagande av de bestämmelser som äro i denna förordning meddelade till skydd för enskild rätt och allmän säkerhet, i tryckt skrift yttra sina tankar och åsikter, offentliggöra allmänna handlingar samt meddela uppgifter och underrättelser i vad ämne som helst.

I överensstämmelse med de i första stycket angivna grunderna för en allmän tryckfrihet och till säkerställande av ett fritt meningsutbyte och en allsidig upplysning skall det stå varje svensk medborgare fritt att, med iakttagande av de bestämmelser som äro i denna förordning meddelade till skydd för enskild rätt och allmän säkerhet, i tryckt skrift yttra sina tankar och åsikter, offentliggöra handlingar som innehåller allmänna uppgifter samt meddela uppgifter och underrättelser i vad ämne som helst.

Det skall ock stå envar fritt att, i alla de fall då ej annat är i denna förordning föreskrivet, meddela uppgifter och underrättelser i vad ämne som helst för offentliggörande i tryckt skrift till författare eller annan som är att anse som upphovsman till framställning i skriften, till skriftens utgivare eller, om för skriften finnes särskild redaktion, till denna eller till företag för yrkesmässig förmedling av nyheter eller andra meddelanden till periodiska skrifter.

Vidare skall envar äga rätt att, om ej annat följer av denna förordning, anskaffa uppgifter och underrättelser i vad ämne som helst för att offentliggöra dem i tryckt skrift eller för att lämna meddelande som avses i föregående stycke.

2 kap.

Om allmänna handlingars offentlighet

Om allmänna uppgifters offentlighet

1 § 1 §

Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att taga del av allmänna handlingar.

Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att ta del av allmänna uppgifter.

3 § 2 §

Med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handling är allmän om den förvaras hos myndighet och enligt 6 eller 7 § är att anse som inkommen till eller upprättad hos myndighet.

En uppgift är allmän om den finns i myndighetens förvar

a) i en handling som enligt 7 eller

8 § är att anse som inkommen till eller upprättad hos myndigheten eller

b) i ett register eller någon annan

samling av uppgifter som har färdigställts för införing, sökning eller sammanställning av uppgifter (databas).

Upptagning som avses i första stycket anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Detta gäller dock ej upptagning som ingår i personregister, om myndigheten enligt lag eller förordning eller särskilt beslut, som grundar sig på lag, saknar befogenhet att göra överföringen. Med personregister förstås register, förteckning eller andra anteckningar som innehålla uppgift som avser enskild person och som kan hänföras till denne.

Uppgifter är allmänna oavsett om de finns i skrift eller bild eller i en form som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniska hjälpmedel som myndigheten har.

Med handling avses en framställning som har ett bestämt innehåll.

2 § 3 §

Rätten att taga del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till

Rätten att ta del av allmänna uppgifter får begränsas endast om det är påkallat med hänsyn till

1. rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig

organisation,

2. rikets centrala finanspolitik, penningpolitik eller valutapolitik,

3. myndighets verksamhet för inspektion, kontroll eller annan tillsyn,

4. intresset att förebygga eller beivra brott,

5. det allmännas ekonomiska intresse,

6. skyddet för enskilds personliga eller ekonomiska förhållanden,

7. intresset att bevara djur- eller växtart.

Begränsning av rätten att taga del av allmänna handlingar skall angivas noga i bestämmelse i en särskild lag eller, omi visst fall befinnes lämpligare, i annan lag vartill den särskilda lagen hänvisar.

Efter bemyndigande i sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens til??lämplighet.

Begränsningar av rätten att ta del av allmänna uppgifter skall anges noga i bestämmelser i en särskild lag eller, om det är lämpligare i ett visst fall, i en annan lag till vilken den särskilda lagen hänvisar. Efter bemyndigande i en sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens til??lämplighet.

Utan hinder av andra stycket får i bestämmelse som där avses riksdagen eller regeringen tilläggas befogenhet att efter omständigheterna medgiva att viss handling lämnas ut.

Utan hinder av andra stycket får i en bestämmelse som där avses riksdagen eller regeringen ges befogenhet att efter omständigheterna medge att en viss uppgift lämnas ut.

4 §

Om en myndighets rätt att själv söka efter eller sammanställa uppgifter av hänsyn till enskildas personliga integritet har begränsats genom lag eller annan författning, gäller den begränsningen även för den som vill ta del av allmänna uppgifter.

4 § 5 §

Brev eller annat meddelande som är ställt personligen till den som innehar befattning vid myndighet anses som allmän handling, om handlingen gäller ärende eller annan fråga som ankommer på myndigheten och ej är avsedd för mottagaren endast som innehavare av annan ställning.

En uppgift i ett brev eller annat meddelande som är ställt personligen till den som innehar en befattning vid en myndighet anses som allmän, om uppgiften gäller ett ärende eller en annan fråga som ankommer på myndigheten och inte är avsedd för mottagaren endast som innehavare av annan ställning.

5 § 6 §

Med myndighet likställas i detta kapitel riksdagen, kyrkomötet och beslutande kommunal församling.

Med myndighet likställs i detta kapitel riksdagen, kyrkomötet och beslutande kommunal församling.

6 § 7 §

Handling anses inkommen till myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om upptagning som avses i 3 § första stycket gäller i stället att den anses inkommen till myndighet när annan har gjort den tillgänglig för myndigheten på sätt som angives i 3 § andra stycket.

En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa.

Tävlingsskrift, anbud eller annan sådan handling som enligt tillkännagivande skall avlämnas i förseglat omslag anses ej inkommen före den tidpunkt som har bestämts för öppnandet.

Tävlingsskrift, anbud eller annan sådan handling som enligt tillkännagivande skall avlämnas i förseglat omslag anses inte inkommen före den tidpunkt som har bestämts för öppnandet.

Åtgärd som någon vidtager endast som led i teknisk bearbetning eller teknisk lagring av handling, som myndighet har tillhandahållit, skall ej anses leda till att handling är inkommen till den myndigheten.

7 § 8 §

Handling anses upprättad hos myndighet, när den har expedierats. Handling som ej har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats hos myndigheten eller, om handlingen ej hänför sig till visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts.

En handling anses upprättad hos en myndighet, när den har expedierats.

Handling som inte har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats av myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts.

I stället för vad som föreskrives i första stycket gäller att handling anses upprättad,

Följande undantag gäller från vad som föreskrivs i första stycket.

1. diarium, journal samt sådant

register eller annan förteckning som föres fortlöpande, när handlingen har färdigställts för anteckning eller införing,

2. dom och annat beslut, som enligt

vad därom är föreskrivet skall avkunnas eller expedieras, samt protokoll och annan handling i vad den hänför sig till sådant beslut, när beslutet har avkunnats eller expedierats,

1. Domar och andra beslut, som enligt föreskrift skall avkunnas eller expedieras, samt protokoll och andra handlingar i vad de hänför sig till sådana beslut, anses upprättade när beslutet har avkunnats eller expedierats.

3. annat myndighets protokoll och

därmed jämförliga anteckningar, när handlingen har justerats av myndigheten eller på annat sätt färdigställts, dock ej protokoll hos riksdagens eller kyrkomötets utskott, riksdagens eller kommuns revisorer eller statliga kommittéer eller hos kommunal myndighet i ärende som denna endast bereder till avgörande.

2. Andra protokoll och därmed jämförliga anteckningar anses upprättade, när handlingen har justerats av myndigheten eller färdigställts på annat sätt, dock inte protokoll hos riksdagens eller kyrkomötets utskott, riksdagens eller kommuns revisorer eller statliga kommittéer eller hos kommunal myndighet i ärende som denna endast bereder till avgörande.

8 § 9 §

Har organ som ingår i eller är knutet till ett verk eller liknande myndighetsorganisation överlämnat handling till annat organ inom samma myndighetsorganisation eller framställt handling för sådant överlämnande, skall handlingen ej anses som därigenom inkommen eller upprättad i annat fall än då organen uppträda som självständiga i förhållande till varandra.

Har ett organ som ingår i eller är knutet till ett verk eller en liknande myndighetsorganisation överlämnat en handling till ett annat organ inom samma myndighetsorganisation eller framställt en handling för ett sådant överlämnande, skall handlingen inte anses som därigenom inkommen eller upprättad i annat fall än då organen uppträder som självständiga i förhållande till varandra.

9 § 10 §

Hos myndighet tillkommen minnesanteckning som ej har expedierats skall ej heller efter den tidpunkt då den enligt 7 § är att anse som upprättad anses som allmän handling hos myndigheten, om den icke tages om hand för arkivering. Med minnesanteckning förstås promemoria och annan uppteckning eller upptagning som har kommit till endast för ärendes föredragning eller beredning, dock ej till den del den har tillfört ärendet sakuppgift.

Uppgifter som har antecknats eller införts endast för ett ärendes föredragning eller beredning är inte allmänna om de inte har tillfört ärendet något i sak. Inte heller uppgifter i utkast eller koncept till en myndighets beslut eller skrivelse eller uppgifter i någon annan därmed jämställd handling är allmänna.

Utkast eller koncept till myndighets beslut eller skrivelse och annan därmed jämställd handling som ej har expedierats anses ej som allmän handling, såvida den icke tages om hand för arkivering.

Uppgifter som har tagits om hand för arkivering eller som förekommer i handlingar som har expedierats är dock alltid allmänna.

10 § 11 §

Handling som förvaras hos myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning anses ej som allmän handling hos den myndigheten.

Uppgifter som finns i en myndighets förvar endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning är inte allmänna hos den myndigheten. Uppgifterna blir inte heller att anse som allmänna hos den myndighet som har tillhandahållit dem endast på grund av att de i samband med eller efter åtgärden återlämnas till den myndigheten.

11 § 12 §

Som allmän handling anses ej Sådana uppgifter är inte allmänna som ingår i

1. brev, telegram eller annan sådan

handling som har inlämnats till eller upprättats hos myndighet endast för befordran av meddelande,

1. brev, telegram eller någon

annan sådan handling som har inlämnats till eller upprättats hos en myndighet endast för befordran av meddelande,

2. meddelande eller annan handling

som har inlämnats till eller upprättats hos myndighet endast för offentliggörande i periodisk skrift som utgives genom myndigheten,

2. meddelande eller någon annan

handling som har inlämnats till eller upprättats hos en myndighet endast för offentliggörande i en periodisk skrift som utges genom myndigheten,

3. tryckt skrift, ljud- eller bildupp-

tagning eller annan handling som ingår i bibliotek eller som från enskild har tillförts allmänt arkiv uteslutande för förvaring och vård eller forsknings- och studieändamål eller privata brev, skrifter eller upptagningar som eljest ha överlämnats till myndighet uteslutande för ändamål som nu angivits,

3. tryckta skrifter, ljud- eller

bildupptagningar samt andra handlingar och databaser som ingår i bibliotek,

4. upptagning av innehållet i hand-

ling som avses i 3, om upptagningen förvaras hos myndighet där den ursprungliga handlingen ej skulle vara att anse som allmän.

4. handlingar och databaser som

från en enskild har tillförts en myndighet uteslutande för förvaring och vård eller forsknings- och studieändamål eller privata brev, skrifter eller uppgifter som annars har överlämnats till en myndighet uteslutande för ett sådant ändamål.

Det som föreskrivs i första stycket 3 om handling som ingår i bibliotek tillämpas inte på upptagning för automatisk databehandling i sådant register som myndighet har tillgång till enligt avtal med annan myndighet.

13 §

Den som begär att få ta del av allmänna uppgifter skall precisera sin begäran så att det är möjligt att finna den handling där uppgifterna ingår eller utföra den sökning eller sammanställning som annars krävs för att uppgifterna skall kunna tas fram.

12 § 14 §

Allmän handling som får lämnas ut skall på begäran genast eller så snart det är möjligt på stället utan avgift tillhandahållas den, som önskar taga del därav, så att handlingen kan läsas, avlyssnas eller på annat sätt uppfattas. Handling får även skrivas av, avbildas eller tagas i anspråk för ljudöverföring. Kan handling ej tillhandahållas utan att sådan del därav som icke får lämnas ut röjes, skall den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia.

Om någon begär att få ta del av allmänna uppgifter som får lämnas ut, skall myndigheten genast, eller så snart det är möjligt, utan avgift på stället

1. tillhandahålla den handling där

uppgifterna ingår så att den kan läsas, avlyssnas eller uppfattas på annat sätt, eller

2. ta fram de begärda uppgifterna

ur en databas, om det kan ske med användning av de tekniska hjälpmedel som myndigheten har eller annars utan nämnvärda kostnader.

Handlingar och uppgifter som tillhandahålls på stället får även skrivas av, avbildas eller tas i anspråk för ljudöverföring. Kan en handling inte tillhandahållas utan att uppgifter som inte får lämnas ut röjs, skall handlingen i övriga delar göras tillgänglig för sökanden i utskrift eller kopia. Motsvarande gäller om uppgifter ur databaser.

Myndighet är icke skyldig att tillhandahålla handling på stället, om betydande hinder möter. I fråga om upptagning som avses i 3 § första stycket föreligger ej heller sådan skyldighet, om sökanden utan beaktansvärd olägenhet kan taga del av upptagningen hos närbelägen myndighet.

En myndighet är inte skyldig att tillhandahålla en handling på stället eller ta fram uppgifter ur en databas, om det möter betydande hinder.

13 § 15 §

Den som önskar taga del av allmän handling har även rätt att mot fastställd avgift få avskrift eller kopia av handlingen till den del den får lämnas ut. Myndighet är dock ej skyldig att lämna ut upptagning för automatisk databehandling i annan form än utskrift. Ej heller föreligger skyldighet att framställa kopia av karta, ritning, bild eller annan i 3 § första stycket avsedd upptagning än som nyss har angivits, om svårighet möter och handlingen kan tillhandahållas på stället.

Den som begär det har även rätt att mot en fastställd avgift i utskrift, kopia eller elektronisk form ut en handling eller uppgifter ur en databas, allt till den del uppgifterna får lämnas ut.

Myndigheten är dock inte skyldig att framställa kopior av kartor, ritningar, bilder eller andra liknande handlingar om det möter svårigheter och handlingen kan tillhandahållas på stället.

En myndighet är inte skyldig att tillhandahålla uppgifter i elektronisk form om det finns en särskild bestämmelse i lag eller annan författning som förbjuder detta eller om det möter betydande hinder. Datorprogram behöver aldrig tillhandahållas i elektronisk form.

Begäran att få avskrift eller kopia av allmän handling skall behandlas skyndsamt.

En begäran att få ut en allmän uppgift i någon av de angivna formerna skall behandlas skyndsamt.

14 § 16 §

Begäran att få taga del av allmän handling göres hos myndighet som förvarar handlingen.

En begäran att få ta del av en allmän uppgift skall göras hos den myndighet som har uppgiften i sitt förvar.

Begäran prövas av myndighet som angives i första stycket. Om särskilda skäl föranleda det, får dock i bestämmelse som avses i 2 § andra stycket föreskrivas att prövningen vid tillämpningen av bestämmelsen skall ankomma på annan myndighet. I fråga om handling som är av synnerlig betydelse för rikets säkerhet kan även genom förordning föreskrivas att endast viss myndighet får pröva frågan om utlämnande. I de nu nämnda fallen skall begäran om utlämnande genast hänskjutas till behörig myndighet.

Begäran skall prövas av den myndighet som anges i första stycket. Om det finns särskilda skäl får det dock föreskrivas i en bestämmelse som avses i 3 § andra stycket att prövningen vid tillämpningen av bestämmelsen skall ankomma på en annan myndighet. I fråga om en handling eller en databas som är av synnerlig betydelse för rikets säkerhet kan även genom förordning föreskrivas att endast en viss myndighet får pröva frågan om utlämnande. I de nu nämnda fallen skall en begäran om utlämnande genast hänskjutas till behörig myndighet.

Myndighet får inte på grund av att någon begär att få taga del av allmän handling efterforska vem han är eller vilket syfte han har med sin begäran i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att handlingen lämnas ut.

En myndighet får inte på grund av att någon begär att få ta del av en allmän uppgift efterforska vem han är eller vilket syfte han har med sin begäran i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att uppgiften lämnas ut.

15 § 17 §

Om annan än riksdagen eller regeringen avslår begäran att få taga del av handling eller lämnar ut allmän handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller eljest förfoga över den, får sökanden föra talan mot beslutet. Talan mot beslut av statsråd skall föras hos regeringen och talan mot beslut av annan myndighet hos domstol.

Om någon annan än riksdagen eller regeringen avslår en begäran att få ta del av en allmän uppgift eller lämnar ut den med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, får sökanden föra talan mot beslutet. Detsamma gäller om en begäran att få ut uppgifter i en viss form avslås. Talan mot beslut av statsråd skall föras hos regeringen och talan mot beslut av en annan myndighet hos domstol.

I den i 2 § omnämnda lagen skall närmare angivas hur talan mot beslut som avses i första stycket skall föras. Sådan talan skall alltid prövas skyndsamt.

I den i 3 § omnämnda lagen skall närmare anges hur talan mot beslut som avses i första stycket skall föras. Sådan talan skall alltid prövas skyndsamt.

Angående rätt att föra talan mot beslut av myndighet som lyder under riksdagen är särskilt föreskrivet.

Angående rätt att föra talan mot beslut av en myndighet som lyder under riksdagen är särskilt föreskrivet.

16 § 18 §

Anteckning om hinder att lämna ut allmän handling får göras endasthandling som omfattas av bestämmelse som avses i 2 § andra stycket. Härvid skall tillämplig bestämmelse angivas.

En markering om att det finns hinder att lämna ut en allmän uppgift får göras endast i anslutning till en sådan uppgift i en handling eller databas som omfattas av en bestämmelse som avses i 3 § andra stycket. Härvid skall tillämplig bestämmelse anges.

17 § 19 §

I lag får föreskrivas att regeringen eller beslutande kommunal församling får besluta att allmänna handlingar som hänför sig till myndighets verksamhet, vilken skall övertas av enskilt organ, får överlämnas till det organet för förvaring, om detta behöver handlingarna i verksamheten, utan att handlingarna därigenom upphör att vara allmänna. Ett sådant organ skall i fråga om överlämnade handlingar jämställas med myndighet vid tillämpningen av 12–16 §§.

I lag får föreskrivas att regeringen eller beslutande kommunal församling får besluta att allmänna uppgifter som hänför sig till en myndighets verksamhet, som skall övertas av ett enskilt organ, får överlämnas till det organet för förvaring, om detta behöver uppgifterna i verksamheten, utan att dessa därigenom upphör att vara allmänna. Ett sådant organ skall i fråga om överlämnade uppgifter jämställas med en myndighet vid tillämpningen av 13– 18 §§.

20 §

Grundläggande bestämmelser om bevarande och gallring av allmänna uppgifter och om överlämnande av handlingar och databaser till arkivmyndighet eller annan myndighet finns i lag.

7 kap.

3 §

Om någon lämnar meddelande, som avses i 1 kap. 1 § tredje stycket, eller, utan att svara enligt 8 kap., medverkar till framställning, som är avsedd att införas i tryckt skrift, såsom författare eller annan upphovsman eller såsom utgivare och därigenom gör sig skyldig till

1. högförräderi, spioneri, grovt spioneri, grov obehörig befattning med

hemlig uppgift, uppror, landsförräderi, landssvek eller försök, förberedelse eller stämpling till sådant brott;

2. oriktigt utlämnande av allmän

handling som ej är tillgänglig för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnade, när gärningen är uppsåtlig; eller

2. oriktigt utlämnande av handling

som innehåller allmänna uppgifter som ej är tillgängliga för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnade, när gärningen är uppsåtlig; eller

3. uppsåtligt åsidosättande av tystnadsplikt i de fall som angivas i särskild

lag, gäller om ansvar för sådant brott vad i lag är stadgat.

Om någon anskaffar uppgift eller underrättelse i sådant syfte som avses i 1 kap. 1 § fjärde stycket och därigenom gör sig skyldig till brott som angives i förevarande paragrafs första stycke 1, gäller om ansvar härför vad i lag är stadgat.

Det som sägs i 2 kap. 12 § tredje stycket regeringsformen skall gälla också i fråga om förslag till föreskrifter som avses i första stycket 3.

5 §

Som tryckfrihetsbrott skall anses också sådana gärningar, begångna genom tryckt skrift och straffbara enligt lag, som innebär att någon

1. uppsåtligen offentliggör allmän

handling som ej är tillgänglig för envar, om han fått tillgång till handlingen i allmän tjänst, under utövande av tjänsteplikt eller i därmed jämförbart förhållande;

1. uppsåtligen offentliggör hand-

ling som innehåller allmänna uppgifter som ej är tillgängliga för envar, om han fått tillgång till handlingen i allmän tjänst, under utövande av tjänsteplikt eller i därmed jämförbart förhållande;

2. offentliggör uppgift och därvid uppsåtligen åsidosätter tystnadsplikt

som avses i den i 3 § första stycket angivna särskilda lagen;

3. när riket är i krig eller omedelbar krigsfara offentliggör uppgift om

förhållanden vilkas röjande enligt lag innefattar annat brott mot rikets säkerhet än som anges i 4 §. ___________________

1. Denna lag träder i kraft den 1 januari 1999.

2. Bestämmelsen i 2 kap. 4 § nya lydelsen tillämpas även när myndighetens rätt att söka efter eller sammanställa uppgifter begränsats genom ett beslut som avses i 2 kap. 3 § andra stycket andra meningen äldre lydelsen och som meddelats före ikraftträdandet, dock längst till utgången av september 2001.

c) Förslag till

Lag om ändring i

Regeringsformen

Härigenom föreskrivs att 2 kap. 1 § samt 8 kap.7 och 18 §§regeringsformen skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 kap.

1 §

Varje medborgare är gentemot den allmänna tillförsäkrad

1. yttrandefrihet: frihet att i tal, skrift eller bild eller på annat sätt meddela

upplysningar samt uttrycka tankar, åsikter och känslor,

2. informationsfrihet: frihet att inhämta och mottaga upplysningar samt

att i övrigt taga del av andras yttranden,

3. mötesfrihet: frihet att anordna och bevista sammankomst för upplys-

ning, meningsyttring eller annat liknande syfte eller för framförande av konstnärligt verk,

4. demonstrationsfrihet: frihet att anordna och deltaga i demonstration på

allmän plats,

5. föreningsfrihet: frihet att sammansluta sig med andra för allmänna eller

enskilda syften,

6. religionsfrihet: frihet att ensam eller tillsammans med andra utöva sin

religion.

Beträffande tryckfriheten och motsvarande frihet att yttra sig i ljudradio, television och vissa liknande överföringar, filmer, videogram och andra upptagningar av rörliga bilder samt ljudupptagningar gäller vad som är föreskrivet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

I tryckfrihetsförordningen finns också bestämmelser om rätt att taga del av allmänna handlingar.

I tryckfrihetsförordningen finns också bestämmelser om rätt att taga del av allmänna uppgifter.

8 kap.

7 §

Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag genom förordning meddela föreskrifter om annat än skatt, om föreskrifterna avser något av följande ämnen:

1. skydd för liv, personlig säkerhet eller hälsa,

2. utlännings vistelse i riket,

3. in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverk-

ning, kommunikationer, kreditgivning, näringsverksamhet, ransonering, återanvändning och återvinning av material, utformning av byggnader, anläggningar eller tillståndsplikt i fråga om åtgärder med byggnader och anläggningar,

4. jakt, fiske, djurskydd eller natur- och miljövård,

5. trafik eller ordningen på allmän plats,

6. undervisning och utbildning,

7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under

utövande av tjänsteplikt,

8. skydd för personlig integritet vid

registrering av uppgifter med hjälp av automatisk databehandling.

8. skydd för personlig integritet

vid behandling av personuppgifter.

Bemyndigande som avses i första stycket medför ej rätt att meddela föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag, som innehåller bemyndigande med stöd av första stycket, föreskriva även annan rättsverkan än böter för överträdelse av föreskrift som regeringen meddelar med stöd av bemyndigandet.

18 §

För att avge yttrande över lagförslag skall finnas ett lagråd, vari ingår domare i Högsta domstolen och Regeringsrätten. Yttrande från Lagrådet inhämtas av regeringen eller, enligt vad som närmare angives i riksdagsordningen, av riksdagsutskott.

Yttrande av Lagrådet bör inhämtas innan riksdagen beslutar grundlag om tryckfriheten, eller om motsvarande frihet att yttra sig i ljudradio, television och vissa liknande överföringar, filmer, videogram och andra upptagningar av rörliga bilder samt ljudupptagningar, lag om begränsning av rätten att taga del av allmänna handlingar, lag som avses i 2 kap. 3 § andra stycket, 12 § första stycket, 17–19 §§ eller 22 § andra stycket eller lag som ändrar eller upphäver sådan lag, lag om kommunal beskattning, lag som avses i 2 eller 3 § eller lag som avses i 11 kap., om lagen är viktig för enskilda eller från allmän synpunkt. Vad nu har sagts gäller dock icke, om Lagrådets hörande skulle sakna betydelse på grund av frågans beskaffenhet eller skulle fördröja lagstiftningsfrågans behandling så att avsevärt men skulle uppkomma. Föreslår regeringen riksdagen att stifta lag i något av de ämnen som avses i första meningen och har Lagrådets yttrande dessförinnan inte inhämtats, skall regeringen samtidigt för riksdagen redovisa skälen härtill. Att Lagrådet icke har hörts över ett lagförslag utgör aldrig hinder mot lagens til??lämpning.

Yttrande av Lagrådet bör inhämtas innan riksdagen beslutar grundlag om tryckfriheten, eller om motsvarande frihet att yttra sig i ljudradio, television och vissa liknande överföringar, filmer, videogram och andra upptagningar av rörliga bilder samt ljudupptagningar, lag om begränsning av rätten att taga del av allmänna uppgifter, lag som avses i 2 kap. 3 § andra stycket, 12 § första stycket, 17–19 §§ eller 22 § andra stycket eller lag som ändrar eller upphäver sådan lag, lag om kommunal beskattning, lag som avses i 2 eller

3 § eller lag som avses i 11 kap., om lagen är viktig för enskilda eller från allmän synpunkt. Vad nu har sagts gäller dock icke, om Lagrådets hörande skulle sakna betydelse på grund av frågans beskaffenhet eller skulle fördröja lagstiftningsfrågans behandling så att avsevärt men skulle uppkomma. Föreslår regeringen riksdagen att stifta lag i något av de ämnen som avses i första meningen och har Lagrådets yttrande dessförinnan inte inhämtats, skall regeringen samtidigt för riksdagen redovisa skälen härtill. Att Lagrådet icke har hörts över ett lagförslag utgör aldrig hinder mot lagens tillämpning.

Lagrådets granskning skall avse

1. hur förslaget förhåller sig till grundlagarna och rättsordningen i övrigt,

2. hur förslagets föreskrifter förhåller sig till varandra,

3. hur förslaget förhåller sig till rättssäkerhetens krav,

4. om förslaget är så utformat att lagen kan antagas tillgodose angivna

syften,

5. vilka problem som kan uppstå vid tillämpningen.

Närmare bestämmelser om lagrådets sammansättning och tjänstgöring meddelas i lag. ___________________

Denna lag träder i kraft den 1 januari 1999.

d) Förslag till

Lag om ändring i

Yttrandefrihetsgrundlagen

( 1991:1469 )

Härigenom föreskrivs att 5 kap. 3 § yttrandefrihetsgrundlagen skall ha följande lydelse.

5 kap.

3 §

Om någon lämnar ett meddelande, som avses i 1 kap. 2 §, eller, utan att svara enligt 6 kap., medverkar till en framställning som är avsedd att offentliggöras i ett radioprogram, en film eller en ljudupptagning, som författare eller annan upphovsman eller genom att framträda i radioprogrammet och därigenom gör sig skyldig till

1. högförräderi, spioneri, grovt spioneri, grov obehörig befattning med

hemlig uppgift, uppror, landsförräderi, landssvek eller försök, förberedelse eller stämpling till sådant brott;

2. oriktigt utlämnande av allmän

handling som ej är tillgänglig för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnande, när gärningen är uppsåtlig; eller

2. oriktigt utlämnande av handling

som innehåller allmänna uppgifter som ej är tillgängliga för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnande, när gärningen är uppsåtlig; eller

3. uppsåtligt åsidosättande av tystnadsplikt i de fall som anges i särskild

lag, gäller vad som föreskrivs i lag om ansvar för sådant brott.

Om någon anskaffar en uppgift eller underrättelse i sådant syfte som avses i 1 kap. 2 § och därigenom gör sig skyldig till brott som anges i första stycket 1, gäller vad som föreskrivs i lag om ansvar för brottet.

Det som sägs i 2 kap. 12 § tredje stycket regeringsformen om särskilt lagstiftningsförfarande skall gälla också i fråga om förslag till föreskrifter som avses i första stycket 3. ___________________

Denna lag träder i kraft den 1 januari 1999.

e) Förslag till

Lag om ändring i

Sekretesslagen (1980:100)

Härigenom föreskrivs i fråga om sekretesslagen (1980:100)

dels att 15 kap. 13 § skall upphöra att gälla,

dels att i 2 kap. 1 och 2 §§, 3 kap. 1 §, 5 kap. 1 §, 6 kap. 1–7 §§, 7 kap. 1 §,

4 §, 6–15 §§ och 19–36 §§, 8 kap. 1–3 §§, 5–19 §§, 21 §, 23 § och 24 § samt 9 kap. 1–5 §§, 8 §, 10–17 §§ och 19–24 §§ orden ”uppgift i allmän handling” skall bytas ut mot ”allmän uppgift”,

dels att 1 kap. 1 § och 8–10 §§, 2 kap. 3 §, 5 kap. 2 §, 7 kap. 16 §, 9 kap.

6 §, 15 kap. 1–4 §§ och 6–12 §§, rubriken till 15 kap. samt rubrikerna närmast före 15 kap. 1 och 9 §§ skall ha följande lydelse,

dels att det i lagen skall införas närmast före 15 kap. 3 §, 4 §, 6 §, 7 §, 11 §

och 12 § nya rubriker av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §

Denna lag innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. I sistnämnda hänseende innefattar bestämmelserna begränsning i den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar.

Denna lag innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna uppgifter. I sistnämnda hänseende innefattar bestämmelserna begränsning i den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna uppgifter.

Bestämmelserna avser förbud att röja uppgift, vare sig det sker muntligen eller genom att allmän handling lämnas ut eller det sker på annat sätt (sekretess).

Bestämmelserna avser förbud att röja en uppgift, vare sig det sker muntligen eller på annat sätt (sekretess).

Lagen innehåller även andra föreskrifter om allmänna handlingar.

Lagen innehåller även andra föreskrifter om allmänna uppgifter.

I denna lag finns också bestämmelser om begränsning av den rätt att lämna meddelande för offentliggörande i tryckt skrift eller därmed jämställd skrift eller i radioprogram, film, ljudupptagningar eller därmed jämställt medium varom grundläggande bestämmelser ges i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

8 §

Vid tillämpningen av denna lag skall med myndighet jämställas riksdagen, kyrkomötet och beslutande kommunal församling.

Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos en myndighet skall i tillämpliga delar gälla också handlingar hos de organ som anges i bilagan till denna lag, i den mån handlingarna hör till den verksamhet som nämns där. De i bilagan angivna organen skall vid tillämpningen av denna lag jämställas med myndighet. Detsamma gäller ett enskilt organ som med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring förvarar sådana handlingar såvitt avser befattningen med dessa handlingar.

Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna uppgifter hos en myndighet skall i tillämpliga delar gälla också uppgifter hos de organ som anges i bilagan till denna lag, i den mån uppgifterna hör till den verksamhet som nämns där. De i bilagan angivna organen skall vid til??lämpningen av denna lag jämställas med myndighet. Detsamma gäller ett enskilt organ som med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring har sådana uppgifter i sitt förvar såvitt avser befattningen med dessa uppgifter.

9 §

Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos myndighet skall i tillämpliga delar också gälla handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser skall vid tillämpningen av denna lag jämställas med myndighet.

Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna uppgifter hos myndighet skall i tillämpliga delar också gälla uppgifter hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser skall vid tillämpningen av denna lag jämställas med myndighet.

Kommuner och landsting skall anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans

1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med

mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen,

2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för

ett aktiebolag, en ekonomisk förening eller en stiftelse,

3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag. Vid

tillämpningen av 1–3 skall inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.

Första stycket gäller också beträffande handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting har utövat ett rättsligt inflytande.

Första stycket gäller också beträffande uppgifter som efter medgivande av en kommun eller ett landsting för viss bestämd tid finns i förvar hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting har utövat ett rättsligt inflytande.

Vad som sägs om kommuner och landsting i första–tredje styckena til??lämpas också på kommunförbund.

10 §

Har i denna lag föreskrivits att sekretessen i fråga om uppgift i allmän handling är begränsad till viss tid, räknas tiden från handlingens tillkomst, om inte annat anges. I fråga om diarium, journal samt sådant register eller annan förteckning som förs fortlöpande räknas tiden från det uppgiften fördes in i handlingen.

Har i denna lag föreskrivits att sekretessen i fråga om allmän uppgift är begränsad till viss tid, räknas tiden från tillkomsten av den handling i vilken uppgiften finns, om inte annat anges. I fråga om allmän uppgift i en databas räknas tiden från det uppgiften fördes in i databasen.

2 kap.

3 §

Av 2 kap. 14 § andra stycket tryckfrihetsförordningen framgår att det genom förordning kan föreskrivas, att endast viss myndighet får pröva fråga om utlämnande till enskild av allmän handling som är av synnerlig betydelse för rikets säkerhet.

Av 2 kap. 16 § andra stycket tryckfrihetsförordningen framgår att det genom förordning kan föreskrivas, att endast viss myndighet får pröva fråga om utlämnande till enskild av allmän uppgift som är av synnerlig betydelse för rikets säkerhet.

5 kap.

2 §

Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd med avseende på

1. byggnader eller andra anläggningar, lokaler eller inventarier,

2. tillverkning, förvaring, utlämning eller transport av pengar eller andra

värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktivt avfall,

3. telekommunikation, 4. behörighet att få tillgång till upptagning för automatisk databehandling eller annan handling,

4. behörighet att få tillgång till

handlingar eller databaser,

om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.

7 kap.

16 §

Sekretess gäller för personuppgift i personregister som avses i datalagen (1973:289), om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen.

Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med persondatalagen (1998:000).

Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlandet och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgiften skall användas för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter.

9 kap.

6 §

Sekretess gäller hos datainspektionen i ärende om tillstånd eller tillsyn, som enligt lag ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till regeringen eller justitiekanslern, gäller sekretessen också där.

Sekretess gäller hos Datainspektionen i ärende om tillstånd eller tillsyn, som enligt lag eller annan författning ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till

Justitiekanslern, gäller sekretessen också där.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

I fråga om allmän uppgift gäller sekretessen i högst sjuttio år.

15 kap.

Bestämmelser om registrering och utlämnande av allmänna

handlingar m.m.

Bestämmelser om registrering och utlämnande av allmänna

uppgifter m.m.

Allmänna bestämmelser Registrering av handlingar med allmänna uppgifter

1 §

När allmän handling har kommit in till eller upprättats hos myndighet skall handlingen registreras utan dröjsmål, om det inte är uppenbart att den är av ringa betydelse för myndighetens verksamhet. I fråga om allmänna handlingar, för vilka sekretess inte gäller, får dock registrering underlåtas om handlingarna hålls så ordnade att det utan svårighet kan fastställas om handling har kommit in eller upprättats.

När en handling med allmänna uppgifter har kommit in till eller upprättats hos en myndighet skall handlingen registreras utan dröjsmål, om det inte är uppenbart att den är av ringa betydelse för myndighetens verksamhet. I fråga om handlingar med allmänna uppgifter, för vilka sekretess inte gäller, får dock registrering underlåtas om handlingarna hålls så ordnade att det utan svårighet kan fastställas om handling har kommit in eller upprättats.

Om särskilda skäl föreligger får regeringen föreskriva undantag från registreringsskyldighet enligt första stycket i fråga om handlingar av visst slag som hos myndighet förekommer i betydande omfattning.

I 13 § finns bestämmelser om undantag från registreringsskyldigheten i fråga om vissa upptagningar för automatisk databehandling.

2 §

Beträffande handling som registrerats enligt 1 § skall av registret framgå

1. datum, då handlingen kom in eller upprättades,

2. diarienummer eller annan beteckning som har åsatts handlingen,

3. i förekommande fall från vem handlingen har kommit in eller till vem

den har expedierats,

4. i korthet vad handlingen rör.

Vid registrering skall dock uppgift enligt första stycket 3 eller 4 utelämnas eller särskiljas om det behövs för att registret i övriga delar skall kunna företes för allmänheten.

Vid registrering skall dock uppgift enligt första stycket 3 eller 4 utelämnas eller särskiljas om det behövs för att registret i övriga delar skall kunna visas för allmänheten.

Regeringen får beträffande visst register föreskriva att föreskriften i andra stycket inte skall tillämpas, om denna annars skulle omfatta flertalet i registret upptagna handlingar.

Hemligstämpling

3 §

Kan det antas att hinder mot utlämnande av uppgift i allmän handling föreligger enligt sekretessbestämmelse i denna lag eller annan författning, får myndighet utmärka detta genom särskild anteckning. Sådan anteckning skall innehålla beteckningen hemlig samt ange tillämplig bestämmelse, dagen för anteckningen och den myndighet, som har låtit göra den.

Kan det antas att hinder mot utlämnande av allmän uppgift föreligger enligt någon sekretessbestämmelse i denna lag eller annan författning, får myndigheten markera detta särskilt. En sådan markering skall innehålla beteckningen hemlig samt ange tillämplig bestämmelse, dagen för markeringen och den myndighet, som har låtit göra den.

Har genom förordning meddelats föreskrift att fråga om utlämnande till enskild av allmän handling, som är av synnerlig betydelse för rikets säkerhet, får prövas endast av viss myndighet, skall handling som avses med sådan föreskrift så snart det kan ske förses med anteckning enligt första stycket. Anteckningen skall innehålla uppgift om vilken myndighet som är behörig att pröva fråga om utlämnande.

Har genom förordning meddelats föreskrift att fråga om utlämnande till enskild av allmän uppgift, som är av synnerlig betydelse för rikets säkerhet, får prövas endast av en viss myndighet, skall handling eller databas som innehåller sådana uppgifter så snart det kan ske förses med markering enligt första stycket. Markeringen skall innehålla uppgift om vilken myndighet som är behörig att pröva frågan om utlämnande.

Myndigheternas serviceskyldighet

4 §

Myndighet skall på begäran av enskild lämna uppgift ur allmän handling som förvaras hos myndigheten i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.

En myndighet skall, utöver vad som följer av 2 kap. 14 och 15 §§ tryckfrihetsförordningen, på begäran av enskild lämna allmänna uppgifter ur handlingar och databaser hos myndigheten i den mån hinder inte möter på grund av någon sekretessbestämmelse eller av hänsyn till arbetets behöriga gång.

Bestämmelser om tillhandahållande av allmän handling finns i 2 kap. 12 §tryckfrihetsförordningen.

Om en enskild begär att få allmänna uppgifter i elektronisk form skall myndigheten lämna de upplysningar och den hjälp som den enskilde behöver, under förutsättning att det kan ske utan olägenhet.

En myndighet som med tekniska hjälpmedel kan tillhandahålla allmänna uppgifter som finns i en annan myndighets förvar skall hjälpa den enskilde att ta del av dessa uppgifter. Detta gäller inte om uppgifterna är tillgängliga för allmänheten via allmänt nät eller liknande, eller om det skulle orsaka myndigheten påtagliga olägenheter att tillgodose en sådan begäran.

5 §

Myndighet skall på begäran av annan myndighet lämna uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.

Prövning av begäran om utlämnande

6 §

Av 2 kap. 14 § andra stycket tryckfrihetsförordningen framgår att fråga om utlämnande av allmän handling till enskild prövas av den myndighet som förvarar handlingen, om det inte är föreskrivet att prövningen skall ankomma på annan myndighet.

Av 2 kap. 16 § andra stycket tryckfrihetsförordningen framgår att fråga om utlämnande av allmän uppgift till enskild prövas av den myndighet som har uppgiften i sitt förvar, om det inte är föreskrivet att prövningen skall ankomma på annan myndighet.

Svarar viss befattningshavare vid myndighet enligt arbetsordning eller särskilt beslut för vården av handling, ankommer det på honom att i första hand pröva fråga om handlingens utlämnande till enskild. I tveksamma fall skall han hänskjuta frågan till myndigheten, om det kan ske utan omgång. Vägrar han att lämna ut handling eller lämnar han ut handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, skall han, om sökanden begär det, hänskjuta frågan till myndigheten. Sökanden skall underrättas om att han kan begära detta och att beslut av myndigheten krävs för att ett avgörande skall kunna överklagas.

Svarar viss befattningshavare vid myndighet enligt arbetsordning eller särskilt beslut för vården av handling eller databas där uppgiften finns, ankommer det på honom att i första hand pröva fråga om uppgiftens utlämnande till enskild. I tveksamma fall skall han hänskjuta frågan till myndigheten, om det kan ske utan omgång. Vägrar han att lämna ut en uppgift eller lämnar han ut en uppgift med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, skall han, om sökanden begär det, hänskjuta frågan till myndigheten. Sökanden skall underrättas om att han kan begära detta och att beslut av myndigheten krävs för att ett avgörande skall kunna överklagas.

Överklagande

7 §

Beslut varigenom myndighet har avslagit enskilds begäran att få ta del av handling eller lämnat ut allmän handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, får överklagas av sökanden. Om inte annat följer av andra–fjärde styckena, överklagas beslutet hos kammarrätten eller, såvitt gäller kammarrätts beslut i där väckt ärende, hos Regeringsrätten. Har beslutet meddelats av organ som avses i 1 kap. 8 § andra stycket eller 9 § tillämpas bestämmelserna i 23–25 §§ och 30 § första meningen förvaltningslagen (1986:223) om överklagande.

Beslut som avses i 2 kap. 17 § tryckfrihetsförordningen överklagas, om inte annat följer av andra– fjärde styckena, hos kammarrätten eller, såvitt gäller kammarrätts beslut i där väckt ärende, hos Regeringsrätten. Har beslutet meddelats av organ som avses i 1 kap. 8 § andra stycket eller 9 § tillämpas bestämmelserna i 23–25 §§ och 30 § första meningen förvaltningslagen (1986:223) om överklagande.

Har beslut som avses i första stycket meddelats av tingsrätt och rör det handling i domstols rättskipande eller rättsvårdande verksamhet, överklagas det hos hovrätten. Motsvarande beslut av hovrätt i där väckt eller dit överklagat ärende överklagas hos Högsta domstolen. Vid överklagande av tingsrätts eller hovrätts beslut til??lämpas i övrigt bestämmelserna i rättegångsbalken om överklagande av beslut.

Har beslut som avses i första stycket meddelats av tingsrätt och rör det uppgift i domstols rättskipande eller rättsvårdande verksamhet, överklagas det hos hovrätten. Motsvarande beslut av hovrätt i där väckt eller dit överklagat ärende överklagas hos Högsta domstolen. Vid överklagande av tingsrätts eller hovrätts beslut tillämpas i övrigt bestämmelserna i rättegångsbalken om överklagande av beslut.

Första och andra styckena gäller inte för beslut av riksdagen, regeringen, Högsta domstolen eller Regeringsrätten.

Att beslut av statsråd skall överklagas hos regeringen föreskrivs i 2 kap. 15 §tryckfrihetsförordningen.

Att beslut av statsråd skall överklagas hos regeringen föreskrivs i 2 kap. 17 §tryckfrihetsförordningen.

Angående rätt att överklaga beslut av myndighet som lyder under riksdagen är särskilt föreskrivet.

8 §

Beslut varigenom myndighet har avslagit annan myndighets begäran att få ta del av handling eller på annat sätt få del av uppgift får överklagas i samma ordning som gäller i fråga om överklagande enligt 7 §. Överklagandet görs hos regeringen, om beslutet har meddelats av en statlig myndighet och överklagas av en annan statlig myndighet.

Beslut varigenom myndighet har avslagit en annan myndighets begäran att få ta del av uppgift får överklagas i samma ordning som gäller i fråga om överklagande enligt 7 §. Överklagandet görs hos regeringen, om beslutet har meddelats av en statlig myndighet och överklagas av en annan statlig myndighet.

Första stycket gäller inte för beslut av riksdagen, regeringen, Högsta domstolen eller Regeringsrätten.

Har i lag eller förordning meddelats bestämmelse som avviker från föreskrifterna i första stycket, gäller den bestämmelsen.

I fråga om beslut som har meddelats av myndighet som lyder under riksdagen är särskilt föreskrivet.

Särskilda bestämmelser om upptagningar för automatisk databehandling

En god offentlighetsstruktur

9 §

Myndighet som i sin verksamhet använder automatisk databehandling skall ordna denna med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar. Därvid skall myndigheten särskilt beakta

När en myndighet använder automatisk databehandling i sin verksamhet skall det ske med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna uppgifter. Därvid skall myndigheten särskilt beakta

1. att allmänna handlingar bör

hållas åtskilda från andra handlingar,

1. att allmänna uppgifter bör hållas

åtskilda från andra uppgifter,

2. att skyddet av sekretessbelagda

uppgifter i upptagningar som är allmänna handlingar bör vara sådant att insynen enligt tryckfrihetsförordningen inte försvåras,

2. att skyddet av allmänna uppgif-

ter som är sekretessbelagda bör vara sådant att insynen enligt tryckfrihetsförordningen inte försvåras,

3. att uppgifter i upptagningar som

är allmänna handlingar inte bör innehålla förkortningar, koder och liknande som kan försvåra för den enskilde att ta del av handlingen,

3. att allmänna uppgifter bör pre-

senteras i klartext,

4. att det bör framgå när uppgifter

tillförts en upptagning som är allmän handling och, om de ändrats eller gallrats, vid vilken tidpunkt detta skett.

4. att det bör framgå när allmänna

uppgifter har tillförts en databas och, om de har ändrats eller gallrats, vid vilken tidpunkt detta skett.

Myndigheten skall vidare ordna databehandlingen med beaktande av det intresse som enskilda kan ha att själva utnyttja terminal eller annat tekniskt hjälpmedel hos myndigheten för att ta del av allmänna handlingar.

Myndigheten skall vidare ordna databehandlingen med beaktande av det intresse som enskilda kan ha att själva utnyttja tekniska hjälpmedel för att ta del av allmänna uppgifter.

10 §

Myndighet skall på begäran bereda enskild tillfälle att själv använda terminal eller annat tekniskt hjälpmedel som myndigheten förfogar över för att ta del av upptagning för automatisk databehandling. Sådan skyldighet föreligger dock inte, om sökanden därigenom får tillgång till upptagning som inte anses som allmän handling hos myndigheten eller om hinder möter på grund av bestämmelse om sekretess, på grund av fara för förvanskning eller förstöring eller av hänsyn till arbetets behöriga gång.

Myndighet skall på begäran bereda enskild tillfälle att själv använda tekniska hjälpmedel som myndigheten förfogar över för att ta del av allmänna uppgifter. Myndigheten skall därvid lämna nödvändiga upplysningar om användningen. Sådan skyldighet föreligger dock inte, om sökanden därigenom får tillgång till uppgifter som inte är allmänna hos myndigheten eller om hinder möter på grund av bestämmelse om sekretess, på grund av fara för förvanskning eller förstöring eller av hänsyn till arbetets behöriga gång.

I fråga om beslut, varigenom myndighet har avslagit enskilds begäran enligt första stycket, tillämpas vad som är föreskrivet om överklagande av beslut som avses i 7 § första stycket.

Dokumentationsskyldighet

11 §

Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av de register, förteckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling (ADB-register). Sådan skyldighet föreligger dock inte i fråga om ADB-register som inte till någon del anses som allmän handling hos myndigheten. Myndigheten är inte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar hos myndigheten.

Om en myndighet för handläggningen av ett mål eller ärende använder en uppgift i en databas skall uppgiften på lämpligt sätt tillföras målet eller ärendet.

Beskrivning som avses i första stycket skall ge upplysning om

1. ADB-registrets benämning,

2. ADB-registrets ändamål,

3. vilka typer av uppgifter i ADB-

registret som myndigheten har tillgång till och på vilket sätt dessa uppgifter normalt inhämtas,

4. hos vilka andra myndigheter

ADB-registret är tillgängligt för överföring till läsbar form,

5. vilka terminaler eller andra

tekniska hjälpmedel som enskild själv kan få utnyttja hos myndigheten,

6. vilka bestämmelser om sekre-

tess som myndigheten vanligen skall tillämpa på uppgifter i ADB-registret,

7. vem som hos myndigheten kan

lämna närmare upplysningar om ADB-registret och dess användning i myndighetens verksamhet,

8. rätt till försäljning av person-

uppgifter i personregister som avses i datalagen (1973:289) .

I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om det behövs för att beskrivningen i övriga delar skall kunna företes för allmänheten.

Systemdokumentation

12 §

Myndighet skall på begäran av enskild lämna de särskilda upplysningar som den enskilde behöver för att kunna ta del av upptagningar för automatisk databehandling som anses som allmänna handlingar hos myndigheten. Sådan skyldighet föreligger dock inte i den mån hinder möter av hänsyn till arbetets behöriga gång.

En myndighet som i sin myndighetsutövning använder tekniska hjälpmedel för att fatta automatiserade beslut skall hålla systemdokumentation tillgänglig för allmänheten. Av dokumentationen skall framgå

1. ändamålet med systemet,

2. vilka uppgifter som används i

systemet,

3. varifrån och hur de uppgifter

som används i systemet hämtas,

4. hur aktuella rättsregler har om-

vandlats till logiska regler i systemet,

5. vem som hos myndigheten kan

lämna närmare upplysningar om hur systemet fungerar.

Dokumentationen får dock inte innehålla upplysningar som kan leda till att sekretessbelagda uppgifter om systemet röjs.

13 §

Om upptagning för automatisk databehandling förs in i ett ADB-register som är tillgängligt för flera myndigheter för överföring i läsbar form, är endast den myndighet som gör införingen registreringsskyldig enligt 1 §. ___________________

1. Denna lag träder i kraft den 1 januari 1999.

2. Beträffande uppgift i ärende som avgjorts genom beslut av Datainspektionen före den 1 januari 1999 gäller dock fortfarande 9 kap. 6 § i den äldre lydelsen.

f) Förslag till

Lag om ändring i

Arkivlagen (1990:782)

Härigenom föreskrivs att 1, 3, 5, 6, 10, 12, och 15 §§arkivlagen (1990:782) skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

I denna lag ges bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna.

Bestämmelserna i 3–6 och 10 §§ skall tillämpas också på statliga, kommunala och kyrkokommunala beslutande församlingar.

Bestämmelserna i 3–6 samt 9 och 10 §§ skall i tillämpliga delar gälla också sådana enskilda organ hos vilka allmänna handlingar förvaras med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring.

Bestämmelserna i 3–6 samt 9 och 10 §§ skall i tillämpliga delar gälla också sådana enskilda organ som har allmänna uppgifter i sitt förvar med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring.

3 §

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, skall dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen.

En myndighets arkiv bildas av de handlingar och databaser med allmänna uppgifter som finns i myndighetens förvar.

Myndigheternas arkiv är en del av det nationella kulturarvet.

Myndigheternas arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser

1. rätten att ta del av allmänna

handlingar,

1. rätten att ta del av allmänna

uppgifter,

2. behovet av information för rättskipningen och förvaltningen, och

3. forskningens behov.

5 §

Som grund för arkivvården skall myndigheterna

1. vid registreringen av allmänna

handlingar ta vederbörlig hänsyn till dess betydelse för en ändamålsenlig arkivvård, och

1. vid registreringen av handlingar

med allmänna uppgifter ta vederbörlig hänsyn till dess betydelse för en ändamålsenlig arkivvård, och

2. vid framställningen av handlingar använda materiel och metoder som är lämpliga med hänsyn till behovet av arkivbeständighet.

2. vid framställningen av hand-

lingar och databaser använda materiel och metoder som är lämpliga med hänsyn till behovet av arkivbeständighet.

6 §

I arkivvården ingår att myndigheten skall

1. organisera arkivet på ett sådant

sätt att rätten att ta del av allmänna handlingar underlättas,

1. organisera arkivet på ett sådant

sätt att rätten att ta del av allmänna uppgifter underlättas,

2. upprätta dels en arkivbeskriv-

ning som ger information om vilka slag av handlingar som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning,

2. upprätta dels en arkivbeskriv-

ning som ger information om vilka slag av handlingar och databaser som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning,

3. skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst,

4. avgränsa arkivet genom att fast-

ställa vilka handlingar som skall vara arkivhandlingar, och

4. avgränsa arkivet genom att fast-

ställa vilka uppgifter enligt 2 kap. 10 § tryckfrihetsförordningen som skall höra till arkivet, och

5. verkställa föreskriven gallring i arkivet.

10 §

Allmänna handlingar får gallras. Allmänna uppgifter får gallras.

Vid gallring skall dock alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår skall kunna tillgodose de ändamål som anges i 3 § tredje stycket.

Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser, dock med undantag för bestämmelserna i 12 § datalagen (1973:289).

Om det finns avvikande bestämmelser om gallring av vissa allmänna uppgifter i annan lag eller i förordning gäller dessa bestämmelser.

12 §

Utöver vad som följer av bestämmelserna i 9, 10 och 11 §§ får en statlig myndighet avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av

Utöver vad som följer av bestämmelserna i 9, 10 och 11 §§ får en statlig myndighet avhända sig handlingar och databaser med allmänna uppgifter endast genom sådant återlämnande eller överlämnande som sker med stöd av

1. lag eller föreskrift som meddelas av regeringen eller den myndighet som

regeringen bestämmer, eller

2. särskilt beslut av regeringen.

Första stycket gäller inte handlingar som en myndighet har fått som lån.

15 §

Utöver vad som följer av bestämmelserna i 9, 10 och 14 §§ får en kommunal myndighet avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av

Utöver vad som följer av bestämmelserna i 9, 10 och 14 §§ får en kommunal myndighet avhända sig handlingar och databaser med allmänna uppgifter endast genom sådant återlämnande eller överlämnande som sker med stöd av

1. lag, eller

2. särskilt beslut av kommunfullmäktige eller landstingsfullmäktige.

Första stycket gäller inte handlingar som en myndighet har fått som lån. ___________________

Denna lag träder i kraft den 1 januari 1999.

UTREDNINGSARBETET

Utrednin

gs

uppdraget

Regeringen beslöt den 15 juni 1995 direktiv för utredningen (dir. 1995:91). Direktiven finns fogade till detta betänkande som bilaga 1. Dessutom har vi, liksom alla andra kommittéer, att beakta direktiven den 10 juni 1996 från regeringen om att redovisa konsekvenser för brottsligheten och det brottsförebyggande arbetet (dir. 1996:49).

Sammanfattningsvis kan sägas att vi har haft två huvuduppgifter: N Göra en total revision av datalagen och analysera på vilket sätt EG-di-

rektivet om personuppgifter skall införlivas i svensk rätt. N Anpassa grundlagsreglerna om allmänna handlingars offentlighet till

den nya tekniken.

Vi har också, enligt direktiven, haft stor frihet att ta upp de ytterligare frågor som behöver övervägas inom ramen för uppdraget.

Hur utredningen har bedrivits

Utredningstiden har varit knapp. Kommittén i sin helhet har haft sammanträde ungefär en gång per månad. Dessutom har en s.k. redaktionskommitté, bestående av ordföranden och experterna, haft sammanträde ungefär en gång per månad. Kommittéledamöterna har vidare haft ett internatsammanträde under två dagar.

Regeringen har enligt beslut vid sitt sammanträde torsdagen den 7 mars 19961 till oss lämnat över en skrivelse från Landstingsförbundet om en översyn av 23 § datalagen.

För att hämta in synpunkter från aktörer på arbetsmarknaden har vi haft en s.k. hearing till vilken inbjudits representanter för Arbetsgivarverket, Landsorganisationen i Sverige, Landstingsförbundet, SACO, Sveriges akademikers centralorganisation, Svenska Arbetsgivareföreningen, Svenska Kommunförbundet och Tjänstemännens centralorganisation.

Kommittén har varit representerad, genom ordförande eller sekreterare, vid olika konferenser och seminarier av intresse för utredningsuppdraget. Som exempel kan nämnas konferenser eller liknande ordnade av N Förvaltningspolitiska kommissionen (Fi 1995:13), N IT-kommissionen (SB 1995:01), N Folkomröstningsutredningen (Ju 1996:01), N Kommunikationsforskningsberedningen, N Europarådet, N Europeiska kommissionen, N Svenska föreningen för ADB och juridik, N Riksarkivet, N Astra, N Datainspektionen, N Statskontoret, N Institutet för rättsinformatik vid universitetet i Hannover, Tyskland, N Det nordiska juristmötet, N Europeiska Rättsakademien i Trier, N Telia Infomedia och N Centre de Recherches Informatique et Droit (CRID) vid universitetet i

Namur, Belgien.

Ordföranden och sekreterarna har deltagit i ett seminarium i Norge med representanter för de utredningar i Norden som har till uppdrag att lämna förslag till hur EG-direktivet om personuppgifter skall genomföras.

En av sekreterarna har deltagit i ett internationellt akademiskt seminarium om genomförandet av EG-direktivet arrangerat av Institutet för rättsinformatik vid universitet i Hannover.

1 Dnr Ju 95/4244.

Sekreterarna har haft ett möte angående bl.a. tolkningen av EG-direktivet med dr Ulf Brühann, Chef de l’Unité Libre circulation de l’information, protection des données et les aspects internationaux s’y référant vid generaldirektorat XV vid Europeiska gemenskapernas kommission.

Sekreterarna har därutöver haft olika kontakter med personer som medverkat vid andra länders genomförande av EG-direktivet, bl.a. kontakter med N professorn Jos Dumortier, Interdisciplinary Centre for Law & IT vid det

katolska universitetet i Leuven, Belgien, som för den belgiska regeringen har utarbetat ett förslag till genomförande av EG-direktivet, och dennes assistent, N olika representanter i den finländska kommissionen för att genomföra

direktivet, bl.a. professorn Ahti Saarenpää, universitetet i Lappland, och dataskyddsombudsmannen Jorma Kuopus, N direktøren Henrik Waaben, Registertilsynet i Danmark, och professorn

Peter Blume, Københavns universitet samt N Frau Valtraut Kotschy, Bundeskanzleramt i Österrike.

Vi har vidare under utredningsarbetets gång haft kontakter med bl.a. N Socialvetenskapliga forskningsrådet och dess etiska kommitté, N Humanistisk-samhällsvetenskapliga forskningsrådet och dess etiska

kommitté, N Nämnden för forskningsetik inom den medicinska forskningen, N Justitiekanslern, N Patent- och registreringsverket, N Socialstyrelsen, N Datatilsynet i Norge, N Commission de la protection de la vie privée i Belgien, N Föreningen Svenska Marknadsinformationsföretag och N USA:s ambassad i Stockholm.

Vi har vidare haft samråd och andra kontakter – ofta på sekretariatsnivå – med flera statliga utredningar, bl.a. N IT-kommissionen (SB 1995:01), N Ungdomens IT-råd (SB 1995:02), N IT-utredningen (Ju 1994:05), N Mediekommittén (Ju 1994:13), N Registerutredningen (Ju 1995:01), N Katalogutredningen (K 1995:06), N Utredningen om register för forskning inom rättspsykiatrin (S 1995:07),

N Utredningen om fastighetsdatasystemets författningsreglering

(Ju 1995:09), N Penningtvättutredningen (Fi 1995:18), N Pliktregisterutredningen (Fö 1996:03), N utredningen Kulturnät Sverige (Ku 1995:03), N Skatteflyktskommittén (Fi 1995:04), N Förvaltningspolitiska kommissionen (Fi 1995:13), N Utredningen om trossamfundens rättsliga reglering (C 1995:11), N Grunddatabasutredningen (Fi 1996:06) och N Utredningen för översyn av inkomstbegreppet inom bidrags- och social-

försäkringssystemen (S 1996:06).

Kommittén har spritt kunskap om utredningsuppdraget och sin verksamhet genom en s.k. hemsida på Internet.

Jur.kand. Per Hammarstedt har kontrollerat de hänvisningar betänkandet innehåller.

Dispositionen av betänkandet

Inledning

Utredningsuppdraget har innefattat två huvuduppgifter, dels göra en total översyn av 1973 års datalag och lämna förslag till hur EG-direktivet om personuppgifter kan införlivas i svensk rätt, dels anpassa grundlagsreglerna om offentlighetsprincipen till den nya tekniken.

Redovisningen av de båda huvuduppgifterna sker i två skilda delar i betänkandet. Den första delen kallas E

N NY PERSONDATALAG

och den andra

kallas

OFFENTLIGHETSPRINCIPEN I IT-SAMHÄLLET. Avsnitten i de båda delarna har

en löpande numrering. Därutöver finns avsnitt som är gemensamma för de två delarna och som inte har numrerats. Det gäller förteckningen över använda förkortningar, sammanfattningen, författningsförslagen och detta inledande avsnitt om utredningsarbetet och dispositionen av betänkandet samt de avslutande avsnitten med konsekvensredovisning och författningskommentarer. I bilaga 6 finns en gemensam litteraturförteckning och i bilaga 1 finns, som nämnts, våra utredningsdirektiv. Bilaga 7 innehåller en gemensam sammanfattning på engelska.

Sist i betänkandet – men före bilagorna – kommer de reservationer och särskilda yttranden som har avgetts.

Till varje avsnitt med överväganden – och till vissa underavsnitt – finns en ruta som innehåller en kort sammanfattning.

E N NY PERSONDATALAG

Denna del av betänkandet inleds med en kortfattad redovisning av gällande rätt i huvuddrag, dvs. en beskrivning av den föråldrade datalagen från år 1973 (avsnitt 1). Därefter följer en redovisning av tidigare försök att revidera datalagen i form av de förslag som fördes fram år 1993 av Datalagsutredningen och som i huvudsak inte följts (avsnitt 2). Även remissinstansernas synpunkter och de smärre författningsjusteringar som förslagen medfört redovisas här.

Efter denna redovisning av var vi i Sverige står i dag kommer en ganska omfattande formell analys av det nya EG-direktiv om personuppgifter som Sverige har att genomföra (avsnitt 3). Själva direktivtexten på svenska finns i bilaga 2. Även övriga internationella regler – inom OECD och Europarådet – berörs kortfattat i ett särskilt avsnitt (avsnitt 4).

Utöver information om det som redan nämnts – läget i dag i Sverige, inklusive tidigare förslag som inte kunnat godtas, och Sveriges skyldigheter i förhållande till andra stater – har vi ansett att det som utgångspunkt för våra överväganden behövs även information om det som lagstiftningen skall skydda, nämligen den personliga integriteten, om vad svenska män och kvinnor i allmänhet tycker i dessa frågor och om vad som är möjligt att göra med den nya tekniken. Våra egna undersökningar om teknikens möjligheter i dag och i framtiden har emellertid gett vid handen att det knappast finns några bestående tekniska begränsningar som bör beaktas vid utformningen av den nya persondataskyddslagstiftningen; det mesta i fråga om automatiserad behandling av personuppgifter är eller kommer att bli tekniskt möjligt. Detta redogör vi för kortfattat i ett särskilt avsnitt (avsnitt 5), och bilaga 3 innehåller en rapport med tekniska synpunkter på innehållet i betänkandet. Frågorna om innebörden av begreppet personlig integritet och om allmänhetens inställning till behandling av personuppgifter behandlas av anlitade experter vilkas rapporter finns i bilaga 4 och 5. För åsikterna i dessa rapporter svarar naturligtvis experterna själva.

Den första fråga som vi har ansett oss böra överväga är vilken allmän inriktning en ny lagstiftning för att skydda den personliga integriteten bör ha. Bör lagstiftningen reglera själva hanteringen av personuppgifter eller

bara sådan användning av uppgifter som kan karakteriseras som ett missbruk? Denna fråga, liksom frågan om hur man bör se på saken i ett längre perspektiv, berörs i det inledande avsnittet med överväganden (avsnitt 6). Den slutsats som vi kommer till i detta avsnitt kan sägas innebära att det enda sättet för oss att uppfylla uppdraget att lämna förslag till genomförande av EG-direktivet är att i enlighet med direktivet reglera hanteringen av personuppgifter och därvid nära följa direktivets uppbyggnad och struktur; i ett något längre perspektiv bör man dock försöka koncentrera sig mera på att stävja och beivra missbruk än att reglera en hantering som snart sagt alla kan hålla på med.

Mot bakgrund av den redovisade slutsatsen innehåller de följande avsnitten närmast en redogörelse för hur EG-direktivets bestämmelser lämpligen bör överföras till svensk lagstiftning och hur man bör utnyttja det spelrum som EG-direktivet medger vid genomförandet. Därvid berörs först vilka typer av behandling av personuppgifter som bör omfattas av en ny persondatalag och huruvida lagen i princip bör vara generellt tillämplig på alla behandlingstyper som bör omfattas (avsnitt 7).

Mycket av den behandling som äger rum inom främst den allmänna sektorn regleras i dag i särskilda registerförfattningar. Frågan om systemet med särskilda registerförfattningar och förhållandet mellan den nya persondatalagen och dessa författningar berörs i nästa avsnitt (avsnitt 8).

Därefter kommer två avsnitt om den betydelsefulla frågan hur EG-direktivet och den nya persondatalagen förhåller sig till den offentlighetsprincip och den yttrandefrihet som i Sverige är grundlagsfäst (avsnitt 9 och 10).

Frågan om när personuppgifter bör få utnyttjas för att forska eller framställa statistik har diskuterats mycket genom åren. Den frågan berörs i ett särskilt avsnitt (avsnitt 11). Därefter kommer ett omfattande avsnitt om det materiella innehållet (i övrigt) i den nya persondatalagen (avsnitt 12). Det avsnittet innehåller såväl allmänna överväganden som kommentarer av närmast detaljkaraktär till de föreslagna bestämmelserna.

Avslutningsvis i denna del av betänkandet finns ett avsnitt om sådana regler i den nuvarande datalagen som inte passar in i en ny persondatalag utan bör flyttas till annan lagstiftning (avsnitt 13).

Eftersom de föreslagna bestämmelserna i persondatalagen har berörts i detalj redan i den allmänna motiveringen i huvudavsnitten, innehåller det särskilda avsnittet med författningskommentarer till den föreslagna persondatalagen bara ett slags ”nyckel” med hänvisningar till de avsnitt där respektive paragraf berörs.

O FFENTLIGHETSPRINCIPEN I IT- SAMHÄLLET

I den andra delen av betänkandet föreslår vi hur bestämmelserna i 2 kap. TF om offentlighetsprincipen kan anpassas till den nya tekniken. Den innehåller till att börja med en kort beskrivning av offentlighetsprincipens grundläggande syften och dess nuvarande reglering (avsnitt 14).

Vi försöker därefter beskriva hur de tekniska förutsättningarna har ändrats sedan begreppet allmän handling fick en ny innebörd 1976 och vilka problem den då införda regleringen vållar i den nuvarande tekniska miljön (avsnitt 15). Vidare gör vi ett försök att blicka framåt när det gäller den tekniska utvecklingen och anger två utgångspunkter för våra överväganden: Offentlighetsprincipen skall vara så vid som möjligt. Reglerna skall vara så tydliga och enkla som möjligt.

I den gällande lagen är det främst begreppet handling (som omfattar varje uppgiftssammanställning som kan göras med rutinbetonade åtgärder) och förvaringsrekvisitet (som omfattar allt som är tillgängligt för myndigheten) som vållar problem. I syfte att åstadkomma en mera lättillämpad ordning föreslår vi en delvis ny begreppsapparat där begreppet allmän uppgift är centralt och där förvaringsrekvisitet återfår sin egentliga betydelse (avsnitt 16).

Rätten att använda sökverktyg för att söka eller sammanställa uppgifter är svagt utvecklad i den gällande lagen. I en modern teknisk miljö är emellertid sådana funktioner avgörande för rätten att ta del av allmänna uppgifter. Vi lämnar därför förslag till en uttrycklig bestämmelse om detta i lagen (avsnitt 17).

En fråga som är i hög grad aktuell är allmänhetens möjligheter att ta del av allmänna uppgifter på elektronisk väg. Även om frågan inte finns uttryckligen nämnd i vårt uppdrag är det oundvikligt, anser vi, att ta upp den (avsnitt 18). Vårt förslag innebär att det införs en sådan rätt, om än inte undantagslös, för allmänheten att få ut allmänna uppgifter i elektronisk form. Vi berör också något frågan om sekretessprövning av uppgifter som läggs ut allmänt tillgängliga t.ex. via en presentationsterminal eller allmänna nätverk.

Såsom vårt uppdrag anger överväger vi den s.k. biblioteksregeln särskilt (avsnitt 19). Vårt förslag till ny begreppsapparat i 2 kap. TF innebär emellertid att specialbestämmelsen i 11 § andra stycket som syftar till att bl.a. avskära kommersiella databaser från offentlighetsprincipen blir överflödig.

Enligt gällande rätt är även myndigheternas datorprogram allmänna handlingar som omfattas av offentlighetsprincipen. En rätt för allmänheten att få ut sådana i elektronisk form – i enlighet med vad vi föreslår – skulle emellertid kollidera med upphovsrätten till sådana program. Vi lämnar därför förslag till hur denna konflikt skall lösas (avsnitt 20).

Myndigheternas skyldighet att dels dokumentera de uppgifter de använder dels registrera allmänna handlingar är av grundläggande betydelse för offentlighetsprincipen, även om bestämmelserna om detta inte finns i grundlagen. Vi överväger därför dessa frågor särskilt (avsnitt 21).

Slutligen redogör vi för vilka följdändringar som den nya begreppsapparaten i 2 kap. TF bör medföra i sekretesslagen, främst i 15 kap., och i arkivlagen (avsnitt 22). Vi passar i sammanhanget också på att lämna vissa förslag till ändringar i dessa regelverk.

I författningskommentaren till 2 kap. TF, 15 kap. sekretesslagen och arkivlagen kommenteras våra förslag ytterligare. Här finns också hänvisningar till aktuella avsnitt i den allmänna motiveringen.

EN NY

PERSONDATALAG

1. Gällande rätt i huvuddrag

Datalagen var modern när den antogs år 1973. Den har ändrats ett antal gånger under årens lopp, men den är i dag ändå föråldrad, såväl innehållsmässigt som lagtekniskt. Vi har på olika sätt tagit del av erfarenheterna av lagens tillämpning. Vi har däremot inte ansett det nödvändigt att här lämna en ingående redovisning av den föråldrade lagen.2 Här ges därför bara en kortfattad och översiktlig beskrivning av regelsystemet.3

Datalagen inleds med en definition av begreppen personuppgift, personregister, registrerad och registeransvarig (1 §).

Med personuppgift avses upplysning som avser enskild person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas som personuppgifter. Enligt lagmotiven4 avses även uppgifter om en persons bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav och upplysningar i övrigt om en persons ekonomiska ställning.

Med personregister förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Bara register som förs med hjälp av ADB omfattas således av datalagen. Register som förs med hjälp av annan teknik än ADB faller i dag utanför lagens tillämpningsområde.

En personuppgift kan hänföras till en viss person antingen direkt genom själva uppgiften eller med hjälp av en identitetsuppgift som också ingår i registret. Även register som innehåller identitetsuppgifter av sådan art att bara den invigde kan utläsa vilka personer som finns registrerade omfattas av datalagen. Likaså omfattas statistiska uppgifter där beteckningar

2 Det finns en lagkommentar till lagen: Claes Kring & Sten Wahlqvist, Datalagen med kommentarer, 1989. 3 Beskrivningen bygger på Datalagsutredningens motsvarande redovisning. 4 Prop. 1973:33 s. 117.

som också återfinns på dokument gör det möjligt att knyta uppgifterna till en viss person.

Med begreppet registrerad avses en enskild person om vilken det förekommer en personuppgift i ett personregister.

Registeransvarig är den för vars verksamhet personregister förs, om han eller hon förfogar över registret. Såväl fysiska som juridiska personer och myndigheter kan vara registeransvariga.

Bara den som har anmält sig till Datainspektionen och fått licens får inrätta och föra personregister (2 §). Datainspektionen granskar inte anmälan i sak utan ger bara den registeransvarige ett bevis (licens) om att anmälan har gjorts samt ett särskilt licensnummer (10 § dataförordningen). En licens berättigar den registeransvarige att föra ett eller flera personregister. Licens behövs inte för personregister som en enskild person inrättar eller för uteslutande för personligt bruk (2 § 3 st.).

Den som fått licens skall betala en årlig avgift till Datainspektionen.5Inspektionen får, om det finns särskilda skäl, sätta ned eller efterskänka avgiften. Avgifterna finansierar inspektionens verksamhet.

Med hjälp av ADB för Datainspektionen ett register över licensanmälningar, licensregistret (3 § dataförordningen). Licensregistret får Datainspektionen använda för sin tillsyns- och informationsverksamhet samt som underlag för uppbörd av licensavgifter.

För vissa typer av register med känsliga uppgifter krävs utöver licens även ett särskilt tillstånd från Datainspektionen (2 § 2 st. datalagen). Sådant tillstånd behövs i regel för att inrätta och föra register som innehåller

a) i sig känsliga personuppgifter,

b) omdömen om den registrerade,

c) uppgifter om personer som saknar sådan anknytning till den registeran-

svarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande samt

d) personuppgifter som hämtas in från något annat personregister (s.k.

samkörning), om inte registreringen av uppgifterna eller utlämnandet av dessa sker med stöd av författning, Datainspektionens beslut eller den registrerades medgivande.

Tillstånd behövs inte för personregister som någon inrättar eller för uteslutande för personligt bruk (2 § 3 st.). Tillstånd behövs inte heller för register

5 1 och 3 §§ förordningen (1982:481) om avgifter för Datainspektionens verksamhet.

vars inrättande beslutats av riksdagen eller regeringen (s.k. statsmaktsregister) eller för register som har tagits emot för förvaring av en arkivmyndighet (2 a § 1 st. 1 och 3). För sådana personregister som ofta förekommer inom en viss verksamhet för ett visst ändamål kan det meddelas särskilda föreskrifter (19 §). Följer den registeransvarige sådana föreskrifter, behövs inte något tillstånd (2 a § 1 st. 2).

Sammanslutningar får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sammanslutningen (2 a § 2 st. 1).

Myndigheter inom hälso- och sjukvården får utan tillstånd för vård- eller behandlingsändamål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt (2 a § 2 st. 2). Likaså får myndigheter inom socialtjänsten utan tillstånd inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten (2 a § 2 st. 3).

Läkare och tandläkare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har fått reda på i sin yrkesverksamhet (2 a § 2 st. 4).

Arbetsgivare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren skall kunna avgöra om han eller hon skall påbörja en rehabiliteringsutredning enligt 22 kap. 3 § andra stycket lagen (1962:381) om allmän försäkring (2 a § 2 st. 5).

Vid sin tillståndsprövning skall Datainspektionen ta ställning till om det finns anledning att anta att registreringen medför ett otillbörligt intrång i den registrerades personliga integritet. Om så anses vara fallet, skall tillstånd inte meddelas. Vid prövningen skall inspektionen särskilt beakta N arten och mängden av de personuppgifter som skall ingå i registret, N hur och från vem uppgifterna skall hämtas in, N vilken inställning de som kan komma att registreras har eller kan antas

ha till saken och N att inte andra uppgifter eller andra personer registreras än som står i

överensstämmelse med ändamålet med registret (3 §).

Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande och förande av personregister som omfattar andra än medlemmar, anställda

eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning (3 a §).

Det krävs synnerliga skäl för att andra än myndigheter som enligt lag eller annan författning har att föra förteckning över sådana uppgifter skall kunna få tillstånd att inrätta och föra personregister som innehåller vissa angivna typer av känsliga uppgifter, såsom exempelvis uppgift om att någon misstänks eller har dömts för brott eller varit föremål för vissa tvångsingripanden (4 § 1 st.).

Tillstånd att inrätta och föra personregister som i övrigt innehåller uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen får bara om det finns särskilda skäl meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter. Särskilda skäl krävs även för registrering av uppgifter om någons ras eller politiska uppfattning eller religiösa övertygelse (4 § 2–3 st.).

När Datainspektionen meddelar tillstånd att inrätta och föra personregister, skall inspektionen samtidigt meddela beslut om ändamålet med registret (5 §). I den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet skall inspektionen i samband med tillståndsgivningen även meddela särskilda villkor (6 §). Sådana villkor får meddelas beträffande exempelvis inhämtande av uppgifter, vilka personuppgifter som får ingå i registret, utlämnande, bevaring och gallring.

Personregister skall inrättas och föras så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. I 7 § anges närmare vad som skall iakttas för att nå upp till vad som brukar kallas ”god registersed”. Den registeransvarige är också skyldig att förteckna de personregister som han eller hon är ansvarig för (7 a §). Förteckningen skall vara aktuell och hållas tillgänglig för Datainspektionen.

I datalagen finns också särskilda bestämmelser om ADB-användningen som är avsedda att garantera att personuppgifter är riktiga och fullständiga. Dessa bestämmelser, som återfinns i 8 och 9 §§, behandlar bl.a. rättelse av oriktiga och missvisande uppgifter.

En central bestämmelse är vidare 10 §. Den ger den enskilde en rätt till insyn i personregister. Där stadgas att den registeransvarige på skriftlig begäran av den enskilde skall underrätta denne om innehållet i registret, såvitt gäller honom eller henne. Ett sådant registerutdrag, s.k. § 10-utdrag, har den enskilde rätt att kostnadsfritt få en gång per år.

I datalagen finns allmänna bestämmelser om gallring av personuppgifter och om vad som skall iakttas då en registeransvarig upphör att föra ett personregister för vilket Datainspektionen har meddelat tillstånd (12 §). Vissa bestämmelser om tystnadsplikt finns i 13 §.

En särskild bestämmelse om dokumentationsskyldighet avser att göra det möjligt att i efterhand fastställa vilka uppgifter i en ADB-upptagning som har legat till grund för avgörandet av ett mål eller ärende hos en myndighet. Sådan ADB-upptagning skall tillföras handlingarna i målet eller ärendet i läsbar form. Undantag gäller bara om det finns särskilda skäl (14 §).

Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i registrerads personliga integritet (15–18 §§).

Inspektionen har möjlighet att meddela villkor eller, om rättelse inte kan åstadkommas på annat sätt, förbjuda förandet av personregister eller återkalla meddelade tillstånd.

Datainspektionens beslut enligt datalagen kan överklagas till länsrätten i Stockholm eller, när en statlig myndighet är registeransvarig, regeringen. Justitiekanslern får föra talan för att ta till vara allmänna intressen. (25 §.)

Bestämmelser om straff och skadestånd finns i 20–21 och 23 §§. Ett personregister kan förklaras förverkat, om det inrättas eller förs utan nödvändig licens eller tillstånd (22 §).

I datalagen regleras även det statliga person- och adressregistret (SPAR), 26–28 §§.

Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan, handläggningen hos Datainspektionen, verkställighetsföreskrifter och bistånd till personer som är registrerade utomlands finns i dataförordningen.

2. Datalagsutredningens förslag och utvecklingen därefter

2.1. Inledning

Datalagsutredningen presenterade sitt slutbetänkande, En ny datalag (SOU 1993:10), i februari 1993. I sitt arbete hade utredningen beaktat bl.a. det då föreliggande förslaget till EG-direktiv om skydd för enskilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter. Utredningens förslag hade till stora delar anpassats till direktivförslaget. Vissa avvikelser förekom emellertid. Sådana bestämmelser i direktivförslaget som inkräktade på den svenska offentlighetsprincipen skulle enligt utredningen inte införas. Utredningen ansåg inte heller att direktivförslagets bestämmelser om anmälningsskyldighet för automatisk databehandling av personuppgifter skulle genomföras fullt ut.

Utredningen var inte enig i alla frågor. Till betänkandet fanns fogat skiljaktiga meningar och särskilda yttranden.

Utredningens förslag har remissbehandlats. Regeringen lämnade i prop. 1993/94:116 förslag till ändringar i regeringsformen (RF) som bl.a. innebar att regeringen skulle kunna delegera viss normgivningskompetens till Datainspektionen avseende skyddet för den personliga integriteten vid automatisk databehandling av personuppgifter. Vidare anförde regeringen att beslut om en ny datalag borde anstå till dess slutlig ställning hade tagits till EG-direktivet. Vissa angelägna ändringar i datalagen borde enligt regeringen dock vidtas innan dess, och förslag till sådana lämnades i prop. 1993/94:217. Riksdagen beslutade om ändringar i enlighet med de båda förslagen och de nya bestämmelserna trädde i kraft den 1 januari 1995.6

6 SFS 1994:1480 respektive 1994:1485.

Nedan lämnas först en kort sammanfattning av Datalagsutredningens förslag med noteringar om huvuddragen i remissvaren. Därefter följer en presentation av den lagstiftning som beslutats till följd av förslaget.

2.2. Sammanfattning av Datalagsutredningens förslag

2.2.1. Lagens tillämpningsområde

Datalagens tillämpningsområde är knutet till begreppet personregister. Datalagsutredningen föreslog att tillämpningsområdet i stället skulle definieras så att lagen var tillämplig på varje behandling av personuppgifter med hjälp av automatisk databehandling, även t.ex. lagring och utlämnande. En sådan definition skulle emellertid leda till att lagens tillämpningsområde blev mycket omfattande. Utredningen konstaterade att vissa undantag måste göras. Undantag skulle enligt förslaget bl.a. göras för sådan behandling som sker uteslutande för personligt bruk eller som avser personuppgifter som ingår i uppslagsverk, ordböcker eller liknande referensmaterial. Vidare skulle inte heller sådana personuppgifter som förekommer i löpande text (ord- och textbehandling) omfattas av lagen.

Remissinstanserna var positiva till att begreppet ”personregister” ersattes med ”behandling av personuppgifter”. Flera instanser pekade dock på de gränsdragningsproblem som kan tänkas uppkomma mellan sådan ord- och textbehandling som faller utanför lagens tillämpningsområde och sådana behandlingar av texten, t.ex. sökningar i den, som omfattas av lagen.

Liksom tidigare skulle datalagen enligt utredningens förslag gälla enbart sådan behandling som sker med hjälp av automatisk databehandling. Detta begrepp borde enligt utredningen inte definieras, bl.a. eftersom en sådan definition snabbt skulle bli inaktuell. I den föreslagna lagen har emellertid klargjorts att i vissa fall även manuella hanteringar av personuppgifter kan omfattas av lagen. Begreppet behandling skulle nämligen innefatta även insamling av personuppgifter som avses bli föremål för automatisk databehandling. Helt manuella behandlingar skulle däremot falla utanför lagens tillämpningsområde.

Remissinstanserna var oeniga i frågan om även helt manuella register skulle omfattas av lagen. Några pekade på fördelarna med att göra lagen

helt teknikoberoende, medan andra var av den åsikten att det är just den omständigheten att uppgifterna behandlas automatiskt som gör förfarandet riskfyllt från integritetssynpunkt.

2.2.2. Förhållandet till offentlighetsprincipen

Utredningen hade som utgångspunkt att inga inskränkningar skulle göras i offentlighetsprincipen, som bl.a. innebär att alla medborgare har rätt att ta del av myndigheternas handlingar (2 kap. 1 § TF). Förslaget till EG-direktiv innehöll, enligt utredningens bedömning, inget formellt hinder mot utlämnande av personuppgifter med stöd av offentlighetsprincipen. I förslaget till ny datalag togs i några bestämmelser dock in en erinran om myndighets skyldighet att lämna ut uppgifter enligt TF. Offentlighetsprincipen innefattar också en rätt för den enskilde att i samband med utfående av sådana uppgifter vara anonym (2 kap. 14 § 3 st. TF). Här måste enligt utredningen göras en avvikelse från direktivförslaget, som innebar att när uppgifter om någon person lämnas ut skall personen underrättas om detta och om vem som har fått del av uppgifterna.

Remissinstanserna uttryckte stöd för att offentlighetsprincipen skall behållas i nuvarande omfattning.

2.2.3. Förhållandet till yttrandefriheten

Datalagsutredningen konstaterade att konflikter kunde uppstå mellan å ena sidan datalagen och å andra sidan de bestämmelser i tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL) som gäller förbud mot censur och annan förhandsgranskning samt rätten för meddelare m.fl. att vara anonyma. Utredningen utgick från att grundlagsbestämmelserna även i fortsättningen skulle tillämpas framför datalagstiftningen vid en konflikt mellan dem, även om skyddet mot otillbörligt intrång i den personliga integriteten i samband med personregistrering med hjälp av automatisk databehandling också har visst grundlagsskydd (2 kap. 3 § 2 st. RF). Någon saklig förändring borde därför enligt utredningen inte göras. Däremot borde det framgå av datalagen att vissa datasamlingar till följd härav inte faller under datalagens tillämpningsområde.

Undantag från lagens tillämpning borde enligt utredningen göras för produktionsregister, dvs. personregister som används som ett direkt tekniskt hjälpmedel i samband med framställning av ett grundlagsskyddat yttrande. Datainspektionens tillsynsverksamhet enligt datalagen skulle näm-

ligen, enligt utredningen, till stora delar strida mot förbudet att granska eller i övrigt vidta någon hindrande åtgärd i samband med framställning av yttrande (1 kap. 2 § TF och 1 kap. 3 § YGL). Vidare borde undantag göras för sådana register som används direkt i den journalistiska verksamheten och som innehåller uppgifter om personer som omfattas av anonymitetsskyddet i 3 kap. 1 § TF. Utredningen pekade på risken att sådana uppgifter kan avslöjas t.ex. i samband med tillsyn av Datainspektionen. Detta skulle i så fall kollidera med anonymitetsskyddet. För övrigt ansåg utredningen att just anonymitetsskyddet i detta sammanhang är det bästa skyddet för den personliga integriteten. Utredningen föreslog slutligen att även klipparkiven skulle undantas, dvs. arkiv som innehåller tidigare publicerade artiklar samt bevarade radio- och TV-inslag. I det sammanhanget gjorde utredningen följande bedömning. Det skulle vara olämpligt om Datainspektionen kunde meddela villkor som t.ex. innebar att tidningarnas egen tillgång till tidigare publicerat material begränsades. Sådana villkor skulle vidare kunna innebära restriktioner i fråga om tryckfriheten. Man ansåg slutligen att allmänheten inte genom datalagen borde hindras från att ta del av sådant material, eftersom det tidigare varit publicerat.

Remissinstanserna gav starkt stöd åt utredningens uttalanden om att bestämmelserna i TF och YGL skall gälla framför datalagen. Flera remissinstanser ansåg dock inte att klipparkiven generellt borde undantas från lagen. Till den del klipparkiven inte kan anses utgöra produktionsregister skulle de, enligt dessa instanser, vara underkastade lagens tillämpning eftersom de inte sällan innehåller känsliga personuppgifter. Å andra sidan förordade många instanser att all behandling av personuppgifter som används i publicistiskt syfte borde undantas från lagen, alltså även uppgifter som använts av journalister, författare m.fl. men som inte blivit publicerade.

2.2.4. Tillstånd eller tillsyn

Tillståndsförfarandet enligt datalagen borde enligt utredningen avskaffas. En alltför stor del av Datainspektionens resurser måste läggas på tillståndsärendena på bekostnad av tillsynsverksamheten menade man. Utredningen gjorde den bedömningen att om mera tid kunde ägnas åt tillsyn, t.ex. inspektioner, skulle detta leda till en bättre efterlevnad av bestämmelserna på området. Vidare upptar många tillståndsansökningar behandling av både känsliga och icke-känsliga uppgifter. I sådana fall får Datainspektionen ägna tid åt granskning av uppgiftsbehandling som inte är känslig.

Dessa resurser borde enligt utredningen i stället läggas på tillsynsverksamheten.

En klar majoritet av remissinstanserna ställde sig positiva till en övergång från en ordning som bygger på tillstånd till ett tillsynssystem.

Enligt förslaget skulle det i stället för tillstånd krävas en anmälan till Datainspektionen för behandling av känsliga personuppgifter. Anmälningarna skulle ligga till grund för inspektionens tillsynsverksamhet. Anmälningsavgifter skulle dessutom finansiera inspektionens verksamhet.

Av de remissinstanser som yttrat sig i frågan avstyrkte de flesta ett införande av en anmälningsplikt för vissa typer av register. Många uttalade farhågor för att anmälningsförfarandet skulle ta stora resurser i anspråk utan att anmälningarna skulle komma att utgöra någon bra grund för tillsynen. En del remissinstanser menade att Datainspektionens verksamhet borde skattefinansieras.

2.2.5. Den materiella regleringen i datalagen

2.2.5.1 Regler för de olika momenten i behandlingen

Eftersom kravet på tillstånd enligt förslaget skulle försvinna helt, var det enligt utredningen nödvändigt att direkt i lagen ta in tydliga och utförliga bestämmelser som reglerar behandlingen av personuppgifter. Flera allmänt hållna begrepp t.ex. ”otillbörligt intrång i personlig integritet” måste därför ersättas med klarare regler, så att det blir möjligt för en enskild att avgöra om den behandling av personuppgifter som planeras eller utförs uppfyller lagens krav eller ej. Begreppet ”otillbörligt intrång” borde därför enligt utredningen ersättas med regler för de olika momenten i behandlingen. Det skulle med andra ord framgå direkt av lagen i vilka fall det är tillåtet att behandla personuppgifter utan att någon integritetsbedömning först behöver göras.

Remissinstanserna tillstyrkte i huvudsak den metod som utredningen hade valt.

2.2.5.2 Personuppgift

Definitionen av begreppet personuppgift skulle enligt förslaget anpassas bättre till internationella regler. Detta skulle innebära att fler uppgifter än nu omfattas, nämligen alla uppgifter som direkt eller indirekt går att här-

leda till en individ. I syfte att begränsa de uppgifter som behandlas skulle endast sådana uppgifter som behövs för angivna ändamål få behandlas.

Remissinstanserna lämnade förslaget i stort sett utan erinran.

2.2.5.3 Persondataansvarig

Bestämmelserna om vem som är persondataansvarig (tidigare registeransvarig) borde enligt utredningen utformas på ett sådant sätt att det blev lättare att avgöra hos vem ansvaret låg, särskilt beträffande data som används av flera olika rättssubjekt. Enligt förslaget skulle den vara ansvarig som bestämmer ändamålet med behandlingen, vilka personuppgifter som skall behandlas och hur de skall behandlas. Detta skulle bl.a. medföra att ansvaret läggs på den som har möjlighet att faktiskt påverka innehållet i uppgifterna.

Flera av remissinstanserna ställde sig positiva till förslaget att koncentrera ansvaret för en viss databehandling till ett rättssubjekt. Samtidigt pekade många på svårigheterna att åstadkomma detta i en situation där alltfler system används av flera olika myndigheter och flödet av uppgifter mellan olika rättssubjekt ökar. Många instanser ansåg därför att den aktuella bestämmelsen borde bli föremål för förnyade överväganden.

2.2.5.4 Ändamålsanknytningen

All behandling av personuppgifter skulle, liksom tidigare, ha anknytning till ett visst ändamål för att vara tillåten. Bestämmelsen borde enligt utredningen dock preciseras, så att det framgick att ändamålet skall vara uttryckligt angivet och definieras så snävt som möjligt. Ändamålet skulle bestämmas av den som ansvarar för behandlingen av personuppgifterna (den persondataansvarige). Ändamålsanknytningen skulle enligt utredningen vidare fungera som avgränsning mellan olika persondatasamlingar sedan registerbegreppet lämnats. Ytterst skulle det angivna ändamålet också bestämma i vilken omfattning datorlagrade uppgifter hos en myndighet utgör allmän handling och därmed faller under offentlighetsprincipen.

Remissinstanserna var i huvudsak positiva till utredningens ställningstaganden. Några ansåg dock att det borde uppställas ytterligare krav i lagen på att ändamålsbestämningarna är noggrant preciserade. Några instanser ifrågasatte om de ändamål som bestämts av den persondataansvarige själv verkligen bör få avgöra i vilken omfattning uppgifterna skall betraktas som

allmän handling, oavsett vilka uppgiftssammanställningar som i och för sig är tekniskt möjliga att göra.

2.2.5.5 Förutsättningarna för att få behandla personuppgifter

Vidare borde förutsättningarna för att få behandla personuppgifter framgå direkt av lagen, i stället för som nu – oftast indirekt – som undantag från tillståndsplikten. Personuppgifter skulle enligt förslaget få behandlas endast N om den enskilde hade samtyckt till behandlingen, eller om behandlingen behövdes för att N fullgöra ett avtal med den enskilde eller för att på den enskildes begäran

vidta förberedande åtgärder inför ett avtal, N fullgöra åligganden som följer av lag eller annan författning, N skydda enskilda intressen som är av väsentlig betydelse för den en-

skilde, N utföra en uppgift i det allmännas intresse eller i myndighetsutövning av

den persondataansvarige eller någon till vilken uppgifterna lämnas ut, eller N tillgodose ett allmänintresse eller ett intresse hos den persondataansva-

rige eller någon till vilken uppgifterna lämnas ut, under förutsättning att detta intresse får anses väga tyngre än den enskildes intresse av att uppgifterna om honom inte behandlas.

Dessa bestämmelser skulle också reglera i vilka fall sambearbetningar av uppgifter från olika datasamlingar är tillåten. Särskilda regler skulle gälla för behandling av känsliga personuppgifter.

Remissinstanserna hade i huvudsak inte några invändningar mot den föreslagna konstruktionen. Några menade dock att bestämmelserna till viss del borde förtydligas så att det klarare framgick vad som var tillåtet respektive otil??låtet, detta särskilt mot bakgrund av att ett otillåtet förfarande föreslogs bli straffbelagt.

2.2.5.6 Känsliga personuppgifter

För att få behandla känsliga personuppgifter föreslog Datalagsutredningen att det skulle krävas författningsstöd, om inte den registrerade hade lämnat skriftligt samtycke till behandlingen. Enligt förslaget till EG-direktiv skulle för behandling av sådana uppgifter krävas antingen en särskild författningsreglering eller ett tillståndsförfarande. Eftersom tillståndsförfa-

randet enligt utredningens förslag skulle upphöra, återstod möjligheten att reglera sådan behandling i författning (s.k. statsmaktsregister).

Sambearbetning av känsliga personuppgifter skulle enligt utredningsförslaget kräva särskilt stöd i den författning som reglerar bearbetningen, om inte samtycke föreligger.

De remissinstanser som yttrade sig i frågan var huvudsakligen positiva till att behandling av känsliga personuppgifter författningsregleras. Flera ansåg att det skulle vara praktiskt taget omöjligt att i stället tillämpa ett förfarande där samtycke krävs i varje enskilt fall för behandlingen. Några instanser, särskilt inom den kommunala och landstingskommunala sektorn, pekade på det kommande behovet av ett tämligen omfattande författningsarbete.

Utredningen föreslog vidare att två typer av sådana register som innehåller känsliga personuppgifter skulle regleras direkt i datalagen. Behandling av känsliga personuppgifter för forsknings- eller statistikändamål och vissa typer av känsliga personuppgifter för anställningsändamål skulle under särskilda i lagen uppräknade fall kunna ske utan samtycke av de registrerade. Den allmänna bestämmelsen om att uppgifter inte får behandlas för andra ändamål än de som ursprungligen angetts skulle gälla även på forskningsområdet.

En klar majoritet av remissinstanserna tillstyrkte förslaget att nämnda typer av behandlingar som huvudregel skulle kräva samtycke av dem vars uppgifter behandlas. Några instanser, företrädesvis inom forskningssektorn, ansåg att förslaget skulle leda till inskränkningar i forskningsverksamheten. Det är ofta svårt, menade man, att i förväg ange uttömmande vad uppgifterna kommer att användas till, t.ex. inom den medicinska forskningen. Andra instanser menade att undantagen från huvudregeln om samtycke för behandling av personuppgifter på forskningsområdet var alltför långtgående. När det gäller behandlingen av personuppgifter i samband med anställningsförhållanden ansåg vissa att undantag från kravet på samtycke endast skulle göras för löneberäkningar eller liknande.

2.2.5.7 Gallring av personuppgifter

Utredningen föreslog att integritetsintressena skulle beaktas i större omfattning än tidigare i gallringssammanhang utan att det för den skull gjordes några avsteg från offentlighetsprincipen. I en särskild bestämmelse angavs därför hur avvägningen skall göras mellan intresset att bevara uppgifterna för framtiden och intresset hos den enskilde att uppgifterna gallras.

Flera remissinstanser var kritiska mot den föreslagna bestämmelsen, som man ansåg vara oklar. Det måste, menade dessa instanser, klart framgå vem – Datainspektionen eller arkivmyndigheten – som har den slutliga bestämmanderätten i fråga om gallring.

2.2.6. Bemyndigande att meddela föreskrifter

Utredningen konstaterade att datalagen även i fortsättningen måste kunna kompletteras med bestämmelser på lägre nivå. Datainspektionen kan meddela sådana föreskrifter t.ex. i tillståndsärenden. Eftersom tillståndsförfarandet skulle slopas, föreslog utredningen att det i stället skulle tas in en bestämmelse i datalagen, som gav regeringen möjlighet att delegera till Datainspektionen att meddela närmare föreskrifter om tillämpningen av datalagen inom olika branscher eller sektorer. En sådan bestämmelse förutsatte emellertid även en ändring i 8 kap. 7 § RF.

Ändringar av det slag som utredningen föreslog har införts och trätt i kraft den 1 januari 1995.7

2.3. Sammanfattning av remissutfallet

Det rådde stor enighet bland remissinstanserna om att det behövs en ny datalag och att den bör vara anpassad till den internationella regleringen, bl.a. det kommande EG-direktivet. Huvuddelen av instanserna ansåg att en ny lag bör avvakta EG-direktivet, men några menade att det är så angeläget att en ny datalag kommer till stånd att man inte skall vänta på direktivet.

Vidare uttalade en klar majoritet av instanserna att den svenska offentlighetsprincipen skall behållas i sin nuvarande omfattning och att – om det skulle behövas – EG-direktivet får stå tillbaka på den punkten. Vissa pekade på den intressekonflikt som kan finnas mellan offentlighet och effektivitet i förvaltningen å ena sidan och personlig integritet å den andra. Det rådde mellan instanserna delade meningar om vilket intresse som skall väga tyngst. Några ansåg att det borde analyseras ytterligare vilka konsekvenser den nya lagen skulle få för offentlighetsprincipen.

Huvuddelen av instanserna ansåg att det skall göras undantag från datalagen för att skydda yttrandefriheten enligt TF och YGL. Däremot var de

7 SFS 1994:1480 och 1994:1485.

inte överens om hur ett sådant undantag i praktiken skulle utformas. Vissa menade att utredningens förslag skulle innebära att alltför stor del av den behandling av personuppgifter som förekommer inom detta område undantogs från lagens tillämpning. Dessa instanser ansåg att ett alltför omfattande undantag kan medföra intrång i den personliga integriteten. Andra menade att undantaget var för snävt och ansåg att den omständigheten att man reglerar användningen av datorer inte får inskränka den grundlagsfästa yttrandefriheten.

Det rådde stor enighet bland remissinstanserna om att tillståndssystemet borde avskaffas till förmån för ett renodlat tillsynsförfarande. Många påpekade att detta förutsätter klara och precisa regler i datalagen som kan förstås av var och en, och många ansåg att lagförslaget inte uppfyller detta krav. Den föreslagna lagen lämnar, enligt vissa, åt den enskilde att efter avvägningar mellan skilda intressen själv avgöra om en behandling av personuppgifter är tillåten eller inte. Några instanser ansåg att en sådan reglering är otillfredsställande, särskilt eftersom den som inte följer bestämmelserna kan straffas.

Många var kritiska till det föreslagna anmälningsförfarandet som enligt dessa instanser skulle vålla onödig och kostsam byråkrati. Datainspektionens verksamhet borde, enligt vissa, i stället för att betalas genom anmälningsavgifter finansieras via statsbudgeten. En del uttalade också kritik mot de föreslagna bestämmelserna om information och underrättelser till de registrerade. Även dessa regler ansågs av vissa vålla alltför stora kostnader.

Remissinstanserna var generellt sett positiva till en övergång från ”personregister” till ”personuppgifter”. Vissa menade att även manuella register bör omfattas av lagen.

Flera instanser ifrågasatte utredningens tolkning av bestämmelserna om ändamålsanknytning. Enligt denna skulle de ändamål för behandlingen av personuppgifter som bestämts av den persondataansvarige själv få avgöra vilka uppgifter som är offentliga. Dessa instanser ansåg att en sådan ordning i praktiken skulle innebära en inskränkning av offentlighetsprincipen. En sådan inskränkning välkomnades emellertid av några andra.

De flesta var i huvudsak positiva till förslaget att behandling av känsliga personuppgifter författningsregleras. Det andra alternativet – att kräva samtycke i varje enskilt fall av den registrerade – avvisades. När det gällde de föreslagna reglerna om behandling av känsliga uppgifter för forsknings- eller statistikändamål rådde delade meningar. De flesta tillstyrkte förslaget att sådana behandlingar som huvudregel skulle kräva samtycke. Andra

menade att förslaget skulle leda till inskränkningar för forskningen medan andra åter menade att undantagen för forskning var alltför långtgående.

Några remissinstanser var kritiska mot att förslaget inte innehöll en – som de ansåg nödvändig – kostnadsanalys.

2.4. Genomförda förändringar

2.4.1. Sammanfattning

Datalagsutredningens förslag har legat till grund för vissa ändringar i bl.a. datalagen. Genom en ändring i 8 kap. 7 § RF öppnades en möjlighet för regeringen att efter bemyndigande i lag delegera normgivningskompetens till Datainspektionen i fråga om automatisk databehandling av personuppgifter.8 Grundlagsändringen har följts upp med ändringar i datalagen.9Ändringarna trädde i kraft den 1 januari 1995.

I samma lagstiftningsärende vidtogs ytterligare, som det bedömdes, angelägna förändringar. Skyldigheten att inhämta särskilt yttrande från Datainspektionen inför inrättande av s.k. statsmaktsregister togs bort. Datainspektionen fick vidare möjlighet att förena föreskrifter och förbud med vite. Slutligen infördes nya regler om överklagande. Datainspektionens beslut skall inte längre överklagas till regeringen utan till allmän förvaltningsdomstol. Endast i de fall den registeransvarige är en myndighet skall regeringen även i fortsättningen pröva överklagandet.

2.4.2. Normgivningen på dataskyddsområdet

2.4.2.1 Bakgrund

Datalagen innehöll från början ett generellt krav på tillstånd från Datainspektionen för alla typer av automatiskt förda personregister. Endast sådana register som var beslutade av riksdag eller regering var undantagna från tillståndsplikten. Vissa inskränkningar i tillståndskravet genomfördes den 1 juli 1979.10 Härigenom undantogs register som fördes med viss

8 SFS 1994:1480. 9 SFS 1994:1485. 10 SFS 1979:334.

teknisk utrustning och där det framstod som uppenbart att otillbörligt intrång i de registrerades personliga integritet inte skulle uppkomma (t.ex. sådan behandling som utfördes i s.k. hemdatorer). Tillståndshanteringen blev emellertid med tiden alltmer omfattande. I syfte att begränsa Datainspektionens tillståndsverksamhet ytterligare togs det generella tillståndskravet bort den 1 juli 1982.11 Endast sådana personregister som är särskilt känsliga från integritetssynpunkt har därefter varit underkastade ett tillståndskrav.

2.4.2.2 Datainspektionens normgivning

Datainspektionen saknade tidigare formell möjlighet att meddela generella föreskrifter för behandling av personuppgifter. Föreskrifter kunde endast meddelas i varje enskilt tillståndsärende. I övrigt kunde inspektionen genom sin informations- och rådgivningsverksamhet påverka de registeransvariga. Datainspektionen hade emellertid redan under 1970-talet börjat tillämpa ett förenklat tillståndsförfarande som i praktiken innebar att inspektionen för vissa verksamhetsområden utfärdade generella föreskrifter. Inspektionen kunde sedan i det enskilda tillståndsärendet, genom att hänvisa till sådana föreskrifter, efter en mer summarisk kontroll låta föreskrifterna bli gällande i det individuella fallet. Det förenklade tillståndsförfarandet fyllde det behov som fanns av generella föreskrifter på olika områden.

Med Datalagsutredningens förslag som grund infördes den 1 januari 1995 bestämmelser i datalagstiftningen som öppnade möjlighet för Datainspektionen att meddela generella föreskrifter för personregister som ofta förekommer inom en viss verksamhet.12 Samtidigt infördes ett undantag från tillståndsplikten för sådana register som inrättas och förs i enlighet med sådana av Datainspektionen meddelade föreskrifter. Tanken på att införa krav på en speciell anmälningsskyldighet för sådana register avvisades i motiven.13 Ändringen syftade till att minska Datainspektionens tillståndshantering och därigenom lämna mer utrymme för tillsynsverksamheten.14

11 SFS 1982:446. 12 19 § datalagen och 14 § dataförordningen, SFS 1994:1485 respektive SFS 1994:1487. 13 Prop. 1993/94:217 s. 20 14 A. prop. s. 15 f.

Datainspektionens normgivningskompetens avser endast en regelutfyllnad av datalagens bestämmelser. Tanken är att föreskrifterna skall vara tämligen detaljerade och i sak ligga nära enskilda tillståndsbeslut. Möjligheten till delegerad normgivningskompetens skall inte påverka strävandena att reglera särskilt integritetskänsliga personregister genom speciella registerförfattningar, något som särskilt poängterades vid utskottsbehandlingen.15 Normgivningskompetensen avser vidare endast personregister som ofta förekommer inom en viss verksamhet (branscher och sektorer) och för ett visst ändamål. Normgivningsrätten innefattar inte någon rätt för Datainspektionen att utfärda generella föreskrifter om gallring av allmänna handlingar. Datainspektionens kompetens omfattar såväl privat som statlig och kommunal verksamhet.16

Datainspektionen har hittills meddelat generella föreskrifter för N församlingsregister och ministerialböcker i Svenska kyrkans verksamhet

(DIFS 1995:3), N vissa personregister i kommunal verksamhet (DIFS 1995:5), N vissa direktreklamregister (DIFS 1995:6), N vissa tillståndspliktiga personregister i försäkringsrörelse

(DIFS 1996:2), N protokollsregister hos kommuner och landsting (DIFS 1996:3), N uppdragsregister i advokatverksamhet (DIFS 1996:5), N personregister över nämndemän, särskilda ledamöter och jurymän

(DIFS 1996:6) och N domstolars personregister över tolkar (DIFS 1996:7).

2.4.3. Yttranden från Datainspektionen

Tidigare skulle yttrande inhämtas från Datainspektionen innan riksdagen eller regeringen fattade beslut om personregister (statsmaktsregister). Tanken var bl.a. att otillbörlighetsbedömningen skulle ske enhetligt oavsett om det gällde ett tillståndspliktigt register eller ett register som inrättades direkt av statsmakterna.17 I syfte att minska inspektionens arbetsbörda togs denna skyldighet enligt 2 a § datalagen bort den 1 januari 1995.18 I moti-

15 KU 1994/95:10 s. 6 16 Prop. 1993/94:217 17 Prop. 1973:33 s. 120 18 Prop. 1993/94:217 s. 23

ven uttalades att Datainspektionen ändå får tillfälle att avge synpunkter, bl.a. mot bakgrund av den skyldighet som regeringen har enligt 7 kap. 2 § RF att inhämta vissa upplysningar och yttranden från myndigheter under beredningen av regeringsärendena. Vidare anfördes att det är vanligt att inspektionen deltar i beredningsarbetet inför inrättandet av statsmaktsregister samt att inspektionen regelmässigt är remissorgan i sådana lagstiftningsärenden.

2.4.4. Vite

Om förandet av ett personregister har lett till otillbörligt intrång i personlig integritet, kan Datainspektionen meddela föreskrifter för att förhindra fortsatt sådant intrång (18 § datalagen). När det gäller statsmaktsregister får sådana föreskrifter inte stå i strid med beslut av regeringen eller riksdagen. Om intrånget inte kan hindras på något annat sätt, får Datainspektionen förbjuda fortsatt förande av registret eller återkalla ett meddelat tillstånd. Detta gäller inte statsmaktsregister. För överträdelse av sådana föreskrifter eller förbud är föreskrivet straff (20 § 1 st. 2 p.). Någon möjlighet för Datainspektionen att ingripa mot förfaranden som stred mot sådana förelägganden eller förbud fanns inte tidigare. Genom lagändringen infördes en möjlighet för Datainspektionen att förena sådana med vite (18 § 3 st.). Vitesmöjligheten ansågs skapa bättre förutsättningar för att sätta stopp för otillbörliga intrång i personlig integritet.19 Enligt allmänna principer får inte samma gärning föranleda både vite och straff. En särskild erinran togs därför in i lagen om att den som har överträtt ett vitesföreläggande inte får dömas för en gärning som omfattas av vitesföreläggandet (20 § 2 st.).

2.4.5. Överklagande

Datainspektionens beslut skall efter lagändringen överklagas till allmän förvaltningsdomstol (i praktiken länsrätten i Stockholms län) i stället för regeringen. Undantag gäller för det fallet att en statlig myndighet är registeransvarig. Överklagande skall då även i fortsättningen ske till regeringen. Ändringen är ett led i det arbete som sedan flera år pågår inom regeringskansliet för att minska regeringens befattning med förvaltningsärenden.20

19 Prop. 1993/94:217 s. 24 20 Prop. 1993/94:116 s. 12

Den innebär vidare en samordning med EG-direktivets artikel 22 enligt vilken enskilda skall ha rätt till domstolsprövning vid brott mot de rättigheter som tillförsäkras dem genom direktivet.

Enligt regeringens förslag skulle i samtliga fall överklagande ske till domstol. Regeringen angav som grundsats i det sammanhanget att överklaganden av förvaltningsbeslut som rör en rättsfråga skall gå till domstol medan ärenden där lämplighetsbedömningar dominerar bör prövas i administrativ ordning. Vidare angav regeringen att det var en bestämd målsättning att myndighetsregister med känsligt innehåll skall ha stöd i författning. Den politiska styrningen av utvecklingen inom området för automatisk databehandling skulle med andra ord uteslutande ske författningsvägen. Eftersom utrymmet för lämplighetsbedömningar i enskilda fall på detta sätt inskränktes, borde enligt regeringen överprövningen av Datainspektionens beslut flyttas till domstol.21 Konstitutionsutskottet uttalade emellertid att det, särskilt på det statliga området, inte kunde uteslutas att det fortfarande kan förekomma fall där de bedömningar som måste göras rymmer politiska inslag. Som exempel nämndes ett uppmärksammat fall av samkörning av personuppgifter från vissa arbetslöshetskassor med uppgifter från allmänna försäkringskassor i syfte att upptäcka bidragsfusk.22 Enligt utskottets mening borde därför överklaganden av beslut som rör statliga myndigheter även i fortsättningen avgöras av regeringen.23Riksdagen beslutade i enlighet med utskottets förslag.

21 Prop. 1993/94:217 s. 27 22 Regeringsbeslut 1994-09-15, Ju 94/3280 23 KU 1994/95:10 s. 11

3. EG-direktivet om personuppgifter

3.1. Bakgrund

3.1.1. Inledning

Vi har enligt utredningsdirektiven till uppgift att analysera på vilket sätt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter24, i det följande kallat direktivet, skall införlivas i svensk lagstiftning. Direktivet finns bifogat som bilaga 2.

Här skall inte lämnas någon allmän beskrivning av EU eller Sveriges åtaganden i det sammanhanget; sådana översiktliga beskrivningar finns i flera betänkanden från senare år och i diverse läroböcker och andra skrifter. Som en bakgrund till vår analys av innebörden av direktivet och hur det bör införlivas i svensk rätt finns det emellertid anledning att kort dels erinra om vad som gäller i fråga om genomförandet av EG-direktiv (avsnitt 3.1.2), dels beröra bakgrunden till det aktuella direktivet (avsnitt 3.1.3).

3.1.2. Genomförandet av EG-direktiv

Bestämmelserna i ett EG-direktiv måste införlivas i varje medlemsstats rättsordning för att bli gällande rätt i den staten. EG-direktivet är dock för medlemsstaterna bindande i fråga om det resultat som skall uppnås, men

24 EGT nr L 281, 23.11.95, s. 31.

det är de nationella myndigheterna som bestämmer formen och tillvägagångssättet för genomförandet.25

Ibland kan EG-direktiv – särskilt på det sociala området – innehålla bara minimibestämmelser. Medlemsstaterna måste då kunna garantera att minimiskyddet enligt EG-direktivet alltid uppfylls, men det är tillåtet att ha längre gående nationella bestämmelser för att skydda de aktuella intressena. Är det inte fråga om ett sådant minimidirektiv, måste medlemsstaterna emellertid kunna garantera att varken strängare eller mildare bestämmelser gäller än vad som följer av EG-direktivet. En annan sak är att bestämmelserna i ett EG-direktiv i sig kan tillåta medlemsstaterna ett visst spelrum vid genomförandet.

Det aktuella direktivet om behandling av personuppgifter är inte ett minimidirektiv. Det är alltså inte tillåtet att föreskriva – eller behålla – ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av direktivet.

En anknytande frågeställning är huruvida de uttryck och begrepp som används i ett EG-direktiv har en för hela EG gemensam innebörd eller om avsikten bara är en partiell harmonisering på det sättet att varje medlemsstat i enlighet med nationell lagstiftning och praxis får bestämma innebörden av använda uttryck och begrepp. Om det i ett EG-direktiv anges att ”fysiska personer” skall ha ett visst skydd, är det då tillåtet för varje medlemsstat att i enlighet med nationell lagstiftning och praxis bestämma om t.ex. ofödda och avlidna skall ha det föreskrivna skyddet?

Även om det inte framgår uttryckligen av ett EG-direktiv, måste medlemsstaterna vidta alla nödvändiga åtgärder för att kunna garantera en effektiv tillämpning av bestämmelserna i EG-direktivet. Medlemsstaterna måste därför föreskriva sanktioner mot dem som bryter mot det som följer av EG-direktivet, och dessa sanktioner måste vara effektiva, proportionella i förhållande till brottet och avskräckande.26

Ett EG-direktiv kan, liksom varje annan rättslig text, behöva tolkas. Det är ytterst EG-domstolen som beslutar i fråga om tolkningen, t.ex. efter det att en nationell domstol i ett aktuellt mål har begärt ett s.k. förhandsavgörande om tolkningen.27

25 Artikel 189 a i EG-fördraget. 26 Detta följer av artikel 5 i EG-fördraget och av EG-domstolens praxis. 27 Artikel 177 i EG-fördraget.

Till ledning för tolkningen av ett EG-direktiv finns det inte förarbeten av det slag som vi är vana vid i Sverige. I varje EG-direktiv brukar det emellertid finnas en ingress i vilken det redogörs för bakgrunden till och syftet med direktivet28, och det finns flera exempel på att EG-domstolen för tolkningen har hämtat ledning från vad som anges i ingressen.

En tolkningsprincip som EG-domstolen har använt är vidare att bestämmelser som medger avvikelser eller undantag från individuella rättigheter skall tolkas restriktivt.

Ett annat problem vid tolkningen av EG-direktiv är att alla officiella språkversioner av direktivet har samma giltighet.29 Det kan därför finnas anledning att jämföra flera olika språkversioner för att fastställa innebörden.

Det anses vidare att de nationella domstolarna har att om möjligt tolka den nationella lagstiftningen på ett sådant sätt att den går att förena med bestämmelserna i EG-direktiv.

Sverige har genom sitt medlemskap i Europeiska unionen åtagit sig att genomföra direktivet. Uppfyller en medlemsstat inte sitt åtagande att på ett riktigt och fullständigt sätt genomföra ett EG-direktiv, kan någon annan medlemsstat eller kommissionen föra talan om saken vid EG-domstolen.30I vissa fall kan bestämmelser i ett EG-direktiv få genomslag på nationell nivå, trots att staten har låtit bli att i rätt tid införliva bestämmelserna i den nationella rättsordningen. Den enskilde som i förhållande till staten – eller något statsorgan – på grund av underlåtenheten inte har fått den rätt som EG-direktivet tillförsäkrar honom eller henne, kan då föra talan mot staten vid de nationella domstolarna (t.ex. om skadestånd för det att en myndighet på ett otillåtet sätt har behandlat personuppgifter). Det är också möjligt att staten på grund av sin underlåtenhet kan bli skadeståndsskyldig gentemot en enskild för det att denne inte har kunnat göra gällande sin rätt mot någon annan enskild (t.ex. ett privat företag som har behandlat personuppgifterna på ett otillåtet sätt).31

28 Jämför artikel 190 i EG-fördraget. 29 Se t.ex. artikel 176 i Anslutningsfördraget för Sverige. 30 Artikel 169–171 i EG-fördraget. 31 Det har nyligen tillsatts en utredning (Ju 1996:04) för att klarlägga hur svensk nationell skadeståndsrätt förhåller sig till EG-rättens principer om statens skadeståndsansvar mot den som lidit skada på grund av statens överträdelse av EGrätten, se dir. 1996:31.

3.1.3. Bakgrunden till direktivet

Direktivet har en lång förhistoria. Redan år 1990 lämnade kommissionen ett första förslag till direktiv.32 År 1991 yttrade sig Ekonomiska och sociala kommittén över förslaget33, och i ett yttrande år 1992 föreslog Europaparlamentet en rad förändringar i det ursprungliga förslaget.34Kommissionen omarbetade därefter förslaget och avlämnade i oktober 1992 ett reviderat förslag.35 Det reviderade förslaget, jämte kommissionens förklarande anmärkningar (i det följande kallade kommissionens förklaring), finns fogat till Datalagsutredningens slutbetänkande som bilaga

3. Först i februari 1995 kom rådet fram till en gemensam ståndpunkt36 och senare samma år kunde direktivet antas. I protokollet över det möte då rådet antog den gemensamma ståndpunkten intogs vissa förklaringar av rådet, kommissionen och olika enskilda medlemsstater. Något justerat eller på annat sätt färdigställt protokoll finns dock enligt uppgift inte hos Justitiedepartementet. Däremot finns hos departementet en till svenska språket översatt handling37 som upptar de förklaringar som skall tas in i protokollet. Handlingen har enligt beslut av Justitiedepartementet den 16 juni 199538 med stöd av den svenska offentlighetsprincipen lämnats ut till en journalist i Danmark, dock att uppgifter om vilka andra medlemsstater än Sverige som avgett förklaringar strukits. Handlingen med förklaringarna kallas i det följande mötesprotokollet. Direktivet inleds med en längre ingress omfattande 72 punkter där bakgrunden till och syftet med bestämmelserna i direktivet berörs (i det följande kallad ingressen). Det fria flödet av personuppgifter inom gemenskapen skall underlättas till gagn för den inre marknaden med fri rörlighet för varor, personer, tjänster och kapital. Detta skall ske genom att det i samtliga medlemsstater skapas en likvärdig, hög skyddsnivå när det gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv. Efter en

32 COM(90) 314 final – SYN 287 och EGT nr C 277, 5.11.1990, s. 3. 33 EGT nr C 159, 17.6.1991, s. 38. 34 EGT nr C 94, 13.4.1992, s. 198. 35 COM(92) 422 final – SYN 287 och EGT nr C 311, 27.11.1992, s. 30. 36 EGT nr C 93, 13.4.1995, s. 1. 37 Handlingen har EU:s beteckning 4730/95 ECO 20 och är daterad den 8 februari 1995. Protokollsförklaringarna översatta till danska finns intagna i Peter Blume, Personregistrering, 3. rev. udgave, 1996, s. 430 ff.

38 § 255, dnr Ju 95/2444.

sådan tillnärmning av medlemsstaternas lagstiftning, kan staterna inte längre hindra det fria flödet av personuppgifter inom gemenskapen med hänvisning till skyddet för enskilda personers fri- och rättigheter.

Det betonas vidare i ingressen att medlemsstaterna kommer att få ett handlingsutrymme i samband med genomförandet av direktivet och att staterna skall sträva efter att förbättra det skydd som deras nuvarande lagstiftning ger; tillnärmningen skall syfta till att garantera en hög skyddsnivå inom gemenskapen. Inom ramen för detta handlingsutrymme kan det alltså uppkomma skillnader vid genomförandet av direktivet.

Direktivets syfte kommer också till uttryck i själva direktivtexten (artikel 1). Medlemsstaterna skall i enlighet med direktivet skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.39 Och staterna får varken begränsa eller inskränka det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med detta skydd.

Vad medlemsstaterna får göra är att inom de begränsningar som de materiella bestämmelserna i (kapitel II i) direktivet innebär precisera på vilka villkor behandling av personuppgifter är tillåten (artikel 5). Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom gemenskapen. Medlemsstaterna kan närmare ange de allmänna villkoren för att tillåta behandling, liksom ange särskilda villkor för behandling inom vissa sektorer eller avseende vissa kategorier av personuppgifter. Staterna kan använda såväl generell lagstiftning som särskild lagstiftning, t.ex. avseende statistiska institut. (Se punkt 22 och 23 i ingressen, jämför punkt 68.)

I fråga om ingressen är det för svenskt vidkommande vidare viktigt att notera att det i punkt 72 anges att direktivet gör det möjligt att vid genomförandet av bestämmelserna ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar.40

I samtliga medlemsstater torde det för närvarande pågå arbete med att se över lagstiftningen för att genomföra direktivet. Våren 1996 offentlig-

39 I mötesprotokollet har rådet och kommissionen i anslutning till artikel 1.1 konstaterat att skyddet för grundläggande fri- och rättigheter, särskilt rätten till privatliv, innefattar skyddet av den personliga identiteten. 40 På engelska ”the principle of public access to official documents”, på franska ”le principe du droit d’accès du public aux documents administratifs”, på tyska ”der Grundsatz des öffentlichen Zugangs zu amtlichen Dokumenten”, på danska ”princippet om aktindsigt i offentlige dokumenter”.

gjorde den brittiska regeringen ett remissunderlag (Consultation Paper) som bl.a. innehåller vissa tolkningar av direktivets bestämmelser. I det följande kallas denna handling det brittiska remissunderlaget.

3.2. Tillämpningsområdet

3.2.1. Inledning

Direktivet gäller för behandling av personuppgifter som helt eller delvis företas på automatisk väg oavsett om personuppgifterna ingår i ett register. Direktivet omfattar emellertid även icke automatisk behandling av personuppgifter, om dessa ingår i eller är avsedda att ingå i ett register.41 (Artikel 3.1.) Det finns definitioner i direktivet av vad som avses med behandling, personuppgifter respektive register, se avsnitt 3.2.2.

I mötesprotokollet finns i anslutning till definitionen av register (artikel 2 c) följande: ”Rådet och kommissionen erkänner att de dokument på papper som tryckts på faxapparat eller persondator omfattas av de regler som är tillämpliga för manuella uppgifter och att de följaktligen endast ingår i tillämpningsområdet för detta direktiv om de är avsedda för ett register.”

Av kommissionens förklaring framgår att med uttryckssättet att behandlingen skall företas helt eller delvis på automatisk väg avses att en behandling utgör en enda enhet, även om bara en del av behandlingen, såsom ett index, är datoriserad.

3.2.2. Definitioner

3.2.2.1 Inledning

I artikel 2 finns det definitioner av en rad begrepp som förekommer i direktivet. Dessa definitioner av centrala begrepp kan sägas avgränsa tillämpningsområdet för bestämmelserna i direktivet.

41 I den svenska språkversionen av direktivet talas det om uppgifter som ”kommer att ingå i ett register”, medan det i den engelska språkversionen heter ”personal data which […] are intended to form part of a filing system”.

3.2.2.2 Personuppgifter och den registrerade

Med personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En person är identifierbar om han eller hon kan identifieras direkt eller indirekt, t.ex. genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans eller hennes fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Av punkt 14 i ingressen – och artikel 33 andra stycket – framgår att bild- och ljuduppgifter som rör fysiska personer omfattas av direktivet, jämför också punkt 15–17 i ingressen.

Uppgifter om juridiska personer omfattas inte av direktivet.42Det verkar inte krävas att den registrerade skall vara medborgare eller bosatt i en medlemsstat.

Det framgår inte av direktivtexten huruvida uppgifter om personer som ännu inte är födda eller som – i enlighet med svensk lagstiftning43 – betraktas som döda omfattas. I mötesprotokollet har emellertid rådet och kommissionen bekräftat att medlemsstaterna får bestämma om och i vilken utsträckning direktivet kan tillämpas på avlidna personer.44

I punkt 26 i ingressen betonas att man, för att avgöra om en person är identifierbar, skall beakta alla hjälpmedel som kan komma att användas för att identifiera personen. Däremot gäller inte direktivet för uppgifter som har gjorts anonyma på ett sådant sätt att personen inte längre är identifierbar. Uppförandekodexar kan användas för att ge vägledning om hur uppgifter kan göras anonyma och behållas i en form som gör det omöjligt att identifiera personen.

I kommissionens förklaring anges som exempel på direkt identifiering att personen kan identifieras genom namnet. Indirekt identifiering kan vara när personen kan identifieras genom ett telefonnummer, ett bilregistreringsnummer, ett socialförsäkringsnummer eller ett passnummer. Ett annat exempel är när identifieringen av en person sker genom en kombination av särskiljande kriterier (ålder, yrke, bostadsort etc.), vilka gör att personen kan kännas igen genom att den grupp han eller hon tillhör omfattar färre och färre andra personer. Det framgår vidare av kommissionens förklaring

42 Jämför punkt 24 i ingressen. 43 Jämför lagen (1987:269) om kriterier för bestämmande av människans död och bestämmelserna om dödförklaring i 25 kap. ärvdabalken. 44 Se också punkt 2.2 i det brittiska remissunderlaget.

att frågan om en person är identifierbar är oberoende av kostnaden för att fastställa personens identitet. Definitionen omfattar även uppgifter om utseende, röst, fingeravtryck och genetiska karakteristika.

I artikel 6.1 e finns bestämmelser om att personuppgifter skall förvaras på ett sätt som förhindrar identifiering under en längre tid än vad som är nödvändigt (se avsnitt 3.4.6). Och i artikel 8.7 finns bestämmelser rörande identifikationsnummer, dvs. personnummer (se avsnitt 3.6.4).

3.2.2.3 Behandling

Begreppet behandling av personuppgifter omfattar varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, oavsett om det sker på automatisk väg eller inte. Till exempel omfattas N insamling, N registrering, N organisering, N lagring, N bearbetning eller ändring, N återvinning, N inhämtande, N användning, N utlämnande genom översändande, spridning eller annat tillhandahållan-

de av uppgifter, N sammanställning eller samkörning, N blockering och N utplåning eller förstöring.

Det bör här erinras om att direktivet gäller för helt icke automatisk behandling av personuppgifter bara om dessa ingår i eller är avsedda att ingå i ett register (artikel 3.1, se avsnitt 3.2.1).

3.2.2.4 Register

Med register med personuppgifter avses varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. Det måste alltså vara fråga om en samling av personuppgifter, men det saknar betydelse om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Samlingen måste vidare vara strukturerad, och personuppgifterna måste vara tillgängliga enligt särskilda kriterier.

I punkt 27 i ingressen framhålls att innehållet i ett register måste vara strukturerat enligt särskilda kriterier, som avser enskilda personer, för att lätt ge tillgång till personuppgifterna. De olika kriterier som gör det möjligt att fastställa de enskilda delarna av en strukturerad samling personuppgifter kan, liksom de olika kriterier som gör det möjligt att få tillgång till en sådan samling, utformas av varje medlemsstat. Akter eller grupper av akter liksom deras omslag, vilka inte är strukturerade enligt särskilda kriterier, faller inte under några omständigheter inom direktivets tillämpningsområde.

3.2.2.5 Registeransvarig

Med registeransvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Den registeransvarige kan vara en fysisk eller juridisk person, en myndighet, en institution eller något annat organ.

I punkt 47 i ingressen berörs den situationen att ett meddelande som innehåller personuppgifter överförs genom förmedling av en organisation för telekommunikation eller elektronisk post, vars enda ändamål är att överföra sådana meddelanden. I sådana fall blir det normalt den från vilken meddelandet härrör – och inte den som tillhandahåller överföringstjänsten – som anses som registeransvarige i förhållande till de personuppgifter som meddelandet innehåller. Den som tillhandahåller överföringstjänsten blir däremot normalt att anse som registeransvarig i förhållande till behandlingen av de ytterligare personuppgifter som behövs för att kunna utföra tjänsten.

I artikel 18.2 andra strecksatsen – och i artikel 20.2 – finns det bestämmelser om uppgiftsskyddsombud som den registeransvarige utser (se avsnitt 3.13.3.3). I artikel 2 e finns det en definition av sådana registerförare som behandlar personuppgifter för den registeransvariges räkning (se avsnitt 3.2.2.6). Vidare finns det i artikel 4.2 bestämmelser som innebär att den registeransvarige i vissa fall måste utse en företrädare (se avsnitt 3.2.5). Också i artikel 10 och 11 talas det om den registeransvariges företrädare (se avsnitt 3.9), liksom i artikel 18.1 (se avsnitt 3.13.2). I artikel 8.3 berörs det fallet att en person som är ålagd tystnadsplikt, t.ex. inom hälso- och sjukvården, behandlar känsliga personuppgifter (se avsnitt 3.6.2.7).

3.2.2.6 Registerförare

Med registerförare avses den som behandlar personuppgifter för den registeransvariges räkning. Den registeransvarige kan vara en fysisk eller juridisk person, en myndighet, en institution eller något annat organ.

I artikel 17.2–4 finns det bestämmelser rörande förhållandet mellan den registeransvarige och registerföraren och om det avtal som måste finnas mellan dem (se avsnitt 3.12).

3.2.2.7 Tredje man

Med tredje man avses någon annan än den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna. En fysisk eller juridisk person, en myndighet, en institution eller något annat organ kan vara tredje man.

I kommissionens förklaring framhålls att den som arbetar för en annan organisation normalt är tredje man, även om organisationen tillhör samma företagsgrupp eller koncern. Å andra sidan kan ett lokalkontor hos en bank som behandlar kundkonton under huvudkontorets direkta ansvar inte anses som tredje man. Detsamma gäller anställda i ett försäkringsbolag. När det i stället gäller försäkringsmäklare kan deras ställning variera från fall till fall.

3.2.2.8 Mottagare

Med mottagare avses den till vilken uppgifterna lämnas ut oavsett om han eller hon är tredje man eller inte. Mottagaren kan vara en fysisk eller juridisk person, en myndighet, en institution eller något annat organ. Myndigheter som kan komma att ta emot uppgifter inom ramen för ett särskilt uppdrag45 skall dock inte betraktas som mottagare.

3.2.2.9 Samtycke

Med den registrerades samtycke avses varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.

45 På engelska ”particular inquiry”, på franska ”une mission d’enquête particulière”, på tyska ”ein einzeln Untersuchungsauftrag”.

I artikel 7 a (förutsättningar för att behandling av uppgifter skall vara tillåten) och artikel 26.1 a (överförande av uppgifter till tredje land) talas det om att den registrerade otvetydigt har lämnat sitt samtycke, och i artikel 8.2 a (förutsättningar för att behandling av känsliga uppgifter skall vara tillåten) talas det om att den registrerade har lämnat sitt uttryckliga samtycke.

I kommissionens förklaring till det reviderade direktivförslaget, som på denna punkt hade en något annan utformning än det antagna direktivet, anges att viljeyttringen kan vara muntlig eller skriftlig. Samtycket måste vara frivilligt i sådana fall där påtryckningar kan påverka den registrerade, t.ex. i en arbetsgivar–arbetstagarrelation. Samtycket måste vidare vara informerat så att den registrerade kan värdera för- och nackdelarna med att personuppgifter som rör honom eller henne behandlas och så att han eller hon kan utöva de rättigheter som direktivet ger honom eller henne. Den registeransvarige måste förse den registrerade med den information han eller hon behöver. Samtycket måste också vara särskilt46, vilket innebär att det måste avse en viss behandling som rör den registrerade och som utförs av en viss registeransvarig för vissa ändamål.

I artikel 10 finns det bestämmelser om information som skall lämnas till den registrerade när personuppgifter samlas in från honom eller henne (se avsnitt 3.9). Och i artikel 14 finns det bestämmelser om den registrerades rätt att motsätta sig viss behandling av personuppgifter (se avsnitt 3.7).

Punkt 70 i ingressen berör det fallet att ett avtal har slutits på grundval av ett frivilligt och informerat samtycke innan bestämmelserna i direktivet träder i kraft. Om en fortsatt behandling av känsliga uppgifter är nödvändig för att genomföra det avtalet, behöver den registrerade inte på nytt lämna sitt samtycke till denna behandling.

46 På engelska ”specific”, på franska ”spécifique”, på tyska ”für den konkreten Fall”.

3.2.3. Sådant som faller utanför gemenskapsrätten

Direktivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Som exempel anges sådan verksamhet som avses i avdelning V och VI i Fördraget om Europeiska unionen.47 Det anges vidare uttryckligen att direktivet inte under några omständigheter omfattar behandlingar som rör

a) allmän säkerhet,

b) försvar,

c) statens säkerhet (inbegripet statens ekonomiska välstånd när behand-

lingen har samband med frågor om statens säkerhet), och

d) statens verksamhet på straffrättens område.48 (Artikel 3.2 första streck-

satsen.)

I punkt 16 i ingressen pekas det särskilt på att behandling av ljud- och bilduppgifter, t.ex. i samband med videoövervakning, inte omfattas av direktivet om behandlingen utförs för att tillgodose den allmänna säkerheten, försvaret, statens säkerhet eller någon annan statens verksamhet på straffrättens område, jämför också punkt 13.

I kommissionens förklaring anges säkerhetstjänst49 som exempel på en aktivitet som faller utanför tillämpningsområdet.

3.2.4. Privat användning av personuppgifter

Direktivet gäller inte för sådan behandling av personuppgifter som en fysisk person bedriver som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll50 (artikel 3.2 andra strecksatsen).

Av mötesprotokollet framgår att rådet och kommissionen anser att det inte är tillåtet att med hänvisning till den bestämmelsen undanta behand-

47 Dessa avdelningar i fördraget innehåller bestämmelser om en gemensam utrikes- och säkerhetspolitik respektive bestämmelser om samarbete i rättsliga och inrikes frågor. 48 Punkten 21 i ingressen innehåller en erinran om att direktivet inte påverkar de territorialitetsregler som gäller på straffrättens område. 49 På engelska ”secret services”. 50 På engelska ”a purely personal or household activity”, på franska ”d’activités exclusivement personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familieärer Tätigkeiten”.

ling av personuppgifter som utförs av en enskild person när dessa uppgifter förmedlas inte bara till en eller flera personer utan till ett obestämt antal personer.

I punkt 12 i ingressen framhålls att en fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk51, såsom korrespondens eller förandet av adressregister, inte omfattas av direktivet.

I kommissionens förklaring ges som exempel förandet av en elektronisk dagbok.

Utöver undantagen för sådant som inte omfattas av gemenskapsrätten och privat användning av personuppgifter finns det inte några tillåtna generella undantag från direktivets tillämpning. Medlemsstaterna skall dock besluta om för yttrandefriheten nödvändiga undantag och avvikelser beträffande behandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (artikel 9, se avsnitt 3.3). I enlighet med vad som anges i artikel 13 är det också möjligt för medlemsstaterna att genom lagstiftning göra nödvändiga undantag och begränsningar i fråga om vissa bestämmelser i direktivet av hänsyn till statens säkerhet eller allmän säkerhet m.m. (se avsnitt 3.11). I det följande kommer att framgå att medlemsstaterna även i övrigt kan, under närmare angivna förutsättningar, besluta om vissa avvikelser m.m. från en del av bestämmelserna i direktivet.

3.2.5. Det territoriella tillämpningsområdet

I punkt 18 i ingressen framhålls att varje behandling av personuppgifter inom gemenskapen skall ske i enlighet med lagstiftningen i en av medlemsstaterna. Behandling som utförs på uppdrag av en registeransvarig som är etablerad i en medlemsstat skall regleras av den statens lagstiftning (tydligen även om själva behandlingen sker utanför gemenskapen). I punkt 19 i ingressen framhålls vidare att verksamhetens juridiska form inte har någon avgörande betydelse vid bedömningen av om en registeransvarig är etablerad i en viss stat; det kan vara fråga om såväl en filial som ett dotterbolag som är en juridisk person. Om en enda registeransvarig är etablerad i flera medlemsstater, t.ex. genom dotterbolag, måste han eller hon se till att

51 På engelska ”activities which are exclusively personal or domestic”, på franska ”d’activités exclusivement personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familieärer Tätigkeiten”.

varje verksamhet uppfyller bestämmelserna i den tillämpliga nationella lagstiftningen.

Punkten 21 i ingressen innehåller en erinran om att direktivet inte påverkar de territorialitetsregler som gäller på straffrättens område.

I själva direktivet finns i artikel 4 följande bestämmelser.52En medlemsstat skall tillämpa de nationella bestämmelser som antas för att genomföra direktivet när behandlingen av personuppgifter utförs som ett led i aktiviteter av en registeransvarig som är etablerad inom statens territorium. Om en registeransvarig är etablerad53 inom flera medlemsstaters territorier, skall han eller hon vidta nödvändiga åtgärder för att säkerställa att alla verksamheter54 uppfyller kraven enligt den tillämpliga nationella lagstiftningen. (Artikel 4.1 a.)

En medlemsstat skall också tillämpa sina nationella bestämmelser när den registeransvarige inte är etablerad inom någon medlemsstats territorium utan på en plats där statens lagstiftning gäller på grund av folkrätten (artikel 4.1 b).

Om en registeransvarig som inte är etablerad på gemenskapens territorium använder utrustning – automatiserad eller annan – som befinner sig på en medlemsstats territorium, skall den statens nationella bestämmelser tillämpas, och den registeransvarige måste då utse en företrädare för sig som är etablerad inom statens territorium. Detta gäller dock inte om utrustningen bara används för att låta uppgifter passera genom gemenskapen. (Artikel 4.1 c och 4.2, jämför punkt 20 i ingressen.)

I kommissionens förklaring anges terminaler och frågeformulär som exempel på utrustning eller hjälpmedel.55

I artikel 10–11 och 18 finns det bestämmelser som ålägger den registeransvariges företrädare skyldighet att informera den registrerade respektive att göra anmälan till tillsynsmyndigheten (se avsnitt 3.9 och 3.13.2).

52 Referatet av artikel 4 har, liksom referatet av innehållet i punkt 18–19 i ingressen, utformats med beaktande av flera språkversioner av direktivet, eftersom den svenska språkversionen kan betraktas som något tvetydig i vissa avseenden. 53 På engelska ”established”, på franska ”établi”. 54 På engelska ”each of these establishments”, på franska ”chacun de ses établissements”. 55 I kommissionens reviderade förslag till direktiv används den engelska termen ”means”. I det antagna direktivet används i stället på engelska termen ”equipment” (på franska ”moyens”, på tyska ”Mittel”), men i punkt 20 i ingressen finns termen ”means” fortfarande kvar.

Tillsynsmyndigheten i en stat skall ha behörighet att utöva sina befogenheter inom den statens territorium oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen (artikel 28.6, se avsnitt 3.17).

3.3. Förhållandet till yttrandefriheten

Medlemsstaterna skall besluta om undantag och avvikelser från de flesta materiella bestämmelser i direktivet56 för behandling av personuppgifter som sker uteslutande för N journalistiska ändamål, N konstnärligt skapande eller N litterärt skapande.

Sådana undantag och avvikelser får dock beslutas bara om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten. (Artikel 9.)

Sverige har i mötesprotokollet fått infört: ”Sverige anser att begreppet konstnärliga och litterära uttryck mer syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet.” En annan medlemsstat har vidare i protokollet förklarat sin avsikt att använda undantagen i artikel 9 för all den verksamhet inom den audiovisuella sektorn som omfattas av direktivet.

I punkt 37 i ingressen hänvisas i fråga om yttrandefriheten till den rätt att ta emot och lämna upplysningar som slås fast i artikel 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Det betonas att den avvägning mellan rätten till privatlivet och yttrandefriheten som medlemsstaterna skall göra inte får leda till beslut om undantag från åtgärder som vidtas för att säkerställa behandlingens säkerhet. Tillsynsmyndigheten bör utrustas med i vart fall vissa befogenheter som kan utövas efter behandlingens genomförande, exempelvis befogenhet att med jämna mellanrum offentliggöra en rapport eller att överlämna ärenden till rättsliga myndigheter. I fråga om konstnärligt och

56 Undantag och avvikelser får göras från de materiella bestämmelserna om behandling av personuppgifter (kapitel II), om överföring till tredje land (kapitel IV) och om tillsynsmyndighetens befogenheter (kapitel VI). Från bestämmelserna i kapitel I (allmänna bestämmelser), kapitel III (rättslig prövning, ansvar och sanktioner), kapitel V (uppförandekodex) och kapitel VII (gemenskapens åtgärder för genomförandet) får däremot avvikelser eller undantag inte göras.

litterärt skapande hänvisas särskilt till det audiovisuella området (se också punkt 17 i ingressen).

I kommissionens förklaring anges som exempel på faktorer som kan beaktas vid den intresseavvägning som skall ske N möjligheten till rättslig prövning eller rätten till replik, N förekomsten av en uppförandekodex, N de gränser som läggs fast i den europeiska människorättskonventionen

och N allmänna rättsprinciper.

I kommissionens reviderade direktivförslag avsågs uttrycket journalister inkludera såväl fotojournalister som skribenter, såsom biografer (levnadstecknare).

Den brittiska regeringen anser, enligt det brittiska remissunderlaget (punkt 4.19), att det står klart att ett generellt undantag för pressen inte är förenligt med direktivet.

Genom artikel 13.1 tillåts medlemsstaterna att göra nödvändiga avvikelser från vissa bestämmelser i direktivet med hänsyn till skyddet för den registrerades eller andras fri- och rättigheter (se avsnitt 3.11).

3.4. Grundläggande krav på uppgiftsbehandlingen

3.4.1. Inledning

I artikel 6.1 finns det – under rubriken Principer om uppgifternas kvalitet – vissa grundläggande krav som måste vara uppfyllda för att behandling av personuppgifter skall kunna tillåtas. Det åligger den registeransvarige att säkerställa att kraven efterlevs (artikel 6.2). Medlemsstaterna skall inom de begränsningar som bl.a. bestämmelserna i artikel 6 innebär närmare precisera på vilka villkor uppgiftsbehandling är tillåten (artikel 5).

I artikel 13.1 finns det bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 6.1 (se avsnitt 3.11).

3.4.2. Korrekt och laglig behandling

Personuppgifter skall behandlas på ett korrekt och lagligt sätt.57

I punkt 38 i ingressen anges att en korrekt behandling förutsätter att de registrerade får kännedom om behandlingen och att de – när uppgifterna samlas in hos dem – kan få korrekt och fullständig information med hänsyn till de närmare omständigheterna vid insamlingen (se artikel 10 och avsnitt 3.9).

I artikel 7 – se avsnitt 3.5 – anges det kriterier för när en behandling av personuppgifter kan anses laglig (se också punkt 30 och 31 i ingressen).

Enligt kommissionens förklaring innebär kravet på korrekt och laglig behandling att man inte får använda dolda anordningar för att i hemlighet samla in uppgifter utan att den registrerade känner till det, t.ex. telefonavlyssning och liknande. Kravet på korrekt och laglig behandling förhindrar också att de registeransvariga utvecklar och använder hemliga eller ljusskygga behandlingsmetoder för personuppgifter.

3.4.3. Ändamålet med behandlingen

Personuppgifter skall samlas in för särskilda, uttryckligt angivna ändamål. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Under förutsättning att medlemsstaterna beslutar om lämpliga skyddsåtgärder skall dock senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses oförenlig med de ursprungliga ändamålen.

Av punkt 28 i ingressen framgår att ändamålen med behandlingen skall vara bestämda redan när uppgifterna samlas in och att sådana ändamål som läggs fast först därefter inte får vara oförenliga med de ändamål som ursprungligen angavs. I punkt 29 i ingressen anges att de skyddsåtgärder som staterna beslutar om när det gäller senare behandling för historiska, statistiska eller vetenskapliga ändamål särskilt skall hindra att uppgifterna används för att vidta åtgärder mot en viss person eller för att fatta ett beslut som rör honom eller henne.

Av kommissionens förklaring framgår att kravet att insamlingen skall ske för ett särskilt ändamål innebär att avsikten med insamlandet och an-

57 På engelska ”fairly and lawfully”, på franska ”loyalement et licitement”, på tyska ”nach Treu und Glaube und auf rechtsmäßige Weise”.

vändningen av personuppgifterna skall definieras på ett så precist sätt som möjligt. En generell eller vag definition eller beskrivning av ändamålet med behandlingen – såsom ”för kommersiella ändamål” – uppfyller inte kravet. Det framhålls vidare att den registeransvarige är skyldig att bestämma ändamålet för lagring av personuppgifterna.

I artikel 10–11 finns det bestämmelser om att den registrerade skall informeras om ändamålen med behandlingen (se avsnitt 3.9).

3.4.4. Personuppgifterna skall vara adekvata, relevanta och inte för omfattande

Personuppgifterna skall vara adekvata och relevanta och de får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna har samlats in eller58 för vilka de senare behandlas.

Av kommissionens förklaring framgår att denna bestämmelse innebär att uppgifternas beskaffenhet måste korrespondera med det mål man vill uppnå med behandlingen.

3.4.5. Personuppgifterna skall vara riktiga och aktuella

Personuppgifterna skall vara riktiga och de skall också, om det är nödvändigt, vara aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att sådana personuppgifter, som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlats in eller för vilka de senare behandlas, utplånas eller rättas.

I artikel 12 b finns det bestämmelser om att den registrerade har rätt att få felaktiga och ofullständiga uppgifter rättade, utplånade eller blockerade (se avsnitt 3.10.3). I artikel 17 finns det bestämmelser om säkerheten vid behandling av personuppgifter (se avsnitt 3.12). I artikel 28.3 första stycket andra strecksatsen finns det bestämmelser om att tillsynsmyndigheten skall ha befogenhet att besluta om bl.a. blockering, utplåning eller förstöring av uppgifter (se avsnitt 3.17).

58 I den svenska språkversionen används här ”och”, medan den engelska och den tyska versionen använder ”and/or” respektive ”und/oder”. I den franska versionen används ”et”.

3.4.6. Personuppgifterna får inte förvaras längre än nödvändigt

Personuppgifter skall förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlats in eller för vilka de senare behandlas. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för sådana personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.

Personuppgifter, dvs. upplysningar om en identifierbar fysisk person, får alltså lagras bara så länge det är nödvändigt med hänsyn till ändamålen med behandlingen, inklusive historiska, statistiska eller vetenskapliga ändamål. Därefter måste uppgifterna avidentifieras (eller förstöras).

Av kommissionens förklaring framgår att medlemsstaterna genom skyddsåtgärder för sådana personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål kan förena – på den ena sidan – principen om att behandlingen skall ha ett lagligt ändamål och anspråket på att ens förflutna någon gång skall vara glömt med – på den andra sidan – de krav som forskningen ställer.

I artikel 17 finns det bestämmelser om säkerheten vid behandling av personuppgifter (se avsnitt 3.12).

3.5. Förutsättningar för att uppgiftsbehandling skall kunna tillåtas

3.5.1. Inledning

I artikel 7 anges det – under rubriken Principer som gör att uppgiftsbehandling kan tillåtas – att medlemsstaterna skall föreskriva att personuppgifter får behandlas bara i de sex fall som räknas upp i artikeln; uppgiftsbehandling i andra fall är inte laglig. Medlemsstaterna skall inom de begränsningar som bl.a. bestämmelserna i artikel 7 innebär närmare precisera på vilka villkor uppgiftsbehandling är tillåten (artikel 5).

I artikel 8 finns det bestämmelser om att behandling av vissa särskilt känsliga uppgifter är förbjuden (se avsnitt 3.6).

3.5.2. Samtycke

Behandling av personuppgifter är tillåten om den registrerade otvetydigt har lämnat sitt samtycke.

Av artikel 2 h framgår att med samtycke avses varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne (se avsnitt 3.2.2.9).

3.5.3. I samband med avtal

Personuppgifter får behandlas om det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part. Sådan behandling får också ske om det är nödvändigt för att – på begäran av den registrerade – vidta åtgärder innan ett avtal59 ingås.

3.5.4. Rättslig förpliktelse

Det är tillåtet att behandla personuppgifter om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse60 som åvilar den registeransvarige.

I kommissionens reviderade direktivförslag innebar bestämmelsen att uppgiftsbehandling var tillåten om den var nödvändig för att fullgöra en skyldighet som ålagts i nationell rätt eller i gemenskapsrätten.61

Att bestämmelsen omfattar t.ex. sådan uppgiftsbehandling som är nödvändig för att företag skall kunna fullgöra sina skyldigheter i fråga om skattelagstiftningen eller arbetsrätten torde vara klart. Det är mera osäkert om bestämmelsen också omfattar sådan uppgiftsbehandling som är nöd-

59 I den svenska språkversionen talas det om ett ”sådant” avtal, dvs. ett avtal i vilket den registrerade, dvs. en fysisk person, är part. Motsvarande bestämning av avtalet finns inte i den engelska, den franska eller den tyska språkversionen, vilket kan ha betydelse när en registrerad som företräder en juridisk person begär åtgärder innan avtal ingås med den juridiska personen. 60 På engelska ”legal obligation”, på franska ”obligation légale”, på tyska ”rechtliche Verplichtung”. 61 På engelska ”processing is necessary in order to comply with an obligation imposed by national law or by Community law”.

vändig för att fullgöra en rättslig förpliktelse enligt ett avtal som den registeransvarige frivilligt har ingått med någon annan än den registrerade.62

3.5.5. För att skydda vitala intressen

Behandling av personuppgifter får tillåtas om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade.

I den engelska språkversionen talas det om ”vital interests”.63 Ordet ”vital” har flera betydelser i engelskan och kan betyda såväl det som den svenska språkversionen anger som något som är livsviktigt.64 Och i punkt 31 i ingressen talas det just om att uppgiftsbehandlingen sker för att skydda ett intresse som är av avgörande betydelse för den registrerades liv. Också i kommissionens förklaring talas det om den situationen att den registrerade har ett ”vitalt” intresse att få sina uppgifter behandlade, men inte kan lämna sitt samtycke, t.ex. när det är fråga om ett allvarligt medicinskt fall.65

Det kan noteras att det är bara vitala intressen för den registrerade – och inte t.ex. sådana intressen hos hans eller hennes minderåriga barn – som kan göra uppgiftsbehandlingen tillåten enligt denna bestämmelse.66 I artikel 8.2 c finns det däremot bestämmelser om att behandling av särskilt känsliga uppgifter kan tillåtas också om den är nödvändig för att skydda någon annans vitala intressen (se avsnitt 3.6.2.3); uppgiftsbehandling måste då i sig vara tillåten enligt någon annan punkt i artikel 7, t.ex. enligt punkt e eller f (se avsnitt 3.5.6 och 3.5.7).

62 Uppgiftsbehandling för att fullgöra ett avtal med den registrerade omfattas av en annan bestämmelse (artikel 7 b), se avsnitt 3.5.3. 63 På franska ”intérêt vital”, på tyska ”lebenswichtige Interessen” 64 Se punkt 3.9 i det brittiska remissunderlaget. 65 Jan Evers anser att direktivet lämnar öppet om det finns andra vitala intressen än liv och hälsa som kan få skyddas enligt denna bestämmelse, se EG och behandling av personuppgifter, 1993, s. 17. 66 Jämför också artikel 26.1 e beträffande överföring av personuppgifter utanför gemenskapen.

3.5.6. Myndighetsutövning eller allmänt intresse

Behandling av personuppgifter är tillåten om den är nödvändig för att utföra en arbetsuppgift som är antingen N av allmänt intresse eller N ett led i myndighetsutövning som utförs av den registeransvarige eller

den tredje man till vilken uppgifterna har lämnats ut.

I punkt 32 i ingressen anges att det ankommer på den nationella lagstiftningen att avgöra om den registeransvarige som utför en behandling i allmänt intresse eller som ett led i myndighetsutövning skall vara en myndighet eller något annat offentligrättsligt eller civilrättsligt subjekt, t.ex. en yrkesorganisation.67 I artikel 8.5 finns det däremot bestämmelser om att behandling av personuppgifter om brott m.m. i vissa situationer måste utföras i vart fall under myndighetskontroll (se avsnitt 3.6.3).

3.5.7. Efter en intresseavvägning

Det är slutligen möjligt att tillåta behandling av personuppgifter efter en intresseavvägning. Behandlingen måste då vara nödvändig för ändamål som rör berättigade intressen hos den registeransvarige – eller hos den eller de tredje män till vilka uppgifterna har lämnats ut – och dessa intressen får inte uppvägas av den registrerades intressen eller sådana grundläggande fri- och rättigheter för honom eller henne som skall skyddas av direktivet (enligt artikel 1.1).68

I punkt 30 i ingressen framhålls det att medlemsstaterna – för att garantera en jämvikt mellan berörda intressen och för att samtidigt säkerställa en

67 Enligt punkt 30 i ingressen i den svenska språkversionen skulle behandlingen vara tillåten om den ”fordras enligt lagstiftning vid utförandet av något som är i det allmännas intresse eller är ett led i myndighetsutövning”. I de engelska, franska och tyska språkversionerna finns det inget motsvarande krav på lagstiftning vid allmänt intresse eller myndighetsutövning. Möjligen är det fråga om ett skrivfel i den svenska versionen; betydelsen blir en annan om ordet ”eller” sätts in efter ordet ”lagstiftning”, vilket är fallet i de engelska och franska versionerna. 68 I den engelska språkversionen talas det bara om den registrerades intresse av att få åtnjuta fri- och rättigheter (”interests for fundamental rights and freedoms of the data subject”), medan det i den franska och tyska språkversionen talas om detsamma som i den svenska, dvs. den registrerades intressen eller fri- och rättigheter. Det kan möjligen vara fråga om ett skrivfel i den engelska versionen; betydelsen blir en annan om ordet ”for” byts ut mot ”or”.

effektiv konkurrens – får närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som utövas av företag och andra organ i deras löpande verksamhet. Staterna får även närmare ange på vilka villkor personuppgifter får vidarebefordras till tredje man i marknadsföringssyfte. Detta gäller oavsett om vidarebefordrandet sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, t.ex. av politisk karaktär. En förutsättning är dock att de regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att uppgifter som rör honom eller henne behandlas (se artikel 14 1 st. b och avsnitt 3.7.3).

Av punkt 30 i ingressen framgår vidare att det kan vara fråga om berättigade intressen hos såväl en juridisk som en fysisk person.69

3.6. Behandling av särskilt känsliga uppgifter

3.6.1. Ett principiellt förbud mot behandling av uppgifter om ras eller etniskt ursprung, religiösa, filosofiska eller politiska åsikter, fackföreningsmedlemskap, hälsa och sexualliv

I artikel 8 föreskrivs att medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar N ras eller etniskt ursprung, N politiska åsikter, N religiös eller filosofisk övertygelse eller N medlemskap i fackförening

eller som rör N hälsa eller N sexualliv.70

I kommissionens förklaring anges att information om hudfärg innefattas i bestämmelsen om ras eller etniskt ursprung. När det gäller religiös eller filosofisk övertygelse omfattas en uppgift om att någon inte har någon reli-

69 Detta framgår också av punkt 45 i ingressen i den engelska språkversionen. 70 I den svenska, den franska och den danska språkversionen anges hälsa och sexualliv, medan det i den engelska och tyska språkversionen talas om hälsa eller sexualliv.

giös tro, liksom information om aktiviteter som hör samman med en sådan övertygelse. I fråga om uppgifter som rör hälsa omfattas uppgifter om den registrerades tidigare, nuvarande och framtida fysiska och psykiska hälsa samt uppgifter om missbruk av droger eller alkohol.

Av mötesprotokollet framgår att rådet och kommissionen anser att medlemsstaterna får, i enlighet med artikel 5, precisera de kategorier av känsliga uppgifter som anges i artikel 8.1 med hänsyn till landets juridiska och sociologiska särdrag, t.ex. vad beträffar uppgifter som rör genetisk identitet, partipolitisk tillhörighet, fysisk hälsa, personliga övertygelser eller vanor, osv.

3.6.2. Undantag från förbudet

3.6.2.1 Samtycke

Förbudet mot behandling av känsliga personuppgifter gäller inte om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. I medlemsstaternas lagstiftning kan det dock anges att förbudet mot behandling av känsliga personuppgifter inte kan upphävas ens med den registrerades samtycke.

3.6.2.2 Inom arbetsrätten

Känsliga personuppgifter får behandlas när behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten.71 Detta gäller i den omfattning behandlingen är tillåten enligt nationell lagstiftning där lämpliga skyddsåtgärder föreskrivs.

Av mötesprotokollet framgår att rådet och kommissionen anser att varje överenskommelse mellan arbetsmarknadens parter omfattas här.

3.6.2.3 För att skydda vitala intressen

Det är tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig för att skydda den registrerades eller någon annan persons

71 På engelska ”in the field of employment law”, på franska ”en matière de droit du travail”, på tyska ”auf dem Gebit des Arbeitsrechts”.

grundläggande intressen (”vital interests”) när den registrerade är fysiskt eller rättsligt förhindrad att lämna sitt samtycke.

Se rörande uttrycket grundläggande intressen (”vital interests”) avsnitt 3.5.5 ovan.

3.6.2.4 Politiska, filosofiska, religiösa och fackliga organisationer

Känsliga personuppgifter får behandlas om behandlingen utförs inom ramen för berättigad verksamhet hos ett icke vinstdrivande organ – t.ex. en stiftelse eller en förening – som har ett syfte som är N politiskt, N filosofiskt, N religiöst eller N fackligt.

För att sådan behandling skall vara tillåten förutsätts dock N att uppgifterna inte lämnas ut till tredje man utan den registrerades sam-

tycke och N att behandlingen endast rör

— sådana organs medlemmar eller — personer som på grund av organets ändamål har regelbunden kon-

takt med detta.

För sådan behandling som nu avses är det möjligt att föreskriva undantag från eller förenklingar av den anmälningsprocedur som annars skall iakttas innan en behandling genomförs (artikel 18.4, se avsnitt 3.13.3.5).

3.6.2.5 Den registrerades offentliggörande

Det är tillåtet att behandla känsliga personuppgifter som på ett tydligt sätt offentliggörs av den registrerade.

Ett exempel här skulle kunna vara uppgifter om politiska förhållanden som rör politiska representanter, t.ex. riksdagsledamöters partitillhörighet och åsikter som förts fram i riksdagen.

3.6.2.6 Nödvändig med hänsyn till rättsliga anspråk

Behandling av känsliga uppgifter får ske när behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

En medlemsstat har i mötesprotokollet anfört att den utgår från att den princip som här slås fast också omfattar motsvarande användning av upp-

gifter i förfaranden inför andra statliga organ i den utsträckning som dessa förfaranden föregår förfaranden inför domstol.

3.6.2.7 Hälso- och sjukvård

Förbudet mot behandling av känsliga uppgifter gäller inte när behandlingen är nödvändig med hänsyn till N förebyggande hälso- och sjukvård, N medicinska diagnoser, N vård eller behandling eller N administration av hälso- eller sjukvård.

Förbudet gäller inte heller när sådana uppgifter behandlas antingen N av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet

och som är underkastad tystnadsplikt72 enligt nationell lagstiftning eller bestämmelser som har antagits av behöriga nationella organ eller N av någon annan person som är underkastad en liknande tystnadsplikt73.

Det verkar inte krävas att behandlingen är nödvändig för något visst ändamål, t.ex. inom hälso- och sjukvårdsområdet, i det fallet att den utförs av någon som är underkastad tystnadsplikt; däremot måste behandlingen givetvis falla under någon av de grundläggande förutsättningar som gör att behandlingen över huvud taget kan tillåtas (se artikel 7 och avsnitt 3.5).

Det verkar vidare inte krävas att den person med tystnadsplikt som behandlar de känsliga personuppgifterna skall vara registeransvarig (eller registerförare) eller ens att han eller hon är yrkesmässigt verksam på hälso- och sjukvårdsområdet.

3.6.2.8 Viktigt allmänt intresse

Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten göra även andra undantag än de som tidigare nämnts från förbudet mot behandling av känsliga personuppgifter. Detta får dock bara göras av hänsyn till ett viktigt allmänt intresse, och det är en ytterli-

72 På engelska ”subject to […] the obligation of professional secrecy”, på franska ”secret professionel”, på tyska ”Berufsgeheimnis”. 73 På engelska ”equivalent obligation of secrecy”, på franska ”obligation de secret équivalente”, på tyska ”entsprechenden Geheimhaltungsplicht”.

gare förutsättning att det finns lämpliga skyddsåtgärder. Sådana undantag som görs med stöd av denna bestämmelse skall anmälas till kommissionen.

I punkt 34 i ingressen anges följande. När det av hänsyn till viktiga allmänna intressen är nödvändigt måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på vissa områden. Som exempel på områden och fall där avvikelser kan ske nämns N folkhälsa, N socialskydd, särskilt för att säkerställa kvalitet och lönsamhet i samband

med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, N i samband med vetenskaplig forskning och N i samband med offentlig statistik.

Det betonas att det dock åligger medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.

I punkt 35 i ingressen klargörs att myndigheters behandling av personuppgifter för officiellt erkända religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga allmänna intressen. Punkt 36 i ingressen behandlar det fallet att de politiska partierna i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattning i samband med att allmänna val hålls. Om det är nödvändigt för att det demokratiska systemet skall fungera, får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen under förutsättning att lämpliga garantier föreskrivs.

Av kommissionens förklaring framgår att undantag skulle kunna göras för internationella människorättsorganisationer som behöver känsliga personuppgifter för sitt arbete, förutsatt att dessa kan erbjuda lämpliga skyddsåtgärder.

Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.

3.6.3. Uppgifter om brott m.m.

Det finns inte något principiellt förbud mot att behandla personuppgifter om brott eller liknande. Men i artikel 8.5 finns det särskilda regler rörande behandling av uppgifter om N lagöverträdelser, N brottmålsdomar eller N säkerhetsåtgärder.74

Behandling av sådana uppgifter får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de avvikelser som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.

Det är tillåtet för medlemsstaterna att föreskriva att uppgifter som rör administrativa sanktioner och avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.

I artikel 8.6 finns det en bestämmelse om att de avvikelser från artikel 8.1 som har tillåtits i enlighet med artikel 8.5 skall anmälas till kommissionen. Eftersom behandling av de uppgifter om brott m.m. som avses i artikel 8.5 inte i sig verkar omfattas av förbudet i artikel 8.1, är det svårt att säga vilken räckvidd denna anmälningsskyldighet har.

3.6.4. Användning av personnummer

Enligt artikel 8.7 skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.

74 På engelska ”offences, criminal convictions or security measures”, på franska ”aux infractions, aux condamnations pénales ou aux measures de sûreté”, på tyska ”Straftaten, strafrechtliche Verurteilungen oder Sicherungsmassregeln”.

3.7. Rätten att motsätta sig uppgiftsbehandling

3.7.1. Inledning

I artikel 14 finns det – under rubriken Den registrerades rätt att göra invändningar – bestämmelser om att medlemsstaterna skall tillförsäkra den registrerade rätt att motsätta sig att personuppgifter om honom eller henne behandlas. Det gäller i vissa fall när den registrerade har avgörande och berättigade skäl (artikel 14 1 st. a och avsnitt 3.7.2) och i samband med behandling som rör direkt marknadsföring (artikel 14 1 st. b och avsnitt 3.7.3). Medlemsstaterna skall vidare vidta nödvändiga åtgärder för att säkerställa att de registrerade känner till sina rättigheter i samband med behandling som rör direkt marknadsföring (artikel 14 2 st.).

3.7.2. I vissa fall vid avgörande och berättigade skäl

Den registrerade skall ha rätt att motsätta sig behandling av uppgifter som rör honom eller henne, om han eller hon har avgörande och berättigade skäl75 som rör hans eller hennes personliga situation. Detta skall gälla åtminstone i de fall som avses i artikel 7 e och f (se avsnitt 3.5.6 och 3.5.7), dvs. vid uppgiftsbehandling i allmänt intresse eller i samband med myndighetsutövning och vid sådan uppgiftsbehandling som är tillåten efter en intresseavvägning. Men det är tillåtet att i den nationella lagstiftningen föreskriva något annat, dvs. att den registrerade inte har någon sådan rätt att motsätta sig uppgiftsbehandling. När den registrerades invändning är berättigad76, får en behandling som har påbörjats av den registeransvarige inte längre avse uppgifter som rör den registrerade.

Av det brittiska remissunderlaget framgår att det – under förhandlingarna om direktivet – som exempel på giltigt skäl att motsätta sig behandling av personuppgifter angavs det fallet att uppgifterna, även om de behandlades i enlighet med bestämmelserna i direktivet, förmodligen skulle i praktiken komma att falla i händerna på någon som den registrerade kände.

75 På engelska ”compelling legitimate grounds”, på franska ”raisons prépondérantes et légitimes”, på tyska ”überwiegende, schutzwürdige […] Gründe”. 76 På engelska ”justified objection”, på franska ”opposition justifiée”, på tyska ”berechtigte Widerspruch”.

3.7.3. Direkt marknadsföring

Den registrerade skall ha rätt att efter anmodan och utan kostnader motsätta sig behandling av sådana

personuppgifter som rör honom eller henne och som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring

eller att få bli informerad innan personuppgifter för första gången lämnas ut till

tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring

och att uttryckligen få ett erbjudande om att utan kostnad motsätta sig ett

sådant utlämnande eller sådan användning.

I punkt 30 i ingressen talas det om kommersiell eller annan marknadsföring, se närmare under avsnitt 3.5.7. Av punkt 71 i ingressen framgår det att direktivet inte hindrar en medlemsstat från att anta bestämmelser om sådan marknadsföring som riktar sig till konsumenter som har hemvist inom dess territorium, förutsatt att dessa bestämmelser inte rör skyddet av enskilda personer med avseende på behandling av personuppgifter.

3.8. Rätten att slippa automatiserade beslut

Artikel 15 behandlar beslut som har rättsliga följder för en person eller som märkbart påverkar honom eller henne. Varje person skall ha rätt att inte bli föremål för ett sådant beslut som enbart grundas på automatisk databehandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom eller henne, t.ex. hans eller hennes arbetsprestationer, kreditvärdighet, pålitlighet eller uppträdande. (Artikel 15.1.)

Om inte något annat följer av övriga bestämmelser i direktivet, skall medlemsstaterna dock föreskriva att en person får bli föremål för ett sådant beslut i två fall (artikel 15.2).

Det första fallet avser den situationen att beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal. Som förutsättning gäller emellertid här antingen att den registrerades begäran om ingående eller fullgörande av avtalet har

bifallits

eller att det vidtas lämpliga åtgärder för att skydda hans eller hennes berätti-

gade intressen, exempelvis en möjlighet för honom eller henne att göra sin uppfattning gällande. (Artikel 15.2 a.)

Det andra fallet är när beslutet har tillåtits i en lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen.

I kommissionens förklaring framhålls att det skall vara fråga om ett beslut som grundar sig enbart på automatisk databehandling. Det som är förbjudet är att slaviskt följa det resultat som har producerats av ett system för automatisk databehandling. Den automatiska databehandlingen kan vara ett stöd vid beslutsfattandet, men behandlingen får inte utgöra slutresultatet utan det måste finnas utrymme för en mänsklig bedömning. Det skulle t.ex. strida mot denna princip, anför kommissionen, att en arbetsgivare avvisar en arbetssökande bara på grund av dennes resultat vid en datorbaserad psykologisk utvärdering eller att använda sådan programvara för utvärdering för att ta fram en lista där jobbsökande betygsätts och rangordnas enbart på grund av ett personlighetstest.

När det gäller undantaget i samband med avtal framhåller kommissionen att medlemsstaterna kan precisera vilka lämpliga åtgärder som kan vidtas för att skydda den registrerades intressen. Sådana skyddsåtgärder kan vara föreskrivna i lag, framgå av den underrättelseprocedur som skall tillämpas eller framgå av de interna åtgärder som har vidtagits inom den registeransvariges organisation.

I artikel 12 a tredje strecksatsen finns det en bestämmelse om att den registrerade har rätt att få kännedom om den logik som används vid automatiserade beslut (se avsnitt 3.10.2).

3.9. Information till den registrerade

I artikel 10–11 anges att medlemsstaterna skall föreskriva att den registeransvarige – eller dennes företrädare – skall lämna den registrerade viss information.

Skyldigheten att lämna information gäller inte i de fall den registrerade redan känner till uppgifterna.

I artikel 13.1 finns det bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 10 och 11.1 (se avsnitt 3.11).

När uppgifter om en viss person samlas in från den berörde själv, skall den berörde i vart fall få information om

a) den registeransvariges – och dennes eventuella företrädares – identitet,

b) ändamålen med den behandling för vilka uppgifterna är avsedda, och

c) all ytterligare information i den utsträckning informationen – med hän-

syn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.

Som exempel på information enligt punkt c anges N mottagarna eller de kategorier som mottar uppgifterna, N huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt

eventuella följder av att inte svara och N förekomsten av rättigheter att få tillgång till och att få rättelse av upp-

gifter.

Om uppgifterna inte har samlats in från den registrerade, skall information lämnas vid tiden för registrering av personuppgifter eller, om ett utlämnande till tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut. Informationen skall åtminstone omfatta det som anges i punkt a–c ovan. Som exempel på information som i detta fall skall lämnas enligt punkt c anges, i stället för upplysning om det är frivilligt att svara, uppgift om de kategorier av uppgifter som behandlingen gäller.

Vad som nu sagts för det fallet att uppgifterna inte har samlats in från den registrerade skall dock inte gälla — när det – särskilt i samband med behandling för statistiska ändamål

eller historiska eller vetenskapliga forskningsändamål – visar sig omöjligt eller skulle innebära en oproportionerligt stor ansträngning att lämna information eller — när utlämnande uttryckligen föreskrivs i författning.

I sådana undantagsfall skall medlemsstaterna emellertid föreskriva lämpliga skyddsåtgärder.

I punkt 40 i ingressen anges att man vid bedömningen av om ett informationslämnande skulle innebära en oproportionerligt stor ansträngning kan beakta N antalet registrerade, N uppgifternas ålder och N de kompensatoriska åtgärder som kan vidtas.

Av mötesprotokollet framgår att rådet och kommissionen anser att man vid denna bedömning måste ta i beaktande vikten av det allmänna intresse för vilket uppgifterna behandlas.

I kommissionens förklaring anges att frågan om hur informationslämnandet skall gå till i praktiken får bero på de särskilda omständigheter under vilka informationen samlas in från de registrerade.

3.10. Rätten att på begäran få tillgång till uppgifterna och rättelse

3.10.1. Inledning

I artikel 12 finns det bestämmelser om att medlemsstaterna skall säkerställa att varje registrerad har vissa rättigheter gentemot den registeransvarige. Det gäller rätt till information rörande de uppgifter som behandlas, rätt att få felaktiga eller ofullständiga uppgifter rättade m.m. För den händelse uppgifterna rättats m.m. är den registeransvarige skyldig att underrätta de tredje män som redan har fått uppgifterna om den rättelse som har skett.

Från bestämmelserna i artikel 12 är det möjligt att göra vissa särskilda undantag rörande vetenskaplig forskning och statistikproduktion (artikel 13.2). I artikel 13.1 finns det vidare generella bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 12 (se avsnitt 3.11).

3.10.2. Information om uppgifterna

Den registrerade skall ha rätt att från den registeransvarige få viss information om uppgifterna. Den registrerade skall ha rätt att få informationen utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader. Den registrerade har rätt till följande information. N Bekräftelse på om uppgifter som rör den registrerade behandlas eller

inte. N Information om åtminstone

— ändamålen med behandlingen, — de berörda uppgiftskategorierna och — mottagarna eller de kategorier av mottagare till vilka uppgifterna

utlämnas.

N Begriplig information om vilka uppgifter som behandlas. N All tillgänglig information om varifrån de behandlade uppgifterna

kommer. N Kännedom om den logik som används när uppgifter som rör den regist-

rerade behandlas på automatisk väg, åtminstone såvitt avser sådana automatiserade beslut som avses i artikel 15.1 (se avsnitt 3.8).

I punkt 41 i ingressen framhålls det att rätten att få kännedom om den logik som används vid automatisk uppgiftsbehandling inte får negativt påverka affärshemligheter eller upphovsrätten, särskilt den upphovsrätt som skyddar programvaran. Detta bör dock inte få medföra att den registrerade nekas all information.

I kommissionens förklaring anges att det har överlämnats till medlemsstaterna att precisera hur informationen skall lämnas till den registrerade, t.ex. för att garantera att informationen lämnas till rätt person eller för att underlätta för såväl den registeransvarige som den registrerade när flera uppgiftsbehandlingar berörs, särskilt när det gäller manuella register. Genom den nationella lagstiftningen får också den närmare innebörden av ”rimliga intervall” bestämmas. I den nationella lagstiftningen får det vidare – med beaktande av såväl den registrerades som den registeransvariges intresse – finnas bestämmelser om att den registeransvarige har rätt att ta betalt av en registrerad som utnyttjar rätten att få information, men avgiften får inte överstiga den verkliga kostnaden; avgiften får inte vara ”större”77.

77 På engelska ”excessive”, på franska ”excessif”, på tyska ”übermässig”.

3.10.3. Rättelse

Den registrerade skall – i förekommande fall – ha rätt att få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet N rättade, N utplånade eller N blockerade.

Detta skall gälla särskilt om uppgifterna är ofullständiga eller felaktiga.

Av kommissionens förklaring verkar framgå att med blockering avses att den registeransvarige får fortsätta att lagra uppgifterna, men inte på annat sätt behandla eller använda dem, t.ex. lämna ut dem till tredje man. Uppgifterna måste markeras så att användarna får kännedom om att dessa är blockerade. Det verkar också framgå att avsikten med att använda ett uttryck som i förekommande fall har varit att överlåta till medlemsstaterna att närmare bestämma hur den registrerades rätt till rättelse, utplånande eller blockering skall användas i de olika situationer där uppgifter kan ha behandlats eller använts i strid med bestämmelserna i direktivet.

I artikel 6.1 d finns bestämmelser om att alla rimliga åtgärder måste vidtas för att säkerställa att sådana personuppgifter, som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlats in eller för vilka de senare behandlas, utplånas eller rättas, se avsnitt 3.4.5.

3.10.4. Underrättelse till tredje man om rättelse

När en registeransvarig har utfört rättelse, utplåning eller blockering av uppgifter i enlighet med vad som anges i närmast föregående avsnitt, har den registrerade rätt att få genomfört att de tredje män till vilka uppgifterna har lämnats ut underrättas om åtgärden. Detta gäller dock inte om en underrättelse är omöjlig eller skulle innebära en oproportionerligt stor ansträngning.

3.10.5. Undantag

I sådana fall där det uppenbarligen inte finns någon risk för att den berörda personens privatliv kränks – i synnerhet när uppgifterna inte används för åtgärder eller beslut som avser särskilda personer – får medlemsstaterna (enligt artikel 13.2), under förutsättning av lämpliga rättsliga garantier, genom lagstiftning begränsa de rättigheter i fråga om information om upp-

gifterna, rättelse och underrättelse till tredje man som anges i artikel 12. Detta gäller dock bara — när uppgifterna endast behandlas för ändamål som har med vetenskap-

lig forskning att göra

eller — när uppgifterna endast lagras i form av personuppgifter under en be-

gränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik.

I artikel 28.4 andra stycket finns det en bestämmelse om att var och en kan – i samband med tillämpningen av de nationella undantagsbestämmelser som har antagits med stöd av artikel 13 – hos tillsynsmyndigheten begära att få kontrollera om en behandling är tillåten. Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.

3.11. Möjlighet till undantag och begränsningar

I artikel 13.1 finns det bestämmelser om att medlemsstaterna får genom lagstiftning begränsa omfattningen av vissa skyldigheter och rättigheter som följer av direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs. N de grundläggande kraven på uppgiftsbehandlingen (artikel 6.1, se avsnitt

3.4), N skyldigheten att informera den registrerade (artikel 10 och 11.1, se av-

snitt 3.9), N rätten att på begäran få tillgång till uppgifterna och rättelse (artikel 12,

se avsnitt 3.10) och N reglerna om ett offentligt register över anmälda behandlingar och skyl-

digheten att hålla information om andra behandlingar tillgänglig (artikel 21, se avsnitt 3.13.5).

En sådan begränsning måste vidare vara en nödvändig åtgärd med hänsyn till

a) statens säkerhet,

b) försvaret,

c) allmän säkerhet,

d) förebyggande, undersökning eller avslöjande av brott,

e) åtal för brott,

f) förebyggande, undersökning eller avslöjande av överträdelser av etiska

regler som gäller för lagreglerade yrken,

g) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller

hos Europeiska unionen (här inkluderas monetära frågor, budgetfrågor och skattefrågor),

h) en tillsyns-, inspektions- eller regleringsfunktion som – även om den är

av övergående karaktär – är förbunden med myndighetsutövning i de fall som nämnts under c, d, e, f och g, eller

i) skydd av den registrerades eller andras fri- och rättigheter.

Av mötesprotokollet framgår att rådet och kommissionen anser att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i punkten i ovan.

I punkt 44 i ingressen framhålls att medlemsstaterna för att uppfylla vissa av målsättningarna kan tvingas att avvika från vissa bestämmelser i direktivet på grund av bestämmelser i gemenskapsrätten. Som exempel på en begränsning med hänsyn till intresset hos den registrerade eller andras fri- och rättigheter (punkt i ovan) anges – i punkt 42 i ingressen – att det kan beslutas att den registrerade har rätt att få tillgång till uppgifter av medicinsk art bara genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården.

I kommissionens förklaring anges bestämmelser om övervakning av banker och om penningtvätt som exempel på fall då medlemsstaterna på grund av gemenskapsrätten kan vara tvungna att föreskriva begränsningar. Begreppet statens säkerhet omfattar skydd av den nationella suveräniteten mot såväl interna som externa hot. Bestämmelsen om ekonomiska eller finansiella intressen hänför sig till alla åtgärder inom den ekonomiska politiken och åtgärder för att finansiera medlemsstaternas eller den Europeiska unionens politik, såsom kontroll vid valutaväxling, kontroll av utrikeshandel och uppbörd av skatt. När det gäller skyddet av fri- och rättigheter talas det om företagshemligheter, reglerna om den sekretess under vilken advokater och utövare av sjukvård arbetar, rätten att förbereda sig inför en rättegång samt mänskliga rättigheter. Det talas vidare om begränsningar av rätten till tillgång till uppgifter som människorättsorganisationer innehar i de fall där en obegränsad tillgång skulle kunna utsätta andra för fara – t.ex. de personer som i förtroende har lämnat uppgifterna – eller riskera de överordnade intressen som finns hos sådana organisationer.

I artikel 28.4 andra stycket finns det en bestämmelse om att var och en kan – i samband med tillämpningen av de nationella undantagsbestämmelser som har antagits med stöd av artikel 13 – hos tillsynsmyndigheten be-

gära att få kontrollera om en behandling är tillåten (se avsnitt 3.17). I artikel 9 finns det bestämmelser om förhållandet till yttrandefriheten (se avsnitt 3.3), och artikel 13.2 innehåller särskilda bestämmelser om undantag från rätten att på begäran få tillgång till uppgifterna och rättelse (se avsnitt 3.10.5).

Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.

3.12. Sekretess och säkerhet vid behandlingen

I artikel 16 finns det – under rubriken Sekretess vid behandling – en bestämmelse om att registerföraren eller den som utför arbete under den registeransvarige eller registerföraren och som får tillgång till personuppgifter får behandla dessa bara enligt instruktion från den registeransvarige. Uppgifterna får dock behandlas även utan instruktion från den registeransvarige, om det enligt lag finns en skyldighet att göra det.

I kommissionens förklaring anges förundersökning (”criminal investigation”) som exempel på när det kan finnas en skyldighet enligt lag att behandla personuppgifter.

I artikel 28.7 finns det bestämmelser om tystnadsplikt för tillsynsmyndighetens ledamöter och personal.

Artikel 17.1 innehåller bestämmelser om säkerheten vid behandling av personuppgifter. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot varje slag av otillåten behandling. Personuppgifter skall dessutom skyddas i följande hänseenden. N Skydd mot förstöring av uppgifter genom olyckshändelse eller genom

otillåtna åtgärder. N Skydd mot förlust av uppgifter genom olyckshändelse. N Skydd mot ändringar av uppgifter. N Skydd mot otillåten spridning av uppgifter. N Skydd mot otillåten tillgång till uppgifter, särskilt när behandlingen

innefattar överföring av uppgifter i ett nätverk.

De säkerhetsåtgärder som skall genomföras skall – med beaktande av den nuvarande tekniska nivån78 och de kostnader som är förenade med åtgärdernas genomförande – åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas.

I punkt 46 i ingressen framhålls att skyddet för de registrerades fri- och rättigheter, såvitt avser behandling av personuppgifter, förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet utformas och när själva behandlingen sker, särskilt för att garantera säkerheten för att på så sätt hindra all otillåten behandling.

I artikel 17.2–4 finns det bestämmelser som rör relationen mellan den registeransvarige och registerföraren.

Medlemsstaterna skall föreskriva att den registeransvarige, när behandling utförs för dennes räkning, skall dels välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och organisatoriska åtgärder som måste vidtas, dels se till att dessa åtgärder vidtas.

När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling79 mellan registerföraren och den registeransvarige. Genom handlingen skall särskilt föreskrivas N att registerföraren bara får handla på instruktioner från den registeran-

svarige och N att de skyldigheter i fråga om säkerhet som anges i artikel 17.1, såsom

de definieras i lagstiftningen i den medlemsstat i vilken registerföraren är etablerad80, även skall åvila registerföraren.

Av direktivtexten framgår inte direkt huruvida vad som nu sagts skulle kunna föreskrivas genom en lagstiftningsåtgärd, t.ex. i en registerförfatt-

78 På engelska ”state of the art”. 79 På engelska ”legal binding act”, på franska ”acte juridique”, på tyska ”Rechtsakt”. 80 Det kan noteras att en registeransvarig som är etablerad i en medlemsstat måste – i fråga om t.ex. säkerheten vid behandling (jämför skyldigheten enligt artikel 17.2 att se till att registerföraren genomför säkerhetsåtgärder) – följa den nationella införandelagstiftningen i den staten (artikel 4.1) och inte den lagstiftning som finns i den stat där den anlitade registerföraren är etablerad. – Jämför punkt 3.31 i det brittiska remissunderlaget.

ning som anger att en myndighet skall ansvara för ett register som en annan myndighet åläggs att administrera i tekniskt avseende.

Det finns dock, för att säkra bevisning, ett skriftlighetskrav. Avtalet eller den rättsligt bindande handlingen skall nämligen finnas i skriftlig eller därmed jämförlig form i de delar som rör skyddet av uppgifter och de krav som rör sådana säkerhetsåtgärder som anges artikel 17.1.

3.13. Anmälan till tillsynsmyndigheten

3.13.1. Inledning

I artikel 18 finns det bestämmelser om att behandling av personuppgifter skall anmälas på förhand till tillsynsmyndigheten. Anmälan skall innehålla vissa uppgifter (artikel 19), och tillsynsmyndigheten skall föra in uppgifter om anmälda behandlingar i ett offentligt register (artikel 21.1–2). Den som vill skall kunna få uppgifter även om behandlingen inte har anmälts till tillsynsmyndigheten (artikel 21.3). Vissa särskilt riskfyllda behandlingar skall kontrolleras på förhand (artikel 20).

I punkt 48 i ingressen anges att anmälningsförfarandet är avsett att göra behandlingens ändamål och viktigaste egenskaper allmänt kända för att säkerställa att behandlingen sker i enlighet med de nationella åtgärder som vidtas för att genomföra direktivet.

3.13.2. Anmälningsplikt för alla automatiska behandlingar

Medlemsstaterna är tvungna att föreskriva att den registeransvarige – eller dennes företrädare – skall underrätta tillsynsmyndigheten före genomförandet av N en behandling som helt eller delvis genomförs på automatisk väg eller N en serie av sådana automatiska behandlingar som har samma eller flera

närbesläktade ändamål (artikel 18.1).

I kommissionens förklaring anges som ett exempel på fall där regeln om en serie av behandlingar kan användas att det kan räcka med en enda anmälan för alla behandlingar som rör handhavandet av lån vid ett kreditinstitut; anmälan kan då inkludera registrering av ansökan, undersökning av den, beviljandet av den, krav avseende förfallna skulder och övervakandet av vidtagna rättsliga åtgärder.

När det gäller icke automatiska behandlingar av personuppgifter är det til??låtet för medlemsstaterna att föreskriva att vissa eller alla sådana behandlingar skall anmälas eller att ett förenklat anmälningsförfarande skall gälla för dem (artikel 18.5).

Medlemsstaterna skall precisera vilka uppgifter som anmälan skall innehålla (artikel 19.1). Det sägs inte uttryckligen att anmälan skall vara skriftlig, men den skall innehålla åtminstone uppgifter i följande hänseenden. N Den registeransvariges eller dennes eventuella företrädares namn och

adress. N Ändamålen med behandlingen. N En beskrivning av den eller de kategorier av registrerade som berörs. N En beskrivning av de uppgifter eller kategorier av uppgifter som hänför

sig till de registrerade som berörs. N Mottagarna eller de kategorier av mottagare till vilka uppgifterna kan

komma att lämnas ut. N Föreslagna överföringar av uppgifter utanför gemenskapen. N En allmän beskrivning som gör det möjligt att preliminärt bedöma lämp-

ligheten av de åtgärder som i enlighet med artikel 17 har vidtagits för att trygga säkerheten i behandlingen.

Medlemsstaterna skall vidare ange villkoren för anmälan till tillsynsmyndigheten av förändringar som rör den nyss nämnda informationen (artikel 19.2).

I kommissionens förklaring anges, som exempel på uppgift om den eller de kategorier av registrerade som berörs, företagets kunder, företagets personal eller mottagarna av en viss social förmån.

3.13.3. Möjlighet till undantag från och förenklingar av anmälningsproceduren

3.13.3.1 Inledning

I artikel 18.2 räknas det upp i vilka två fall och på vilka villkor medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande. Andra undantag är inte tillåtna. Dock finns det i artikel 18.3–4 bestämmelser om möjlighet till särskilda undantag för vissa typer av behandlingar, nämligen förandet av ett författningsreglerat register för allmänheten och icke vinstdrivande organs behandling av känsliga personuppgifter.

I punkt 51 i ingressen betonas att det förhållandet att en registeransvarig omfattas av ett förenklat anmälningsförfarande eller är undantagen från anmälningsplikt inte befriar honom eller henne från de övriga förpliktelser som följer av direktivet.

Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.

3.13.3.2 Om det inte är sannolikt att rättigheter kränks

Den första möjligheten till undantag gäller de typer av behandling i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks. För att undantag skall få göras krävs att medlemsstaterna för dessa typer av behandling anger N behandlingens ändamål, N vilka uppgifter eller kategorier av uppgifter som behandlas, N vilka registrerade eller kategorier av registrerade som avses, N till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut

och N hur länge uppgifterna skall bevaras.

I kommissionens förklaring och reviderade direktivförslag angavs som exempel på typer av behandling som kan undantas N framställning av korrespondens, N framställning av promemorior (”papers”), N uppfyllandet av rättsliga förpliktelser eller skyldigheter avseende bokfö-

ring, skatt eller socialförsäkring, N beräkning av lön och andra förmåner för personalen vid ett offentligt or-

gan eller ett privat företag, N vissa typer av behandling för vetenskapliga forskningsändamål och N vissa behandlingar avseende patientjournaler som förs av sjukvårdsper-

sonal eller liknande.

3.13.3.3 När ett uppgiftsskyddsombud har utsetts

Den andra möjligheten till undantag gäller när den registeransvarige, i enlighet med den nationella lagstiftning som gäller för honom eller henne, har utsett ett uppgiftsskyddsombud. Uppgiftsskyddsombudet skall ha till uppgift N att på ett oberoende sätt säkerställa den interna tillämpningen av de na-

tionella bestämmelser som har antagits till följd av direktivet och N att föra ett register över de behandlingar som utförs av den registeran-

svarige, vilket register skall innehålla de obligatoriska uppgifter som en anmälan skall innehålla (se avsnitt 3.13.2), med undantag för beskrivning av de säkerhetsåtgärder som har vidtagits.81

Uppgiftsskyddsombudet skall på detta sätt säkerställa att de registrerades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av behandlingarna.

Uppgiftsskyddsombudet skall i tveksamma fall rådfråga tillsynsmyndigheten (artikel 20.2).

I punkt 49 i ingressen betonas att den person som utses till uppgiftsskyddsombud måste – vare sig han eller hon är anställd av den registeransvarige eller inte – ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt.

3.13.3.4 Författningsreglerat register för allmänheten

Medlemsstaterna får föreskriva att anmälningsplikten inte skall gälla för en sådan behandling vars enda syfte är att föra ett register N som enligt lagar eller andra författningar är avsett att förse allmänheten

med information och N som är tillgängligt antingen för allmänheten eller för var och en som kan

styrka ett berättigat intresse.

3.13.3.5 Icke vinstdrivande organs behandling av känsliga personuppgifter

Medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande för sådan behandling som avses i artikel

81 Av mötesprotokollet framgår att det är tillåtet att föreskriva att uppgiftsskyddsombudet inte är skyldigt att registrera sådana behandlingar som omfattas av det undantag som behandlats i avsnitt 3.13.3.2.

8.2 d, dvs. behandling av känsliga personuppgifter om medlemmar m.fl. som utförs inom ramen för berättigad verksamhet hos ett icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte (se närmare avsnitt 3.6.2.4).

3.13.4. Förhandskontroll av särskilt riskfyllda behandlingar

Medlemsstaterna är skyldiga att bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter. Medlemsstaterna är vidare skyldiga att säkerställa att sådana särskilt riskfyllda behandlingar kontrolleras innan de påbörjas. (Artikel 20.1.)

I punkt 53 i ingressen anges att vissa typer av behandling på grund av sin natur, sin omfattning eller sitt ändamål kan innebära särskilda risker för att de registrerades fri- och rättigheter kränks. Medlemsstaterna kan om de önskar det precisera dessa risker i sin lagstiftning. Som exempel på typer av behandling som kan innebära särskilda risker anges N behandling som har till ändamål att utesluta den berörde från möjlighe-

ten att utöva en rättighet, ta emot en förmån eller ingå ett avtal och N sådan behandling som innebär användning av ny teknik.

I punkt 54 i ingressen anges att det antal behandlingar som innebär särskilda risker torde vara mycket begränsat med tanke på omfattningen av den behandling av uppgifter som utförs i samhället.

Förhandskontrollen skall utföras av tillsynsmyndigheten. Kontrollen skall utföras när myndigheten har fått in en anmälan från den registeransvarige eller från uppgiftsskyddsombudet; uppgiftsskyddsombudet skall nämligen i tveksamma fall rådfråga tillsynsmyndigheten. (Artikel 20.2.) Av artikel 28.3 första stycket andra strecksatsen följer att tillsynsmyndigheten skall ha effektiva befogenheter att ingripa, t.ex. genom att yttra sig innan en behandling äger rum och att i lämplig omfattning offentliggöra yttrandet.

Medlemsstaterna kan emellertid också82 utföra sådana kontroller som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstif-

82 Ordet ”också” torde inte i detta sammanhang innebära att kontroll skall ske såväl av tillsynsmyndigheten som ”också” i samband med att lagstiftningsåtgärder vidtas; det torde vara fråga om alternativa förfaringssätt.

tande åtgärd, vilken definierar behandlingens art och anger lämpliga skyddsåtgärder (artikel 20.3).

Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar rörande behandling av personuppgifter utarbetas.

3.13.5. Offentliggörande av behandlingar

3.13.5.1 Inledning

I artikel 21 finns det bestämmelser som rör offentliggörande av behandlingar, både sådana som skall anmälas och sådana som inte skall det. Tillsynsmyndigheten skall föra ett offentligt register över anmälda behandlingar, och information om andra behandlingar skall man på begäran kunna få direkt från den registeransvarige.

I artikel 13.1 finns det generella bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 21 (se avsnitt 3.11).

3.13.5.2 Offentligt register över anmälda behandlingar

Medlemsstaterna skall vidta åtgärder för att se till att behandlingar offentliggörs (artikel 21.1). Staterna skall föreskriva att tillsynsmyndigheten skall föra ett register över sådana behandlingar som har anmälts till den. Detta register skall vara allmänt tillgängligt och innehålla åtminstone de obligatoriska uppgifter som en anmälan skall innehålla (se avsnitt 3.13.2), förutom beskrivning av de säkerhetsåtgärder som har vidtagits. (Artikel 21.2.)

3.13.5.3 Skyldighet att på begäran lämna information om icke anmälda behandlingar

För sådan behandling som inte omfattas av anmälningsplikt är medlemsstaterna skyldiga att föreskriva att de registeransvariga – eller något annat organ som medlemsstaten utser – skall på lämpligt sätt tillhandahålla den som begär det åtminstone de obligatoriska uppgifter som en anmälan skall innehålla (se avsnitt 3.13.2), förutom beskrivning av de säkerhetsåtgärder som har vidtagits. (Artikel 21.3 1 st.)

Det är dock tillåtet för medlemsstaterna att föreskriva att denna bestämmelse inte skall tillämpas på sådan behandling vars enda syfte är att föra ett register N som enligt lagar eller andra författningar är avsett att förse allmänheten

med information och N som är tillgängligt antingen för allmänheten eller för var och en som kan

styrka ett berättigat intresse. (Artikel 21.3 2 st.)

Sådana register kan enligt artikel 18.3 undantas från anmälningsplikten (se avsnitt 3.13.3.4).

I den utsträckning en medlemsstat väljer att inte föreskriva anmälningsplikt för manuella behandlingar eller att undanta automatiska behandlingar från anmälningsplikten kan således skyldigheten för de registeransvariga att lämna uppgifter komma att bli mera omfattande; uppgifter måste då lämnas varje gång någon begär det och inte bara en gång i en anmälan till tillsynsmyndigheten. Av mötesprotokollet framgår också att rådet och kommissionen anser att rättigheten enligt artikel 21.3 inte får missbrukas, t.ex. genom att en begäran om information görs trots att det är allmänt känt att behandlingen inte rör den som gör begäran.

3.14. Överföring av uppgifter utanför EG

3.14.1. Överföring är tillåten till länder som säkerställer en adekvat skyddsnivå

Medlemsstaterna skall föreskriva att överföring av personuppgifter, som behandlas eller som är avsedda att behandlas efter överföring till tredje land, bara får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå. Detta skall dock inte påverka tillämpningen av de nationella bestämmelser som har antagits till följd av andra bestämmelser i direktivet.83 (Artikel 25.1.)

83 I punkt 60 i ingressen pekas det särskilt på att behandlingen måste vara tillåten enligt artikel 8, som rör behandling av känsliga uppgifter.

Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas N uppgifternas art, N den eller de avsedda behandlingarnas ändamål, N den eller de avsedda behandlingarnas varaktighet, N ursprungslandet, N det slutliga bestämmelselandet, N de allmänna respektive särskilda rättsregler som gäller i ifrågavarande

tredje land och N de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande

tredje land. (Artikel 25.2.)

I kommissionens förklaring anges när det gäller lagstiftningen i tredje land att såväl generella bestämmelser som bestämmelser för olika sektorer måste beaktas, liksom huruvida bestämmelserna tillämpas i praktiken.

Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en sådan adekvat skyddsnivå (artikel 25.3). Om kommissionen – i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet (se avsnitt 3.19) – kommer fram till att ett tredje land inte erbjuder en sådan adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till detta land (artikel 25.4). Kommissionen skall i sådant fall vid lämpligt tillfälle inleda förhandlingar för att avhjälpa den situation som därvid har uppkommit (artikel 25.5).

Kommissionen kan vidare – i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet (se avsnitt 3.19) – konstatera att ett tredje land, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, har en sådan adekvat skyddsnivå. Medlemsstaterna skall då vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Som exempel på internationella förpliktelser som åligger tredje land nämns särskilt sådana förpliktelser som är en följd av de förhandlingar som kommissionen har inlett och som gäller skydd för privatliv och enskilda personers grundläggande fri- och rättigheter. (Artikel 25.6.)

3.14.2. Överföring till länder med sämre skydd

3.14.2.1 Fall där överföring måste tillåtas

Medlemsstaterna är dock skyldiga att – utom där något annat föreskrivs för särskilda fall i den nationella lagstiftningen84 – föreskriva att överföring av personuppgifter till ett tredje land, som inte har en sådan adekvat skyddsnivå, är tillåten i följande fall.

a) Den registrerade otvetydigt har samtyckt till den planerade överföring-

en.

b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registre-

rade och den registeransvarige eller för att på den registrerades begäran genomföra åtgärder innan avtalet ingås.

c) Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan

den registeransvarige och tredje man, där avtalet är i den registrerades intresse.

d) Överföringen är nödvändig eller bindande enligt författning av skäl

som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk85.

e) Överföringen är nödvändig för att skydda intressen som är av grund-

läggande betydelse för den registrerade86.

f) Överföringen görs från ett register som 1) enligt lagar eller andra för-

fattningar är avsett att förse allmänheten med information och som 2) är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för att få tillgång är uppfyllda. (Artikel 26.1.)

84 Formuleringen är anpassad efter vad som anges i den engelska, den franska och den tyska språkversionen. I den svenska språkversionen heter det: ”om det inte finns tvingande regler om detta i deras lagstiftning”, vilket betyder något annat. 85 Den närmare innebörden av denna bestämmelse, som återges i enlighet med den svenska språkversionen, är svår att fastslå även när man beaktar andra språkversioner. De engelska, franska och tyska språkversionerna tyder närmast på att här behandlas två skilda fall, dels att överföringen är nödvändig – eller krävs enligt tvingande rättsregler – för ett viktigt allmänt intresse, dels att överföringen är nödvändig (och kanske alternativt krävs enligt tvingande rättsregler) för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. Jämför också punkt 58 i ingressen, där det talas om att överföringen är nödvändig för ett rättsligt anspråk eller när skyddet av väsentliga samhällsintressen kräver det. 86 Se om sådana vitala intressen vad som anförs i avsnitt 3.5.5.

I punkt 58 i ingressen anges som exempel på viktiga allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tullmyndigheter eller socialförsäkringsmyndigheter. När det gäller överföring från ett sådant register som avses i punkten f ovan anges att överföringen inte bör omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret.

I kommissionens förklaring anges att undantaget i punkten c ovan kan vara särskilt användbart vid överföringar i samband med transaktioner som vidtas av banker och andra kreditinstitut. Undantaget rörande viktiga allmänna intressen avsåg att tillåta internationellt samarbete, t.ex. för att bekämpa penningtvätt eller för att övervaka finansiella institutioner.

3.14.2.2 Överföring får tillåtas om den registeransvarige kan garantera skydd

Det är vidare tillåtet för medlemsstaterna att tillåta överföring av personuppgifter till ett tredje land med en icke adekvat skyddsnivå om den registeransvarige ställer tillräckliga garantier för skyddet av privatliv och enskilda personers grundläggande fri- och rättigheter och för utövandet av sådana rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler. (Artikel 26.2.) Medlemsstaterna skall informera kommissionen om de överföringar som har tillåtits enligt denna bestämmelse. Om kommissionen eller en medlemsstat gör en invändning – på grunder som är berättigade med hänsyn till skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – skall kommissionen vidta lämpliga åtgärder i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet (se avsnitt 3.19). Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. (Artikel 26.3.) Om kommissionen å andra sidan – i enlighet med den särskilda beslutsprocedur som nyss nämnts – beslutar att vissa standardklausuler erbjuder tillräckliga garantier, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut.

3.15. Sanktioner

3.15.1. Rätt till domstolsprövning

Enligt artikel 22 skall medlemsstaterna föreskriva att var och en har rätt att föra talan inför domstol om kränkningar av sådana rättigheter som skyddas av den nationella lagstiftning som är tillämplig på den aktuella behand-

lingen. Detta skall inte påverka möjligheten att utnyttja eventuella administrativa förfaranden som kan användas innan ett ärende anhängiggörs hos en rättslig instans, t.ex. ett förfarande vid tillsynsmyndigheten.87

Enligt artikel 28.3 första stycket tredje strecksatsen skall vidare tillsynsmyndigheten ha befogenhet att inleda rättsliga förfaranden vid överträdelser av de nationella bestämmelser som antagits till följd av direktivet eller att uppmärksamma de rättsliga myndigheterna på sådana överträdelser.

3.15.2. Rätt till skadestånd

Medlemsstaterna skall föreskriva att den som har lidit skada till följd av en otillåten behandling – eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av direktivet – har rätt till ersättning av den registeransvarige för den skada som han eller hon har lidit. Den registeransvarige får emellertid, helt eller delvis, undantas från skadeståndsansvar, om han eller hon visar att han eller hon inte är ansvarig för den händelse som orsakade skadan. (Artikel 23.)

I punkt 55 i ingressen anges som exempel på fall där den registeransvarige inte är ansvarig för skadefallet att han eller hon kan påvisa att ett fel har begåtts av den registrerade eller att det är fråga om force majeure.

3.15.3. Andra sanktioner

Medlemsstaterna skall vidta lämpliga åtgärder för att säkerställa att direktivet genomförs fullständigt. Staterna skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som har antagits till följd av direktivet. (Artikel 24.)

I punkt 55 i ingressen framhålls att sanktioner skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt som överträder de nationella bestämmelser som har antagits till följd av direktivet. Punkten 21 i ingressen innehåller en erinran om att direktivet inte påverkar de territorialitetsregler som gäller på straffrättens område.

87 Jämför om anmälan till tillsynsmyndigheten artikel 28.4.

3.16. Uppförandekodexar

3.16.1. Inledning

I artikel 27 finns det bestämmelser rörande uppförandekodexar.88 Medlemsstaterna och kommissionen skall uppmuntra utarbetandet av uppförandekodexar som – med beaktande av de särskilda förhållandena på olika områden – skall bidra till att på ett riktigt sätt genomföra de nationella bestämmelser som medlemsstaterna har antagit till följd av direktivet.

3.16.2. Nationella kodexar

Medlemsstaterna skall föreskriva att branschorganisationer eller andra organ som företräder andra kategorier av registeransvariga som har upprättat förslag till nationella kodexar – eller som avser att ändra eller utöka redan existerande nationella kodexar – kan lägga fram dessa för bedömning av den nationella myndigheten. Staterna skall föreskriva att denna myndighet bl.a. skall kontrollera att de framlagda förslagen stämmer överens med de nationella bestämmelser som har antagits till följd av direktivet. Myndigheten skall, om den anser det lämpligt, inhämta synpunkter från de registrerade eller deras företrädare.

3.16.3. Kodexar på gemenskapsnivå

Förslag till kodexar på gemenskapsnivå – och förslag till ändring av eller tillägg till sådana kodexar – kan läggas fram för den särskilda arbetsgrupp som skall bildas enligt direktivet (se avsnitt 3.18). Arbetsgruppen skall bl.a. avgöra om de framlagda förslagen stämmer överens med de nationella bestämmelser som har antagits till följd av direktivet. Arbetsgruppen skall, om den anser det lämpligt, inhämta synpunkter från de registrerade eller deras företrädare. Kommissionen kan se till att de kodexar som har godkänts av arbetsgruppen offentliggörs på lämpligt sätt.

88 På engelska ”codes of conduct”, på franska ”codes de conduite”, på tyska ”Verhaltensregeln”. Alternativa svenska översättningar kan vara t.ex. branschregler, sektorsvisa förhållningsregler och branschöverenskommelser.

3.17. Tillsynsmyndighetens ställning

Varje medlemsstat skall se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som staterna antar till följd av direktivet. Myndigheterna skall fullständigt oberoende utöva de uppgifter som åläggs dem. (Artikel 28.1.) Den svenska regeringen har beslutat att utse Datainspektionen till tillsynsmyndighet enligt denna bestämmelse.89

Medlemsstaterna skall vidare se till att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter (artikel 28.2).

Enligt artikel 28.3 första stycket skall varje tillsynsmyndighet särskilt ha N undersökningsbefogenheter, såsom befogenhet

— att få tillgång till uppgifter som behandlas och — att hämta in alla uppgifter som är nödvändiga för att sköta tillsynen, N effektiva befogenheter att ingripa, såsom befogenhet t.ex.

— att avge yttranden, i enlighet med artikel 20 (se avsnitt 3.13.4), innan

en behandling äger rum, — att se till att sådana yttranden offentliggörs i lämplig omfattning, — att kunna besluta om blockering, utplåning eller förstöring av upp-

gifter, — att kunna besluta om tillfälligt eller slutligt förbud mot behandling, — att kunna ge den registeransvarige varning eller tillrättavisning och — att kunna hänvisa saken till det nationella parlamentet eller till andra

politiska institutioner samt

N befogenhet att inleda rättsliga förfaranden vid överträdelser av de natio-

nella bestämmelser som antagits till följd av direktivet eller att uppmärksamma de rättsliga myndigheterna på sådana överträdelser.

Varje tillsynsmyndighet har – oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen – behörighet att inom sin egen medlemsstats territorium utöva dessa befogenheter. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter. Tillsynsmyndigheterna skall samarbeta med varandra i den utsträckning som behövs, särskilt genom att utbyta användbar information. (Artikel 28.6.) I artikel 29–30 finns det bestämmelser om internationellt samarbete

89 Regeringsbeslut 1996-01-18, Dnr Ju 96/176.

inom en särskild arbetsgrupp som består av företrädare för de nationella tillsynsmyndigheterna och kommissionen (se avsnitt 3.18).

Sådana beslut av tillsynsmyndigheten som går någon emot kan överklagas till domstol (artikel 28.3 2 st.).

Varje tillsynsmyndighet skall behandla framställningar som någon – eller en organisation som företräder denne – gör rörande skyddet för sina fri- och rättigheter avseende behandling av personuppgifter. Anmälaren skall informeras om vilka följder hans eller hennes anmälan har fått. (Artikel 28.4.)

Varje tillsynsmyndighet skall vidare, särskilt, behandla framställningar om kontroll av lagligheten av en behandling av personuppgifter som faller under de nationella bestämmelserna om undantag och begränsningar enligt artikel 13 (se avsnitt 3.11 och 3.10.5). Anmälaren skall i vart fall informeras om att en kontroll har gjorts.

Varje tillsynsmyndighet skall också regelbundet upprätta en rapport om sin verksamhet. Rapporten skall offentliggöras. (Artikel 28.5.)

Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal skall ha tystnadsplikt avseende förtrolig information som de har tillgång till. Tystnadsplikten skall gälla även efter det att anställningen vid myndigheten har upphört. (Artikel 28.7.)

3.18. Tillsynsmyndigheterna inom EG bildar en arbetsgrupp

I artikel 29–30 finns det bestämmelser om en rådgivande och oberoende arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter. Arbetsgruppen skall bestå av företrädare för de nationella tillsynsmyndigheterna och en företrädare för den eller de myndigheter som har inrättats för gemenskapens institutioner samt en företrädare för kommissionen. Arbetsgruppen har vissa utredningsbefogenheter och kan utfärda rekommendationer på eget initiativ, men fungerar i övrigt främst som ett rådgivande organ till kommissionen.

Det finns inte anledning att här gå närmare in på detaljbestämmelserna om arbetsgruppens sammansättning och funktion, vilka bestämmelser inte torde kräva några lagstiftningsåtgärder på det nationella planet. Den intresserade hänvisas i stället till direktivtexten (se bilaga 2).

3.19. Medlemsstaterna ingår i en kommitté med kommissionen

Enligt artikel 31 skall det bildas en kommitté av företrädare för medlemsstaterna under ledning av en ordförande som företräder kommissionen. Kommittén skall biträda kommissionen genom att avge yttranden. Kommissionen har vidare fått rätt att besluta om åtgärder i enlighet med kommitténs yttrande i fråga om överföring av personuppgifter utanför EG (se artikel 25.4, 25.6, 26.3 2 st. och 26.4 samt avsnitt 3.14). I fråga om detaljer rörande beslutsproceduren m.m. hänvisas till direktivtexten (se bilaga 2).

3.20. Ikraftträdande och övergångsbestämmelser

Medlemsstaterna skall sätta i kraft de lagar och andra författningar som är nödvändiga för att följa direktivet senast tre år efter det att direktivet antogs, dvs. senast måndagen den 24 oktober 1998 (artikel 32.1 1 st.). Den arbetsgrupp som avses i artikel 29–30 har emellertid, enligt uppgift, redan börjat arbeta.

När sådana lagar och andra författningar för att genomföra direktivet offentliggörs skall de innehålla eller åtföljas av en hänvisning till direktivet. Närmare föreskrifter om hur den hänvisningen skall göras skall varje medlemsstat själv utfärda.90 (Artikel 32.1 2 st.) Medlemsstaterna skall vidare till kommissionen överlämna texten till de nationella bestämmelser som antas inom det område som omfattas av direktivet (artikel 32.4).

Medlemsstaterna skall se till att sådan behandling som redan pågår när de nationella bestämmelser som antas till följd av direktivet träder i kraft bringas i överensstämmelse med dessa bestämmelser inom tre år från denna tidpunkt, dvs. allra senast sex år efter antagandet av direktivet eller onsdagen den 24 oktober 2001.

Från denna bestämmelse finns två undantag. För det första får medlemsstaterna i fråga om behandling av personuppgifter som redan finns i manuella register när de nationella genomförandebestämmelserna träder i kraft föreskriva att behandlingen skall bringas i överensstämmelse med artikel 6–8 inom tolv år från dagen för

90 Se för svensk del 18 a § författningssamlingsförordningen (1976:725) samt jämför Statsrådsberedningens PM 1996:4 s. 22 ff.

antagandet av direktivet, dvs. senast onsdagen den 24 oktober 2007. Medlemsstaterna skall i detta fall emellertid ge den registrerade rätt att på begäran – särskilt när han eller hon utövar rätten att få tillgång till uppgifterna – få rättelse, utplåning eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den registeransvarige vill uppnå.

I punkt 69 i ingressen finns följande, något svårtolkade uttalande: ”För att möjliggöra ett kostnadseffektivt genomförande av [direktivet] skall medlemsstaterna tillåtas att under […] en tidsperiod, som löper ut tolv år efter dagen för antagandet av detta direktiv, vidta åtgärder för att säkerställa att […] befintliga manuella register bringas i överensstämmelse med vissa av direktivets bestämmelser. Uppgifter som ingår i dessa [manuella] register och som behandlas manuellt under denna förlängda övergångsperiod skall dock när de är föremål för en ytterligare sådan behandling bringas i överensstämmelse med dessa bestämmelser.”91

Till mötesprotokollet har vidare fogats en förklaring av rådet och kommissionen som verkar innebära att manuella register, som inte används aktivt, inte ens efter tolvårsperiodens utgång behöver anpassas till artiklarna 6–8, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ekonomisk insats.92 Förklaringen, som måste anses vara något svårtolkad, lyder: ”Med avseende på de särskilda omständigheter som gäller för sådana personuppgifter som finns i register och som inte faktiskt behandlas efter att de nationella bestämmelser som antagits för att genomföra detta direktiv trätt i kraft, men som på ett lagligt sätt förvaras med tanke på en eventuell framtida användning, anser rådet och kommissionen att artikel 32 i detta direktiv innehåller en skyldighet för den registeransvarige att vid utgången av den tolvårsperiod som där avses vidta alla åtgärder som rimligen kan krävas enligt vad som anges i artikel 6, 7 och 8 om detta inte visar sig vara omöjligt att genomföra eller innebära en oproportionellt stor ekonomisk insats. Härvid måste hänsyn tas både till nödvändigheten att garantera skyddet av enskilda personers fri- och rättigheter, och till tillsynsmyndighetens befogenheter som anges i artikel 28 i detta direktiv.”

Medlemsstaterna får – för det andra – också föreskriva att uppgifter som bara bevaras för historisk forskning inte behöver överensstämma med

91 Jämför punkt 8.6 i det brittiska remissunderlaget. 92 Se punkt 8.8–10 i det brittiska remissunderlaget.

artikel 6–8. Detta förutsätter emellertid att det finns lämpliga skyddsåtgärder. (Artikel 32.3.)

I punkt 70 i ingressen klargörs att det inte är nödvändigt att den registrerade på nytt lämnar sitt samtycke för att den registeransvarige skall, efter ikraftträdandet av genomförandebestämmelserna, få fortsätta att behandla känsliga uppgifter när behandlingen är nödvändig för att genomföra ett avtal som har slutits på grundval av ett frivilligt och informerat samtycke före ikraftträdandet.

I artikel 33 finns slutligen bestämmelser om att kommissionen regelbundet skall avge en rapport om genomförandet av direktivet, eventuellt med ändringsförslag. Kommissionen skall också särskilt undersöka til??lämpningen av direktivet på behandling av ljud- och bilduppgifter. Kommissionen skall lägga fram alla lämpliga förslag som med beaktande av informationsteknikens och informationssamhällets utveckling visar sig nödvändiga.

3.21. Den fortsatta utvecklingen inom EG

Rådet antog den 12 september 1996 en gemensam ståndpunkt (nr 57/96) inför antagandet av ett EG-direktiv ”om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet, särskilt när det gäller det digitala flertjänstnätet (ISDN) och allmänt tillgängliga digitala mobila nät”.93 Enligt uppgift är det troligt att ett direktiv i huvudsak i enlighet med den gemensamma ståndpunkten kommer att utfärdas någon gång under våren 1997. Avsikten är att direktivet skall träda i kraft samtidigt som EG-direktivet om behandling av personuppgifter, dvs. senast den 24 oktober 1998.

Ett EG-direktiv i enlighet med den gemensamma ståndpunkten kan sägas precisera och komplettera bestämmelserna i det generella EG-direktivet om behandling av personuppgifter såvitt avser telekommunikationsområdet. Det finns t.ex. bestämmelser om när och hur personuppgifter som utgör s.k. trafikdata får behandlas för olika ändamål, såsom fakturering, marknadsföring och nummerpresentation.

93 EGT nr C 315, 24.10.96, s. 30.

Enligt uppgift pågår vidare arbete inom kommissionen med att undersöka hur den personliga integriteten skall skyddas i samband med användningen av Internet.

4. Övriga internationella regler

4.1. Inledning

Även inom Europarådet och OECD har det förekommit visst arbete på persondataskyddsområdet.

Datalagsutredningen har i kapitel 4 i sitt slutbetänkande lämnat en redovisning av den internationella utvecklingen på dataskyddsområdet. Den redovisningen är – frånsett vad som anfördes om det då föreliggande förslaget till EG-direktiv – fortfarande aktuell och vi kan därför hänvisa till vad Datalagsutredningen anfört. En rekommendation från Europarådet, som bör nämnas i sammanhanget, har dock kommit till efter det betänkandet: Europarådets rekommendation av den 7 februari 1995 om persondataskydd vid telekommunikation.94

Som bilagor till Datalagsutredningens slutbetänkande finns vidare (i engelsk version) viktigare internationella grunddokument bifogade; OECD:s riktlinjer och Europarådets konvention95 och rekommendationer i fråga om anställning, forskning och statistik samt direktreklam. Däremot verkar själva rekommendationen från OECD inte ha bifogats (bara de bilagda riktlinjerna). OECD:s rekommendation lyder:

94 Recommendation No. R (95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services. 95 Europarådets konvention finns i engelsk, fransk och svensk version som bilaga 4 till prop. 1981/82:189 (s. 188 ff.).

RECOMMENDATION OF THE COUNCIL CONCERNING GUIDELINES

GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER

FLOWS OF PERSONAL DATA

Adopted by the Council 23rd September, 1980

The Council,

Having regard to articles 1(c), 3(a) and 5(b) of the Convention on the Organisation for Economic Co-operation and Development of 14th December, 1960;

Recognising: that, although national laws and policies may differ, Member countries have a common

interest in protecting privacy and individual liberties, and in reconciling fundamental but competing values such as privacy and the free flow of information;

that automatic processing and transborder flows of personal data create new forms of

relationships among countries and require the development of compatible rules and practices;

that transborder flows of personal data contribute to economic and social development; that domestic legislation concerning privacy protection and transborder flows of per-

sonal data may hinder such transborder flows;

Determined to advance the free flow of information between Member countries and to avoid the creation of unjustified obstacles to the development of economic and social relations among Member countries;

RECOMMENDS

1. That Member countries take into account in their domestic legislation the principles concerning the protection of privacy and individual liberties set forth in the Guidelines contained in the Annex to this Recommendation which is an integral part thereof;

2. That Member countries endeavour to remove or avoid creating, in the name of privacy protection, unjustified obstacles to transborder flows of personal data;

3. That Member countries co-operate in the implementation of the Guidelines set forth in the Annex;

4. That Member countries agree as soon as possible on specific procedures of consultation and co-operation for the application of these Guidelines.

Europarådets rekommendationer på särskilda områden redovisar vi i det följande i den mån det behövs i anslutning till att vi behandlar det område som rekommendationen rör. Följande rekommendationer bör nämnas i sammanhanget.

N Recommendation No. R (81) 1 on regulations for automated medical

data banks (medicinska databanker). N Recommendation No. R (83) 10 on the protection of personal data used

for scientific research and statistics (skydd för personuppgifter som används för vetenskaplig forskning eller statistik)96. N Recommendation No. R (85) 20 on the protection of personal data used

for the purposes of direct marketing (skydd för personuppgifter som används för direkt marknadsföring)97. N Recommendation No. R (86) 1 on the protection of personal data used

for social security purposes (skydd för personuppgifter som används inom socialförsäkringen). N Recommendation No. R (87) 15 regulating the use of personal data in

the police sector (användningen av personuppgifter inom polisens område)98. N Recommendation No. (89) 2 on the protection of personal data used for

employment purposes (skydd för personuppgifter som används för anställningsändamål)99. N Recommendation No. R (90) 19 on the protection of personal data used

for payment and other related operations (skydd för personuppgifter som används i samband med betalning eller liknande). N Recommendation No. R (91) 10 on the communication to third parties of

personal data held by public bodies (om utlämnande till tredje man av personuppgifter som finns hos offentliga organ). N Recommendation No. R (95) 4 on the protection of personal data in the

area of telecommunication services, with particular reference to telephone services (skydd för personuppgifter vid telekommunikation).

För att underlätta för läsarna har vi beträffande de allmänna reglerna i OECD:s riktlinjer och Europarådets konvention valt att i detta avsnitt ta in en samlad redovisning på svenska. Redovisningen har hämtats från Data-

96 Finns som bilaga 3 till SOU 1993:10. Se också avsnitt 11.4.1 i förevarande betänkande. 97 Finns som bilaga 3 till SOU 1993:10. 98 Finns som bilaga 3 till SOU 1996:35. 99 Finns som bilaga 3 till SOU 1993:10. Jämför den ”Code of practice on the protection of worker’s privacy” som antogs av ILO:s styrelse i november 1996.

lagsutredningens slutbetänkande.100 Avslutningsvis i detta avsnitt berör vi något frågan om utländska rättsordningar.

4.2. OECD:s riktlinjer

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och därmed åtagit sig att följa denna. Ytterligare åtgärder som t.ex. ratifikation av medlemsländerna krävs inte varför riktlinjerna har trätt i kraft. Någon preciserad tidpunkt för när kraven enligt riktlinjerna skall vara genomförda finns inte. […]

Enligt rekommendationen skall medlemsländerna i sin nationella lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som har presenterats i de riktlinjer som fogats till rekommendationen. Medlemsländerna skall vidare försöka undanröja opåkallade hinder för internationell datakommunikation som gäller personuppgifter och undvika att nya sådana skapas under förevändning av behov av skydd för personlig integritet. Samarbete skall bedrivas vid verkställigheten av riktlinjerna och så snart som möjligt skall länderna avtala om särskilda procedurer för överläggningar och samarbete som gäller tillämpningen av riktlinjerna.

Syftet med riktlinjerna är att söka undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av det sammanhang i vilket de används. Riktlinjerna är tillämpliga på personuppgifter både inom den offentliga och den privata sektorn. De är tillämpliga både för uppgifter som lagras automatiskt och uppgifter som förs manuellt. Det finns inget hinder mot att man tillämpar olika skyddsåtgärder för olika slag av persondata, att man från riktlinjernas tillämpning undantar persondata som uppenbart inte innebär någon risk för personlig integritet eller att man tillämpar riktlinjerna endast på automatisk databehandling av personuppgifter. Undantagen från riktlinjernas grundläggande principer för nationell och internationell tillämpning skall vara så få som möjligt och göras kända för allmänheten. Riktlinjerna skall betraktas som minimiregler, varför ingenting hindrar att integritetsskyddet görs mer omfattande.

Riktlinjerna innehåller en särskild avdelning som behandlar åtta grundläggande principer rörande skyddet för personlig integritet på det nationella planet.

1. Insamlingen av personuppgifter skall vara begränsad och uppgifter skall inhämtas på ett lagligt och korrekt sätt samt, när det är skäligt, med den registrerades kännedom eller samtycke (”Collection Limitation Principle”).

2. Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och, i den utsträckning det behövs för dessa ändamål, vara riktiga och fullständiga samt hållas aktuella (”Data Quality Principle”).

100 Konventionen och riktlinjerna behandlas i prop. 1981/82:189 s. 42 ff.

3. De ändamål för vilka personuppgifterna samlas in skall vara preciserade senast vid insamlingen. Den efterföljande användningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålen och som preciseras vid varje förändring (”Purpose Specification Principle”).

4. Personuppgifter får inte röjas, göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade, om det inte sker med den registrerades medgivande eller med stöd av författning (”Use Limitation Principle”).

5. Personuppgifter skall genom rimliga säkerhetsåtgärder skyddas mot risker för förlust eller otillåten tillgång, förstörelse, användning, förändring eller otillåtet röjande (”Security Safeguards Principle”).

6. En öppenhet skall råda beträffande personuppgifter i fråga om utveckling, tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudändamålen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns (”Openness Principle”).

7. Den enskilde skall ha rätt att av den registeransvarige eller av annan få reda på om denne har personuppgifter om honom/henne, att få sig tillsänt eventuella personuppgifter inom rimlig tid, utan alltför stor kostnad, på rimligt sätt och i begriplig form. Vidare skall den enskilde ha rätt att vid avslag på en begäran om uppgifter få veta skälen härför och ha möjlighet att överklaga. Den enskilde skall även ha rätt att ifrågasätta uppgifter som gäller honom eller henne och, om så är nödvändigt, få dessa utraderade, rättade eller kompletterade (”Individual Participation Principle”).

8. Den registeransvarige skall ha ansvaret för att de lagstiftningsåtgärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs (”Accountability Principle”).

En avdelning av riktlinjerna innehåller principer för internationell tillämpning. Här föreskrivs bl.a. att medlemsländerna skall vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländerna avhålla sig från att göra inskränkningar i fråga om flödet av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land, om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås. Ett medlemsland får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritetslagstiftningen innehåller särskilda skyddsregler, om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet. Medlemsländerna skall undvika att – under åberopande av skydd för personlig integritet och individens friheter – i lag, tillämpning eller förfarande ställa upp hinder för flödet av personuppgifter över gränserna som går utöver vad som är nödvändigt för sådant skydd.

Regler om ömsesidigt bistånd mellan medlemsländerna m.m. finns i en särskild avdelning av riktlinjerna. Medlemsländerna skall införa legala, administrativa eller andra förfaranden eller vidta andra åtgärder för att beträffande personuppgifter ge skydd för personlig integritet och individens friheter. Medlemsländerna skall särskilt sträva efter att anta lämplig inhemsk lagstiftning, att främja och understödja självreglering i form av etiska regler eller på annat sätt, att införa lämpliga sanktioner och rättsmedel samt att se till att registrerade inte utsätts för orättvis särbehandling. På begäran skall medlemsländerna ge ett annat medlemsland upplysning om hur de principer iakttas som riktlinjerna innehåller. Medlemsländerna skall också se till att de förfaranden som til??lämpas för

flöden av personuppgifter över gränserna och för skyddet av personlig integritet och individens friheter är enkla och jämförbara med dem som andra medlemsländer tillämpar. Medlemsländerna skall vidare genom särskilda förfaranden underlätta utbyte av information rörande riktlinjerna och ömsesidigt bistånd i fråga om de förfaranden och utredningar som kan bli aktuella. Vidare skall medlemsländerna arbeta för att utveckla inhemska och internationella principer för vilket lands lag som blir tillämplig i fråga om flöden av personuppgifter över gränserna.

Internationella associationer och företag, som International Air Transport Association (IATA), Center for Financial Industry Information Systems i Japan, Canadian Bankers Association, American Bank och IBM har antagit egna regler om dataskydd som bl.a. bygger på OECD:s riktlinjer.

4.3. Europarådets konvention

Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Till konventionen har fogats en förklarande rapport av den expertgrupp inom Europarådet som utarbetat konventionstexten.

Konventionen trädde i kraft den 1 oktober 1985, då kravet var uppfyllt att fem medlemsländer tillträtt konventionen.101

Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Enligt expertgruppens förklarande rapport är utgångspunkten att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter.

Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Därutöver finns viss möjlighet till undantag från några enskilda bestämmelser (artikel 9). Reservationer mot bestämmelserna i övrigt får inte göras (artikel 25). Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).

Konventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla dessa grundläggande principer. Åtgärderna skall vara vidtagna senast vid den tidpunkt då konventionen träder i kraft för parten (artikel 4). Dessa grundläggande principer skall garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta skall göra

101 Numera har bl.a. samtliga EG-stater, utom Italien, ratificerat konventionen.

det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.

Kapitel II innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl.a. att uppgifterna skall inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.

Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning, dels att de är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet eller dylikt eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål. Den nationella lagen skall också innehålla lämpliga sanktioner och rättsmedel (artikel 10).

Kapitel III, som rör dataflödet över gränserna, syftar till att förena kraven på fritt informationsflöde och dataskydd. Det är enligt expertgruppen viktigt att man ser bestämmelserna i kapitel III i samband med de grundläggande principerna i kapitel II, som garanterar att databehandlingen av personuppgifter i alla berörda länder är föremål för samma grundläggande reglering. Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna (artikel 12). Bestämmelserna gäller, oavsett vilket medium som används, vid överföring över nationsgränser av personuppgifter som undergår eller skall undergå automatisk databehandling eller som samlas in för det ändamålet. Huvudregeln är att överföring mellan konventionsstater skall vara fri. Det är inte tillåtet att ställa upp vare sig förbud eller krav på särskilt medgivande uteslutande i syfte att skydda den personliga integriteten.

I två fall är det emellertid tillåtet att göra undantag från huvudregeln. Den ena grunden för undantag är att avsändarlandets lagstiftning innehåller särskilda bestämmelser för vissa kategorier av personuppgifter men mottagarlandets lagstiftning inte ger ett likvärdigt skydd. Den andra grunden är att det egentliga mottagarlandet står utanför konventionen men överföringen dit sker via en konventionsstat. I ett sådant fall är det möjligt för avsändarlandet att, för att undvika att dess lagstiftning kringgås, exempelvis kräva särskilt tillstånd för överföringen.

Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna. Konventionen har konstruerats på ett sätt som gjort det möjligt att begränsa innehållet till de grundläggande principerna och för övrigt lita till samarbete mellan konventionsstaterna, bl.a. inom ramen för en rådgivande kommitté, när det gäller att införa och harmonisera dessa principer i de olika staternas lagstiftning.

I kapitel IV finns bestämmelser om att varje konventionsstat skall utse en eller flera myndigheter för samarbetet mellan parterna och även ange varje myndighets behörighet (artikel 13). De myndigheter som utses i de olika länderna skall tillhandahålla upplysningar om lagstiftning och administrativt förfarande på dataskyddsområdet m.m. Vidare behandlas frågor om bistånd till registrerade personer som är bosatta utomlands (artikel

14). Den myndighet som utses i ett visst land skall hjälpa personer i utlandet med att utöva sina rättigheter till insyn och rättelse m.m. Sådant bistånd skall lämnas oavsett om den som begär hjälp är bosatt i en annan konventionsstat eller i ett land som står utanför konventionen.

I kapitel V finns bestämmelser om den rådgivande kommittén, dess sammansättning och uppgifter m.m. (artikel 18 och 19).

4.4. Utländsk rätt

I bilaga 4 till Datalagsutredningens slutbetänkande finns det en redogörelse för utländsk rätt land för land.102 Med hänsyn till att de länder vars rättstraditioner står oss närmast – medlemsstaterna i EU och EES – för närvarande håller på att se över den befintliga dataskyddslagstiftningen för att anpassa den till EG-direktivet har vi inte funnit det meningsfullt att här lämna en motsvarande redovisning; den som är intresserad av en samlad framställning av den delvis överspelade ordningen i utlandet hänvisas till Datalagsutredningens redogörelse.

Vi har dock, så långt möjligt, försökt att följa upp det översynsarbete som nu pågår i många länder och ta till vara erfarenheterna från utlandet, bl.a. genom sammanträffande med de övriga nordiska utredningarna och deltagande i internationella akademiska seminarier och konferenser samt besök vid utländska dataskyddsmyndigheter. Vad som kommer att föreslås i de olika länderna är dock ännu oklart i många delar, och vi har därför inte här kunnat ta in någon samlad redogörelse för förslagen till genomförande av EG-direktivet i andra länder; en sådan redogörelse skall för övrigt kommissionen lämna om några år (se artikel 33 1 st. i EG-direktivet).

En slutsats som kan dras av våra internationella kontakter är att det finns ganska betydande skillnader mellan medlemsstaterna i EU och EES i fråga om uppfattningen om hur den personliga integriteten lämpligen bör skyddas vid informationsbehandling, t.ex. när det gäller värdet av att behandlingar anmäls till en dataskyddsmyndighet. Genomförandet av EGdirektivet torde komma att innebära en viss harmonisering och samsyn på området, men det förefaller högst sannolikt att det även efter genomförandet kommer att finnas betydande skillnader mellan medlemsstaterna i synsätt och tillvägagångssätt på grund av det spelrum EG-direktivet medger vid genomförandet.

102 Se också t.ex. James Michael, Privacy and Human Rights, 1994.

Inom kommissionen verkar man dock se det generella EG-direktivet som bara ett första steg, vilket infört en gemensam men flexibel referensram som grund för fortsatt arbete på området. Det särskilda EG-direktivet för telekommunikationsområdet, om vilket en gemensam ståndpunkt nyligen antagits (se avsnitt 3.21), visar att man på särskilda områden är beredd att gå vidare med preciseringar på gemenskapsnivå inom den referensram som det generella EG-direktivet skapat. I den mån man inom EG fortsätter på den inslagna vägen med preciseringar på gemenskapsnivå kommer harmoniseringen att drivas allt längre, samtidigt som det nationella spelrum som det generella EG-direktivet medger gradvis krymper.

5. Teknikens möjligheter

Enligt utredningsdirektiven skall vi i vårt arbete beakta utvecklingen på IT-området. Vi skall även beakta den fortsatta utveckling som kan överblickas.

Den tekniska utvecklingen på detta område går med en rasande fart. Vi har under utredningsarbetets gång försökt att hålla oss underrättade om vilka tekniska möjligheter som finns i dag och om vad tekniken kan tänkas erbjuda i framtiden. Vi har också tagit del av olika framtidsvisioner eller scenarier. Däremot har vi inte funnit det meningsfullt att här lämna en redovisning av var tekniken står just i dag. En sådan redovisning skulle beroende på den snabba utvecklingstakten i vissa delar vara inaktuell redan innan remissyttrandena över betänkandet kommit in. Härtill kommer att tekniken i sig – i dag eller inom den framtid som kan överblickas – inte innebär några egentliga begränsningar som bör beaktas vid utarbetandet av en ny lagstiftning om persondataskyddet. Lagstiftningen blir vidare mera framåtsyftande om man vid utarbetandet utgår från att det mesta i fråga om informationsbehandling är – eller kommer att bli – tekniskt möjligt.

Förutsättningarna för vårt arbete med att reglera behandlingen av personuppgifter bör därför vara, att en sådan behandling i dag och inom den överblickbara framtiden inte hindras av några begränsningar i de tekniska möjligheterna att nå och bearbeta datorlagrad information överallt och på alla tänkbara sätt.

Den tekniska utrustningen blir bara kraftfullare, enklare att hantera och billigare. I dag kan i princip alla företag och löntagare i Sverige, som prioriterar detta, skaffa sig utrustning som gör det möjligt att bearbeta ett stort antal uppgifter om tiotusentals personer och att utbyta information med andra datoranvändare över hela världen.103 Möjligheterna finns för alla och inte bara för myndigheter eller andra stora organisationer.104

103 En undersökning år 1995 visade att ungefär 60 procent av den svenska befolkningen i åldern 16–64 år är eller har varit datoranvändare, se Statistiska centralby-

Utrustningen och sätten att lagra och representera information kommer förmodligen att bli alltmer standardiserade och kompatibla. Så snart information om t.ex. en person har lagrats i datorformat (binärt, dvs. såsom ettor och nollor) i en dator kommer den informationen tekniskt sett att kunna läsas och användas också av alla andra datorer (eventuellt efter s.k. konvertering). Utvecklingen gör att varje användare tekniskt sett lättare kan nå all information. Alltmer information av olika typ kan vidare användas samtidigt, t.ex. text, ljud och bild sammanställda, s.k. multimedia.

Alltfler datorer och informationsmängder kopplas samman. Det blir tekniskt allt enklare och billigare att dela datorlagrad information med allt fler i allt mer omfattande s.k. nätverk, t.ex. Internet. Samtidigt blir det allt enklare för den enskilde användaren att ta med sig datorkraften eller möjligheterna att koppla upp sig mot informationsmängderna. Det blir vidare allt enklare att sammanställa information från flera olika källor oberoende av de fysiska avstånden. Varje datoranvändare kan varhelst han eller hon befinner sig nå information överallt.

Att datorer blir kraftfullare, enklare att använda och billigare har redan nämnts. Det gör att var och en själv kan bearbeta information på alla tänkbara sätt. Grundinformationen kan hämtas från många olika källor i världen. Den bearbetade (manipulerade) informationen kan sedan – med eller utan källangivelse – spridas till datoranvändare över hela världen för vidare sammanställning och bearbetning av andra.

rån, Datorvanor 1995 – Undersökning gjord på uppdrag av IT-kommissionen, 1995.

104 En del brukar måla upp en vision om informationsteknikens A- och B-lag. Diskussionen om hur möjligheterna faktiskt skall kunna göras tillgängliga för alla är givetvis viktig, men hör egentligen inte hemma i detta sammanhang.

6. Reglering av bruk eller missbruk

Såväl den nuvarande datalagen som EG-direktivet, andra internationella överenskommelser och de flesta andra EU-staters dataskyddslagstiftning bygger på att själva hanteringen av personuppgifter regleras. Vi föreslår att en ny, svensk lagstiftning också skall reglera själva hanteringen av uppgifterna och inte bara vad som kan betecknas som ett missbruk av dem. Det förtjänar emellertid övervägas om det inte bör ske en övergång till en sådan missbruksmodell. Den struktur som EG-direktivet anvisar läggs till grund för vårt lagförslag, när det inte finns särskilda skäl för avvikelser.

6.1. Integritet och effektivitet

Utgångspunkten för vårt arbete skall – enligt utredningsdirektiven – vara att tillförsäkra den enskilde ett fullgott integritetsskydd i IT-samhället samtidigt som användningen av ny teknik i samhällsutvecklingen inte skall hämmas.

När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ibland till en av professorn Stig Strömholm upprättad ”kränkningskatalog”:105

a) tillträde till och genomsökande av privata lokaler eller annan egendom,

b) kroppsundersökning,

c) medicinska undersökningar, psykologiska test,

d) intrång i en persons privata sfär genom skuggning, spionerande, tele-

fonterror,

e) ofredande genom företrädare för massmedierna,

f) olovlig ljudupptagning, fotografering eller filmupptagning,

105 SvJT 1971 s. 698 f.

g) brytande av brevhemligheten,

h) telefonavlyssning,

i) utnyttjande av elektronisk avlyssningsapparatur,

j) spridande av förtroliga uppgifter,

k) avslöjande inför offentligheten av annans privata förhållanden,

l) olika former av utnyttjande av annans namn, bild eller liknande identi-

fieringsmedel,

m) missbruk av annans ord eller meddelanden, och

n) angrepp på annans heder och ära.

Framför allt förfaranden under j), k) och n) kan avse personuppgifter som behandlas i IT-miljö.

Att den personliga integriteten skyddas innebär i dessa sammanhang att användningen av personuppgifter regleras och begränsas. Det står alltså klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet.

Genom att integritetsskyddslagstiftningen görs teknikoberoende blir såväl manuell som automatisk användning av personuppgifter underkastad i princip samma reglering. Och beslutet att utnyttja eller inte utnyttja ny teknik blir därmed oberoende av den integritetsskyddslagstiftning som finns rörande användningen av personuppgifterna. Frågan om en teknikoberoende integritetsskyddslagstiftning berörs närmare i avsnitt 7.

Andra utredningar, t.ex. IT-kommissionen, arbetar eller har arbetat för att främja användningen av den nya informationstekniken. Det är givetvis angeläget att så effektiva och billiga verktyg som möjligt används för de arbetsuppgifter som behöver utföras i den offentliga sektorn och inom näringslivet. Vi har gjort en total översyn av den föråldrade datalagen och föreslår att den nya lagstiftningen görs teknikoberoende. I dessa hänseenden kan sägas att vårt arbete främjar användningen av ny teknik. I övrigt får vi nöja oss med att försöka utforma en integritetsskyddslagstiftning som inte mer är nödvändigt hämmar användningen av personuppgifter och därmed utnyttjandet av såväl ny som gammal teknik.

Vilken reglering och begränsning av användningen av personuppgifter är då nödvändig för att skydda den personliga integriteten? Det är till stora delar en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörliga intrång i annans personliga integritet skall så långt möjligt förebyggas.

När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället.

Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana direkt mätbara skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när i och för sig korrekta personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.

Även med denna utgångspunkt kan man på ett mera allmänt och lagtekniskt plan resonera kring vilken metod som bör användas för att reglera integritetsskyddet. Det är ett sådant principiellt resonemang som förs i detta avsnitt. Våra överväganden beträffande den närmare nivån på skyddet – dvs. i praktiken vilka begränsningar i användningen av personuppgifter som bör gälla – kommer att framgå av de följande avsnitten.

Hänvisningar till S6-1

  • Prop. 1997/98:97: Avsnitt 5.5, 8.3

6.2. Olika modeller för regleringen

6.2.1. Hanteringsmodellen och missbruksmodellen

Man kan på ett principiellt plan tänka sig åtminstone två olika modeller för regleringen av skyddet för den personliga integriteten: N Reglering av själva hanteringen av personuppgifter (hanteringsmo-

dellen). N Reglering av sådant utnyttjande av personuppgifter som kan karakterise-

ras som ett missbruk (missbruksmodellen).

När man riktar in sig på att reglera själva hanteringen av personuppgifter, blir det viktigt med regler som avser t.ex. N att precisera godtagbara ändamål med hanteringen och hindra använd-

ning som inte stämmer överens med sådana ändamål, N att inte fler uppgifter än nödvändigt hanteras, N att de hanterade uppgifterna är korrekta och relevanta, N att de hanterade uppgifterna inte läcker ut från den som hanterar dem

och N att de registrerade kan få kännedom om av vem uppgifterna hanteras och

vilka uppgifter som hanteras.

Den nuvarande datalagen och EG-direktivet kan sägas bygga på en sådan modell för skyddet av den personliga integriteten. Också Europarådets

konvention och rekommendationer samt, på det globala planet, OECD:s riktlinjer verkar bygga på hanteringsmodellen. Även den svenska grundlagen106 kan sägas kräva att det skall finnas en lagstiftning baserad på hanteringsmodellen, innefattande skydd mot integritetskränkningar genom att personuppgifter registreras (oavsett om de i någon mening missbrukas eller inte).

De som förespråkar den modell som koncentrerar sig på reglering av det som kan karakteriseras som missbruk av personuppgifter, brukar utgå från att själva hanteringen av personuppgifterna skall vara i det närmaste fri. Det har t.ex. talats om ett slags allemansrätt till personuppgifter.107 Det viktiga med den modellen blir i stället att identifiera vilken användning av personuppgifter som utgör ett sådant missbruk att det bör förbjudas, dvs. i första hand kriminaliseras eller skadeståndsbeläggas.

Båda modellerna har fördelar. Även om en reglering i enlighet med hanteringsmodellen görs i princip teknikoberoende, är det inte praktiskt möjligt att låta den omfatta all hantering av personuppgifter; hanteringen av sådana personuppgifter som någon har memorerat (”har i huvudet”) bör t.ex. lämnas utanför regleringen, trots att de memorerade uppgifterna givetvis kan komma att användas till skada för den som uppgifterna avser. Missbruksmodellen däremot är helt teknikoberoende och tar sikte på det skadliga utnyttjandet av personuppgifterna oberoende av vilket hjälpmedel som har använts vid utnyttjandet (papper och penna, dator, det mänskliga minnet etc.).

Med hanteringsmodellen kan man alltså – till skillnad från missbruksmodellen – inte komma till rätta med allt missbruk av personuppgifter eller all användning av personuppgifter som enskilda kan tycka är obehaglig eller skadlig.

Med hanteringsmodellen främjas en kontinuerligt god hantering av personuppgifter; man begränsar hanteringen till de uppgifter som behövs och hanteringen sker på ett ändamålsenligt sätt som den enskilde kan få insyn i. Den modellen förutsätter också att det finns någon sorts kontroll av eller tillsyn över hanteringen. Missbruksmodellen är å andra sidan mera repressiv till sin karaktär. Där kommer regleringen och tillsynen in först sedan skadan har skett, när missbruket är ett faktum. Det torde med den mo-

106 2 kap. 3 § 2 st. regeringsformen. 107 Se Jan Freese, Rapport om skyddet för enskilda personers privatliv – ett mer

samlat grepp?, 1995, avsnitt 10.4.

dellen vara svårt att på ett tillräckligt förutsebart sätt reglera och kontrollera olika ”förberedelser” till missbruk.

Den hantering som inte innebär ett missbruk lämnas med missbruksmodellen i princip utanför regleringen; där gäller ”allemansrätten till personuppgifter”. Med hanteringsmodellen regleras däremot i princip också sådan hantering av personuppgifter som objektivt sett måste betraktas som harmlös. Det kan därför tyckas att hanteringsmodellen spänner över onödigt mycket. Missbruksmodellen lämnar å andra sidan öppet för en hantering av också känsliga personuppgifter som redan genom sin stora omfattning kan oroa många människor.

6.2.2. Valet på lång sikt av modell för regleringen

Den svenska datalagen och EG-direktivet, som kan betecknas som en moderniserad version av datalagen, bygger som framgått av föregående avsnitt på hanteringsmodellen. Denna kännetecknas av långtgående och detaljerade anvisningar för hur persondata får hanteras. Datalagens tillkomst motiverades av den oro och det obehag med vilken många upplevde den begynnande dataålderns nya möjligheter att behandla personuppgifter. Hanteringsmodellen bygger på ett omfattande administrativt system för kontroll och tillsyn av att dessa regler upprätthålls. Att skapa ett sådant system var högst naturligt på den tid då persondata fanns registrerade i ett antal stora datorer, då antalet system var få och lättöverskådliga och det sålunda var realistiskt att tillsynsmyndigheterna skulle kunna pröva och kontrollera att datahanterarna följde lagen.

I framtiden kommer dataflödet – även i fråga om persondata – att bli enormt. Redan nu kan vi se att i stort sett inga spärrar gäller i fråga om vad som läggs in i Internet och som sprids över alla gränser. Hittillsvarande erfarenheter från Sverige säger oss att för endast ungefär 10 procent av alla licenspliktiga personregister har innehavaren sökt licens hos Datainspektionen. Proportionen av laglydiga kan inte väntas bli större när antalet PCinnehavare ökar.

Man skulle kunna tro att det upplevda obehaget skulle ha minskat i takt med att kunskapen om och användningen av datorer ökat och IT-samhället krupit närmare. Emellertid visar de undersökningar som har gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. De upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i nå-

gon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts. Det förhållandet att den enskilde har eller inte har egen erfarenhet av datorer verkar enligt de senaste undersökningarna inte ha påverkat inställningen till användningen av personuppgifter eller det upplevda obehaget. Och om åldern alls har någon betydelse, är det så att yngre hittills varit mera negativa än äldre till t.ex. överföringar av uppgifter mellan myndigheter.

En förklaring till dessa iakttagelser kan vara att det inte är tekniken som sådan utan teknikens möjligheter som människor är oroliga för. Det väsentliga är vad som registreras och om det kan missbrukas. De stora systemen kan fortfarande – och kanske i växande utsträckning – upplevas som hotande medan de små inte gör det. Oron handlar troligen om möjligheterna till samkörning, skepsis mot myndigheter i allmänhet och mängden information. Det finns en betydande grupp som anser att icke önskvärd kontroll skall hindras. Människor kan dock ha överdrivna föreställningar om teknikens möjligheter. Inställningen kan vara kluven beroende på vilka uppgifter det är fråga om. Man är rädd för att andra har uppgifter om den egna personen och saknar den kontroll över uppgifterna som var möjlig när uppgifterna fanns på papper. När man själv kan få nytta av att exempelvis myndigheterna har tillgång till statistiska uppgifter tycker man däremot att teknikens möjligheter bör utnyttjas.

Problemet är internationellt. Som framkommit vid konferenser i vilka vårt sekretariat deltagit finns en oro för bl.a. den behandling av personuppgifter som utförs av privata intressenter. Ett exempel är att bankerna samlar på sig mängder av uppgifter om kundernas betalningsvanor, övertrasseringar etc. Integritetsintrånget utgörs dels av det obehag människorna känner av att bankerna vet så mycket, dels av oro för att banken kan tänkas fatta beslut i fråga om exempelvis kreditgivning på grundval av dess insamlade uppgifter. Ett exempel från USA är att efterfrågan på uppgifter från sjukvården är stort. Bland andra försäkringsbolagen är mycket intresserade av sådana uppgifter för att kunna agera på grundval av dem.

Reklamföretagen anser att Internet är mycket värdefullt för deras ändamål. Det finns företag som samlar in uppgifter om människors beteende på nätet, vilka BBS man använder, vilka tidningsartiklar man har läst osv. Reklamerbjudanden kan sedan riktas till människor på grundval av dessa uppgifter.

När det gäller Internet görs försök att bringa verksamheten under kontroll, från östliga diktaturers försök att totalförbjuda användandet till strävanden i USA att bekämpa kriminella handlingar som utförs på eller med

hjälp av nätet. Det efterlyses regler från alla håll. För att komma till rätta med problemen har föreslagits såväl lagstiftning som självsanering. I USA har man gett ut rekommendationer som de seriösa företagen förväntas följa. Avsaknaden av auktorisation och ansvarsregler för dem som lägger ut information på nätet har på sina håll ansetts göra det omöjligt för seriösa företag att använda det. Det har sagts att användarna måste ställa krav på dem som skapar programmen att göra det möjligt för den enskilde att på ett enkelt sätt själv avgöra om han eller hon vill ”synas” på nätet eller inte. Om företagen inte tillhandahåller detta bör användaren inte använda produkten.

Den tekniska utvecklingen går nu så snabbt att det är omöjligt att göra några säkra förutsägelser om framtiden. Kanske kommer det inom en snar framtid att finnas teknik som gör det möjligt att urskilja och blockera oönskad information på nätet. För närvarande synes det dock i stort sett omöjligt att bringa Internet under kontroll och försöka upprätthålla strikta krav för hur persondata skall få hanteras på nätet – att försöka hävda att allt är förbjudet som inte är tillåtet. En sträng hanteringsmodell synes för närvarande dömd att misslyckas såtillvida att den inte kommer att respekteras och därmed dra ett löjets skimmer över lagstiftningen. Det kan t.ex. uppkomma svårigheter att på ett lagligt sätt behandla frågor om hälsa och sexualliv i en diskussionsgrupp vid en BBS i någon medicinsk fakultet, om diskussionen knyts till personer. Det finns sålunda de som anser att EG-direktivet redan hunnit bli obsolet i detta hänseende, eftersom det bygger på principer som utvecklades innan nätet kom i allmänt bruk. Risken är uppenbar att företag och till och med myndigheter kommer att bortse från delar av regleringen.

Som ytterligare exempel kan nämnas myndigheternas e-post. E-meddelanden i form av löpande text som överförs mellan datorer via nät omfattas av regleringen i EG-direktivet. Det är knappast genomförbart att hindra att e-post med personuppgifter, som inte borde få behandlas enligt direktivet, kommer in till myndigheterna. Är de inkomna måste de också bevaras för att tillgodose offentlighetsprincipen. Föreskrifterna om underrättelse till de registrerade vid insamling av personuppgifter blir inte enkla att tillämpa i sådana fall. Detsamma gäller hur information skall kunna lämnas till den som vill veta om personuppgifter som rör honom eller henne behandlas i eposten.

Å andra sidan kan det antas att människor även i framtiden kommer att ha kvar sin oro för stora datasystem. Det torde därför bli nödvändigt att behålla en hanteringsmodell, om ock i förenklad form, för stora databaser

hos myndigheter och hos företag med enskilda som klienter eller kunder, t.ex. sjukhus, banker och försäkringsföretag. Detta kan ske på så sätt att en datalag enligt hanteringsmodellen ges generell giltighet men att undantag görs för nätförbindelser, småföretag och andra som framstår som omöjliga att kontrollera. Det blir dock svårt både att lagtekniskt avgränsa de aktörer som skulle undantas och att i den praktiska verksamheten tillämpa en sådan avgränsning. Det torde vara lättare att reglera persondatahanteringen hos de aktörer som måste kontrolleras genom att skapa särskilda registerlagar för olika förvaltningsgrenar inom allmän verksamhet, efter mönster av de registerförfattningar som finns i dag, respektive för olika branscher inom näringslivet.

När det gäller de många små datasystemen, hos t.ex. skolor, småföretagare, enskilda, och troligen också Internet, synes det däremot hopplöst att söka kontrollera själva hanteringen av persondata. Den beskrivning av de framtida problemen som lämnats i det föregående ger nästan automatiskt vid handen att det är utsiktslöst att försöka reglera innehållet i ett otal databaser, annat än för mycket speciella situationer som t.ex. i fråga om barnpornografi. När så småningom alla kommunicerar via data blir det inte konstigare med det än med telefonsamtal, brevskrivning via den allmänna posten eller information via trycksaker. Det kommer att vara mängder av personuppgifter som behandlas i ett sådant system. Vi kan då inte längre hålla på med att strängt reglera själva hanteringen av personuppgifterna. Mycket få skulle rätta sig efter sådana bestämmelser och det kommer inte att finnas resurser att kontrollera att de efterlevs. Tillräckliga resurser skulle för övrigt kunna leda till ett kontrollsamhälle som inte skulle accepteras. Lika gärna skulle man kunna försöka kontrollera telefontrafiken (annat än i form av telefonavslyssning vid misstanke om grov brottslighet). Vad man i stället kan inrikta sig på utanför de särskilda registerförfattningarnas ram är att förhindra sådan spridning av databehandlade personuppgifter som den uppgifterna avser med fog kan begära att bli skonad från.

Lagstiftningen kan i så fall inriktas på att inskärpa moralnormer på området snarare än på en administrativ prövning av befintliga system. När datahantering blir något som ingår i vardagslivet, precis som alla andra tekniker som mänskligheten under århundradena lagt sig till med, kommer det att bli naturligt att motverka dess avarter på samma sätt som vi motverkar avarter på andra områden av mänsklig samlevnad. Som exempel på andra integritetskränkningar kan nämnas misshandel och hotelser. Påföljder för sådana handlingar är straff och skadestånd. Påföljderna syftar samtidigt till att upprätthålla normerna (i dessa fall att man inte får misshandla

och hota sina medmänniskor). När vi i Sverige i alla år klarat oss med några få centrala bestämmelser om bl.a. förtal och förolämpning beträffande det tryckta ordet bör en av tekniska skäl framtvingad övergång till en motsvarande reglering på dataområdet kunna fungera.

Självfallet kan olika typer av brott förekomma i samband med databehandling. IT-utredningen har i sitt betänkande (SOU 1996:40) Elektronisk dokumenthantering gått igenom olika straffbestämmelser som därvid kan bli tillämpliga. Det kan sägas att bestämmelser som rör traditionell brottslighet ganska väl låter sig tillämpas också på förfaranden som sker med automatisk databehandling, utom såtillvida att det ofta är svårt att finna gärningsmannen.

Vad frågan nu gäller är emellertid om det går att ersätta den nuvarande datalagstiftningen om skydd mot otillbörlig behandling av personuppgifter. En framtida lagstiftning om behandling av personuppgifter utanför den särskilda registerlagstiftningens ram synes böra bygga på någon form av skydd för privatlivet. Skyddet bör riktas mot användning av personuppgifter på ett sätt som skadar enskilda personers privatliv. En sådan reglering är visserligen förenad med uppenbara svårigheter, eftersom ”vanliga” människor har mer fog för sina krav på ett fredat privatliv än personer som lever i offentlighetens ljus. Det blir inte lättare av att bestämmelser i ämnet också måste tas in i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Det har framförts förslag till lagreglering av skyddet för privatlivets fred. Integritetsskyddskommittén redovisade tre tänkbara lösningar, hur ett utökat skydd för den enskilde skulle kunna genomföras.108 Ett förslag innebar att det i tryckfrihetsförordningen och brottsbalken skulle tas in en straffbestämmelse om skydd mot kränkningar av privatlivets fred. Därmed skulle gärningen bli straffbar även om den begicks av massmedier och det skulle finnas en möjlighet att få skadestånd. Ett annat förslag var att det skulle införas en möjlighet att få skadestånd vid ett intrång i privatlivet även om intrånget inte var straffbart. Det tredje alternativet var att behålla den nuvarande ordningen dvs. att låta regleringen ske genom massmediernas självsanerande verksamhet. I det lagstiftningsärende som därefter följde och som ledde fram till yttrandefrihetsgrundlagen ansågs det att man även i fortsättningen skulle lita till den självsanerande verksamheten.109

108 Se SOU 1980:8. 109 Se prop. 1986/87:151 s. 44.

På senare tid har skyddet för den personliga integriteten behandlats i bl.a. studien Skyddet för enskilda personers privatliv (Ds 1994:51). I studien framförs att en viktig metod för att stärka integritetsskyddet kan vara att hindra att känsliga personuppgifter utnyttjas eller sprids på ett inte önskvärt sätt i t.ex. massmedier (s. 173). Vidare diskuteras införandet av en ny straffbestämmelse i tryckfrihetsförordningen och yttrandefrihetsgrundlagen till skydd för privatlivets fred. Sådana bestämmelser finns i bl.a. Danmark, Finland och Norge samt i Frankrike (se redogörelsen i avsnitt 10.5.3).

Det kan finnas anledning att här nämna den finländska regleringen eftersom denna, till skillnad från den danska och norska, är förhållandevis ny; den tillkom 1974.110 Då infördes en bestämmelse i 27 kap. 3 a § strafflagen med följande lydelse.

Den som utan laga rätt med användande av massmedium eller på annat liknande sätt om annans privatliv offentligen sprider uppgift, antydan eller bild, som är ägnad att orsaka denne skada eller lidande, skall för kränkning av privatliv dömas till fängelse i högst två år eller till böter. Som kränkning av privatliv skall icke anses offentliggörande, som gäller persons förfarande i offentlig tjänst eller offentligt värv, i näringslivet eller i politisk verksamhet eller i annan med dessa jämförbar verksamhet och som är av nöden för behandlingen av någon samhälleligt betydelsefull sak.

Det inses lätt att en generell regel om kränkning av privatlivets helgd kan ge upphov till talrika gränsdragningsproblem och tillämpningssvårigheter. Det kan inte ingå i vårt uppdrag att överväga ens om det vore önskvärt att införa en sådan allmän regel, långt mindre hur den i så fall skulle kunna utformas. I och för sig finns sådana bestämmelser i olika europeiska länder men det synes tveksamt om EG-kommissionen kan tänkas acceptera att sådana regler sätts i stället för det detaljerade EG-direktivet. Fördelarna och nackdelarna med en sådan regel blir för övrigt desamma vare sig informationen vidarebefordras med data, t.ex. via Internet, eller exempelvis lämnas muntligen i TV. Den fråga vi ställer oss är, om det är möjligt att skilja ut en sådan behandling av personuppgifter med data som framstår som otillbörlig mot den det berör och därför skulle kunna förebyggas med användande av straff eller skadestånd.

110 Se Ds 1994:51 s. 101 ff.

Frågan är då vilka missbruk närmare bestämt som bör motarbetas på persondataområdet, dvs. i första hand kriminaliseras eller förknippas med skadeståndspåföljd. I den förut återgivna ”kränkningskatalogen” (se ovan avsnitt 6.1) är de missbruk som är aktuella när fråga är om persondataskyddet närmast N spridande av förtroliga uppgifter, N avslöjande inför offentligheten av annans privata förhållanden och N angrepp på annans heder och ära.

Av de former för missbruk som sålunda är aktuella när fråga är om persondataskyddet kan först nämnas att spridning av förtroliga uppgifter knappast medför andra problem vid databehandling än vid andra former av kommunikation. Vanligast och kanske också mest skadebringande torde muntlig spridning vara. På detta område finns lagstiftning och etiska regler om tystnadsplikt. Några särskilda bestämmelser för databehandling synes knappast behövliga.

I fråga om angrepp på annans heder och ära finns regler om förtal och förolämpning. Förtal innebär enligt 5 kap. 1 § första stycket brottsbalken att utpeka någon som brottslig eller klandervärd i sitt levnadssätt eller annars lämna uppgift som är ägnad att utsätta denne för andras missaktning. Enligt andra stycket i samma paragraf skall det dock inte dömas för förtal, om den som lämnat uppgifterna var skyldig att uttala sig eller det annars med hänsyn till omständigheterna var försvarligt att lämna denna uppgift i saken och han dessutom visar att uppgiften var sann eller han hade skälig grund för den.

Vad som är försvarligt är det kanske mest besvärliga problemet vid til??lämpning av bestämmelserna om ärekränkning. Den frågan får avgöras i varje enskilt fall för sig med beaktande av omständigheterna.

Emellertid torde trots detta reglerna om förtal ge ett förhållandevis gott skydd mot missbruk av personuppgifter i datamedier, t.ex. via Internet. Ett problem är visserligen att upptäcka spridningen på nätet och inte minst att konstatera varifrån den kommer. Detta problem är dock inte mindre vid tillämpningen av en hanteringsmodell såsom i datalagen eller den av oss föreslagna persondatalagen. Värre är kanske det förhållandet att till skillnad från den nuvarande datalagstiftningen där myndigheterna övervakar att de persondataansvariga hanterar data i överensstämmelse med lagstiftningen blir det i ett system med straff och skadestånd som sanktioner den enskilde som har att agera, med allt vad detta medför av besvär och kostnader. Detta kan motivera att polis och åklagare i större utsträckning än för

närvarande tillvaratar målsägandens intresse vid förtal. Åklagaren skall väcka åtal för förtal om målsäganden anger brottet och det av särskilda skäl anses påkallat ur allmän synpunkt. Om förtalet skedde genom missbruk av databehandlade personuppgifter borde åtal kunna i större utsträckning anses vara påkallat ur allmän synpunkt. Kanske skulle också under en övergångstid en dataombudsman kunna biträda den enskilde i sådana frågor.

Vad angår avslöjande inför offentligheten av annans privata förhållanden, när förtalsbestämmelsen inte är tillämplig, torde den enskilde få finna sig i att enstaka sådana uppgifter sprids. Detta är just baksidan av att det inte är fråga om förtal. Den enskilde skyddas i viss utsträckning av tystnadsplikt som gäller enligt sekretessreglerna för allmän verksamhet men också enligt särskilda regler för många i privat verksamhet som t.ex. läkare och annan vårdpersonal, advokater och banktjänstemän.

Vad man emellertid inte kommer åt med förtalsbestämmelserna eller regler om tystnadsplikt är sammanställningar av uppgifter om en person, som inte är ägnade att utsätta denne för andras missaktning och som inte heller var för sig är hemliga men som ger en så fullständig bild av den berörda att han eller hon rimligen inte skall behöva finna sig i att få sin personlighet utställd på det viset. Vad det framför allt kan bli fråga om är användning av datorer för sammanställning av uppgifter om någon utan dennes samtycke, när uppgifterna rör personliga förhållanden som inte är av allmänt intresse.

Mot sådana sammanställningar skyddas nu den enskilde av datalagen och de stränga förutsättningar som enligt Datainspektionens föreskrifter och villkor gäller för samkörning av dataregister. Som förut framhållits torde dock i framtiden en sådan kontroll bli omöjlig utanför de särskilda registerförfattningarnas område. Ett generellt förbud mot samkörningar kommer inte heller bli möjligt att tillämpa. Det följer redan av att en enda PC kan rymma ett praktiskt sett oändligt antal uppgifter och att någon uppdelning av sådana uppgifter på olika register knappast kan anses föreligga.

Vad som skulle kunna övervägas är ett skydd mot spridning av sammanställningar av uppgifter som inför offentligheten avslöjar enskildas personliga förhållanden. En bestämmelse skulle i så fall kunna införas i 4 kap. brottsbalken (Om brott mot frihet och frid). Diskussionsvis skulle följande regel kunna skisseras.

Den som med automatisk databehandling sammanställer uppgifter om annans privata förhållanden och sprider dem dömes, om det innebär olägenhet för den andre att uppgifterna blir kända, för olovlig dataspridning till böter eller fängelse högst sex månader. Det sagda skall dock inte gälla om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att uppgifterna sprids.

Olägenhet skulle då också innefatta det obehag som någon med fog kan känna om alltför mycket av hans eller hennes privatliv prisges till allmänheten. Försvarligt att lämna uppgifterna skulle det vara i betydligt vidare omfattning än vid förtalsbrottet. Försvarlighetsrekvisitet skulle innefatta en avvägning mellan den enskildes anspråk på ett skyddat privatliv och exempelvis behovet av att kunna belysa offentliga personers privatliv som bakgrund till exempelvis deras förmåga att sköta sina uppgifter.

Olovlig dataspridning skulle i så fall också utgöra tryckfrihetsbrott och yttrandefrihetsbrott.

En modell sådan som den nu skisserade skulle fungera i stort sett som det nuvarande systemet för sanktioner mot tryckfrihetsbrott. Endast sporadiskt och i särskilt flagranta fall skulle det bli fråga om åtal och rättegång. Det måste antas att regleringen skulle utgöra en bas för pressens och etermediernas självsanerande verksamhet och därför i allmänhet bli respekterad i massmedier. Detsamma gäller självfallet offentlig verksamhet. I näringslivet och bland enskilda skulle troligen informationen flöda fritt. Systemet skulle genom sin frihet medföra långt mindre kostnader än nuvarande reglering. Samtidigt skulle det inte på något sätt motsvara det behov av skydd mot ansamling av personuppgifter som många människor känner.

6.2.3. Valet nu av modell för regleringen

Enligt vår mening bör man vid valet av regleringsmodell ta stor hänsyn till allmänhetens inställning. Det förhållandet att många människor känner obehag inför en viss hantering är i en politisk demokrati ett starkt argument i sig för att reglera den hanteringen. Samma bedömning verkar för övrigt ha gjorts i de flesta EU-stater, vilka har lagstiftning efter hanteringsmodellen, och av EU i och med att EG-direktivet antogs. Härtill kommer att Sverige genom sitt medlemskap i EU är skyldig att genomföra EG-direktivet, vilket bygger på hanteringsmodellen.

De förhållandena att flera internationella överenskommelser bygger på hanteringsmodellen och att flera länder, särskilt i vår närhet, har lagstiftning som bygger på den modellen har betydelse också på ett annat sätt. In-

ternationaliseringen ökar samtidigt som den nya tekniken gör det möjligt att blixtsnabbt hämta eller flytta uppgifter över hela jordklotet. I en sådan miljö ligger det ett betydande värde i sig i att lagstiftningen i olika länder är likartad. Kan Sverige inte erbjuda samma skydd vid hanteringen av personuppgifter som andra länder, kan dessa försöka hindra att sådana uppgifter förs över till Sverige. På detta sätt kan användningen av ny teknik i Sverige hämmas. Även om det för interna svenska förhållanden skulle finnas skäl att övergå till en missbruksmodell kan det således – oavsett Sveriges internationella åtaganden – ändå vara mest ändamålsenligt att göra som de flesta andra länder för att trygga det fria flödet av information över gränserna.111

En naturlig grund för människors oro för behandlingen av personuppgifter är risken för att de uppgifter som finns skall vara felaktiga, vaga eller subjektiva. Ett grundläggande krav på datahantering är därför kravet på datas kvalitet. Det är den som behandlar personuppgifter som har bevisbördan för att uppgifterna är korrekta och han eller hon måste alltså kunna hänvisa till källor för uppgifterna som är godtagbara. EG-direktivet ställer stränga krav på uppgifternas kvalitet. Sådana krav är ett naturligt led i en hanteringsmodell. Även om de självfallet bör tillämpas även i en missbruksmodell är det lagtekniskt svårare att reglera dem där.

Som framgår av föregående avsnitt finns det enligt vår mening ändå många skäl – framför allt att det inte är ändamålsenligt att reglera en hantering som snart sagt varje medborgare kan hålla på med t.ex. i vardagsrummet – för att hanteringsmodellen i en framtid måste överges åtminstone såvitt angår små datasystem och verksamheten på Internet och liknande. Som också framgått tror vi dock att det kommer att dröja innan tiden är mogen för en övergång till missbruksmodellen. Den oro människor alltjämt känner för teknikens möjligheter måste respekteras. Övriga EU-stater måste också vinnas för tanken på en sådan övergång.

Övervägande skäl talar därför för att en ny, teknikoberoende lagstiftning om skydd för den personliga integriteten vid behandling av personuppgifter i dagens situation bör bygga på hanteringsmodellen och reglera när och under vilka förutsättningar det är tillåtet att behandla personuppgifter. Vi önskar emellertid samtidigt att diskussionen om en övergång till missbruksmodellen skall fortsätta. Inte minst när det gäller att inom EU:s institutioner vinna gehör för en sådan tankegång gäller det att vara tidigt

111 Jämför Peter Blume, Personregistrering, 3. rev. udgave, 1996, s. 283.

ute. Vi förordar att arbetet drivs vidare i lämpliga former. Vid lämplig tidpunkt bör Sverige ta initiativ till en persondatalagstiftning av mer modernt snitt. Eftersom enhetligheten inom EU bör bevaras, bör detta initiativ i första hand avse tillskapandet av ett nytt EG-direktiv.

6.3. Den lagstiftningsstruktur som EGdirektivet anvisar

EG-direktivet, som Sverige har att genomföra och vilket bygger på hanteringsmodellen, kan sägas anvisa en struktur för lagstiftningen.112 Direktivet bygger på ett antal huvudprinciper från vilka medlemsstaterna har möjlighet – och i vissa fall skyldighet – att inom givna ramar föreskriva undantag; vad medlemsstaterna har att göra är, som det står i direktivet (artikel 5), att inom den ram som direktivet drar upp närmare precisera på vilka villkor behandling av personuppgifter är tillåten. Bland huvudprinciperna kan nämnas: N Behandling av personuppgifter är bara tillåten i sex uppräknade fall. N Behandling av känsliga uppgifter är förbjuden. N Den enskilde skall alltid få information om den behandling som sker och

på begäran kunna få tillgång till sina uppgifter och rättelse, om uppgifterna är felaktiga eller missvisande. N All automatisk behandling av personuppgifter skall anmälas i förväg till

en tillsynsmyndighet.

Sverige har varit ett föregångsland i fråga om lagstiftning på den personliga integritetens och databehandlingens område. EG-direktivet får ses som ett resultat av den utveckling som bl.a. Sverige inspirerat. Den nivå på skyddet för den personliga integriteten som direktivet syftar till får anses vara väl så hög som den svenska lagstiftningens. Härtill bidrar naturligtvis att utgångspunkten för kontinental och anglosachsisk rätt när det gäller myndigheternas handlingar är sekretess medan den nordiska utgångspunkten är öppenhet.

Direktivet har visserligen kommit till stånd efter en lagstiftningsprocedur som till stora delar ägt rum innan Internet och e-post kommit i allmänt

112 I de flesta artiklar i direktivet talas det om att medlemsstaterna skall (eller får) ”föreskriva”, ”förbjuda”, ”bestämma” eller ”precisera” i det ena eller andra hänseendet.

bruk. Den tekniska utvecklingen har sålunda under tiden sprungit ifrån lagstiftarna. Som direktivet nu är föranleder det kritik från olika håll och har till och med kallats obsolet.

Goda skäl talar därför för att direktivet bör ses över och kanske till och med arbetas om i väsentliga hänseenden, efter de riktlinjer vi tidigare förespråkat. Det kan emellertid förutses att en översyn och än mer en omarbetning kommer att ta avsevärd tid i anspråk och säkerligen långt mer än de tre år under vilka vi som EU-medlemmar är skyldiga att genomföra direktivet. Härtill kommer att den svenska datalagen är än mer föråldrad än EG-direktivet och snarast bör ersättas. Reglerna i direktivet är säkerligen lika goda som varje annan just nu tänkbar utformning av hanteringsmodellen. Som vi anfört förut bör vi i dagens läge välja en sådan modell. Detta innebär visserligen att en persondatalag som nu kommer till stånd kanske måste omarbetas inom en tidsram av fem till tio år. Att lagar på områden med så hisnande snabb utveckling som IT-området i viss mening är en förbrukningsvara är dock något vi måste lära oss att leva med.

Sverige driver med skärpa kravet på öppenhet även inom EU:s ramar. Offentlighetsprincipen är djupt rotad i svensk rätt och är grundlagsfäst sedan mer än tvåhundra år. Ett övergivande av den kommer inte i fråga. Att med hänsyn till EG-direktivet om personuppgifter införa begränsningar i grundlagarna kan vi inte tänka oss. I enlighet med vad som anförs i avsnitt 9 kan emellertid EG-direktivet förenas med offentlighetsprincipen. EG-direktivet kan också – i enlighet med vad som anförs i avsnitt 10 – förenas med grundlagsreglerna om tryckfrihet och yttrandefrihet.

EG-direktivet, som således inte är oförenligt med några väsentliga grundlagsfästa svenska intressen, bör därför i enlighet med Sveriges förpliktelser som EU-medlem införlivas i svensk rätt. På någon punkt, där det är uppenbart att verkligheten i form av en snabb teknisk utveckling sprungit ifrån de förutsättningar under vilka direktivet tillkom, synes det möjligt att genom en rimlig tolkning av direktivet undvika en rättstillämpning som annars skulle kunna te sig absurd. När det sedan gäller själva tekniken för genomförandet kan följande sägas.

Det är visserligen i formell mening sant att ett EG-direktiv anger vissa mål eller resultat som skall uppnås eller förverkligas i samtliga EU-länder och att varje stat själv får välja hur detta skall genomföras. I praktiken är dock detta en sanning med modifikation. EG-domstolen kräver nämligen att den form som en medlemsstat väljer för genomförande effektivt säkerställer en fullständig tillämpning av direktivet på ett tillräckligt klart och precist sätt, i syfte att i de fall då direktivet syftar till att skapa rättigheter

för enskilda så skall de berättigade kunna få full kännedom om sina rättigheter och kunna vid behov utnyttja dem inför de nationella myndigheterna. Mot bakgrund härav har domstolen underkänt försök att åberopa exempelvis administrativa åtgärder som tillräcklig form för genomförande av direktiv av lagstiftningskaraktär.113

Otvivelaktigt innehåller EG-direktivet om personuppgifter bestämmelser som ger medborgarna rättigheter i fråga om integritetsskyddet. Direktivet måste därför genomföras i form av lagstiftning. Vi ser oss inte någon möjlighet att i lagtext återge direktivets innehåll i annan form än en nära efterbildning av direktivets text och struktur, med de förbehåll som föranleds av ett fasthållande vid grundläggande svenska intressen. Det finns vidare fördelar i sig med att EU-länderna med sina många inbördes kontakter har en såvitt möjligt likartad lagstiftning.

Sammanfattningsvis anser vi således att den nya svenska lagstiftningen i stort bör följa den struktur som EG-direktivet anvisar och att avvikelser bör göras bara när det finns särskilda skäl till det. I avsnitt 12.1 berörs lagstiftningstekniken i övrigt.

113 Se särskilt dom den 30 maj 1991 i mål mellan kommissionen och Tyskland, C-361/88, ECR 2567, punkt 15.

7. En teknikoberoende och generell persondatalag

Den nya lagen bör vara teknikoberoende och såvitt avser olika typer av behandlingar ha samma tillämpningsområde som EG-direktivet. Detta innebär att lagen bör tillämpas på all automatisk behandling av personuppgifter och dessutom på manuell behandling av personregister. Behandling av uppgifter om juridiska personer omfattas inte av den föreslagna lagen. Lagen bör till skillnad från EG-direktivet vara generell och i princip omfatta även sådant som faller utanför gemenskapsrätten. Rent privat användning av personuppgifter bör dock undantas från lagens tillämpningsområde.

7.1. Förutsättningar

De flesta bestämmelserna i datalagen gäller bara för personregister som förs med hjälp av automatisk databehandling. Det måste alltså vara fråga om ett dataregister med personuppgifter.114

Datalagen gäller i princip för alla sådana personregister inom såväl den privata som offentliga sektorn; de särskilda registerförfattningarna som gäller vid sidan av datalagen berörs i avsnitt 8. Det krävs dock inte licens eller tillstånd för personregister som en enskild person inrättar eller för uteslutande för personligt bruk.115

Enligt utredningsdirektiven skall vi utgå från att en kommande lag skall vara teknikoberoende. Det framgår av utredningsdirektiven inte annat än att lagen skall omfatta bara personuppgifter (och således inte uppgifter om företag, dvs. juridiska personer).

114 Se närmare avsnitt 6 i SOU 1993:10. 115 Se SOU 1996:40 s. 169 beträffande underrättspraxis rörande begreppet personligt bruk.

EG-direktivet gäller för sådan behandling av personuppgifter som är helt eller delvis automatisk. Direktivet gäller dock även för annan behandling (manuell behandling) av sådana uppgifter, om de ingår i eller är avsedda att ingå i ett register, dvs. en strukturerad samling uppgifter som är tillgänglig enligt särskilda kriterier. Direktivet gäller inte för andra uppgifter än personuppgifter.

EG-direktivet omfattar behandling av personuppgifter inom såväl den privata som offentliga sektorn. Direktivet gäller dock inte för sådan uppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, t.ex. statens verksamhet på straffrättens område. Direktivet gäller inte heller för uppgiftsbehandling som en enskild person bedriver som ett led i en verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll.

7.2. Överväganden

7.2.1. Olika typer av behandlingar

Datalagens tillämpningsområde är, såvitt avser de olika typer av behandlingar som omfattas, väsentligt snävare än EG-direktivets. Datalagen gäller bara för automatisk behandling av dataregister, medan EG-direktivet gäller all automatisk behandling av personuppgifter – oavsett om uppgifterna ingår i ett register – och dessutom manuell behandling av personregister.

Bland annat det förhållandet att datalagen bara gäller för dataregister gör att lagen framstår som föråldrad med hänsyn till teknikutvecklingen. Så snart en personuppgift har förts över till datorformat (ettor och nollor) finns i princip tekniska möjligheter att på ett otal sätt och på mycket kort tid behandla den uppgiften tillsammans med andra uppgifter som någonstans i världen har förts över till datorformat. Ett exempel på detta är de s.k. sökmaskiner som finns på Internet och som på några sekunder kan producera en sammanställning av en mängd omedelbart tillgängliga datorlagrade dokument (s.k. webbsidor) världen över som innehåller uppgifter om t.ex. en viss person.

Härtill kommer att kränkningen av en individs personliga integritet som regel inte blir vare sig grövre eller lindrigare bara för att hans eller hennes uppgifter finns registrerade (i ett dataregister) tillsammans med en massa andra (kränkta) individers; det kan dock givetvis finnas andra skäl för att

iaktta särskild försiktighet med uppgiftssamlingar som omfattar väldigt många människor.

En ny lagstiftning till skydd för den personliga integriteten bör således vara teknikoberoende i den meningen att den i fråga om automatisk behandling inte begränsas till dataregister, dvs. ett visst sätt att lagra eller presentera personuppgifterna. All automatisk behandling av personuppgifter bör, i enlighet med EG-direktivets tillämpningsområde, omfattas av en ny, modernare lag. Liksom EG-direktivet bör den nya lagen omfatta inte bara automatisk behandling av personuppgifter i text utan även automatisk behandling av personuppgifter som framgår av bilder eller ljud. Också i denna mening bör den nya lagen vara teknikoberoende och således omfatta t.ex. inlästa bilder på personer och inlästa bilder på pappersdokument som innehåller textuppgifter om personer.116

Att personuppgifter förs över till datorformat innebär som framgått av vad som tidigare anförts särskilda möjligheter till avancerad behandling med åtföljande risk för oacceptabla integritetsintrång. Men det går givetvis att på ett otillbörligt sätt kränka den personliga integriteten även med mer gammalmodiga, manuella metoder. Den som vill göra något otillständigt med personuppgifter skulle, om en ny lag bara omfattade automatisk behandling, kunna göra det för hand för att kringgå skyddsreglerna. Detta – jämte vad som anförs i utredningsdirektiven och vad som gäller enligt EGdirektivet – talar för att den nya lagen bör vara teknikoberoende även i den meningen att också behandling som inte är automatisk omfattas. Härtill kommer att användningen av ny teknik i samhällsutvecklingen inte hämmas genom att i stort sett samma regler gäller för såväl automatisk som manuell behandling av personuppgifter.

All manuell behandling av personuppgifter kan dock inte rimligen omfattas av en ny lag. De osorterade telefonlapparna på skrivbordet bör exempelvis kunna få ligga kvar oberörda av lagen, liksom de uppgifter som finns i det mänskliga minnet. I likhet med vad som gäller enligt EG-direktivet bör därför manuell behandling omfattas av den nya lagen bara om uppgifterna ingår i – eller är avsedda att ingå i – ett register, dvs. har strukturerats efter bestämda kriterier som avser enskilda personer.117

Vi har således kommit fram till att den nya lagen – i enlighet med vad som anges i utredningsdirektiven – bör vara teknikoberoende och att detta

116 I avsnitt 12.2.12 berörs närmare begreppen automatisk och icke automatisk behandling av personuppgifter. 117 Begreppet register berörs närmare i avsnitt 12.2.8.

innebär att lagen bör ha samma vida tillämpningsområde som EG-direktivet.

Det sagda innebär att den nya lag som vi föreslår får ett vidare tillämpningsområde än vad som krävs enligt grundlagsbestämmelsen i 2 kap. 3 § andra stycket regeringsformen; den bestämmelsen innebär att det skall finnas en lag som behandlar registrering av personuppgifter med hjälp av automatisk databehandling. Man skulle därför kunna överväga att justera grundlagsbestämmelsen i enlighet med det skydd som skall ges enligt den föreslagna lagen och EG-direktivet. Trots att det i utredningsdirektiven talas om att vi skall lämna förslag till en teknikoberoende skyddslag nämns där inget om att förslag rörande grundlagsbestämmelsen skulle ingå i vårt uppdrag. Vi har mot den bakgrunden stannat för att inte lämna något utarbetat förslag till ändring av grundlagsbestämmelsen; en ändring av den befintliga bestämmelsen torde för övrigt vara lagtekniskt sett enkel att göra, och Datalagsutredningen har dessutom redan lämnat förslag till hur en sådan ändring skulle kunna göras.

Hänvisningar till S7-2-1

7.2.2. Uppgifter om juridiska personer

Vårt uppdrag kan inte anses omfatta frågan om juridiska personer bör ha ett särskilt skydd mot automatisk eller annan behandling av uppgifter om den juridiska personen.118 Behandling av uppgifter om juridiska personer faller också utanför regleringen i EG-direktivet. Vi föreslår därför att den nya lagen bara skall omfatta behandling av personuppgifter.119

7.2.3. Den nya lagen bör liksom hittills vara generell

EG-direktivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Beträffande datalagen finns inte någon motsvarande begränsning. Datalagen omfattar i princip också personregister som förs av t.ex. polisen och kriminalvården; datalagen är generellt tillämplig.

Eftersom EG-direktivet i detta hänseende har ett snävare tillämpningsområde än den nuvarande generella datalagen, är det möjligt att göra un-

118 Inte heller Datalagsutredningen ansåg att frågan omfattades av den utredningens direktiv, se SOU 1993:10 s. 372. 119 Begreppet personuppgift berörs närmare i avsnitt 12.2.7.

dantag från den nya lagen för sådant som inte omfattas av direktivet. För sådana verksamheter som inte omfattas av direktivet, t.ex. inom försvaret och polisen, torde det i och för sig behövas särregler i ganska stor utsträckning. Sådana nödvändiga särregler har med dagens system meddelats genom särskilda registerförfattningar som helt eller delvis tar över den generella datalagen (se avsnitt 8). Vi anser att det nuvarande systemet med en generell lag som innehåller grundläggande regler har sådana fördelar att det bör behållas.

Den nya lagen bör således – liksom datalagen i dag – gälla generellt och i princip tillämpas på all behandling av personuppgifter i samhället.

7.2.4. Privat användning av personuppgifter

EG-direktivet omfattar inte rent privat användning av personuppgifter. Också den nuvarande datalagen undantar privata personregister från krav på licens och tillstånd.

Datortekniken får i dag anses tillgänglig för var och en i Sverige; en elektronisk telefon- och adressbok kostar bara några hundra kronor. Det är enligt vår mening mot bl.a. den bakgrunden inte rimligt att låta en lagstiftning av aktuell karaktär omfatta även rent privat användning av personuppgifter. Det skulle t.ex. kunna ses som en otillbörlig kränkning av den personliga integriteten att låta Datainspektionen få full insyn i våra rent privata släktforskningsregister och adressböcker.

Den möjlighet som EG-direktivet ger att undanta rent privat användning av personuppgifter bör utnyttjas fullt ut. Det finns som vi ser det inte anledning att låta någon av bestämmelserna i den nya lagen gälla för sådan användning. Undantaget från lagen bör ha samma innebörd som enligt EGdirektivet. I avsnitt 3.2.4 berörs närmare innebörden av direktivet på denna punkt.

I avsnitt 6.2.2 har vi berört de svårigheter som e-post i form av löpande text för med sig vid tillämpningen av EG-direktivet. E-post är ett kommunikationsmedel och den omständigheten att personuppgifter vidarebefordras med ett sådant medel utgör i sig inget skäl att inte tillämpa den föreslagna lagen på behandling av personuppgifter som sker genom och i anslutning till sådan kommunikation. Om myndigheter, företag eller organisationer vidarebefordrar personuppgifter med e-post saknas anledning att inte låta lagens bestämmelser om behandling av personuppgifter bli til??lämpliga. Detsamma gäller om enskilda med användande av e-post

lämnar personuppgifter som myndigheterna samlar in exempelvis för statistik.

IT-utredningen har lagt fram förslag om undantagande i vissa sammanhang av löpande text från datalagen.120 Den frågan bereds i särskild ordning och vi går inte in på den här; till en del sammanfaller förslaget med vårt förslag om undantag för grundlagsskyddade yttranden. För egen del föreslår vi under avsnitt 12.12.2.3 att framställning av korrespondens och framställning av promemorior och annan löpande text skall kunna genom särskilda föreskrifter undantas från anmälningsskyldighet. Vi förutsätter att så kommer att ske. Detta innebär i praktiken att all intern hantering av sådana texter kommer att vara undandragen annan insyn än den som Datainspektionen kan utöva vid systemtillsyn hos myndigheter och större företag.

Saken kompliceras emellertid av att även enskilda människor numera i snabbt ökande omfattning använder e-post för kommunikationer med andra enskilda. Detta sker i flertalet fall utan någon som helst aning om att den föreslagna lagens bestämmelser om behandling av personuppgifter skulle kunna tänkas bli tillämpliga på det avsända meddelandet. Det finns ingen principiell skillnad mellan en sådan korrespondens och vanlig brevväxling. En tillämpning av EG-direktivet på privat korrespondens kan inte rimligen ha varit avsedd vid direktivets tillkomst och bör inte heller komma i fråga. Den bör därför hänföras till vad som är ett led i en verksamhet av rent privat natur.

En annan sak är enskildas korrespondens med myndigheter, företag eller organisationer. Den kan i vart fall inte på den senare sidan hänföras till vad som är av privat natur. Viss tillämpning skulle dock vara så absurd att den får avböjas av rena förnuftsskäl. Det kan exempelvis tänkas att det till regeringskansliet inkommer brev från enskilda med allvarliga beskyllningar mot anhöriga eller grannar. Sådana brev skall naturligtvis vara tillgängliga enligt offentlighetsprincipen. Men att regeringskansliet eller någon annan mottagare skulle särskilt informera grannarna eller de anhöriga om den behandling som mottagandet – och i fråga om myndigheter bevarandet enligt offentlighetsprincipen – utgör kan naturligtvis inte komma i fråga. Det rör sig emellertid här om så exceptionella fall att någon särreglering inte kan anses erforderlig. Det kan tilläggas att när anmälningar om brott görs till polismyndighet så faller de enligt artikel 3.2 utanför EG-direktivets tillämpningsområde och kan nationellt regleras genom särskilda

120 Se SOU 1996:40 s. 164 ff.

registerförfattningar. Registerutredningen (Ju 1995:01) ser för närvarande över registrerandet av uppgifter inom polisens område.

I direktivet talas det om behandling av personuppgifter av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Vi har emellertid för att förenkla valt att i den föreslagna persondatalagen bara tala om sådan behandling som är ett led i en verksamhet av rent privat natur. Någon saklig skillnad är inte avsedd. Det som har samband med någons hushåll får i detta sammanhang anses vara av rent privat natur, t.ex. den registrering som en arbetsgivare gör av de arbetstagare som arbetar i hans eller hennes hushåll, inklusive handikappades registrering av personliga assistenter.121

Hänvisningar till S7-2-4

7.2.5. Lagens namn

Den nya lagen skall således principiellt sett vara generellt tillämplig och innehålla en reglering av i princip all behandling av personuppgifter utom manuell behandling av uppgifter som inte ingår i eller är avsedda att ingå i ett register. En sådan generell lag bör av praktiska skäl ha ett kort namn, som ger en orientering om vad lagen omfattar.

Vi har kommit fram till att persondatalagen är ett lämpligt namn. Det är kort och leder tanken i rätt riktning, nämligen att det gäller en lag om hur uppgifter (”data”) om personer skall hanteras, särskilt i fråga om sådana uppgifter som finns ”på data”. Att uttrycket persondata sedan inte används i själva lagtexten bör inte ha någon avgörande betydelse, när namnet ”personuppgiftslagen” låter så pass mycket sämre.

Vi föreslår således att den nya lagen skall heta persondatalagen. När vi i det följande talar om persondatalagen avses således den nya lag som vi föreslår.

121 Se, rörande sådant arbete som en arbetstagare utför i arbetsgivarens hushåll, lagen (1970:943) om arbetstid m.m. i husligt arbete.

8. Förhållandet till särskilda registerförfattningar

Vårt uppdrag omfattar inte de särskilda registerförfattningarna. Vi föreslår därför att särregler i registerförfattningar skall gälla framför den nya persondatalagen.

Hänvisningar till S8

  • Prop. 1997/98:97: Avsnitt 5.5

8.1. Bakgrund

Enligt den nuvarande datalagen behövs inte tillstånd av Datainspektionen för personregister som har inrättats genom beslut av riksdagen eller regeringen (2 a §). Sådana register brukar kallas statsmaktsregister. Datainspektionen kan dock meddela föreskrifter för registret i den mån riksdagen eller regeringen inte har gjort det (6 a och 18 §§). När ett personregister är reglerat i lag eller förordning, är det således undandraget Datainspektionens tillståndsprövning och – mer eller mindre – inspektionens föreskriftsrätt. Datainspektionen får t.ex. inte själv fritt bestämma om sitt eget licensregister (36 §§dataförordningen).

Det finns i dag bestämmelser om personregister i en mängd olika lagar och förordningar.122 Avsikten är att Datainspektionen skall höras innan sådana författningar beslutas.123 Det är inte nödvändigt att beslutet att in-

122 Sådana lagar och förordningar kallas i det följande för registerförfattningar, även om författningen i första hand reglerar annat än ett register. – En förteckning över vissa registerförfattningar finns som bilaga 6 till SOU 1993:10. 123 Se prop. 1993/94:217 s. 22 f. Före den 1 januari 1995 fanns det en uttrycklig regel om att ett särskilt yttrande skulle hämtas in från Datainspektionen innan det inrättades ett statsmaktsregister med känsliga personuppgifter, se avsnitt 2.4.3.

rätta ett register får formen av en lag eller förordning, och detta kan ibland leda till osäkerhet om ett visst register kräver tillstånd eller inte.124

År 1990 uttalade regeringen att målsättningen bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag.125 Konstitutionsutskottet ansåg att det allmänt sett är av stor betydelse att en författningsreglering kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Det förutsattes att regeringen ägnar fortlöpande uppmärksamhet åt frågan om vilka register som bör regleras och att åtgärder vidtas för att sådana regleringar kommer till stånd.126

Dessa uttalanden har ofta åberopats i senare lagstiftningsärenden. På senare år har det tillkommit allt fler registerförfattningar. Som exempel kan nämnas:

N Tullregisterlagen (1990:137) med anslutande förordning (1990:179) – prop.

1989/90:40 N 1518 §§ lagen (1990:886) om granskning och kontroll av filmer och videogram med

anslutande förordning (1990:992; 8–9 §§) N 16 § insiderlagen (1990:1342) – insiderregister – med anslutande förordning

(1996:1023) – utredningsregister N Lagen (1990:1536) om folkbokföringsregister med anslutande förordning (1991:750)

prop. 1990/91:53 N Lagen (1991:876) om register för betalningsföreläggande och handräckning med

anslutande förordning (1992:76) – prop. 1990/91:126 N Förordningen (1992:1027) om register för strafföreläggande, föreläggande av ord-

ningsbot, m.m.

N Lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna

med anslutande förordning (1993:836) – prop. 1992/93:193 N Lagen (1993:825) om personregister i riksdagens informationssystem Rixlex N Förordningen (1993:982) om bostadsbidragsregister (se numera SFS 1995:1016

nedan) N Förordningen (1993:1058) om sjukvårdsregister hos Socialstyrelsen för forskning

och statistik (se också SFS 1996:1293)

N Förordningen (1993:1153) om redovisning av studier m.m. vid universitet och hög-

skolor

N Förordningen (1993:1270) om förande av samfällighetsföreningsregister m.m. N Förordningen (1994:348) om register för skuldsaneringsärenden N Lagen (1994:448) om pantbrevsregister med anslutande förordning (1994:598)

124 Se t.ex. de fall som refereras i Claes Kring & Stefan Wahlqvist, Datalagen med kommentarer, 1989, s. 89 ff. 125 Prop. 1990/91:60 s. 58. 126 KU 1990/91:11 s. 11.

N Lagen (1994:459) om arbetsförmedlingsregister med anslutande förordning

(1994:460) – prop. 1993/94:235 N Förordningen (1994:565) om vårdnadsbidragsregister N Förordningen (1994:1283) om lönegarantiregister N Lagen (1994:1517) om socialförsäkringsregisterprop. 1994/95:8 – med anslutande

förordning (1996:1037) om register för vissa bidrag till barn N Förordningen (1994:1521) om biverkningsregister angående läkemedel N Förordningen (1994:1543) om Utrikesdepartementets personregister över främman-

de staters beskickningspersonal m.m.

N Förordningen (1994:1544) om bostadstilläggsregister N Förordningen (1994:1671) om tillfälligt statistikregister inom Riksrevisionsverket

för kartläggning av vissa förmåner

N 12 kap. alkohollagen (1994:1738) N Förordningen (1994:1933) om register över europeiska intressegrupper N Lagen (1995:606) om vissa personregister för officiell statistik med anslutande för-

ordning (1995:1060) – prop. 1994/95:200 N Lagen (1995:743) om aviseringsregister med anslutande förordning (1996:1298) –

prop. 1994/95:201 N Förordningen (1995:1016) om bostadsbidragsregister N Lagen (1995:1536) om provverksamhet avseende hushålls- och bostadsuppgifter med

anslutande förordning (1996:434) N Lagen (1995:1537) om lägenhetsregister med anslutande förordning (1996:435) –

prop. 1995/96:90 N 2527 §§ lagen (1996:786) om tillsyn över hälso- och sjukvården – prop.

1995/96:176 s. 85 ff. N Lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska

intressen – KU 1995/96:13

N Förordningen (1996:825) om register för reglering av vissa vårdkostnader mellan

EES-länder

N Lagen (1996:1156) om receptregisterprop. 1996/97:27 (SOU 1995:122) N Förordningen (1996:1306) om tillfälligt utlämnande av uppgifter från ett folkbokfö-

ringsregister

N Förordningen (1996:1389) om register hos Statens invandrarverk över fingeravtryck

Det finns vidare flera färska utredningar rörande nya registerförfattningar, se t.ex.:

N SOU 1994:30 (röstlängdsregister); se också prop. 1996/97:70 N SOU 1995:86 (socialtjänstregister) N SOU 1995:95 (hälsodataregister och vårdregister) N SOU 1995:147 (register över hälso- och sjukvårdspersonal) N SOU 1996:35 (kriminalunderrättelseregister och DNA-register) N Ds 1996:19 (kriminalvårdsregister) N Ds 1996:70 (ny socialförsäkringsregisterlag) N SOU 1996:72 (rättspsykiatriskt forskningsregister) N SOU 1996:94 (teleadressregister) N Ds 1997:2 (Tullverkets brottsregister) N SOU 1997:3 (fastighetsdataregister)

Och nya registerförfattningar utreds för närvarande, se t.ex.:

N Registerutredningen (Ju 1995:01), dir. 1995:38 och 1996:22, jämför prop.

1994/95:144 N Pliktregisterutredningen (Fö 1996:03), dir. 1996:14 N Grunddatabasutredningen (Fi 1996:06), dir. 1996:43 N Bulvanutredningen (Ju 1996:06), med uppdrag att bl.a. utreda frågan om ägarregister

avseende fåmansbolag, dir. 1996:55 N Register för skattebrottsutredningar, dir. 1996:89 N En utredning om ett offentligt bostadsrättsregister (Ju 1996:10), dir. 1996:108 N En översyn av bestämmelserna inom trafikregisterområdet (K 1996:06), dir.

1996:117

Det pågår vidare t.ex. diskussioner om informationshantering inom s.k. Europol-samarbete.

Datalagsutredningens förslag innebar att systemet med särskilda registerförfattningar skulle finnas kvar vid sidan av den lag som utredningen föreslog.127

Det har på senare tid förts fram kritik mot systemet med en mängd särskilda registerförfattningar. Toppledarforum ansåg att författningsmetodiken var ologisk och föreslog att behovet av de befintliga registerförfattningarna skulle omprövas. Några nya registerförfattningar enligt nuvarande modell borde, enligt Toppledarforum, inte införas, även om undantag kunde tänkas för mycket speciella verksamheter, såsom säkerhetspolisen och delar av sjukvården.128 Skälen för ställningstagandet var att metodiken med registerförfattningar ansågs omständlig och tidsödande. Systemändringar även av detaljkaraktär, t.ex. på grund av ändringar i verksamheten eller den tekniska utvecklingen, måste ofta föregås av ändringar i registerförfattningen, och detta tar tid och kräver resurser inom riksdagen, regeringen och den berörda myndigheten. Angelägna projekt kan försenas eller inte bli av.129

127 Se SOU 1993:10 s. 165 ff. 128 LEXIT – Förstudie, 1995, s. 42. 129 LEXIT – Förstudie, 1995, s. 37 f.

8.2. Överväganden

Hänvisningar till S8-2

  • Prop. 1997/98:97: Avsnitt 7

8.2.1. De särskilda registerförfattningarna omfattas inte av vårt uppdrag

Vi har i uppdrag att göra en total revision av den generella datalagen. De särskilda registerförfattningarna nämns inte i våra utredningsdirektiv. Regeringen har sedan våra utredningsdirektiv beslutades tillsatt flera utredningar med uppdrag att bl.a. lämna förslag till registerförfattningar och därvid hänvisat till de principiella uttalandena från år 1990 om att målsättningen bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag.130

Mot den bakgrunden kan vi inte annat än konstatera att överväganden rörande de särskilda registerförfattningarna faller utanför vårt uppdrag, liksom t.ex. informationshantering inom Europol. Det förefaller dock nödvändigt att även med den nya lagstiftning som vi föreslår ha särregler i vissa fall; på vilken nivå denna särreglering lämpligen bör beslutas – av riksdagen, regeringen eller någon kompetent myndighet – ankommer det som sagt inte på oss att överväga.

Våra överväganden och förslag i detta betänkande avser alltså inte sådant som i dag är särreglerat och inte heller de områden där det i särskild ordning övervägs regler rörande register eller behandling av personuppgifter.

8.2.2. Undantag från den generella lagstiftningen för särskilda registerförfattningar

Vi har således kommit fram till att den persondatalag som vi föreslår bör innehålla en bestämmelse som innebär att särregleringen inte berörs. I den mån någon särreglering inte finns för ett statsmaktsregister, kommer alltså persondatalagen att gälla för det registret. Liksom i dag bör Datainspektionen i princip ha att utöva tillsyn även beträffande särreglerade statsmaktsregister, dock att det i speciella situationer, såsom i vissa fall inom t.ex. försvaret eller säkerhetspolisen, kan finnas anledning att ha särregler om

130 Se dir. 1995:96 och 1995:120.

tillsynen. Frågan om Datainspektionens tillsyn berörs närmare i avsnitt 12.14.1.

Undantaget i den nuvarande datalagen gäller för sådana register som har inrättats genom beslut av riksdagen eller regeringen. Vi föreslår emellertid att bara särregler i lag eller förordning skall ta över bestämmelserna i den nya persondatalagen. Att riksdagen och regeringen i dag kan besluta om att inrätta register (med verkan att datalagen delvis inte gäller) på annat sätt än genom en författning (lag eller förordning) har bara lett till osäkerhet om vad som gäller, t.ex. för register som en myndighet i praktiken behöver upprätta för att fullgöra det som ålagts den genom beslut av riksdagen eller regeringen. Om vissa avvikelser från den persondatalagen skall göras för statsmaktsregister, är det för övrigt lämpligt att detta övervägs i den ordning som normalt gäller för författningar och att det i författning preciseras vilka avvikelser som avses. Detta gäller även sådana register som riksdagen själv för.131 Det bör inför ikraftträdandet av persondatalagen göras en översyn av vilka beslut med särregler som fortfarande kan gälla.

Persondatalagen kommer att vara anpassad till Sveriges skyldigheter på grund av EG-direktivet. Det finns inte någon garanti för att de befintliga särskilda registerförfattningarna är det. Vi har övervägt att föreslå en särskild bestämmelse i persondatalagen av innebörd att särregler i lag eller förordning skulle få gälla framför den nya, EG-anpassade lagen bara i den utsträckning som särreglerna inte strider mot vad som följer av EG-direktivet. Om det skulle finnas någon bestämmelse i en registerförfattning som inte är förenlig med vad som följer av EG-direktivet, skulle alltså den nya lagen – och inte EG-direktivet direkt – gälla. Den nya EG-anpassade lagen skulle således förses med en s.k. EG-spärr beträffande avvikande lagstiftning. Liknande EG-spärrar som förhindrar enligt EG-rätten otillåtna avvikelser från en grundläggande, EG-anpassad lagstiftning finns på andra håll i lagstiftningen såvitt avser otillåtna avvikelser genom kollektivavtal.132Det finns dock även exempel på motsvarande EG-spärr i en grund-

131 Jämför lagen (1993:825) om personregister i riksdagens informationssystem Rixlex och lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen. 132 Se 2 § tredje stycket 1 p. lagen (1982:80) om anställningsskydd och 4 § andra stycket lagen (1976:580) om medbestämmande i arbetslivet (SOU 1993:32 och prop. 1993/94:67 samt SOU 1994:83 och prop. 1994/95:102) samt 3 § fjärde stycket arbetstidslagen (1982:673) (SOU 1995:92 och prop. 1995/96:162).

läggande, EG-anpassad lag som direkt tar sikte på enligt EG-rätten otil??låtna avvikelser genom förordningar och myndighetsföreskrifter.133

Det är emellertid nödvändigt att se över de befintliga registerförfattningarna innan den nya lagstiftningen börjar tillämpas på deras respektive områden. Registerförfattningarna måste anpassas till såväl EG-direktivet som den föreslagna persondatalagen. Registerförfattningarna bygger på att den generellt tillämpliga datalagen fyller ut där det inte finns särregler, och när nu datalagen byts ut mot persondatalagen med delvis andra regler och annan terminologi, måste givetvis vissa justeringar ske i registerförfattningarna för att passa in dem i den nya, grundläggande rättsliga miljön. Eftersom de svenska bestämmelserna som inför direktivet inte behöver tillämpas på behandlingar av personuppgifter som pågår i oktober 1998 förrän på hösten år 2001 (se närmare avsnitt 12.15), finns det en viss respit för att göra en sådan översyn av befintliga registerförfattningar. Detta kommer visserligen att bli ett mycket omfattande arbete. Vi förutsätter dock att det hinns med innan EG-direktivet måste tillämpas efter den övergångstid som gäller.

Direktivet innehåller ett stort antal komplicerade regler som är svårtillämpade för enskilda och myndigheter. Dessa bör med fog kunna förvänta sig att de lagar och förordningar som är i kraft överensstämmer med EG-direktivet. I sista hand gäller visserligen direktivet, men det finns inte skäl att anta, att detta i praktiken kommer att medföra några komplikationer. En EG-spärr skulle i så fall bara skapa oro utan att medföra någon motsvarande nytta. Vi har därför inte funnit anledning att föreslå någon EG-spärr i persondatalagen.

På motsvarande sätt har vi resonerat när det gäller de bestämmelser som innebär att myndigheter eller enskilda är skyldiga att lämna ut uppgifter.134 Med hänsyn till att EG-direktivet och den föreslagna persondata-

133 Se 25 § lagen (1974:13) om vissa anställningsfrämjande åtgärder (den s.k. främjandelagen) och därtill SOU 1994:83 s. 126 f. samt prop. 1994/95:102 s. 76 f. 134 Se t.ex. 71 § socialtjänstlagen (1980:620) (anmälan om misshandel m.m. mot underåriga) och förordningen (1982:772) om skyldighet att anmäla vissa allvarliga skador m.m. i hälso- och sjukvården samt alla de regler som finns om att myndigheter och domstolar skall underrätta varandra om sina domar och beslut. I dessa fall bör man dock utan mera ingående prövning tills vidare kunna utgå från att ett utlämnande är tillåtet när det gäller personuppgifter i allmänhet enligt artikel 7 e (allmänt intresse, myndighetsutövning) och när det gäller känsliga personuppgifter enligt artikel 8.4 (viktigt allmänt intresse). I det senare fallet skall dock undantag anmälas till kommissionen enligt artikel 8.6.

lagen innebär att utlämnande av personuppgifter bara får ske om utlämnandet inte är oförenligt med de ändamål för vilka uppgifterna samlades in (se avsnitt 12.4.3) måste dessa bestämmelser ses över, något som inte kan anses omfattat av vårt uppdrag.

Hänvisningar till S8-2-2

8.2.3. Datainspektionen skall höras när registerförfattningar beslutas

Enligt artikel 28.2 i EG-direktivet skall medlemsstaterna se till att tillsynsmyndigheten – dvs. i Sverige Datainspektionen – hörs när sådana författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter.

En uttrycklig motsvarande bestämmelse i datalagen avskaffades på Datalagsutredningens förslag135 per den 1 januari 1995.136 Avsikten var att avskaffandet på intet sätt skulle innebära någon lättnad i kravet på remissbehandling av förslag till nya statsmaktsregister (även om syftet med avskaffandet i och för sig var att minska Datainspektionens arbetsbörda).

I 7 kap. 2 § regeringsformen finns en bestämmelse om att behövliga upplysningar och yttranden skall hämtas in vid beredningen av regeringsärenden. Den bestämmelsen bör tolkas i belysning av vad som krävs enligt EG-direktivet. När regeringen i fråga om en registerförfattning beslutar en förordning eller tar initiativ till en lag, finns det således enligt vår mening tillräckliga garantier för att Datainspektionen hörs på det sätt som krävs enligt direktivet.

Någon motsvarande s.k. remisskyldighet finns inte när det inom riksdagen tas initiativ till en registerförfattning, t.ex. om reglering av riksdagens egna register.137 I 4 kap. 10 § riksdagsordningen finns det dock bestämmelser om att statlig myndighet – t.ex. Datainspektionen – är skyldig att lämna upplysningar och yttra sig när ett riksdagsutskott begär det och om att sådana upplysningar och yttranden som huvudregel skall hämtas in om minst fem utskottsledamöter begär det.

135 Se SOU 1993:10 s. 173 f. 136 Se prop. 1993/94:217 s. 22 f. och SFS 1994:1485. 137 Jämför KU 1992/93:32, beträffande personregister i riksdagens informationssystem Rixlex, och KU 1995/96:13, beträffande registrering av riksdagsledamöters åtaganden och ekonomiska intressen.

Det får förutsättas att riksdagen utan en särskild bestämmelse om detta ser till att Datainspektionen har hörts på det sätt som EG-direktivet kräver när en registerförfattning beslutas efter ett initiativ inom riksdagen.

Vi anser således att det inte är nödvändigt med hänsyn till EG-direktivet att åter införa den bestämmelse om obligatoriskt yttrande från Datainspektionen som nyss avskaffats.

9. Förhållandet till offentlighetsprincipen

Det går att förena EG-direktivet med offentlighetsprincipen enligt 2 kap. TF. Vi föreslår en uttrycklig bestämmelse som klargör att den nya persondatalagen inte skall tillämpas, om det skulle inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF. Vidare föreslås en uttrycklig bestämmelse om att lagen inte hindrar att en myndighet bevarar allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet.

Hänvisningar till S9

  • Prop. 1997/98:97: Avsnitt 5.5

9.1. Inledning

Innebörden av offentlighetsprincipen och våra förslag rörande den berörs närmare i den andra delen av betänkandet. I detta avsnitt berör vi bara förhållandet mellan å ena sidan offentlighetsprincipen, som enligt utredningsdirektiven inte skall förändras, och å andra sidan den nya persondatalag som vi föreslår och EG-direktivet. För sammanhangets skull bör dock här nämnas N att offentlighetsprincipen innefattar en rätt för varje svensk medborgare

att ta del av allmänna handlingar, inklusive personregister, i den utsträckning handlingarna inte innehåller uppgifter för vilka gäller sekretess (2 kap. 1–2 §§ TF) och N att den som begär att få ta del av allmänna handlingar i allmänhet har

rätt att få vara anonym (2 kap. 14 § 3 st. TF).

Vidare bör i fråga om andra regler än dem som finns i grundlag här nämnas att myndigheterna – för att offentlighetsprincipen i praktiken skall ha något värde – måste vara skyldiga att N i handlingar dokumentera uppgifter av betydelse för verksamheten (t.ex.

15 § förvaltningslagen, 31 § verksförordningen och 14 § datalagen),

N registrera och strukturera sina handlingar så att man kan hitta bland dem

(15 kap. sekretesslagen) och N bevara sina handlingar i tillräcklig utsträckning i arkiv (arkivlagen).

Datalagsutredningen kom fram till att vissa bestämmelser i 1992 års förslag till EG-direktiv var svåra eller omöjliga att förena med offentlighetsprincipen.138 Sverige har emellertid, bl.a. efter inträdet i EU, tagit aktiv del i de fortsatta förhandlingarna om EG-direktivet och agerat hårt för att få till stånd sådana lösningar att direktivet inte står i motsättning till den svenska offentlighetsprincipen. På flera punkter avviker den antagna direktivtexten från 1992 års förslag. Sverige har också lyckats få in en bestämmelse i ingressen till direktivet som klargör att det är möjligt att vid genomförandet av direktivets bestämmelser ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar (punkt 72). Av utredningsdirektiven framgår vidare att det är den svenska regeringens bedömning att det i EGdirektivet inte finns någon bestämmelse som står i strid med en tillämpning av den svenska offentlighetsprincipen. Vi anser att det är möjligt att – mot bakgrund av den uttryckliga bestämmelse som har tagits in i punkt 72 i ingressen – tolka bestämmelserna i EG-direktivet på ett sådant sätt att det som är grundlagsfäst eller annars särskilt betydelsefullt beträffande offentlighetsprincipen kan behållas.

9.2. Utlämnande av personuppgifter enligt offentlighetsprincipen

Den grundlagsfästa delen av offentlighetsprincipen rör utlämnandet av personuppgifter, som finns i allmänna handlingar, till en obestämd krets mottagare. Övriga inledningsvis nämnda regler – om skyldighet att dokumentera, registrera och arkivera – utgör i och för sig en förutsättning för att den grundlagsfästa delen av offentlighetsprincipen i praktiken skall ha något värde. Men det står samtidigt klart att Sverige inte med hänvisning till offentlighetsprincipen och vad som sägs i punkt 72 i ingressen till EG-direktivet kan undanta all registrering av personuppgifter inom den offentliga sektorn. I den utsträckning som en viss personregistrering inte kan

138 Se SOU 1993:10 s. 85 ff.

til??låtas enligt EG-direktivet, kommer det alltså inte att finnas något för allmänheten att titta på med stöd av offentlighetsprincipen.

Enligt vår mening kan man beträffande EG-direktivet resonera på följande sätt när det gäller utlämnande av personuppgifter med stöd av den grundlagsfästa offentlighetsprincipen.

Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlighetsprincipen är i och för sig att anse som en sådan behandling av personuppgifter som omfattas av EG-direktivet.

Av artikel 6.1 b framgår att personuppgifter skall samlas in för särskilda, uttryckligt angivna ändamål och att senare behandling av uppgifterna inte får ske på ett sätt som är oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in; också enligt Europarådets dataskyddskonvention (artikel 5 b) skall personuppgifter för automatisk databehandling lagras för särskilda ändamål och inte användas på ett sätt som är oförenligt med dessa ändamål. – Enligt vår uppfattning kan en myndighets utlämnande av personuppgifter med stöd av offentlighetsprincipen inte anses vara oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in. Offentlighetsprincipen framgår av grundlagen och får anses utgöra en integrerad del av all förvaltningsverksamhet som myndigheterna ägnar sig åt.

Av artikel 7 framgår att personuppgifter får behandlas, t.ex. lämnas ut, om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att fullgöra en arbetsuppgift som är ett led i myndighetsutövning som utförs av den registeransvarige. – De registeransvariga myndigheterna är rättsligt förpliktade att följa bl.a. grundlagsreglerna om utlämnande av allmänna handlingar, och utlämnandet är också ett led i deras myndighetsutövning. Utlämnandet är alltså tillåtet enligt artikel 7.

Behandling – utlämnande – av känsliga personuppgifter skall i princip förbjudas enligt artikel 8. Det är emellertid tillåtet att av hänsyn till ett viktigt allmänt intresse göra undantag från förbudet, om det finns lämpliga skyddsåtgärder (artikel 8.4). – Att utlämnande kan ske enligt den grundlagsfästa offentlighetsprincipen är ett viktigt svenskt allmänt intresse. De svenska sekretessbestämmelserna medför att sådana känsliga personuppgifter som avses i artikel 8 i praktiken inte kommer att lämnas ut om den enskilde kan skadas eller drabbas negativt av utlämnandet. Sekretessbestämmelserna får anses utgöra sådana lämpliga skyddsåtgärder som avses i EG-direktivet. Det finns alltså inget hinder mot att föreskriva ett undantag från det principiella förbudet mot behandling av personuppgifter i artikel 8

för sådant utlämnande som sker med stöd av offentlighetsprincipen. Det undantaget måste dock anmälas till kommissionen enligt artikel 8.6.

När uppgifter om en viss person samlas in från den berörde själv, skall – enligt artikel 10 – den information lämnas som är nödvändig för att tillförsäkra den registrerade en korrekt behandling, exempelvis information om ”mottagarna eller de kategorier som mottar uppgifterna”. Information behöver dock inte lämnas i den mån den registrerade redan känner till informationen. I artikel 11.1 finns det motsvarande bestämmelser för det fallet att personuppgifterna inte har samlats in från den registrerade själv utan hämtats från något annat håll. – Eftersom offentlighetsprincipen innebär att var och en kan få ut personuppgifter och att den som får uppgifterna i princip har rätt att vara anonym, kan den myndighet som samlar in personuppgifter inte lämna information om till vilka personer uppgifterna kan komma att lämnas ut. Däremot kan information givetvis lämnas om att uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen till den som begär det. Härigenom får de registrerade – på det sätt direktivet kräver – information om till vilka kategorier av mottagare som uppgifterna kan komma att lämnas ut. Eftersom utlämnande enligt offentlighetsprincipen sedan lång tid tillbaka föreskrivits i svensk grundlag, kan det vidare förutsättas att allmänheten redan känner till den informationen. Därför torde det inte vara helt nödvändigt att lämna information i detta hänseende.

Enligt artikel 13.1 g är det tillåtet för medlemsstaterna att göra nödvändiga undantag från bl.a. bestämmelserna i artikel 6.1, 10 och 11.1 med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter. – Rätten för var och en att få ta del av allmänna handlingar med stöd av den grundlagsfästa offentlighetsprincipen är en sådan rättighet som kan göra det befogat med undantag.

Som framgått av det anförda finns det goda möjligheter att förena den grundlagsfästa delen av offentlighetsprincipen med bestämmelserna i direktivet. Vi anser att det – för att inte någon tvekan skall uppkomma om hur den nya lagstiftningen förhåller sig till grundlagen – bör införas en uttrycklig bestämmelse om att den nya persondatalagen inte skall tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. TF.139 Den bestämmelsen, som omfattar

139 Hur EG-direktivet förhåller sig till andra bestämmelser i tryckfrihetsförordningen, dvs. bl.a. bestämmelserna om tryckfrihet och skydd för den som lämnar ut uppgifter till pressen, berörs i avsnitt 10.

även känsliga personuppgifter, bör anmälas till kommissionen enligt artikel 8.6.

Hänvisningar till S9-2

9.3. Rättelse av uppgifter hos myndigheter

Offentlighetsprincipen innebär att var och en i princip har rätt att få reda på de uppgifter som faktiskt har bestämt utgången av ett ärende oavsett om uppgifterna objektivt sett är riktiga och fullständiga; den enskilde har rätt att få se även ett dåligt beslutsunderlag.

Enligt artikel 6.1 c–d i EG-direktivet är det ett grundläggande krav att de behandlade personuppgifterna är adekvata, relevanta, riktiga och, om nödvändigt, aktuella. Den registrerade skall vidare enligt artikel 12 b ha rätt att i förekommande fall få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om uppgifterna är ofullständiga eller felaktiga. Enligt artikel 13.1 g är det dock tillåtet för medlemsstaterna att göra nödvändiga undantag från bl.a. bestämmelserna i artikel 6.1 och 12 med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter.

Bestämmelsen om rättelse m.m. berörs närmare i avsnitt 12.8. Det torde vara upp till medlemsstaterna att bestämma vilken korrigeringsmetod – rättelse, utplånande eller blockering – som skall användas i olika fall. Det finns vidare inget som hindrar medlemsstaten från att låta den ansvarige för behandlingen välja metod. Vi anser att så bör ske.140

En myndighet har således enligt den nya persondatalagen frihet att välja om felaktiga, missvisande eller ofullständiga uppgifter skall rättas, utplånas eller blockeras. Detta innebär att myndigheten givetvis inte får välja att utplåna t.ex. en uppgift i en allmän handling, om det skulle strida mot andra bestämmelser. Valet av korrigeringsmetod kan således styras av andra bestämmelser som myndigheten har att rätta sig efter. Det är enligt vår mening inte nödvändigt med ett uttryckligt påpekande om detta i den nya persondatalagen. Däremot kan det vara lämpligt att – för att förtydliga – ta in ett sådant påpekande i en anslutande förordning.

Att en uppgift rättas innebär att den ursprungliga, felaktiga, missvisande eller ofullständiga uppgiften ersätts av en uppgift om de rätta förhållan-

140 Vilka möjligheter tillsynsmyndigheten bör ha att få olagligt behandlade personuppgifter utplånade tas upp i avsnitt 12.14.1.

dena eller att uppgifterna annars kompletteras. Det finns inte något krav på att den felaktiga uppgiften skall utplånas. Det bör vara upp till den som är ansvarig för behandlingen att avgöra hur rättelsen skall göras. Det enda kravet är – om den felaktiga uppgiften inte utplånas – att det i alla sammanhang klart skall framgå att den felaktiga uppgiften har ersatts av en annan uppgift och vilka de rätta förhållandena är. Något hinder mot att med stöd av offentlighetsprincipen lämna ut den (tydligt markerade) felaktiga uppgiften jämte de riktiga uppgifterna och upplysning om den rättelse som skett finns inte. Det torde vara denna rättelsemetod som myndigheter i allmänhet bör använda.141 För att offentlighetsprincipens syfte att möjliggöra en kontroll av myndigheterna skall kunna tillgodoses är det nämligen viktigt att felaktiga uppgifter inte utplånas. Regeringen kan – och bör – i en anslutande förordning meddela föreskrifter om hur myndigheter närmare bör gå till väga vid rättelse, t.ex. föreskrifter om att den ursprungliga uppgiften inte skall utplånas men väl på ett tydligt sätt markeras och att rättelsen skall dateras och signeras av behörig tjänsteman.

Den tredje metoden – blockering – får anses innebära bl.a. att de blockerade uppgifterna inte får lämnas ut till tredje man och att uppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och anledningen till spärren. Blockering kan t.ex. användas när det inte är naturligt att rätta en felaktig uppgift, exempelvis när de rätta förhållandena inte kan utredas; det står t.ex. klart att en uppgift om att en viss person har fått sjukhusvård är felaktig, men det kan inte utredas vem som i stället fått vård.142 Enligt vår mening är det lämpligt med en uttrycklig bestämmelse om att blockeringen inte hindrar att en myndighet lämnar ut den blockerade uppgiften (jämte uppgifter rörande blockeringen) med stöd av 2 kap. TF. Vi föreslår – med stöd av artikel 13.1 g i EG-direktivet – att en sådan uttrycklig undantagsbestämmelse tas in i den nya persondatalagen.

Enligt vår mening förefaller det ändamålsenligt att regeringen i en anslutande förordning tar in de föreskrifter för myndigheternas val av korrigeringsmetod som behövs.

141 Bestämmelser om att vissa uppgifter inte får ändras – t.ex. 6 kap. 8 § andra stycket rättegångsbalken – torde inte hindra att rättelse görs på det sätt som nu beskrivits. 142 Jämför NJA 1994 A 3.

9.4. Myndigheternas arkiv

Det nuvarande systemet för att bevara myndigheternas handlingar innebär att varje myndighet tar om hand sina handlingar, även efter det att handläggningen av ett ärende är avslutad. Efter ett tag lämnas handlingarna över till en arkivmyndighet för långtidsförvaring.

Att myndigheterna bevarar sina handlingar – i enlighet med bl.a. arkivlagen med anknytande författningar – har som sagt betydelse för möjligheten att utnyttja den grundlagsfästa offentlighetsprincipen. Det finns emellertid också – t.ex. i olika registerförfattningar och i beslut av Datainspektionen – många exempel på att myndigheterna är skyldiga att efter en tid förstöra (gallra) uppgifter av hänsyn till den personliga integriteten. Frågan om i vilken utsträckning personuppgifter bör gallras av hänsyn till den personliga integriteten berör vi i avsnitt 12.4.6.2. Här tar vi bara upp den för offentlighetsprincipen betydelsefulla frågan om det är möjligt att behålla det nuvarande systemet för att bevara myndigheternas handlingar.143

Enligt artikel 6.1 b i EG-direktivet skall personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Behandling får inte senare ske av uppgifterna på ett sätt som är oförenligt med de ursprungligen angivna ändamålen. Senare behandling för historiska, statistiska och vetenskapliga ändamål skall dock enligt vad som uttryckligen anges inte anses oförenlig med de ursprungliga ändamålen. Det förutsätts att medlemsstaterna i detta fall beslutar om lämpliga skyddsåtgärder. Personuppgifterna får vidare, enligt artikel 6.1 e, lagras bara så länge det är nödvändigt med hänsyn till de ursprungliga eller senare ändamålen med behandlingen. För personuppgifter som lagras under längre perioder för historiska, statistiska och vetenskapliga ändamål skall medlemsstaterna vidta lämpliga skyddsåtgärder.

Behandlingen av personuppgifterna måste vidare alltid vara tillåten enligt artikel 7 i direktivet, t.ex. därför att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att utföra en arbetsuppgift av allmänt intresse. Gäller det känsliga personuppgifter, måste också förutsättningarna i artikel 8 vara uppfyllda, t.ex. att medlemsstaten av hänsyn till ett viktigt allmänt intresse har föreskrivit att behandlingen är tillåten.

143 Den arkivering som enskilda kan ägna sig åt berörs särskilt i avsnitt 12.4.6.

Myndigheternas arkiv är en del av det svenska nationella kulturarvet, och arkiven skall tillgodose N rätten att ta del av allmänna handlingar, N behovet av information för rättskipningen och förvaltningen samt N forskningens behov (3 § 3 st. arkivlagen).

De ändamål som bevarandet av myndighetsarkiven skall tillgodose kan enligt vår mening hänföras under vad som i EG-direktivet kallas ”historiska, statistiska och vetenskapliga ändamål”. Det är således, som vi ser det, inte nödvändigt att myndigheterna redan när personuppgifterna samlas in uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Är en myndighets primära hantering av uppgifterna tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Det kan inte heller anses oförenligt med de ursprungligen angivna ändamålen att myndigheten efter en tid lämnar över sina handlingar till en arkivmyndighet för långtidsförvaring.

Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar, och bevarandet är också en arbetsuppgift av allmänt intresse. Den behandling av icke känsliga personuppgifter som bevarandet utgör är således tillåten enligt artikel 7. För myndigheternas bevarande av känsliga personuppgifter behövs det däremot ett undantag enligt artikel 8.4; de svenska myndigheternas bevarande även av känsliga personuppgifter utgör enligt vår mening ett sådant viktigt allmänt intresse som berättigar en medlemsstat att göra ett undantag. Detta undantag måste omfatta också den insamling och det långtidsbevarande av personuppgifter som sker vid de särskilda arkivmyndigheterna som tar emot arkivmaterial från myndigheter och enskilda. Att arkivmyndigheten i sin tur lämnar ut uppgifterna med stöd av t.ex. offentlighetsprincipen kan inte anses oförenligt med de ändamål för vilka arkivmyndigheten samlade in uppgifterna.

De bestämmelser som finns om sekretess och skydd för arkiv får anses utgöra sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet.

Vi har sammanfattningsvis kommit fram till att den nya lagen bör innehålla en uttrycklig bestämmelse om att lagen inte hindrar att en myndighet bevarar allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet. Den bestämmelsen, som omfattar även känsliga personuppgifter, bör anmälas till kommissionen enligt artikel 8.6.

Hänvisningar till S9-4

10.3.2 Straffbara förfaranden

I 7 kap. 4 § TF och 5 kap. 1 § YGL straffbeläggs en del handlingar som utgör intrång i den personliga integriteten. Bestämmelserna kan sägas utgöra ett grundläggande skydd för den personliga integriteten i massmediala sammanhang även om de är giltiga också i andra situationer. Förtalsbrottet (5 kap. 1 § brottsbalken, jämför 7 kap. 4 § 14 p. TF och 5 kap. 1 § YGL) innebär dels att man måste ha lämnat en kränkande uppgift160 om någon person dels att det vid den intresseavvägning som skall göras inte kan anses försvarligt att uppgiften ändå lämnades. Förolämpningsbrottet (5 kap. 3 § brottsbalken, jämför 7 kap. 4 § 15 p. TF och 5 kap. 1 § YGL) innebär bl.a. att man smädar någon genom kränkande tillmäle. Någon intresseavvägning skall inte göras enligt den bestämmelsen. Den som har blivit utsatt för ett tryckfrihetsbrott har rätt till skadestånd enligt sedvanliga principer. I det sammanhanget är rätten till ersättning för ideell skada161 av särskilt intresse. Skadeståndsreglerna innebär att en enskild kan få ersättning för det lidande som t.ex. ett ärekränkningsbrott har inneburit. De skadestånd som brukar betalas ut här i Sverige vid sådana brott anses internationellt sett vara ganska låga162 även om traditionen i viss mån tycks vara på väg att brytas.163

I sammanhanget bör även lagen (1979:800) om namn och bild i reklam nämnas. Näringsidkare får enligt lagen inte använda någon annans namn eller bild i reklamsammanhang utan dennes samtycke (1 §). Förutom regler om bl.a. straff och ekonomiskt skadestånd finns det en uttrycklig bestämmelse om att den som har blivit kränkt kan få ideellt skadestånd.

160 Uppgifter som omfattas av bestämmelsen är sådana varigenom man utpekar någon som brottslig eller klandervärd i sitt levnadssätt eller sådana som i övrigt är ägnade att utsätta någon för andras missaktning. 161 1 kap. 3 § skadeståndslagen. 162 SOU 1992:84 s. 255. Kommittén om ideell skada fann att ersättningsnivån då (1992) brukade ligga någonstans mellan 5 000 och 25 000 kr. Kommittén ansåg att en viss höjning av ersättningarna vid ärekränkningsbrott kunde vara motiverade. 163 Se NJA 1994 s. 637 där flera kända svenskar tilldömdes ideellt skadestånd på 100 000 kr för förtal. Brottet bestod i att tidningen Svenska Hustler hade monterat deras porträtt på pornografiska bilder.

10.3.3 Beriktigande och genmäle

10.3.3.1 Allmänt

Med beriktigande avses rättelse av faktauppgift och med genmäle bemötande av värdeomdöme. Skillnaden kan också beskrivas så att ett genmäle oftast måste utformas och framföras av den berörde själv, medan ett beriktigande utformas och införs av utgivaren.164

10.3.3.2 Pressen

Det finns inte någon lagstadgad rätt till beriktigande och genmäle beträffande uppgifter som har förekommit i pressen, utan denna rätt bygger på frivilliga åtaganden från pressföretagen. TF innehåller emellertid två bestämmelser som anknyter till frågan. I 1 kap. 4 § andra stycket anges att domstolen, när den skall bestämma påföljd för ett tryckfrihetsbrott, skall särskilt beakta om rättelse av en felaktig uppgift har publicerats. Vidare anges i 7 kap. 6 § andra stycket att om en tidning har fällts för ett ärekränkningsbrott, domstolen kan förordna att domen skall införas i tidningen. De pressetiska reglerna (mer om dessa nedan) innehåller bestämmelser om att felaktiga sakuppgifter skall rättas när det är påkallat, och att den som har ett befogat anspråk att bemöta ett påstående skall beredas tillfälle till genmäle. Allmänhetens pressombudsman (PO) har bl.a. till uppgift att bevaka att de pressetiska reglerna följs och bistå enskilda i sådana sammanhang. Pressens opinionsnämnd (PON), som är en av pressen själv inrättad hedersdomstol, har bl.a. till uppgift att avgöra ärenden som gäller överträdelser av de pressetiska reglerna. PON:s bedömningar redovisas i form av uttalanden som en klandrad tidning är skyldig att publicera.

10.3.3.3 Radio och TV

I YGL finns inte heller någon bestämmelse om rätt till beriktigande eller genmäle. I public service-företagens (radio- och TV-företagens) avtal med staten finns dock sådana bestämmelser. Denna ordning grundar sig på en regel i radiolagen (1966:755).165 Enligt avtalen skall företagen beriktiga

164 Prop. 1995/96:160 s. 100. 165 7 § 1 st. 1 p.

felaktiga sakuppgifter när detta är påkallat och bereda den som har befogat anspråk på att bemöta ett påstående tillfälle till genmäle. Bestämmelserna innebär också att företagen är skyldiga att publicera beriktigande och genmäle. Granskningsnämnden för radio och TV övervakar att reglerna följs.

På radio- och TV-området finns i lagen (1992:1356) om satellitsändningar av televisionsprogram som trädde i kraft den 1 januari 1994166 en bestämmelse om skyldighet att sända beriktigande (12 §). Bestämmelsen infördes som ett led i Sveriges anpassning till EG:s direktiv (89/552/EEG) om TV-sändningar till allmänheten. Direktivet innehåller en regel (artikel 23) som föreskriver att varje land skall se till att alla fysiska och juridiska personer skall ha rätt till beriktigande eller liknande åtgärd. Regeringen konstaterade i samband med satellitlagens tillkomst att direktivets krav uppfylldes väl av bestämmelserna i avtalen som gäller beträffande marksänd television, särskilt som reglerna kompletteras av bestämmelser om ärekränkning och reglerna om otillbörlig marknadsföring.167 Liknande regler skulle därför införas för satellitsändningar. Eftersom avtalsvägen inte var öppen för sändningar enligt satellitlagen måste bestämmelsen tas in i lagen. För att det inte skulle uppstå någon kollision med bestämmelsen i YGL (3 kap. 4 §) som föreskriver att den som sänder programmet självständigt avgör vad som skall förekomma i programmet, står det emellertid programföretaget fritt att välja i vilken form beriktigandet skall offentliggöras.

10.3.3.4 Förslag till lagreglering

Frågan huruvida rätten till beriktigande och genmäle skall regleras i lag har aktualiserats vid skilda tillfällen under årens lopp. Genmälesrätten togs bl.a. upp av Massmedieutredningen (SOU 1975:49).168 Utredningen diskuterade för- och nackdelar med att grundlagsreglera rätten till beriktigande och genmäle. Utredningens majoritet menade att en sådan reglering skulle innefatta så stora lagtekniska och organisatoriska svårigheter att frågan i vart fall tills vidare skulle överlämnas till pressens självsanerande verksamhet. Däremot ansåg utredningen att det i den föreslagna nya massmediegrundlagen skulle tas in bestämmelser som motsvarade 1 kap. 4 § andra stycket och 7 kap. 6 § andra stycket TF (se om dessa bestämmel-

166 SFS 1993:1646. 167 Prop. 1992/93:75 s. 30. 168 Beträffande tidigare förslag se SOU 1994:105 s. 173175.

ser ovan under avsnitt 10.3.3.2). Genom dessa regler skulle grundlagen, enligt utredningen, anses ge uttryck åt den allmänna grundsatsen att rättelse skall ske då det kan anses befogat. När det gällde radio och TV föreslog utredningen att programföretagen genom en i grundlagen intagen särskild bestämmelse därom skulle åläggas att utöva sin rätt att sända på ett sakligt och opartiskt sätt. Därav skulle följa, menade utredningen, att tillfälle skulle beredas till beriktiganden och genmälen.169 Frågan diskuterades även av Radioutredningen170 och Yttrandefrihetsutredningen171. Utredningarna kom till samma slutsats som Massmedieutredningen, nämligen att nackdelarna med en sådan lagreglering övervägde fördelarna. I det lagstiftningsärende som föregick satellitlagen diskuterades frågan om inte YGL borde ändras så att Granskningsnämnden (tidigare Kabelnämnden) kunde besluta på vilket sätt beriktigandet skulle ske. Frågan hänsköts emellertid till Radiolagsutredningen.172

På senare tid har frågan om beriktigande och genmäle diskuterats av Radiolagsutredningen i förslaget till ny radio- och TV-lag. Efter utredningens förslag har det införts en bestämmelse i den nya radio- och TVlagen173 som innebär att felaktiga uppgifter som har förekommit i ett TVprogram som inte är reklam och som har sänts trådlöst, skall beriktigas när det är befogat, och att detsamma bör ske om sådana uppgifter förekommer i ett TV-program som sänts genom tråd.174 Bestämmelsen omfattar således endast beriktiganden och inte genmälen. TV-direktivets bestämmelse om genmäle har därmed också ansetts vara tillgodosedd.175 I motiven diskuterades också frågan om TV-direktivet kräver att YGL ändras så att det går att lagstadga om hur tillrättalägganden skall publiceras. Regeringen uttalade dock att det inte kan anses föreligga något inhemskt behov av sådana bestämmelser och att den osäkerhet som kan finnas i fråga om den föreslagna bestämmelsen om beriktiganden uppfyller direktivet, inte är ett tillräckligt starkt skäl för att ändra i grundlagen. De grundläggande princi-

169 SOU 1975:49 s. 159160, se även Ds 1994:51 s. 65 och SOU 1994:105 s. 175176. 170 SOU 1977:19. 171 SOU 1983:70. 172 Prop. 1992/93:75 s. 32. 173 SOU 1994:105, Prop. 1995/96:160, KU 1995/96:29 och rskr. 1995/96:296. 174 6 kap. 3 § Radio- och TV-lag (1996:844), a. prop. s. 100–101. Anledningen till att skyldigheten att beriktiga har gjorts frivillig när det gäller trådsändningar är att YGL inte anses medge att en sådan reglering sker (3 kap. 1 §). 175 Prop. 1995/96:160 s. 101.

perna i 3 kap. 4 § och 4 kap. 3 § YGL om det redaktionella oberoendet och utgivarens ensamrätt borde enligt regeringen alltså inte inskränkas. Vidare konstaterade regeringen att det följer av reglerna för god publicistisk sed att ett tillrättaläggande skall publiceras så att det har den åsyftade effekten.176

Även frågan om genmäle diskuterades i förslaget till ny radio- och TVlag. Regeringen konstaterade att frågan om en lagstadgad genmälesrätt skall införas bör avgöras uteslutande med utgångspunkt i de inhemska behoven av en sådan reglering. (Som nyss nämnts ansågs det tillräckligt för införlivandet av TV-direktivet att en bestämmelse om beriktigande infördes.) Regeringen ansåg att genmälesrätten inte bör regleras i lag. Som skäl för detta angavs det begränsade behovet av en lagreglering, den troligen begränsade effekten av en sådan, risken för att genmälesrätten missbrukas i yttrandefrihetsbegränsande syfte, betänkligheter av att införa en sådan rätt för verksamhet för vilken etableringsfrihet och mångfald i princip råder samt de lagtekniska och organisatoriska svårigheter som införandet av en sådan rätt skulle medföra.177

10.3.4 Privatlivets fred

10.3.4.1 Självsanering

Inom det massmediala området förekommer självsanerande verksamhet. En stor del av de regler till skydd för den personliga integriteten som til??lämpas på det massmediala området bygger på frivilliga överenskommelser och åtaganden. Flera massmedieorgan har antagit de etiska reglerna ”Etiska regler för press, radio och tv”. Reglerna syftar bl.a. till att skydda enskilda mot oförskyllt lidande genom publicitet och innehåller anvisningar bl.a. under följande rubriker. N Ge korrekta nyheter N Ge plats åt bemötanden N Respektera den personliga integriteten N Var varsam med bilder N Döm ingen ohörd N Var försiktig med namn

Pressens Opinionsnämnd och Allmänhetens pressombudsman utgör viktiga inslag i pressens självsanerande verksamhet och övervakar att de etiska reglerna följs. Public service-företagens avtal med staten innehåller krav på att den enskildes privatliv skall respekteras i programverksamheten om inte ett oavvisligt allmänt intresse kräver annat. Granskningsnämnden för radio och TV (tidigare Radionämnden) övervakar genom granskning i efterhand att sändningarnas innehåll inte avviker från radiolagen och de särskilda avtal som slutits på området.

Radiolagsutredningen gjorde en undersökning beträffande efterlevnaden av de bestämmelser som gäller för public-serviceföretagens programverksamhet och de pressetiska reglerna. Undersökningen omfattade bl.a. överträdelser av regler till skydd för privatlivets helgd och rätten till beriktigande och genmäle. Utredningens slutsats var att efterlevnaden av reglerna var god.178

10.3.4.2 Förslag till lagreglering

Personlighetsrätten har av tradition inte någon framträdande position i svensk rätt. I andra länder däremot förekommer att man har en sådan ”rätt till sina egna personliga uppgifter”. Lagen (1979:800) om namn och bild i reklam har uppfattats som den första och hittills enda lag som helt rör personlighetsrätt.179

Det har framförts förslag till lagreglering av skyddet för privatlivets fred. Integritetsskyddskommittén redovisade tre tänkbara lösningar till hur ett utökat skydd för den enskilde skulle kunna genomföras.180 Ett förslag innebar att det i TF och brottsbalken skulle tas in en straffbestämmelse om brott mot privatlivets fred. Därmed skulle gärningen vara straffbar även om den begicks genom massmedier och det skulle finnas en möjlighet att få skadestånd. Ett annat förslag var att det skulle införas en ordning som gjorde det möjligt att få skadestånd vid ett intrång i privatlivet även om intrånget inte var straffbart. Det tredje alternativet var att behålla den nuvarande ordningen dvs. att låta regleringen ske genom massmediernas självsanerande verksamhet. I det lagstiftningsärende som därefter följde och som ledde fram till YGL ansågs det också att man även i fortsättningen

178 SOU 1994:105 s. 292 och 300301. 179 Ulf Bernitz, m.fl., Immaterialrätt, 5 uppl., 1995, s. 78. 180 SOU 1980:8.

skulle lita till den självsanerande verksamheten i dessa frågor.181 Ytterligare förslag i frågan har väckts därefter men avvisats. (En redogörelse för förslagen finns i den nedan nämnda studien, Ds 1994:51.)

På senare tid har problematiken kring skyddet för den personliga integriteten i bl.a. massmediala sammanhang behandlats bl.a. i studien Skyddet för enskilda personers privatliv (Ds 1994:51). I studien framförs att en viktig metod för att stärka integritetsskyddet kan vara att hindra att personrelaterat, känsligt material utnyttjas eller sprids på ett icke önskvärt sätt t.ex. i massmedier.182 Vidare diskuteras i studien tänkbara åtgärder i det sammanhanget bl.a. införandet av en ny straffbestämmelse i TF och YGL till skydd för privatlivets fred. Studien, som inte innehåller något konkret förslag, har följts upp i Rapport (1995-03-15) om skyddet för enskilda personers privatliv – ett mer samlat grepp?

10.4 Yttrandefriheten i nya massmedier

Regeringen har nyligen tillsatt en kommitté som skall analysera TF:s och YGL:s tillämplighet på nya medier som används vid förmedling av yttranden och annan information till allmänheten, Mediekommittén.183 I direktiven till kommittén aktualiseras också frågan om det skall införas ett grundlagsskydd även för moderna medier som inte har sådant skydd i dag.

10.5 Internationella förhållanden

10.5.1 EG-direktivet

I EG-direktivet finns en regel om att medlemsstaterna skall göra undantag för vissa av direktivets bestämmelser för behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (artikel 9). Sådana undantag och avvikelser får dock beslutas endast om de är nödvändiga för att förena rätten till privatlivet med

181 Prop. 1986/87:151 s. 44. 182 Ds 1994:51 s. 173. 183 Dir. 1994:104.

reglerna om yttrandefriheten. Artikeln får uppfattas som en förpliktelse att anpassa integritetsskyddet till yttrandefriheten. Direktivet anger inte närmare hur denna anpassning skall göras, utan detta får avgöras av varje enskilt land. Kommissionen har i sin förklaring anfört exempel på faktorer som kan beaktas vid intresseavvägningen; möjligheten till rättslig prövning eller rätten till replik, förekomsten av en uppförandekodex, de gränser som läggs fast i Europarådskonventionen om de mänskliga rättigheterna184samt allmänna rättsprinciper. (En redogörelse för direktivets bestämmelse finns under avsnitt 3.3.)

10.5.2 Europarådsbestämmelser

Europarådskonventionen om de mänskliga rättigheterna innehåller två artiklar som har betydelse i detta sammanhang. Artikel 8 ger skydd för privatlivet, och i den praxis som har utvecklat sig vid tillämpningen av konventionen har fastslagits att det skydd för privatlivet som denna artikel ger omfattar även dataskydd.185 Enligt artikeln få det göras undantag från skyddsregeln för vissa andra intressen som har bestämts i lag och som är nödvändiga i ett demokratiskt samhälle. Konventionens artikel 10 skyddar yttrandefriheten. Denna innefattar enligt bestämmelsen åsiktsfrihet samt frihet att mottaga och sprida uppgifter och tankar utan inblandning av offentlig myndighet och oberoende av territoriella gränser. På motsvarande sätt som enligt artikel 8 får inskränkningar göras som är nödvändiga för att andra för en demokrati viktiga intressen inte skall trädas för när.

Europarådets dataskyddskonvention syftar till att skydda den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. (För en utförligare redogörelse för konventionen se avsnitt 4.3.) Konventionen innehåller inte någon uttrycklig regel om hur databehandling av personuppgifter på det massmediala området skall hanteras. Dock finns det en bestämmelse – artikel 9.2.b – som medger att undantag görs i lag från vissa bestämmelser i konventionen, om det är nödvändigt för att skydda den registrerade personen eller andra personers fri- och rättigheter. Med sådana andra personers rättigheter avses bl.a. yttrandefri-

184 Konvention (d. 4 nov. 1950) angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. 185 Prop. 1987/88:57 s. 7.

heten.186 Konventionen anger emellertid inte närmare på vilket sätt denna avvägning skall göras.

10.5.3 En internationell jämförelse

För den avvägning som måste göras angående persondatalagens tillämpning på bl.a. massmediernas behandling av personuppgifter kan det vara av intresse att göra jämförelser med andra länder. Jämförelsen bör göras i två avseenden, dels om massmedierna omfattas av eller är undantagna från dataskyddslagstiftningen dels vilket skydd som i övrigt finns för den personliga integriteten i massmediala sammanhang.

Det som vid en internationell jämförelse kan sägas karakterisera det svenska skyddet för personlig integritet i massmediala sammanhang kan kortfattat beskrivas på följande sätt. Det finns inte något undantag i datalagen för massmediernas behandling av personuppgifter. Den praxis som har förekommit under senare år har emellertid inneburit att datalagen inte til??lämpas på viss behandling inom det massmediala området. I huvudsak har behandlingar som ansetts omfattas av grundlagsskyddet i TF och YGL undantagits från datalagens tillämpning.

Yttrandefriheten har en stark ställning och är grundlagsskyddad. Offentlighetsprincipen gör att många personuppgifter är tillgängliga för var och en. Meddelarskyddet gör att även sekretessbelagda uppgifter helt lagligt kan komma till massmediernas kännedom. När det gäller straffrättsliga bestämmelser är reglerna om ärekränkning aktuella. Vid bedömningen av ärekränkningsbrott som har skett i massmediala sammanhang finns en bestämmelse som innebär att man särskilt skall beakta betydelsen av yttrandefriheten och i tveksamma fall hellre fria än fälla.187 Något straffrättsligt skydd i övrigt för privatlivet finns inte.188 För att en person om vilken det har publicerats uppgifter skall kunna få skadestånd för den kränkning detta kan ha inneburit, krävs det att publiceringen har innefattat ett brott, t.ex. förtal. Någon lagstadgad rätt till genmäle och beriktigande finns i huvudsak inte utan dessa institut är föremål för massmediernas självsanerande verksamhet.

186 SOU 1993:10 s. 118. 187 Bestämmelsen finns dels i 1 kap. 4 § TF, dels i 1 kap. 5 § YGL. 188 En sådan bestämmelse har dock föreslagits bl.a. av Integritetsskyddskommittén, SOU 1980:8.

Uppgifterna i sammanfattningen nedan har hämtats dels från Datalagsutredningens slutbetänkande (SOU 1993:10), dels studien Skyddet för enskilda personers privatliv (Ds 1994:51) dels ock studien Data protection and the media som utarbetades av en expertkommitté inom Europarådet år 1991. För ett djupare studium hänvisas till dessa publikationer.

Danmark undantar i den registerlag som gäller på det privata området sådana register som endast innehåller material som har publicerats i en periodisk skrift. Sådana register skall dock anmälas till dataskyddsmyndigheten som kan meddela föreskrifter för dem. Utlämnande av personuppgifter från ett sådant register får endast ske om den registrerade har samtyckt, det följer av lag eller uppgifterna lämnas ut för att publiceras i en periodisk skrift. Den registrerade har även rätt till insyn i ett sådant register.

Yttrandefriheten är grundlagsfäst men har inte några klart angivna gränser. Grundlagsskyddet innebär i första hand censurförbud. I övrigt gäller vanliga lagar även på yttrandefrihetens område. Den personliga integriteten i massmedier skyddas – förutom av regler mot ärekränkning – av straffrättsliga regler till skydd för privatlivets fred. Bestämmelserna bygger på att det görs en intresseavvägning mellan den enskildes intresse av att uppgifterna skyddas och allmänintresset av att de offentliggörs. Domstolen kan förordna om förbud mot fortsatt kränkande verksamhet. Den enskilde kan få skadestånd för integritetskränkningar i massmedier utan att det finns något bakomliggande brott. De pressetiska reglerna har lagreglerats i medieansvarsloven. Lagen omfattar alla massmedier, både tidningar och radio och TV. Lagen innehåller bl.a. en bestämmelse om beriktigande. Pressnämnden bevakar att lagen följs och den kan ålägga den klandrade att publicera ett avgörande. Om ett klandrat massmedieföretag underlåter att rätta sig efter nämndens beslut gör det sig skyldigt till ett brott. Den saken prövas av vanlig domstol i ett brottmål.

Finland har under senare år gjort ändringar i sin personregisterlag så att lagen tillämpas på massmediernas s.k. redaktionella register endast då det är fråga om skydd för ett register och om övervakning av detta, dvs. när det gäller säkerhetsfrågor. Med ett redaktionellt register avses ett personregister som skall användas enbart i massmedialt redaktionsarbete och som inte kan nyttjas av andra än de som utför sådant arbete. Personregisterlagen tillämpas inte på sådana personregister som innehåller enbart publicerat material.189

189 Proposition nr 311/1993 rd.

Grundlagsskyddet för yttrandefriheten är mer inskränkt än i Sverige, men det är föremål för översyn. Finland har ett mer omfattande straffrättsligt skydd mot insamling och offentliggörande av uppgifter om privata förhållanden. Det är straffbart att sprida uppgifter om någon annans privatliv som är ägnade att orsaka skada eller lidande. Tryckfrihetslagen innehåller regler om beriktigande och genmäle. Den självsanerande verksamheten leds av Opinionsnämnden för Massmedier som prövar frågor rörande god journalistisk sed på det massmediala området. Nämnden är inte bunden av någon särskild regelsamling utan kan fatta sina beslut efter en fri prövning.

Norges personregisterlag tillämpas i princip även på de massmediala personregistren. Det har dock gjorts undantag för vissa register som används internt för redaktionellt arbete. Den registeransvarige måste då följa vissa fastställda föreskrifter. För att få tillgång till ett massmedieföretags register on-line krävs tillstånd av dataskyddsmyndigheten.

Liksom i Danmark och Finland finns en särskild straffrättslig regel om kränkning av privatlivets fred. Rätten till beriktigande är lagfäst och straffsanktionerad. Den självsanerande verksamheten är uppbyggd på samma sätt som i Sverige.

I England är datalagen tillämplig även på databehandling inom det massmediala området.

Det finns liksom i Sverige inte något generellt skydd för den personliga integriteten, men det finns andra regler som indirekt ger sådant skydd. De straffrättsliga reglerna om t.ex. ärekränkning tillämpas emellertid sällan, utan det är främst rätten till skadestånd som är aktuell i sammanhanget. Det räcker inte att det har gjorts ett intrång i privatlivet utan det måste finnas en – av rättspraxis bestämd – ytterligare skadegörande handling som grund för skadeståndsanspråket. Den självsanerande verksamheten fungerar ungefär som i Sverige.

I Frankrike undantar dataskyddslagen i viss utsträckning pressorgan, tryckta skrifter samt radio och TV inom ramen för de lagar som gäller för dem och i de fall då en tillämpning av datalagens bestämmelser skulle leda till inskränkning av yttrandefriheten. Lagens bestämmelser om bl.a. förbud mot registrering av vissa känsliga uppgifter och kravet på medgivande vad gäller dataflöde över gränserna gäller dock även på det massmediala området.

Yttrandefriheten erkänns som en grundläggande frihet, men den är inte absolut utan är underkastad övriga lagar. Den enskilde har enligt fransk rätt ett relativt vidsträckt skydd för sin personliga integritet. Det lagfästa skyddet omfattar, förutom bestämmelser om ärekränkning, även be-

stämmelser om skydd till förmån för privatlivets fred. Skyddet tillgodoses genom såväl straffrättsliga som civilrättsliga regler (främst rätten till skadestånd). Domstolen kan fatta beslut om att en pågående kränkning skall upphöra genom åtgärder som i det enskilda fallet kan vara mest lämpade. Rätten till genmäle är lagfäst och mycket vidsträckt. Den omfattar både beriktigande av faktauppgifter och bemötande av värdeomdöme eller kritik. För att rätt till genmäle skall föreligga krävs sålunda inte att den aktuella publiceringen har varit ärekränkande, nedsättande eller på annat vis skadevållande. Rätten till genmäle i radio och TV är mer begränsad än vad som gäller för tidningar.

I Tyskland omfattas sådana behandlingar som utförs uteslutande för egna publicistiska ändamål av pressföretag, radioföretag och filmföretag endast av den tyska federala dataskyddslagens bestämmelser om datasäkerhet. Lagens övriga regler tillämpas dock på sådana uppgifter, om dessa används för andra syften, t.ex. om de utlämnas till någon utanför det egna företaget.

Yttrandefriheten är grundlagsfäst men inte absolut. Av författningsdomstolens praxis framgår att yttrandefriheten skall balanseras mot andra intressen t.ex. den i grundlagen likaså skyddade personliga värdigheten. Den enskilde skyddas – förutom av straffrättsliga regler om ärekränkning – av den civilrättsliga regleringen kring den s.k. allmänna personlighetsrätten. Ett intrång i den personliga sfären kan utgöra en kränkning av personlighetsrätten om det vid en avvägning i det enskilda fallet visar sig att intrånget var obefogat. En förvanskande, negativ pressartikel eller uppspelning av en icke medgiven upptagning av en bandinspelning kan utgöra sådana kränkningar. Den kränkte kan få skadestånd och rätt till beriktigande.

Nederländerna har ett undantag för datafiler som uteslutande används för att sprida offentlig information genom press, radio och TV. Syftet med bestämmelsen är att göra undantag för sådana regler i datalagen som kan innebära inskränkningar i yttrandefriheten, när behandlingen av personuppgifter alltid leder till resultat som blir offentliga. Att uppgifterna blir offentliga gör det möjligt för den enskilde att kräva rättelse av felaktiga uppgifter. Försummas detta kan det leda till påföljd för massmedieföretaget.

Den österrikiska datalagen är till största delen inte tillämplig på sådan behandling som utförs av medieföretag i syfte att stödja den publicistiska verksamheten. Vissa bestämmelser, t.ex. beträffande säkerhet, är dock til??lämpliga även på sådan behandling. Den österrikiska medialagen innehåller i gengäld bestämmelser till skydd för den personliga integriteten.

Bland övriga länder som undantar (eller har för avsikt att undanta) massmedier från datalagstiftningen kan nämnas Belgien och Schweiz. I Island, Irland och Luxemburg görs inget undantag från datalagens tillämpning för massmedier.

10.6 Närmare om normkonflikten

10.6.1 Allmänt

I datalagen görs inte något undantag för register som innehåller personuppgifter inom det massmediala området. Enligt ordalydelsen omfattar datalagens bestämmelser även sådan registrering. Datalagsutredningen fann emellertid att de föreskrifter i bl.a. datalagen som Datainspektionen har att tillämpa i sin verksamhet kan komma i strid med vissa föreskrifter i TF och YGL. Utredningen pekade bl.a. på att villkor som Datainspektionen kan meddela för förandet av ett visst personregister kan komma i konflikt med reglerna om förbud mot censur och andra hindrande åtgärder. Vidare kan enligt utredningen Datainspektionens tillsynsverksamhet inkräkta på rätten till anonymitetsskydd.190 Normkonflikten tycks inte har uppmärksammats i samband med tillkomsten av datalagen.

Datalagsutredningen tog även upp frågan om förhållandet mellan å ena sidan de aktuella bestämmelserna i TF och YGL och å andra sidan bestämmelsen i 2 kap. 3 § RF som ger varje medborgare – i den utsträckning som närmare anges i lag – skydd mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Utredningen anförde bl.a. följande. Bestämmelsen i 2 kap. 3 § RF skall visserligen ses mot den bakgrunden att integritetsfrågorna har en särskild vikt på ADB-området. Förmågan att skydda den personliga integriteten är nämligen av avgörande betydelse för utvecklingen på ADBområdet. En grundförutsättning för att ADB-tekniken skall kunna utnyttjas är att människorna inte känner främlingskap och upplever tekniken som ett hot mot den personliga integriteten. Genom bestämmelsen i 2 kap. 3 § RF fick integritetsskyddet på dataområdet en fastare förankring än genom målsättningsstadgandet i 1 kap. 2 § RF. Det föreligger emellertid en principiell skillnad mellan föreskrifterna om förbud mot censur och andra

hindrande åtgärder i TF och YGL samt bestämmelsen i 2 kap. 3 § RF. Bestämmelserna i TF och YGL riktar sig till myndigheter eller andra allmänna organ. Med det sistnämnda uttrycket avses även regeringen och riksdagen. TF och YGL förbjuder således Datainspektionen att vidta någon som helst åtgärd som kan verka hindrande på sätt som anges i TF och YGL. Det nya stadgandet i 2 kap. 3 § RF har emellertid lagstiftaren – alltså riksdagen – som adressat. Mot bakgrund av det sagda måste man utgå från att Datainspektionen, i såväl ett enskilt fall som vid normgivning, måste böja sig för TF och YGL, trots föreskriften i 2 kap. 3 § RF.191

Datalagsutredningen fann således att TF och YGL vid normkonflikt tar över datalagen. Av avgörande betydelse för principfrågan var enligt utredningen att den grundlagsskyddade friheten att yttra sig i skrifter och andra medier inte bör begränsas, om det inte är nödvändigt med hänsyn till motstående intresse. Något så uttalat intresse att en begränsning bör ske fanns enligt utredningens mening inte. Utredningen beaktade i det sammanhanget även de pressetiska reglerna och den höga etiska standard som den svenska pressen i huvudsak håller. Man kunde enligt utredningen inte heller bortse från att de möjligheter som det här är fråga om för en myndighet att ingripa mot t.ex. tidningarna i förlängningen kan innebära ett hot mot den fria åsiktsbildningen. Någon saklig ändring skulle med andra ord inte göras i nuvarande ordning. Däremot borde vissa förtydliganden göras i datalagen för att ange vilka slag av datasamlingar som undantas från datalagens tillämpningsområde. Genom avgörande av regeringen på senare tid har utredningens slutsatser i detta sammanhang bekräftats.192

10.6.2 Datalagsutredningens förslag och remissutfallet

För att klargöra vilka dataregister som skulle vara undantagna från datalagens tillämpningsområde, gjorde Datalagsutredningen en genomgång av vilka olika registreringar som kunde tänkas förekomma i massmediala sammanhang. Även inom massmedieföretagen förekommer registrering av personuppgifter för administrativa ändamål, kundregister, marknadsfö-

191 SOU 1993:10 s. 136. 192 Jämför regeringens beslut 1994-04-14, Dnr 93-3260, som finns omnämnt under avsnitt 10.6.3.

ringsregister m.m. Samma regler borde enligt utredningen gälla här som för andra företag.

Utredningen fann till en början att undantag borde göras för produktionsregister, dvs. register som används som ett direkt tekniskt hjälpmedel före eller vid framställningen av ett grundlagsskyddat yttrande. Exempel på detta är artiklar som utgör ett slags register över kända personers deklarerade inkomster, över framstående avlidna personer under ett år och över medlemmar i en förening. Även familjesidorna kan sägas vara exempel på sådana register.

Utredningen övervägde att låta sådana register omfattas av vissa bestämmelser i datalagen som inte kolliderar med förbudet mot hindrande åtgärder, t.ex. viss del av Datainspektionens tillsynsverksamhet och den persondataansvariges allmänna skyldigheter. Emellertid fann utredningen att en sådan tillämpning skulle vara av ringa värde och dessutom leda till gränsdragningsproblem. Slutsatsen blev därför att registren borde undantas helt.193

Ett undantag var enligt utredningen även nödvändigt för datasamlingar som innehåller uppgifter om personer som omfattas av anonymitetsskyddet i TF och YGL. Det finns annars risk, ansåg utredningen, för att sådana uppgifter kan komma fram t.ex. i samband med tillsyn av Datainspektionen.194

Vidare resonerade utredningen kring begreppet källregister. Med sådana avsågs register från vilka journalister och andra hämtar material till artiklar m.m. Sådana register kan t.ex. innehålla uppgifter om meddelare (tipsare), de kan utgöras av inkomna telegram, redan publicerat material eller andra utkast. Flera av de datasamlingar som förs hos Sveriges Radiokoncernen skulle också vara källregister i den ovan angivna meningen. En del av dessa datasamlingar skulle redan på grund av utredningens tidigare förslag vara undantagna från den nya datalagens tillämpningsområde, på grund av att de är register över meddelare eller på grund av att de samtidigt har karaktär av produktionsregister. Efter ytterligare resonemang förordade utredningen slutligen att något generellt undantag inte skulle göras i den kommande datalagen för källregister. Utredningen underströk att förslaget givetvis inte innebar att Datainspektionen skulle få utöva sin tillsynsverksamhet på sådant sätt att de aktuella bestämmelserna i TF och YGL skulle

193 SOU 1993:10 s. 138. 194 A. SOU s. 138 och 139.

komma att överträdas. Däremot borde enligt utredningen undantag göras för sådana källregister som utgör register över anonymitetsskyddade personer.

Utredningen uppmärksammade särskilt problematiken kring klipparkiven, som utgör arkiv över artiklar som varit publicerade. Till den del klipparkiven används på tidningsredaktionerna för den journalistiska verksamheten borde de enligt utredningen undantas från datalagens tillämpningsområde. Skälet för detta var att klipparkiven i detta sammanhang har betydelse för utövandet av tryckfriheten.195 I den utsträckning som allmänheten kan utnyttja dem är arkiven dock något annat än källregister. I det sammanhanget påpekade utredningen att klipparkiven med tiden kommer att bestå av en stor mängd personuppgifter, varav inte så få av känslig natur. Uppgifterna kommer att kunna återsökas, bearbetas och sammanställas med stor lätthet. Uppgifterna kommer vidare att bevaras under lång tid. Som ett exempel på en integritetskänslig bearbetning kan nämnas att alla artiklar som rör en persons brottsliga förehavanden inhämtas. En sådan sammanställning kan i praktiken jämställas med ett kriminalregisterutdrag. Sammanställningen är emellertid betydligt känsligare bl.a. därför att uppgifter i kriminalregistret avförs efter en viss tid. Utredningen stannade ändå slutligen för en lösning som innebar att klipparkiven helt undantogs från datalagens tillämpningsområde. Det avgörande skälet för utredningens ställningstagande var att datasamlingarna endast innehåller ett återgivande av tryckta skrifter, som allmänheten rimligen bör ha rätt att ta del av. Det är svårt, menade utredningen, att tänka sig en ordning som innebär att det ytterst skall vara Datainspektionen som genom villkor kan bestämma vilken tillgång allmänheten skall ha till tryckta skrifter.

Utredningen var inte enig i sina ställningstaganden. Några reservanter ansåg att undantaget för klipparkiven i förslaget var alltför omfattande. Enligt reservanterna borde datalagen gälla för klipparkiven i den mån de används för andra ändamål än tidningarnas och programföretagens journalistiska verksamhet. En annan reservation avsåg källarkiven. Enligt reservanterna borde undantag göras även för sådant material som samlas in för att det skall ingå i eller ligga till grund för innehållet i en tryckt skrift eller för andra yttranden som omfattas av grundlagsskyddet.

Även från många remissinstanser framfördes kritik när det gällde klipp- och källarkiven. Riksdagens ombudsmän och Universitetet i Lund

195 A. SOU s. 142.

(Juridiska fakultetsstyrelsen) anslöt sig i huvudsak till båda de avvikande meningar som hade framförts av reservanterna. Justitiekanslern, Hovrätten över Skåne och Blekinge, Sveriges advokatsamfund m.fl. ansåg att undantaget för källarkiven borde göras mer omfattande. Kammarrätten i Stockholm, Kammarrätten i Göteborg, Länsrätten i Stockholms län, Domstolsverket, Överåklagaren vid Regionåklagarmyndigheten i Malmö m.fl. ansåg att undantaget för klipparkiven borde inskränkas i enlighet med reservanternas mening. Från massmediehåll riktades i stort sett samfälld kritik mot att inte samtliga källregister hade undantagits. Dessa instanser påtalade också att praktiska svårigheter skulle uppstå att hålla isär sådana register som var underkastade datalagens tillämpningsområde och sådana som var grundlagsskyddade och därmed undantagna.

10.6.3 Några regeringsavgöranden

Regeringen har under senare år fattat en del beslut som handlar om datalagens tillämpning på yttrandeområdet. Besluten, som har betydelse för vårt fortsatta resonemang, refereras i det följande.

Beslut 1994-04-14, Ju 93-3260. En journalist hade ansökt om tillstånd enligt datalagen att få inrätta och föra ett personregister i syfte att skriva en bok med hjälp av ett ord- och textbehandlingsprogram. I behandlingen skulle ingå sådana känsliga personuppgifter som det krävs synnerliga eller särskilda skäl för att få tillstånd till. Texten skulle sedan överlämnas till ett boktryckeri. Datainspektionen avslog tillståndsansökan. Regeringen konstaterade i sitt beslut att tillståndskravet i datalagen måste ställas mot det i 1 kap. 2 § TF uppställda förbudet mot hindrande åtgärder inför bl.a. tryckning av en skrift. Eftersom det aktuella registret skulle användas som ett direkt tekniskt hjälpmedel för att framställa en skrift, var det enligt regeringen utan tvekan så att förbudet i TF omfattade detta. Regeringen undanröjde därför Datainspektionens beslut och förklarade att registret inte var tillståndspliktigt enligt datalagen.

Beslut 1994-06-30, Ju 94-2310. Bildbasen i Kiruna ansökte hos Datainspektionen om tillstånd att inrätta och föra personregistret Bildbanken. Ändamålet med registret angavs vara att utgöra en ”marknadsplats” för handel med fotografiska bilder. Datainspektionen lämnade tillstånd för registret och meddelade även en del föreskrifter. Bolaget överklagade beslutet och hävdade bl.a. att registret inte omfattades av datalagens tillståndskrav eftersom det åtnjöt skydd av TF och YGL. Bilderna skulle nämligen i stor utsträckning användas i produktionen av tidningar, tidskrifter och

böcker. Regeringen konstaterade att datalagen var tillämplig på registret. I skälen för beslutet anförde regeringen bl.a. att bolaget inte avsåg att i egen produktion framställa tryckt skrift eller film och därvid använda sig av de lagrade bilderna. Endast det förhållandet att uppgifterna lagras för att vid senare tillfälle kunna ges ut i form av tryckt skrift innebar enligt regeringen inte att TF:s bestämmelser om censur och andra hindrande åtgärder skulle bli tillämpliga på behandlingen. Slutligen konstaterade regeringen att bolaget inte heller omfattades av skyddet i 1 kap. 9 § YGL.

Beslut 1994-09-15, Ju 94-140. Tidningarnas Telegrambyrå AB (TT) ansökte om tillstånd att föra personregistret ”TT Nyhetsbanken”. Ändamålet med registret var att lagra och återsöka TT-telegram. Uppgifter ur registret skulle lämnas ut bl.a. till vissa kunder. Datainspektionen meddelade tillstånd med en föreskrift om gallring. I samband med att TT begärde ändring av gallringsföreskriften prövade regeringen hur tillståndskravet i datalagen förhöll sig till bestämmelsen i 1 kap. 9 § YGL i det aktuella fallet. I sina skäl konstaterade regeringen att registret fick anses utgöra ett sådant register som avses i 1 kap. 9 § YGL, att tillståndskravet i datalagen stred mot förbudet mot hindrande åtgärder i 1 kap. 3 § YGL och att Datainspektionen därför inte borde ha meddelat något beslut om tillstånd. Följaktligen, konstaterade regeringen till sist, borde inte heller TT:s ansökan om ändring av föreskrifterna ha tagits upp till prövning.

10.7 Överväganden

10.7.1 Allmänt om konflikten mellan persondatalagstiftningen och yttrandefriheten

Som framgår av det förut anförda kan motsättningar uppstå mellan å ena sidan yttrandefriheten och å andra sidan skyddet för den personliga integriteten sådant detta kommer till uttryck i persondatalagstiftningen. Vi har i det föregående betecknat detta förhållande som en normkonflikt.

Den intressekollision som är upphov till normkonflikten kan beskrivas på följande sätt. Yttrandefriheten har i Sverige liksom i många andra länder ett starkt rättsligt skydd. Att fritt få framställa och sprida yttranden av olika slag utgör en av grundpelarna i ett demokratiskt samhälle. Yttrandefriheten är skyddad såväl i RF som i TF och YGL. Den personliga integriteten är på motsvarande sätt ett intresse som anses i hög grad skyddsvärt. I

Sverige är skyddet för den personliga integriteten i huvudsak uppbyggt kring regler som förbjuder vissa åtgärder eller handlingar som typiskt sett medför sådan kränkning. Datalagen är ett exempel härpå. Lagen innehåller mängder av regler om vad man får göra och inte göra med personuppgifter i den digitala miljön. Även bestämmelser utanför datalagen – särskilt straffrättsliga – har skyddet för den personliga integriteten som huvudsyfte.

I vissa andra länder finns regler som direkt tar sikte på skyddet för privatlivet. Dansk rätt innehåller t.ex. en bestämmelse som innebär att man kan straffas för att oberättigat ha avslöjat uppgifter om privata förhållanden om man kan kräva att de borde undanhållas offentligheten. Införandet av en sådan generell bestämmelse till skydd för privatlivet har varit och är föremål för diskussion både i Sverige196 och i andra länder.

Bestämmelsen i 2 kap. 3 § andra stycket RF – om att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling – innebär visserligen ett åliggande för riksdagen att stifta och vidmakthålla en persondatalagstiftning.197 Bestämmelsen i RF är emellertid allmänt hållen, till skillnad från de detaljerade reglerna i TF och YGL. Om avsteg skall göras från förbudet mot censur och andra hindrande åtgärder i syfte att hindra intrång i personlig integritet, måste detta ske i TF och YGL. Datalagen kan inte gärna tolkas så att riksdagen i den lagen skulle ha fört in bestämmelser som innebär avsteg från viktiga principer rörande yttrandefriheten. Den omständigheten att datalagen har stöd i RF innebär alltså inte att lagen tar över TF och YGL. Vi delar med andra ord den uppfattning som Datalagsutredningen därvidlag gav uttryck för och som har fått stöd av de flesta remissinstanser.

Konflikten mellan de två intresseområdena har accentuerats i och med användningen av den digitala tekniken. Stora informationsmängder kan hanteras sekundsnabbt och uppgifter om personer i sådan information kan med lätthet sökas och sammanställas med andra uppgifter till en fullständig kartläggning av den sökta personens liv och förhållanden. Om man för att skydda den personliga integriteten uppställer hinder för sådana förfaranden kan man å andra sidan göra intrång i yttrandefriheten. En effektiv persondatalagstiftning kan därför innebära hinder mot yttrandefriheten, fastän detta inte är alls är avsikten.

196 Se t.ex. Ds 1994:51. 197 Prop. 1987/88:57 s. 11.

Datalagsutredningens förslag beträffande datalagens förhållande till massmedier har i sina detaljer fått vidkännas kritik i olika hänseenden, särskilt från massmediernas egna organ. Detta sammanhänger särskilt med utredningens användning av registerbegreppet. Detta begrepp härstammar från stordatortiden och är inaktuellt. Numera förekommer centrala klipparkiv som innehåller i stort sett allt publicerat material i fulltext; undantag kan göras för t.ex. smärre notiser. Varje journalist har en PC där allt vederbörandes material ligger samlat, ett material som är lätt att söka i och strukturera. Ett dokument i datorn behöver inte innehålla material för någon bestämd artikel. Uppgifter kan samlas in under ”grävande journalistik” utan att journalisten ännu vet hur de skall användas.

Att införa regler i persondatalagen utan att deras efterföljd kan kontrolleras av en myndighet som Datainspektionen skulle sätta tilltron till lagstiftningen i fara. Inspektioner av myndigheter som berör massmedierna är emellertid typiskt sett ägnade att påverka yttrandefriheten. Bestämmelser i persondatalagen som kan beröra anonymitetsskyddet inverkar också på meddelarskyddet. Detta utgör en central del i offentlighetsprincipen.

Normkonflikten har lösts på olika sätt i olika länder. Vissa har gjort undantag från persondatalagstiftningen för behandling av personuppgifter i massmediala sammanhang, medan andra – såsom Sverige – inte har gjort det. I formell mening kan den ena vägen innebära att man inkräktar på skyddet för den personliga integriteten och den andra att man inkräktar på skyddet för yttrandefriheten. Vid den diskussion i ämnet som var uppe i Europarådet 1991 (se avsnitt 10.5.3) framgick dock att detta hade vållat få problem i praktiken. Diskussionen resulterade inte i något klart uttalande om vilket intresse som borde äga företräde i lagstiftningen. Konklusionen blev i stället att vilken väg lagstiftaren än väljer, måste det intresse som så att säga har blivit förbigånget värnas på annat sätt.

Normkonflikten torde inte ha observerats vid datalagens tillkomst. Numera har emellertid grundlagarnas prioritet på området blivit erkänd i praxis. Av de beslut som har fattats av regeringen på senare tid kan man enligt vår mening dra den slutsatsen att redan enligt den gällande rätten datalagens bestämmelser skall vika i den mån de kolliderar med grundlagarna.

Principen bör gälla även i fortsättningen. Vi förordar alltså att bestämmelserna i persondatalagen utformas så att de inte kommer i konflikt med det grundlagsfästa skyddet för yttrandefriheten. Följderna härav bör dock inte överdrivas. Det är enligt vår mening möjligt att åstadkomma en

lagstiftning som med olika medel ger skydd åt den personliga integriteten utan att inskränkningar görs i den grundlagsfästa yttrandefriheten.

Självfallet ger även bestämmelserna i TF och YGL på olika sätt skydd för den personliga integriteten. Ett sådant skydd följer bl.a. av grundlagarnas regelsystem för fall där någon enskild har blivit kränkt i ett yttrande, särskilt reglerna om tryckfrihetsbrott. Även t.ex. bestämmelserna om att det alltid måste finnas någon som kan ställas till ansvar för otillåtna yttranden kan ses som ett skydd för den enskilde.

Det finns, som tidigare nämnts, ytterligare funktioner inom massmedieområdet till skydd för privatlivet. Massmediernas självsanerande verksamhet som innefattar rätt till beriktigande och genmäle träffar många yttranden som sprids i samhället, kanske huvuddelen av dem som innehåller personuppgifter. Den omständigheten att digital teknik har använts vid framställningen av en tidningsartikel som kanske innehåller en kränkande personuppgift minskar självfallet inte det nu nämnda skyddet. Granskningsnämnden för radio och TV övervakar att etermedierna i programverksamheten respekterar den enskildes privatliv.

Det skall dock inte förnekas att möjligheterna, både för myndigheter och enskilda, att ta del av och sammanställa personuppgifter ökar med bl.a. nya distributions- och lagringstekniker. Massmediernas självsanerande verksamhet omfattar inte heller alla yttranden som skyddas av TF och YGL, så t.ex. inte böcker och filmer.

Vi kan dock inte se att detta bör föranleda några ändringar i den nuvarande regleringen av yttrandefriheten i TF och YGL. Denna reglering torde vara fast förankrad både i det allmänna medvetandet och inom de politiska partierna. Praxis synes också ha anpassat sig till det nuvarande systemet utan att detta numera föranleder någon nämnvärd diskussion.

Att i detalj söka anpassa persondatalagen så att den överensstämmer med TF och YGL ter sig som ett ofruktbart arbete. Skulle anpassningen inte bli korrekt tar i alla fall grundlagens bestämmelser över. Det ter sig både enklast och mest hederligt att föreskriva undantag från tillämpningen av persondatalagen för behandling av yttranden som är skyddade i TF och YGL.

Frågor om vilka yttranden som omfattas av grundlagsskyddet och var gränsen går för skyddet är som tidigare nämnts föremål för Mediekommitténs överväganden.198 I direktiven till den utredningen pekas sär-

198 Dir 1994:104.

skilt på behovet att klarlägga rättsläget beträffande yttranden som förmedlas elektroniskt. Utredningen skall i det sammanhanget överväga behovet av justeringar i grundlagsreglernas tillämpningsområde. Om nya medier blir grundlagsskyddade såsom t.ex. datordisketter och cd-romskivor kan detta visserligen medföra nya problem i förhållande till integritetsskyddet. Dessa problem måste emellertid beaktas vid ändring av grundlagarna. Det kan inte komma i fråga att inom persondatalagstiftningens ram göra skillnad mellan det ena och det andra grundlagsskyddade yttrandet. Principen om grundlagarnas överhöghet gäller generellt. Enligt vår mening bör därför en ändring av det grundlagsskyddade området inte medföra någon ändrad principiell inställning till förhållandet mellan grundlagsskyddet för yttrandefriheten och persondatalagstiftningen. En utvidgning av grundlagsskyddet bör med andra ord medföra en motsvarande inskränkning av til??lämpningen av persondatalagen.

Vi har alltså kommit fram till att bestämmelserna i persondatalagen måste utformas så att de inte kolliderar med bestämmelserna i TF och YGL och att de senare bestämmelserna inte bör ändras. Det är därför nödvändigt att göra undantag i persondatalagen för behandlingar av personuppgifter som skyddas av yttrandefriheten.

10.7.2 Skall undantaget vara generellt?

Frågan är vad ett undantag i persondatalagen för behandlingar av personuppgifter som skyddas av yttrandefriheten bör omfatta. Inte alla bestämmelser i datalagen kolliderar med censurförbudet och anonymitetsskyddet. Datalagsutredningen fann emellertid att i den mån undantag gjordes från datalagstiftningen detta borde gälla hela lagen, bl.a. eftersom Datainspektionen ändå inte skulle kunna kontrollera efterlevnaden av ett fåtal tillämpliga regler.199

Enligt vår mening är det befogat att låta vissa av persondatalagens bestämmelser om skydd för personuppgifter i princip gälla även i fråga om den grundlagsskyddade yttrandefriheten. Det är angeläget att personuppgifter som förekommer inom massmediernas verksamhet skyddas från obehöriga intrång. Man kan utgå ifrån att de företag som agerar inom området, t.ex. radio- och TV-företag och tidningsproducenter, skyddar sitt data. Detta ligger ju i företagens eget intresse. Yttranden som skyddas av

TF och YGL kan emellertid innefatta en mängd andra behandlingar, t.ex. uppgiftsinsamling som utförs av en privatperson i syfte att informationen skall lämnas vidare till en journalist. Om enskilda personer lider skada av att sådan databehandling har skett under former som inte har varit betryggande, t.ex. genom att någon person i illvilligt syfte har kommit över känsliga uppgifter, bör tillsynsmyndigheten i efterhand kunna föreskriva om skyddsåtgärder. Rätten att meddela säkerhetsföreskrifter är inte förenad med någon tillsyn men med möjlighet att förelägga vite. En sådan föreskriftsrätt kan inte sägas inkräkta på censurförbudet och meddelarskyddet enligt grundlagarna.

Tillsynsmyndigheten skall inte heller förhindras att i sin mer allmänna bevakning av uppgiftsbehandling i samhället påtala otillbörliga förfaranden på det massmediala området. Detta står väl i samklang med de uttalanden som har gjorts i EG-direktivet.200 Enligt dessa bör tillsynsmyndigheten nämligen utrustas bl.a. med en befogenhet att i efterhand offentliggöra en rapport angående sådan behandling. I dessa sammanhang kan eventuella missförhållanden påtalas. Även inom den självsanerande verksamhet som förekommer på området kan sådana brister påtalas.

Sammanfattningsvis anser vi att undantaget bör gälla alla materiella regler i lagen utom bestämmelserna om säkerhet. Detta innebär att reglerna om att personuppgifter skall skyddas t.ex. så att inte någon obehörig kan komma åt eller manipulera uppgifterna gäller även på yttrandeområdet. Undantaget förhindrar inte heller att tillsynsmyndigheten i sin mer allmänna bevakningsverksamhet påtalar eventuella missförhållanden inom det undantagna området.

10.7.3 Hur skall undantaget utformas?

Framställning och spridning av yttranden kan äga rum i vitt skilda sammanhang och i olika syften. Medan verksamheten inom de traditionella massmedieföretagen är helt koncentrerad till produktion av yttranden, kan den i andra sammanhang förekomma mer som en bisyssla – t.ex. när ett företag trycker en kundkatalog. Massmedieföretagen är underkastade etiska regler som bl.a. värnar den personliga integriteten, men yttranden i andra sammanhang kan framställas och spridas utan sådana restriktioner.

200 Punkt 37 i ingressen.

Den utformning av undantaget som Datalagsutredningen föreslog byggde på en uppdelning av olika uppgiftssammanställningar som kan förekomma i den massmediala verksamheten: produktions-, meddelar- och källregister samt klipparkiv. Kritikerna menade emellertid att en sådan avgränsningsmodell inte kan användas eftersom det i praktiken inte förekommer någon sådan uppdelning. Man utför inte behandlingar av uppgifter i olika avgränsbara ”register” (utom möjligen klipparkiven). En variant som tycks finnas i vissa andra länder är att undanta ”redaktionella” register. Den avgränsningen ger uppenbarligen utrymme för större undantag, men också den ger avgränsningsproblem.

En annan tänkbar lösning kunde vara att låta vissa subjekt, t.ex. massmedieföretag, omfattas av undantaget. En sådan lösning skulle emellertid leda till nya gränsdragningsproblem eftersom det inte finns någon definition att anknyta till – vad är ett massmedieföretag, vad är journalistisk verksamhet? Den skulle heller inte tillgodose syftet att förebygga konflikter mellan grundlagarna och persondatalagstiftningen eftersom TF och YGL skyddar även andra, som vill framställa yttranden, än journalister.

Ytterligare ett alternativ att överväga är att låta undantaget omfatta all behandling som över huvud taget har med framställning av yttranden att göra. Undantaget skulle med andra ord knyta direkt an till bestämmelsen i 2 kap. 1 § 1 p. RF som anger att varje medborgare gentemot det allmänna är tillförsäkrad yttrandefrihet. Ett så omfattande undantag skulle kunna vara till gagn för yttrandefriheten i vidsträckt bemärkelse och gälla även andra former av yttranden än de som skyddas av TF och YGL.

Att knyta an till målsättningsstadgandet i RF är emellertid enligt vår uppfattning inte ändamålsenligt. I praktiken skulle en sådan utformning innebära att persondatalagstiftningen blev verkningslös, eftersom det inte torde vara mycket av resultatet av en databehandling som inte kan karakteriseras som ett yttrande. Syftet med det undantag vi söker är att förebygga en konflikt mellan persondatalagstiftningen och TF:s och YGL:s detaljerade föreskrifter till skydd för yttrandefriheten. Någon motsvarande konflikt uppkommer inte i förhållande till RF:s principförklaring.

Det är endast vissa former av yttrandeframställning och -spridning som har fått konkret skydd i TF och YGL. Denna reglering innebär som tidigare nämnts även regler till skydd för den enskilde. Om även alla yttranden ”utanför” detta område undantas från persondatalagen kan det medföra risker för integritetsintrång som inte kan motverkas.

Sammanfattningsvis anser vi att man bör låta gränsen för undantaget i princip sammanfalla med den som finns i TF och YGL. Det betyder att så-

dan behandling som innebär en åtgärd som omfattas av dessa grundlagar undantas från persondatalagen.

10.7.4 Vilka behandlingar omfattas av undantaget?

10.7.4.1 Allmänt

De åtgärder som primärt skyddas av TF och YGL är att ”utgiva skrifter” respektive ”offentligen uttrycka tankar, åsikter och känslor och i övrigt lämna upplysningar i vilket ämne som helst”. Vi har tidigare kunnat konstatera att detta inte innebär att den som vill framföra ett yttrande är fri att vidta vilka åtgärder som helst, lagliga eller olagliga. Det centrala i sammanhanget är att myndigheter inte hindrar yttrandet på grund av dess innehåll eller försöker ta reda på varifrån innehållet har hämtats, även om det rör personuppgifter. Eventuella undantag från dessa huvudregler måste framgå i TF respektive YGL. Persondatalagen innehåller bestämmelser om just sådana myndighetsingripanden (i vart fall indirekt). Dessa bestämmelser kan inte tillämpas på grundlagsskyddade yttranden.

Det är enligt vår mening inte möjligt att uttömmande ange vilka behandlingar detta kan gälla. Administrativa register t.ex. kundförteckningar över tidningsprenumeranter eller löneregister för anställda omfattas inte av detta undantag, även om sådana behandlingar också utgör led i spridande av yttranden. Det är bara i de fall behandlingen har ett direkt samband med själva yttrandet som undantaget är tillämpligt. Nedan diskuteras några typiska sådana fall.

10.7.4.2 Behandlingar som syftar till att framställa yttranden

Mot bakgrund bl.a. av det ovan nämnda beslutet av regeringen (1994-04-14, Ju 93-3260) kan vissa slutsatser dras beträffande grundlagsskyddets omfattning. Om behandlingen av personuppgifter utgör ett direkt tekniskt hjälpmedel för att åstadkomma ett grundlagsskyddat yttrande skall datalagen enligt avgörandet inte tillämpas. De behandlingar som i sådant syfte utförs av författare eller utgivare av yttranden faller därmed utanför persondatalagstiftningens tillämpning. Exakt hur långt processen för att få fram yttrandet har fortskridit saknar betydelse. Redan den första registreringen av uppgifter utgör enligt detta resonemang ett led i framställandet av ett yttrande. Det är inte nödvändigt att det faktiskt blev publicerat. Det avgörande är att syftet med behandlingen var att framställa ett yttrande

som skulle publiceras. Att yttrandet blir föremål för omarbetningar och redigeringar kan inte förändra saken. Dessa tankegångar har stöd i den praxis som har förekommit på senare tid. Datainspektionen har avvisat flera ansökningar med motiveringen att registret skall ingå som ett led i framställning av tryckt skrift och att det därför inte omfattas av tillståndskravet i datalagen.

Utkast t.ex. till artiklar eller böcker omfattas enligt detta resonemang av undantaget. Om behandlingen utgör ett direkt tekniskt led i framställningen är persondatalagen således inte tillämplig. En till synes negativ konsekvens kan bli att uppgifter finns registrerade länge utan att det har blivit något skyddat yttrande. Hur länge uppgifterna kan finnas lagrade utan att behandlingen därför anses falla utanför det grundlagsskyddade området får avgöras från fall till fall. När ändamålet inte längre enbart är att framställa ett yttrande, utan även tillgodose andra syften t.ex. försäljning av personuppgifter, har gränsen för undantagsbestämmelsen passerats. Persondatalagen blir då tillämplig på behandlingen.

Uppgifter som förekommer på en tidningsredaktion eller hos ett publicservice företag får som regel anses omfattade av undantaget. Stora samlingar av personuppgifter som inte har blivit bearbetade eller införda i textuellt sammanhang får i andra fall betraktas mer kritiskt.

I gränsfall måste det till viss del bero på sammanhanget om behandlingen är undantagen eller inte. En författare kan t.ex. med hjälp av digital teknik framställa en bok som också publiceras på Internet. Persondatalagen blir då til??lämplig på den senare utgåvan men inte på den tryckta. Problemet beror på att den ena spridningsformen åtnjuter grundlagsskydd men inte den andra. Omfattningen av grundlagsskyddet utreds för närvarande av Mediekommittén. Problemet kan därför komma att falla bort.

Hur sådana fall skall bedömas där behandlingen sker för flera skilda ändamål diskuteras under avsnitt 10.7.4.5.

Det skall med andra ord vara fråga om behandlingar som används för att överföra upphovsmannens uppgifter, tankar, åsikter, känslor osv. till en form som omfattas av grundlagsskyddet i TF och YGL. Alla former av yttrandespridning omfattas emellertid inte. Som har framgått tidigare (se ovan under avsnitt 10.2.3.) är det i viss mån den enskildes egna åtgärder som avgör om en tryckt skrift faller under TF eller inte.

Moderna former av yttrandespridning, t.ex. via elektroniska anslagstavlor, omfattas inte ännu av grundlagsskydd. IT-utredningen har föreslagit att sådana yttranden i viss utsträckning också skall undantas från persondata-

lagen. Dessa frågor bereds nu i annan ordning och vi tar inte ställning till dem.

Vidare överväger, som tidigare nämnts, Mediekommittén bl.a. om ytterligare former för yttrandespridning bör omfattas av grundlagsskydd. Behandlingar av personuppgifter som utförs för att framställa sådana ickeskyddade yttranden kommer i princip alltså att tills vidare och i avvaktan på en eventuell grundlagsändring att omfattas av persondatalagen, i den mån de inte undantas genom annan lagstiftning.

10.7.4.3 Behandlingar som syftar till att anskaffa och meddela uppgifter

Sådana behandlingar som innebär att någon anskaffar och eventuellt överför uppgifter till någon annan utan att ha för avsikt att själv framställa ett yttrande, kan också omfattas av undantaget. Behandlingar som en meddelare utför i syfte att meddela uppgifter för offentliggörande får alltså utföras fritt. Vissa ytterligare krav finns dock för att sådana behandlingar skall vara undantagna. Anskaffarfriheten ensam åtnjuter inte något särskilt skydd i yttrandesammanhang. Det är bara om anskaffaren har för avsikt att själv framställa ett yttrande eller lämna uppgifterna till någon sådan person som sägs i 1 kap. 1 § tredje stycket TF respektive 1 kap. 2 § YGL (t.ex. författare eller nyhetsjournalister) som han omfattas av skyddet. Även sådana behandlingar som innebär att uppgifter samlas in t.ex. av en journalist för att göra ett TV-program eller en författare för att skriva en artikel skall enligt våra överväganden i det föregående inte omfattas av persondatalagen. Nyhetsbyråer bör med hänsyn till den ställning de getts i TF201 i förevarande sammanhang jämställas med tidningsredaktioner.

I den mån grundlagsskyddet i framtiden även kommer att omfatta t.ex. nyhetsjournalister i medier som inte nu är skyddade kommer skaran av meddelare som undantas från persondatalagen att utvidgas. Den krets till vilka meddelande får lämnas kan i framtiden komma att bli vidare än i dag.

De behandlingar som av Datalagsutredningen benämndes källregister kommer också att undantas om våra överväganden läggs till grund för lagstiftning. Även här kan emellertid gränsdragningsproblem uppkomma som framgår exempelvis av regeringens beslut (1994-06-30, Ju 94-2310) i vilket regeringen bl.a. prövade frågan vilket samband som måste finnas

201 Se t.ex. 3 kap. 3 § 1 st. TF.

mellan en behandling av personuppgifter och det grundlagsskyddade yttrandet.202

10.7.4.4 Lagring och spridning av uppgifter

En annan typ av behandlingar inom det massmediala området är sådana som utgör led i själva spridandet av yttranden. Tanken bakom den nya bestämmelsen i 1 kap. 9 § YGL är att rätten att sprida yttranden skall vara oberoende av vilken teknik som används.203 Även i detta sammanhang tar grundlagsbestämmelserna över persondatalagen. Närmare var gränserna för grundlagsskyddet går eller bör gå i detta sammanhang är, som tidigare nämnts, föremål för utredning. Det är inte alla som (ännu i vart fall) har denna grundlagsskyddade rätt att sprida yttranden elektroniskt, t.ex. inte privatpersoner. Från integritetssynpunkt är det en fördel att de subjekt som kan utföra sådan skyddad elektronisk spridning måste ha en ansvarig utgivare för yttrandet. De är vidare underkastade massmediernas självsanerande verksamhet.

Grundlagsskyddet sträcker sig till och med spridningen av yttrandet. När det gäller fortsatt digital behandling av det redan spridda yttrandet uppkommer nya frågor. En vanlig tidning vållar naturligtvis inte några problem, den träffas inte av några särskilda bestämmelser. Hur förhåller det sig med en bok utgiven i elektronisk form (t.ex. på cd-rom), faller den under persondatalagen? Frågan är med andra ord om ”behandling” även innefattar ”ta del av”. Vi kan konstatera att ett undantag som inte omfattar även en möjlighet att fritt ta del av ett grundlagsskyddat yttrande skulle vara värdelöst. EG-direktivet måste vidare enligt vår mening tolkas så, att den som tar del av en icke-förändringsbar mängd data är inte att anse som persondataansvarig. Enligt direktivet är nämligen den persondataansvarig som bestämmer ändamålen eller medlen för behandlingen. En person som tar del av data som inte är förändringsbart kan därför inte anses vara persondataansvarig, och lagen omfattar därför inte en sådan person. Att bara ta del av resultatet av en behandling måste enligt vår mening således omfattas av undantaget. Detta bör gälla även om man använder tillgängliga funktioner för att söka i datat. Om man däremot bearbetar datat på något annat sätt, t.ex. sparar ner det på en egen hårddisk och behandlar det vidare, blir persondatalagen tillämplig på den behandlingen.

202 Se vidare angående beslutet under avsnitt 10.6.3. 203 Prop. 1990/91:64 s. 65 och 66.

Vad Datalagsutredningen benämnde klipparkiv ger möjlighet att elektroniskt bevara och sprida vidare redan publicerat material. Såsom flera remissinstanser har påpekat får teknikvalet konsekvenser som har betydelse ur integritetssynvinkel. Genom möjligheter att hantera och särskilt söka i stora mängder information på ett enkelt och effektivt sätt har förutsättningar skapats bl.a. för att göra sammanställningar som inkräktar på den personliga integriteten. Efterforskningar t.ex. beträffande en viss person som har omnämnts i pressen kan nu utföras snabbt, något som tidigare kanske var så omständligt att det inte lät sig göras. Vidare kan det förekomma uppgifter om t.ex. brottslighet, politisk eller religiös åskådning eller andra integritetskänsliga förhållanden om personer som omnämns i tidningsartiklar eller i radio och TV.

Att ny teknik används för att sprida redan grundlagsskyddade yttranden bör inte föranleda att materialet underkastas några andra regler inom persondatalagstiftningen än det ursprungliga materialet. Såvitt angår journalisternas användning av klipparkiven för att framställa nya yttranden finns det inte anledning att göra annan bedömning än som förut gjorts generellt beträffande uppgifter som journalisterna anskaffar ur olika källor. Vad angår allmänhetens tillgång till klipparkiven får det ur yttrandefrihetens och informationsfrihetens synvinkel hälsas med tillfredsställelse att yttrandena kan spridas även på dessa nya vägar. Allmänheten bör därför ha samma möjligheter att ta del av yttrandena elektroniskt som genom att bläddra i tidningslägg. Även klipparkiven bör sålunda enligt vår mening undantas från tillämpningen av persondatalagstiftningen.

Uppgifterna kan emellertid inte utnyttjas fritt enbart på grund av att de kan återfinnas i grundlagsskyddade yttranden. Om man inte bara söker och tar del av personuppgifter som kan förekomma i sådana yttranden, utan vidtar egna åtgärder med uppgifterna och t.ex. överför dem till en egen databas för vidare behandling, blir denna behandling på vanligt sätt underkastad persondatalagens begränsningar (för såvitt syftet inte är att på nytt framställa ett grundlagsskyddat yttrande).

10.7.4.5 Behandling för flera ändamål

I de fall behandlingen har flera ändamål, varav ett är att framställa en skrift t.ex. en katalog och ett annat att utgöra ett kundregister, bör man kunna kräva att behandlingen delas upp av den ansvarige så att den behandling som inte faller under TF eller YGL kan bli föremål för åtgärder enligt persondatalagen. Denna till synes snäva gränsdragning stämmer överens med

EG-direktivets bestämmelser som tillåter att undantag görs för behandling som sker uteslutande för journalistiska m.fl. ändamål.204 Det kommer med andra ord an på den enskilde att göra avgränsningen. En sådan definition bör leda till att gränsdragningsproblemen blir mindre. En nackdel är att det kan uppstå extra kostnader och olägenheter för den som utför behandlingen. Rent praktiskt kan det gå till så att uppgifterna läggs i olika bibliotek eller kataloger i ordbehandlaren. När det gäller behandlingar som delvis utgör led i spridande av yttranden bör undantaget ges en generös til??lämpning.

Tillsynsmyndighetens åtgärder får givetvis inte medföra hinder för framställningen av yttrandet, utan dessa får inskränkas till de behandlingar som inte direkt ingår i den tekniska framställningen. Om behandlingar för flera ändamål förekommer bör Datainspektionen få utöva sina befogenheter enligt persondatalagen så långt det är möjligt t.ex. när det gäller administrativa register vid en tidning. Så fort man kommer in på det grundlagsskyddade området måste tillsynsverksamheten dock upphöra. I sammanhanget vill vi erinra om den möjlighet som finns att utse ett persondataombud enligt den föreslagna lagen. Ombudet kommer i första hand att svara för de behandlingar som omfattas av persondatalagen men kan också bevaka säkerheten vid undantagen behandling. Vid kontakter mellan den persondataansvarige och tillsynsmyndigheten kan ombudet biträda för att undvika att det sker intrång på det grundlagsskyddade området. Det får förutsättas att seriösa massmedieföretag håller de undantagna uppgifterna avskilda på ett sådant sätt att det i praktiken inte uppstår några problem.

10.7.4.6 Överflödiga uppgifter

Behandling av uppgifter för framställande av ett grundlagsskyddat yttrande kan innehålla ”överflödigt” data. I viss omfattning måste givetvis sådant vara tillåtet. Det kan inte krävas att behandlingen uteslutande avser de uppgifter som senare skall ingå i det skyddade yttrandet. Den situation som man i första hand kanske tänker på är användningen av ord- och textbehandlingsprogram. Uppgifter som tillfälligt förekommer i texten men som

204 Kammarrätten i Stockholm har på senare tid avgjort ett mål (1996-10-22, 3234-1996) som bl.a. berörde frågan om uppgiftsbehandling som bl.a. skulle resultera i en publicerad rapport omfattas av datalagen. Kammarrätten ansåg att behandlingen inte kunde antas ha ett sådant samband med utgivningen av tryckt skrift att den skulle undantas från datalagen.

sedan tas bort innan yttrandet har färdigställts kan inte särbehandlas. De uppgifter som är föremål för behandling skall emellertid kunna sägas utgöra ett naturligt led i framställandet av ett yttrande. Alltför mycket överflödig information kan medföra att behandlingen inte kan sägas utgöra ett led i framställningen av ett skyddat yttrande och därför leda till att behandlingen i stället blir underkastad persondatalagens tillämpningsområde.

I tveksamma fall bör man göra en samlad bedömning av behandlingens karaktär. Att låta behandlingen till viss del falla under persondatalagen och till en annan del vara grundlagsskyddad, t.ex. i den ovan angivna situationen, torde medföra svåra tillämpningsproblem.

10.7.4.7 Falska invändningar om grundlagsskydd

Risken för att otillåten behandling av personuppgifter sker under sken av att ett skyddat yttrande skall framställas måste beaktas, dvs. risken att någon behandlar personuppgifter under en falsk förevändning att de skall ingå t.ex. i en tryckt skrift och därför inte faller under persondatalagens tillämpningsområde. I vissa fall kan kanske en invändning om att behandlingen utgör ett led i framställningen av ett grundlagsskyddat yttrande inte utan vidare godtas. Den ansvarige måste på något sätt göra troligt att behandlingen syftar till att åstadkomma ett skyddat yttrande. Vid en sådan bedömning kan det vara av intresse om yttrande tidigare har producerats av den ansvarige, om kontakt har tagits med tryckeri eller om behandlingen i övrigt framstår som ett naturligt led i framställningen av t.ex. en skrift. Om det av sådana kringliggande omständigheter framgår att behandlingen ingår i framställningen av ett yttrande bör detta vara tillräckligt.

10.7.4.8 Prövning av undantagsregeln

Behandlingar som har lett till kränkande uppgifter i ett grundlagsskyddat yttrande kan således inte bli föremål för ingripanden av Datainspektionen. Endast yttrandet som sådant kan angripas och det måste ske i en process enligt TF eller YGL. Så länge uppgifterna inte har publicerats kan emellertid fråga uppkomma om behandlingen av dem omfattas av grundlagsskyddet eller inte. Behandlingen måste i det fallet ha blivit känd på annat sätt; uppgifter från behandlingen kan ha kommit ut av misstag eller varit föremål för dataintrång. Liksom Datalagsutredningen anser vi att det bör krävas en invändning av den som utför behandlingen om att den är grund-

lagsskyddad för att Datainspektionen skall vara förhindrad att utöva sina befogenheter enligt persondatalagen.205

Vid de kontakter som tas mellan inspektionen och den som utför behandlingen bör det ofta kunna klarläggas hur det förhåller sig. Ytterst får invändningen prövas av den domstol till vilken besvär riktas mot någon åtgärd som har vidtagits av Datainspektionen enligt persondatalagen. I det sammanhanget bör bestämmelserna i 1 kap. 4 § TF respektive 1 kap. 5 § YGL uppmärksammas. Bestämmelserna innebär bl.a. att principen om att hellre fria än fälla har extra tyngd på detta område.

10.7.5 Förhållandet till EG-direktivet

EG-direktivet anger lika litet som gällande svensk rätt någon definitiv lösning på frågan om förhållandet mellan yttrandefrihet och skydd för personlig integritet i datasammanhang. För att skydda den personliga integriteten i digitala sammanhang anvisar EG-direktivet en viss lagstiftningsmodell, av oss kallad handlingsmodellen. Modellen innebär i stort sett att all behandling av personuppgifter skall vara reglerad. Om det inte vore så att direktivet medgav undantag bl.a. i fråga om behandling för journalistiska ändamål skulle direktivet strida mot TF:s och YGL:s principer om bl.a. censurförbud och anonymitetsskydd. Det finns nämligen andra bestämmelser i direktivet som handlar om underrättelseskyldighet när uppgifter samlas in, förbud mot behandling av känsliga personuppgifter och bestämmelser om tillsynsmyndighetens befogenheter.

EG-direktivet medger emellertid som framgår av det förut anförda att undantag görs från direktivets materiella bestämmelser för behandlingar av personuppgifter som utförs uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande om undantagen är nödvändiga för yttrandefriheten. Enligt art. 9 i direktivet skall sålunda medlemsstaterna med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i kapitlen med allmänna bestämmelser om när personuppgifter får behandlas, om överföring av personuppgifter till tredje land och om tillsynsmyndighet m.m. endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefrihet. I ingressen till direktivet, punkt 37, sägs bl.a. att för sådan be-

handling av personuppgifter som sker för journalistiskt ändamål eller för litterärt eller konstnärligt skapande – särskilt på det audiovisuella området – bör det fastställas undantag från eller begränsningar i förhållande till vissa bestämmelser i direktivet så långt detta är nödvändigt för att förena enskilda personers grundläggande rättigheter med yttrandefriheten, särskilt den rätt att ta emot och lämna upplysningar som särskilt fastslås i art. 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

Av hänvisningen till artikel 10 i Europarådskonventionen om de mänskliga rättigheterna framgår att syftet med direktivbestämmelsen är att värna yttrandefriheten som bl.a. innebär frihet att ta emot och sprida uppgifter och tankar utan inblandning av offentliga myndigheter dvs. samma tankegångar som ligger till grund för TF och YGL. Vid den intresseavvägning som enligt EG-direktivet skall ske mellan rätten till privatlivet och yttrandefriheten skall enligt en kommentar av kommissionen bl.a. beaktas möjligheten till rättslig prövning eller rätten till replik.

Vi har enligt det förut anförda inte funnit det befogat att föreslå grundlagsändringar för att förena bestämmelserna om skydd för den personliga integriteten i persondatalagstiftningen med bestämmelserna i grundlagarna om yttrandefriheten. Frågan är då om det är nödvändigt att göra sådana ändringar med hänsyn till direktivets bestämmelser.

Direktivet gör som framgått det möjligt att göra undantag för journalistisk, konstnärlig och litterär verksamhet. Vad som kan diskuteras är hur vidsträckta sådana undantag kan göras.

EG-direktivet anger inte närmare vilka behandlingar som skall omfattas av undantaget. De länder som har gjort undantag i sin datalag har utformat detta på olika sätt. Vissa har låtit det omfatta redaktionella register medan andra har låtit det omfatta endast vissa subjekt t.ex. vissa företag på det massmediala området. Det generella intrycket får ändå sägas vara att undantaget i många länder tar sikte på professionella former för framställning och spridning av yttranden.

I Maastricht-fördraget slås fast (art. F punkt 2) att Unionen skall som allmänna principer för gemenskapsrätten respektera de grundläggande rättigheterna, såsom de garanteras i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och såsom de följer av medlemsstaternas gemensamma konstitutionella traditioner. EG-domstolen har redan tidigare anslutit sig till Europakonventionens grundläggande rättigheter. Redan tidigare har EG-domstolen tillämpat

gemenskapsrätten på sådant sätt att de grundläggande rättigheterna respekterats.

I Europarådskonventionen om de mänskliga rättigheterna regleras rätt till skydd för privatlivet i artikel 8 och yttrandefriheten i artikel 10. Dessa båda fri- och rättigheter är jämställda i konventionen. Skyddet för privatlivet avser även dataområdet. Rätten till yttrandefrihet innefattar åsiktsfrihet samt frihet att mottaga och sprida uppgifter och tankar utan inblandning av offentlig myndighet och oberoende av territoriella gränser. De båda rättigheterna får begränsas inom vissa ramar enligt vad som är stadgat i lag och i ett demokratiskt samhälle är nödvändigt med hänsyn till bl.a. andra personers fri- och rättigheter (artikel 8) respektive skyddandet av annans goda namn och rykte eller rättigheter eller förhindrandet av att förtroliga underrättelser sprids (artikel 10).

Som justitierådet Hans Danelius anfört i sin rättsfallsöversikt i Svensk Juristtidning 1994 (s. 373) har Europadomstolen i Strasbourg ofta understrukit den fundamentala betydelse som yttrandefriheten har i ett demokratiskt samhälle samt framhållit att den måste omfatta även information och idéer som kan framstå som stötande eller chockerande; särskilt vidsträckt måste yttrandefriheten vara när det gäller debatten om politiska frågor eller andra samhällsfrågor, och den som ägnar sig åt politisk eller annan offentlig verksamhet måste räkna med att kunna utsättas även för ganska häftiga angrepp. Europadomstolen har också i ett nyligen avgjort mål (Goodwin ./. Storbritannien, dom den 27 mars 1996, 16/1994/463/544) uttalat att skyddet för journalisternas källor är en av de viktigaste förutsättningarna för pressens frihet.

Med nu angivna utgångspunkter måste det ske en avvägning mellan intresset av yttrandefrihet och intresset av skydd för den personliga integriteten. Därvid måste stor vikt tillmätas de andra garantier som finns för skydd av det vid avvägningen närmast åsidosatta intresset. Som vi förut påvisat saknar naturligtvis inte TF och YGL bestämmelser till skydd för privatlivet. Tvärtom finns sådana i form av bl.a. bestämmelser om ansvar för förtal och förolämpning. Vidare finns ett skydd för privatlivet genom massmediernas självsanerande verksamhet och i fråga om etermedier, genom Granskningsnämnden för radio och TV.

Som förut nämnts hänvisar Maastricht-fördraget även till medlemsstaternas gemensamma konstitutionella traditioner. Yttrandefriheten är djupt rotad i europeisk tradition. Variationer mellan medlemsstaternas konstitutionella praxis måste naturligtvis finnas. Det får förutsättas att sådana variationer respekteras av EG-domstolen. Vad vi förordat i det föregående

innebär ej annat eller mera än att de grundläggande bestämmelserna i persondatalagen inte skall tillämpas på behandling av personuppgifter som uteslutande utförs som ett direkt led i sådan framställning och spridning av yttranden som är skyddade av TF och YGL. Vi kan inte se annat än att ett sådant undantag med direkt hänvisning till den svenska konstitutionen får anses förenligt med EG-direktivet och inte kan antas möta gensaga i EGdomstolen. Vad särskilt angår frågan om överföring av personuppgifter till tredje land vill vi erinra om att artikel 10 i Europarådskonventionen om de mänskliga rättigheterna särskilt omnämner rätten att sprida åsikter och tankar oberoende av territoriella gränser.

Artikel 9 i EG-direktivet medger undantag också från bestämmelserna i direktivet om säkerhet. EG-direktivet anvisar en väg där man låter vissa materiella bestämmelser om säkerhet gälla även på yttrandeområdet.206Som framgår av det förut anförda anser vi emellertid att den svenska persondatalagens säkerhetsbestämmelser, som bl.a. syftar till att skydda personuppgifter så att ingen obehörig kommer åt dem, bör gälla även massmedier. Däremot medges inte undantag från bestämmelserna om rättslig prövning, ansvar och sanktioner. Dessa bestämmelser strider emellertid inte mot TF eller YGL.

Alla former av yttranden som innehåller personuppgifter omfattas som nyss sagts inte av skyddet i TF och YGL. Sådan journalistisk verksamhet som faller utanför grundlagsskyddet omfattas inte. Det kan t.ex. gälla en tidning som uteslutande sprids via Internet. Att framställa ett konstverk som innebär behandling av personuppgifter, t.ex. ett ”digitalt” porträtt, omfattas inte heller (om det inte skall ingå i en skrift eller i något annat skyddat yttrande). Vidare omfattas inte behandling av personuppgifter som skall framföras muntligt t.ex. vid ett offentligt framträdande i form av en teaterpjäs.

EG-direktivet anger att undantag skall göras generellt även för sådana behandlingar som sker för journalistiska ändamål eller konstnärligt eller litterärt skapande om det är nödvändigt för att förena rätten till privatlivet med reglerna om yttrandefriheten. Direktivets tillämpningsområde är med andra ord något vidare än grundlagsskyddet i TF och YGL i detta avseende (utan att för den skull omfatta alla former av yttranden). Det är enligt vår mening lämpligt att låta undantaget få den vidare utformning som följer av

206 Se ingressen p. 37.

EG-direktivet. Vi föreslår därför att undantaget i persondatalagen får omfatta även sådana verksamheter.

Vad det är för journalistisk verksamhet (utöver den som faller under TF) som undantas får avgöras mot bakgrund av EG-direktivets syften. Utgångspunkten måste vara att det handlar om vedertagen journalistik som bedrivs i den ordning som ställs upp i TF och YGL (med ansvarig utgivare osv.). När det gäller litterär verksamhet kan man utgå från att den i regel faller under TF, men precis som när det gäller journalistisk verksamhet bör sådant som för närvarande inte innefattas i grundlagsskyddet ändå omfattas av undantaget från persondatalagen. Även annan konstnärlig verksamhet undantas, t.ex. en revymakare som skriver manus i ett ordbehandlingsprogram.

11. Forskning och statistik

Ett undantag från förbudet att behandla känsliga personuppgifter utan informerat samtycke bör göras för behandling som är nödvändig för forsknings- och statistikändamål. Förutsättningen är att samhällsintresset av att projektet genomförs klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som projektet kan innebära. Har projektet godkänts av en forskningsetisk kommitté, skall förutsättningarna anses uppfyllda. Andra projekt bör i förväg anmälas till Datainspektionen för förhandskontroll.

Hänvisningar till S11

  • Prop. 1997/98:97: Avsnitt 5.5

11.1. Inledning

Behandling av personuppgifter används ofta för att framställa statistik inom forskningen eller någon annanstans eller på annat sätt för forskning. Det är inte så sällan känsliga personuppgifter som behandlas, och behandlingen torde i dag nästan uteslutande ske automatiskt. Behandling för forskning och statistik inom den offentliga sektorn sker regelmässigt under mycket sträng sekretess. Behandling för forskning har oftast på förhand granskats och godkänts av etisk expertis. Personuppgifterna används inte för att fatta beslut eller vidta åtgärder som berör enskilda, och de sprids inte till någon som skall använda uppgifterna för sådana ändamål. Ändamålet med behandlingen är i stället som regel att för samhällets bästa skaffa ny eller fördjupad kunskap om generella sammanhang. Avsikten är som utgångspunkt att resultatet av behandlingen skall i en eller annan form publiceras207 eller på annat sätt offentliggöras utan att de registrerades identitet röjs.

207 Att resultatet av behandlingen av personuppgifter för forsknings- eller statistikändamål skall publiceras anses enligt praxis inte medföra att behandlingen skyddas av 2 kap. TF och därmed är undantagen från bl.a. tillståndskravet i data-

Inom forskningsverksamhet och verksamhet för att framställa statistik förekommer givetvis behandling av personuppgifter också för andra ändamål än forskning och statistik, t.ex. för administration. I detta avsnitt berörs dock i första hand bara sådan behandling av personuppgifter för forskning och statistik där uppgifterna inte används för att fatta beslut eller vidta åtgärder som rör enskilda och där de registrerades identitet inte avslöjas vid presentationen av resultatet av behandlingen.

11.2. Statistik

11.2.1. Inledning

En vanlig definition av begreppet statistik är ”numeriska sammanställningar av elementära observationer som kan hänföras till händelser, flöden eller tillstånd”.208 Här kan den definitionen också användas, dock att här bara berörs sådan statistik som avser uppgifter (observationer) som kan hänföras till enskilda fysiska personer. Härtill kommer som nyss nämnts att syftet med sådan statistikbehandling som avses här inte får vara att vidta åtgärder mot enskilda och att enskildas identitet inte får avslöjas när resultatet av behandlingen redovisas.

På det statistiska området finns det vissa etiska regler.209Det förekommer att den som för ett register med personuppgifter för att fatta beslut eller vidta åtgärder rörande enskilda personer själv använder uppgifterna i registret också för att framställa statistik, t.ex. för att följa upp eller styra sin verksamhet. Ibland har bland ändamålen för ett sådant register nämnts även framställning av statistik eller liknande. I praxis har man dock ansett att register för administrativa ändamål får användas för framställning av statistik hos den registeransvarige även om detta inte uttryckligen angetts som ett ändamål.210 Sådan verksamhetsstatistik som den registeransvarige tar fram ur ett befintligt administrativt register för att an-

lagen, se Kammarrättens i Stockholm dom den 22 oktober 1996 i mål nr 3234-1996.

208 Se t.ex. senast SOU 1994:1 s. 23. 209 Se om de etiska reglerna t.ex. SOU 1992:48 s. 31, SOU 1993:83 s. 36 och SOU 1994:65 s. 30 f. 210 Se prop. 1994/95:200 s. 13. Jämför också regeringsbeslut 1993-10-28, dnr 92-3225, och 1988-04-14, dnr 87-2767.

vända som ett led i sin huvudsakliga verksamhet berörs inte vidare i detta bakgrundsavsnitt. I övervägandeavsnittet återkommer vi till verksamhetsstatistiken.

11.2.2. Den statliga statistiken

11.2.2.1 Inledning

Den statliga statistiken har setts över noga under senare år.211 I stora delar kan här hänvisas till de utredningar som redan har gjorts.

Man brukar dela in den statliga statistiken i officiell statistik och s.k. övrig statistik. Övrig statistik är all sådan statlig statistik som inte är officiell.

11.2.2.2 Officiell statistik

Det finns en lag och en förordning om den officiella statistiken.212 Officiell statistik är sådan statistik som en statlig myndighet under regeringen framställer, enligt föreskrifter som regeringen meddelar, för N samhällsplanering, N forskning, N allmän information och N internationell rapportering.

Regeringen har i förordningen räknat upp vilken statistik som är officiell och angett vilken myndighet som ansvarar för statistiken. Ansvaret har på senare år i vissa fall flyttats från Statistiska centralbyrån till ett antal centrala förvaltningsmyndigheter.

Den officiella statistiken skall framställas och offentliggöras med beaktande av skyddet för enskilda. Statistiken skall hållas allmänt tillgänglig och offentliggöras i tryckt skrift (serien Sveriges officiella statistik). Uppgifter i den officiella statistiken får inte föras samman med andra uppgifter för att få reda på enskildas identitet.

211 Se – förutom Datalagsutredningens betänkanden – SOU 1990:43, prop. 1991/92:118, SOU 1992:48, prop. 1992/93:101, SOU 1994:1, prop. 1993/94:100 Bilaga 8, SOU 1993:83 och 1994:65 samt prop. 1994/95:200. 212 SFS 1992:889 och 1668.

I fråga om uppgifter till den officiella statistiken kan det föreskrivas uppgiftsplikt, dvs. en lagstadgad och sanktionerad skyldighet för enskilda att lämna uppgifter. När en myndighet samlar in uppgifter till den officiella statistiken från enskilda – oftast näringsidkare – skall det lämnas information om N ändamålet med uppgiftsinsamlandet, N på vilka bestämmelser skyldigheten att lämna uppgifter grundas, N av vem eller på vems uppdrag insamlandet sker, N huruvida samråd har skett med den organisation som företräder upp-

giftslämnaren, N vad som gäller om uppgiftsskydd, N vad som gäller om uppgifternas bevarande, N eventuella påföljder om uppgifterna inte lämnas, N andra förhållanden som är av betydelse i sammanhanget och N i förekommande fall upplysning om att uppgiftslämnandet är frivilligt.

År 1995 infördes det en särskild registerlag med anslutande förordning om vissa personregister för officiell statistik.213 Lagen gäller bara för sådana personregister som innehåller känsliga personuppgifter214. Ett sådant personregister får föras bara för framställning av statistik, och registret skall föras av den statistikansvariga myndigheten, som är registeransvarig enligt datalagen. Bara de uppgifter som behövs för att framställa statistiken får tas in i registret. Uppgifterna skall gallras när de inte längre behövs för sitt ändamål. Det är dock tillåtet att i vissa fall bestämma att uppgifterna skall bevaras under en längre tid, men då skall materialet lämnas över till en arkivmyndighet.

I en omfattande bilaga till förordningen om vissa personregister för officiell statistik anges det N vilka register som får finnas, N vilken myndighet som får föra registret, N vilket närmare ändamål registret skall ha, N vilka uppgifter registret får innehålla och N i vilken mån uppgifter får hämtas in från andra register.

213 SFS 1995:606 och 1060. 214 Sådana uppgifter som avses i 4 § datalagen eller som utgör omdömen eller annan värderande upplysning om enskilda personer samt de flesta uppgifter som avser enskilda personers inkomst- eller förmögenhetsförhållanden.

När en myndighet hämtar in personuppgifter från en annan myndighet till ett statistikregister med känsliga personuppgifter, skall det ses till att de som uppgifterna avser på lämpligt sätt informeras om registret.215 Också när uppgifterna hämtas in direkt till registret från personer som är eller avses bli registrerade, skall de upplysas om registreringen.216 När uppgifter om enskilda fysiska personer samlas in från t.ex. näringsidkare finns det däremot oftast inte någon skyldighet att informera de personer som uppgifterna avser.

Om det används personregister enligt datalagen i en statistikansvarig myndighets verksamhet för att framställa statistik, skall verksamheten organiseras så att den är avgränsad från myndighetens handläggning av övriga ärenden.217

11.2.2.3 Övrig statistik

Övrig statistik är som sagt all statlig statistik som inte är officiell. Det är främst fråga om verksamhetsstatistik. Uppgifter som bara behövs för den övriga statistiken kan inte samlas in från enskilda med stöd av uppgiftsplikt. För övrig statistik, som inte är verksamhetsstatistik, måste uppgifterna således lämnas frivilligt eller hämtas in från något annat register. Framställningen av den övriga statistiken har oftast inte direkt författningsstöd. Det finns dock exempel på att framställning av särskilt känslig statistik har författningsreglerats.218

11.2.3. Privat och kommunal statistik

Vad som nu sagts om den övriga statistiken på det statliga området gäller också i stor utsträckning den statistik som framställs i den kommunala och privata sektorn.

Beträffande register inom socialtjänsten, som bl.a. används för att framställa statistik, har det nyligen föreslagits en särskild lagreglering.219 Det

215 7 § förordningen om den officiella statistiken, se prop. 1994/95:200 s. 27. 216 5 § lagen om vissa personregister för officiell statistik. 217 11 § förordningen om den officiella statistiken, se prop. 1994/95:200 s. 28 f. 218 Se t.ex. förordningen (1994:1671) om tillfälligt statistikregister inom Riksrevi-

sionsverket för kartläggning av vissa förmåner. Det planeras också ett särskilt statistikregister för kriminalvården, se Ds 1996:19 s. 35.

219 Se SOU 1995:86.

finns vidare en lag om ett receptregister hos Apoteksbolaget för bl.a. statistikändamål.220

Det finns privata företag som på uppdrag utför särskilda undersökningar – t.ex. marknads- eller opinionsundersökningar – för att framställa statistik.

11.2.4. Tillämpningen av datalagen

Bland annat när känsliga personuppgifter skall behandlas och när uppgifterna rör personer som inte har någon naturlig anknytning till den som framställer statistiken krävs tillstånd enligt datalagen, om inte behandlingen omfattas av någon registerlag. Datainspektionen har meddelat föreskrifter som innebär att Statistiska centralbyrån i vissa fall kan använda sig av ett förenklat ansökningsförfarande (DIFS 1989:2). Det finns numera också föreskrifter som innebär att det inte krävs tillstånd för vissa statliga och landstingskommunala personregister för framställning av statistik i ett bestämt forskningssyfte (DIFS 1995:4), se närmare avsnitt 11.3.2.

Det förenklade ansökningsförfarandet för Statistiska centralbyrån kan för det första användas för register som grundar sig på informerat samtycke där uppgifterna helt eller delvis har hämtats in från de registrerade genom enkät eller intervju. Också när ett befintligt sådant register kompletteras med ytterligare uppgifter kan det förenklade förfarandet användas, om samtycke till den utvidgade registreringen hämtas in. Även beträffande andra register är det möjligt att använda det förenklade förfarandet för att – utan samtycke – komplettera registret med ett ringa antal icke känsliga uppgifter. För det andra kan det förenklade förfarandet användas när flera register skall samköras på ett sådant sätt att ett nytt, tillfälligt personregister bildas. Statistiska centralbyrån måste själv vara ansvarig för åtminstone ett av de register som skall ingå i samkörningen. Det tillfälliga personregistret får användas bara som underlag för kontroll och rättning av resultatet av samkörningen, dvs. det är bara ett led i framställningen av statistiska tabeller eller avidentifierade register. Det tillfälliga registret skall avidentifieras senast tre månader efter samkörningen. För dessa tillfälliga samkörningsregister krävs det inte att information lämnas eller att samtycke hämtas in. Det förenklade förfarandet kan slutligen användas när ett register, som Statistiska centralbyrån tidigare fört, skall lånas tillbaka från

220 Se prop. 1996/97:27 och SOU 1995:122 samt SFS 1996:1156.

Riksarkivet för en tillfällig bearbetning. Registret får vara utlånat under längst sex månader. För samtliga fall föreskrivs uttryckligen att enskilda personers identitet inte får avslöjas i de statistiska redovisningarna.

Enligt vad vi har inhämtat från Datainspektionen kommer de allra flesta (icke förenklade) ansökningar om tillstånd till renodlade statistikregister från Statistiska centralbyrån. Byråns registerhantering tar i anspråk nästan en årsarbetskraft på inspektionen. Det är vanligt med ansökningar som avser komplettering av befintliga register med ytterligare (känsliga) uppgifter. En annan vanlig grupp av ärenden rör tillfälliga samkörningsregister, där byrån av någon anledning vill ha kvar det tillfälliga registret under längre tid än de tre månader som det förenklade ansökningsförfarandet förutsätter. I och med att ansvaret för den officiella statistiken har lagts ut på flera myndigheter, kommer det numera in en hel del ansökningar även från dessa myndigheter. Däremot är det inte så vanligt att enskilda ansöker om tillstånd till renodlade statistikregister, även om det förekommer ansökningar från t.ex. utredningsinstitut och fackföreningar.

Huvudprincipen vid handläggningen är att Datainspektionen kräver informerat samtycke för att ett statistikregister skall få föras. De statistikregister som enskilda för grundar sig regelmässigt på informerat samtycke. Det är i stället hos det allmänna som det förekommer register som inte grundar sig på informerat samtycke.

Undantag från informerat samtycke och information kan enligt inspektionens praxis göras för tillfälliga samkörningsregister som skall föras bara under en kortare tid, t.ex. 6–12 månader. Ibland kan det dock bli fråga om förlängning av den ursprungligen bestämda tiden, och då övervägs det numera om inspektionen – i efterhand – skall kräva t.ex. information om registret och en rätt för de registrerade att på begäran få bli strukna. Är det uppgifter om många personer som skall hämtas in från befintliga register, brukar inspektionen inte heller kräva informerat samtycke av var och en som skall registreras. I stället brukar det numera krävas att information lämnas genom t.ex. annonser och att den enskilde skall ha rätt att på begäran få bli struken. Regeringen har emellertid, efter överklagande av Statistiska centralbyrån, upphävt föreskrifter om strykningsrätt, se närmare avsnitt 11.3.2. I de fall där ett register grundar sig på informerat samtycke, brukar inspektionen inte meddela någon föreskrift om strykningsrätt för de som ångrar sig och tar tillbaka samtycket i efterhand.

11.2.5. Registerutdrag

Det är ganska många personer som begär registerutdrag enligt 10 § datalagen från Statistiska centralbyrån. Byrån uppskattar att varje begäran orsakar en kostnad om ungefär 100 kr. Antalet förfrågningar varierade under budgetåren 1984/85–1989/90 mellan 12 000 och 41 000 per budgetår.221Under 1990-talet har antalet förfrågningar dock sjunkit kraftigt. Detta illustreras av följande diagram.

12 626

5 563

4 274

3 807

2 744

14 260

0 2 000 4 000 6 000 8 000 10 000 12 000 14 000 16 000

1990 1991 1992 1993 1994 1995

221 Uppgifter rörande 1970-talet finns i prop. 1980/81:20 s. 14 f.

11.2.6. Sekretess

I det allmännas verksamhet gäller vid framställning av statistik en särskilt sträng sekretess enligt 9 kap. 4 § sekretesslagen.222 I sådan särskild verksamhet hos en myndighet som avser framställning av statistik gäller s.k. absolut sekretess för uppgifter som avser enskildas personliga eller ekonomiska förhållanden. Uppgifterna i statistikverksamheten är således strikt sekretessbelagda även om de skulle vara offentliga i den statistikansvariga myndighetens övriga verksamhet eller hos den myndighet från vilken uppgifterna hämtats. Det är dock tillåtet att i vissa fall lämna ut uppgifter om det står klart att uppgifterna kan avslöjas utan att den som uppgifterna rör – eller någon som står honom eller henne nära – drabbas negativt (lider skada eller men). Dessa undantagsfall gäller N uppgifter i företagsregister, N uppgifter som avser avlidna, N uppgifter som behövs för forsknings- eller statistikändamål, N uppgifter som avser personal- eller lönestatistik och N uppgifter som inte genom namn, annan identitetsbeteckning eller något

därmed jämförbart förhållande är direkt hänförliga till enskilda.

Regeringen kan föreskriva att sekretessen enligt 9 kap. 4 § sekretesslagen skall gälla också för myndighetsundersökningar som är jämförbara med framställning av statistik. Så har skett genom 3 § sekretessförordningen (1980:657). Den bestämmelsen, som inte finns intagen i sin helhet i lagboken, har (den 1 januari 1997) följande lydelse.

Sekretess gäller, i den utsträckning som anges i denna paragraf, i följande av myndighet utförda undersökningar, för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Föreskrifterna i 9 kap. 4 § första stycket andra meningen och andra stycket sekretesslagen (1980:100) gäller, om inte en längre gående begränsning i sekretessen anges i det följande.

222 Statistiksekretessen behandlas mera utförligt i SOU 1993:83 s. 26 ff.

Myndigheter Undersökning Särskilda begräns-

ningar i sekretessen

1. Socialberedningen (S 1980:07)

undersökningar rö-

rande missbrukare

sekretessen gäller en-

dast uppgifter om enskildas personliga förhållanden

Utredningen

(Ju 1986:C) för översyn av reglerna för straffverkställighet för långtidsdömda

undersökningar rö-

rande långtidsdömda

sekretessen gäller en-

dast uppgifter om enskildas personliga förhållanden

Utredningen

(Fi 1986:06) för översyn av lagen (1978:880) om betalningssäkring för skatter, tullar och avgifter

undersökningar om

til??lämpningen av betalningssäkringsinstitutet

Praxisutredningen

(Ku 1993:08)

undersökningar om

praxis i asylärenden

sekretessen gäller en-

dast uppgifter om enskildas personliga förhållanden

Barnpornografiutred-

ningen (Ju 1994:14)

utredningens under-

sökning om pedofili

sekretessen gäller en-

dast uppgifter om enskildas personliga förhållanden

Utredningen

(A 1996:01) om möjligheterna att i s.k. anknytningsärenden använda belastningsuppgifter om i Sverige bosatta personer

undersökningar röran-

de utländska medborgare som sökt sig till Sverige och deras i Sverige bosatta s.k. anknytningspersoner

sekretessen gäller en-

dast uppgifter om enskildas personliga förhållanden

2. sjukvårdsinrätt-

ningar, utbildningsanstalter och forskningsinrättningar

miljömedicinska, so-

cialmedicinska, psykiatriska eller andra medicinska studier

sekretessen gäller en-

dast uppgifter om enskildas personliga förhållanden

3. riksskatteverket verkets undersökning

av utfallet av 1981 års allmänna fastighetstaxering

4. brottsförebyggande

rådet

kriminologiska under-

sökningar

Myndigheter Undersökning Särskilda begräns-

ningar i sekretessen

5. utbildningsanstalter

och forskningsinrättningar

sociologiska, psykolo-

giska, pedagogiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier

sekretessen gäller en-

dast uppgifter om enskildas personliga förhållanden

6. Vägverket haveriundersökningar

7. Riksrevisionsverket kartläggning av om-

fattningen av fusk med förmåner och bidrag av social karaktär kartläggning av dator-

relaterade brott och datormissbruk

När en myndighet på uppdrag av någon enskild utför en vetenskaplig eller statistisk undersökning, gäller sekretess för uppgifterna i undersökningen om det måste antas att uppdragsgivaren lämnat uppdraget under förutsättning att uppgifterna inte avslöjas (8 kap. 9 § sekretesslagen).

11.3. Forskning

11.3.1. Inledning

I samband med forskning används ofta personuppgifter för att framställa statistik.223 Personuppgifter kan dock också behandlas för andra ändamål inom forskningen, t.ex. när en statsvetare för ett register över vad olika politiker sagt eller när en psykolog registrerar hur ett fåtal enskilda individer beter sig när de arbetar i en grupp. Syftet med behandlingen av uppgifter om enskilda individer torde dock regelmässigt vara att få generell kunskap som kan – och skall – presenteras utan att enskildas identitet avslöjas. Vissa undantag finns dock, t.ex. inom litteraturvetenskapen och inom historisk forskning, där det kan vara nödvändigt att presentera uppgifter om enskilda individer.

223 I SOU 1995:95 s. 132 ff. finns en beskrivning av hur epidemiologiskt forskningsarbete kan gå till i allmänhet.

Det finns inte någon entydig definition av begreppet forskning. Som en vid definition av forskning brukar anges: ”ett systematiskt och metodiskt sökande efter ny kunskap och nya idéer”.224 Vi har inte funnit det nödvändigt att för detta bakgrundsavsnitt använda någon preciserad definition av begreppet forskning.

Uppgifter om enskildas personliga förhållanden i sådan forskning som det allmänna bedriver omfattas som regel av samma stränga sekretess som uppgifter som används för att framställa statistik, se närmare avsnitt 11.2.225

Det finns inte någon särskild registerlag för de personregister som används för forskning. Det har dock nyligen föreslagits en särskild lag om hälsodataregister för vissa register inom hälso- och sjukvården som används för forskning.226 Också lagstiftning om rättspsykiatriskt forskningsregister har nyligen föreslagits.227 Lagstiftning om ett receptregister för bl.a. forskning har nyligen beslutats.228

11.3.2. Tillämpningen av datalagen

Eftersom det inte finns någon registerlag för forskningsregister, är huvudregeln alltså att datalagen gäller för sådana register; förslag att helt eller delvis ta undan forskningsregister från krav på tillstånd enligt datalagen har genom åren avvisats av statsmakterna.229 Detta innebär att det i princip krävs tillstånd av Datainspektionen för att få inrätta ett register för forskning. Först år 1990 blev det möjligt att i vissa fall använda ett förenklat ansökningsförfarande. Datainspektionen har emellertid nyligen utnyttjat sin nya möjlighet att meddela generella föreskrifter. Från den 1 mars 1996 gäller Datainspektionens föreskrifter för vissa personregister i statlig och landstingskommunal forskningsverksamhet (DIFS 1995:4). För sådana register som inrättas och förs i enlighet med föreskrifterna behövs inte något särskilt tillstånd.230

224 Se t.ex. SOU 1989:74 s. 25. 225 Se också Alf Bohlin, ”Offentlighet och sekretess i myndighets forskningsverksamhet” i Förvaltningsrättslig tidskrift 1996 s. 183 ff. 226 Se SOU 1995:95. 227 Se SOU 1996:72. 228 Se prop. 1996/97:27 och SOU 1995:122 samt SFS 1996:1156. 229 Se närmare avsnitt 11.3.4. 230 2 a § första stycket 2 datalagen.

Föreskrifterna gäller bara när personregistreringen grundar sig på informerat samtycke; när uppgifter i stället skall – utan skriftligt sådant samtycke – hämtas in från befintliga register, måste således det normala ansökningsförfarandet användas. Skall registret användas för annat ändamål än framställning av statistik i ett bestämt forskningssyfte (och utskick till registrerade samt kontroll och rättning av uppgifter), måste också det normala förfarandet användas.

Föreskrifterna gäller bara personregister som omfattas av statistiksekretess enligt 9 kap. 4 § sekretesslagen hos statliga forskningsinrättningar, universitet, högskolor och nämnder med ansvar för landstingens sjukvårdsinrättningar. De enskildas identitet får inte avslöjas i de statistiska redovisningarna, och det finns vissa föreskrifter om ADB-säkerhet som måste följas.

Forskningsregistret måste, som nämnts, grunda sig på samtycke. Skall registret bara innehålla uppgifter som har hämtats från annat håll än den registrerade själv, måste samtycket vara skriftligt. Skall barn under femton år registreras, måste vårdnadshavaren lämna sitt samtycke. Är barnet mellan femton och arton år, måste såväl barnet som vårdnadshavaren lämna sitt samtycke. Barn som är tolv år eller äldre skall själva få skriftlig information rörande den tilltänkta registreringen, och sådan information skall också lämnas till vårdnadshavaren i alla fall där barnet är omyndigt, dvs. under arton år.

Skriftlig information skall, innan uppgifterna hämtas in, lämnas om N den registeransvariga myndighetens namn och adress, N registrets ändamål och innehåll, N vilka uppgifter som skall bearbetas med hjälp av automatisk databe-

handling, N vilka uppgifter som skall hämtas in från andra källor än den registrerade

och vilka dessa källor är, N hur länge myndigheten planerar att föra registret, N innebörden och omfattningen av sekretesskyddet, N rätten att få utdrag ur registret, N att registreringen är frivillig och N i vad mån registret kan komma att bevaras hos arkivmyndighet.

När tillstånd krävs, avstår Datainspektionen – enligt fast praxis och med visst stöd av förarbetena till datalagen231 – från att pröva om personregistret verkligen behövs för det uppgivna forskningsändamålet. Inspektionen koncentrerar sig i stället på att förebygga otillbörligt intrång i de registrerades personliga integritet genom att uppställa olika föreskrifter för att registret skall få föras. Datainspektionen tillmäter därvid frågan om information till de registrerade och deras frivilliga medverkan central betydelse; den enskilde skall kunna avböja medverkan, om han eller hon vill.

Inspektionens principiella inställning är att information alltid skall lämnas till dem som skall registreras, även när forskarna annars inte skulle ta kontakt med de berörda för att få uppgifter t.ex. genom intervju eller enkät. Att det är praktiskt olägligt eller kostar mycket att informera alla som forskarna skall hämta in registeruppgifter om, bryr sig inspektionen normalt inte om. I vissa undantagsfall är inspektionen dock beredd att diskutera metoden för att lämna information. Det gäller bl.a. när N hälsotillståndet hos dem som skall registreras gör det svårt att informera

på vanligt sätt, N det finns etiska betänkligheter mot att ta kontakt med dem som skall re-

gistreras (t.ex. misstänkt cancersjuka åldringar som skulle kunna oroas av information232), N informationen skulle förrycka undersökningens resultat, N det står klart att de som skall registreras kan förväntas vara positiva till

registreringen (i vart fall om information lämnas t.ex. genom anslag eller annonser) och N det är många som skall registreras.

En särskild fråga är om den enskilde skall ha rätt att få bli struken ur ett register för forskning och statistik, om han eller hon begär det. Datainspektionen har på senare år meddelat sådana föreskrifter i vissa fall. I de fall där forsknings- eller statistikändamålet med registret bedömts som viktigt och där en strykningsrätt skulle minska användbarheten av registret har regeringen emellertid – efter överklagande av Statistiska centralbyrån – ansett att det inte borde finnas någon strykningsrätt; det samhälleliga intresset av att statistikregistret grundas på ett tillförlitligt underlag har ansetts väga tyngre än den enskildes intresse av att kunna få uppgifter strukna ur

231 Prop. 1973:33 s. 122. 232 Se Datainspektionens årsbok 1987/88 s. 111.

registret. Däremot har föreskrifter om information om registret meddelats.233

Hälsodatakommittén har nyligen särskilt övervägt om det borde finnas någon strykningsrätt beträffande de centrala register inom hälso- och sjukvården som kommitténs lagförslag omfattar. Kommittén kom emellertid fram till att det samhälleliga intresset av att aktuella register grundas på ett tillförlitligt underlag väger över den enskildes intresse av att kunna få uppgifter strukna och föreslog inte någon strykningsrätt.234

Enligt vad vi har inhämtat från Datainspektionen är det sällsynt att enskilda ansöker om tillstånd att föra register för forskning. Sådan registerföring förekommer alltså främst inom den allmänna sektorn. Det är i dag fråga om sammanlagt högst ett 90-tal ärenden per år, där det begärs att ett register för forskning skall få inrättas utan informerat samtycke.

11.3.3. Granskning av forskningsetiska kommittéer

För den behandling av personuppgifter som sker vid sådan forskning som får sina pengar från de större forskningsfinansiärerna finns det i dag i praktiken ett dubbelt system av granskning och uppställande av villkor för att hindra otillbörligt intrång i enskildas personliga integritet. Personregistreringen granskas dels av Datainspektionen i samband med tillståndsprövningen enligt datalagen, dels av det forskningsetiska organ som är knutet till den instans som ger pengar för forskningen.235

Humanistisk-samhällsvetenskapliga forskningsrådet har en kommitté för forskningsetiska frågor, som granskar sådan forskning som får anslag från rådet och från vissa andra instanser, t.ex. Riksbankens jubileumsfond och Forskningsrådsnämnden. Kommittén har utarbetat forskningsetiska

233 Se regeringsbeslut 1993-10-28, dnr 93-1779 (register för vägtrafikolycksfallsstatistik), och 1996-03-14, dnr Ju 95-1963 (bakgrundsregister avseende folkhälsan) och dnr Ju 95-2100 (register om arbetslöshet bland ungdomar). Jämför regeringsbeslut 1986-06-26, dnr 85-3142 (dåvarande Arbetslivscentrums företagsägarregister). 234 Se SOU 1995:95 s. 175 ff. 235 I SOU 1989:74 s. 127 ff. och SOU 1989:75 finns en beskrivning av den forskningsetiska granskningen. Se också SOU 1996:72 s. 43 f.

principer för humaniora och samhällsvetenskap236, vilka fått stor anslutning. Principerna innehåller bl.a. följande.

De forskningsetiska principerna i det följande har till syfte att ge normer för förhållandet mellan forskare och undersökningsdeltagare/uppgiftslämnare så att vid konflikt en god avvägning kan ske mellan forskningskravet och individskyddskravet. Principerna utgör riktlinjer för etikkommitténs granskning av forskningsprojekt i HSFR. De är också avsedda att vägleda den enskilde forskaren vid planeringen av projekt.

Principerna gör inte anspråk på fullständighet. Eftersom problemen kan variera avsevärt från fall till fall, har principerna medvetet mer givits karaktär av vägvisare än av detaljreglerande föreskrifter. De är inte avsedda att ersätta forskarnas egen bedömning och egna ansvar.

Konflikter kan naturligtvis uppstå mellan å ena sidan individskyddskravet och å andra sidan vetenskapliga metodkrav eller andra, rent praktiska förhållanden. Då en sådan vägning mellan stridande principer är aktuell inom ett projekt skall detta redovisas i ansökan. I tveksamma fall bedöms den forskningsetiska konflikten i forskningsrådets kommitté för forskningsetiska frågor.

FYRA HUVUDKRAV

Det grundläggande individskyddskravet kan konkretiseras i fyra allmänna huvudkrav på forskningen. Dessa krav skall i det följande kallas informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet. Vart och ett av dessa krav kan sedan specificeras ytterligare i ett antal regler, av vilka några skall redovisas i det följande. Vid sidan av dessa huvudregler kan det vara lämpligt att uppställa ett antal råd eller rekommendationer.

I NFORMATIONSKRAVET

Forskaren skall informera de av forskningen berörda om den aktuella forskningsuppgiftens syfte.

Detta allmänna krav kan konkretiseras i följande regel:

Regel 1

Forskaren bör informera uppgiftslämnare och undersökningsdeltagare om deras uppgift i projektet och vilka villkor som gäller för deras deltagande. De bör därvid upplysas om att deltagandet är frivilligt och om att de har rätt att avbryta sin medverkan. Informationen bör omfatta alla de inslag i den aktuella undersökningen som rimligen kan tänkas påverka deras villighet att delta.

Den information som ges kan vara mer eller mindre detaljerad. I förhandsinformationen skall ingå den projektansvariges namn och institutionsanknytning för att underlätta kontakten med ansvarig forskare. Undersökningens syfte bör anges och en beskrivning ges av hur undersökningen i stora drag genomförs. Forskaren skall givetvis betona de vins-

236 De nuvarande principerna antogs av rådet i mars 1990. En reviderad version gavs ut i början av 1996. Jämför bilaga 4 till SOU 1989:74. Se också t.ex. Bo Petersson, Forskning och etiska koder, 1994, särskilt s. 195 ff.

ter i fråga om ny kunskap etc. som forskningen i fråga kan komma att bidra till för att motivera till deltagande.

Viktigt är att eventuella risker för obehag och skada redovisas. Det skall dessutom tydligt framgå att deltagandet är frivilligt och att de uppgifter som insamlas inte kommer att användas för något annat syfte än för forskning. Önskvärt är också att uppgift lämnas om hur och var forskningsresultaten kommer att offentliggöras samt om vem som finansierar projektet. Sådan information skall ges muntligt eller skriftligt. Den skall ges senast i samband med att enkät skickas ut, respektive innan försök, testningar, intervjuer, etc. påbörjas.

Det är viktigt i detta sammanhang att skilja mellan tre typer av undersökningar, vilka skiljer sig åt med avseende på om undersökningsdeltagarnas medverkan huvudsakligen är aktiv eller passiv: 1) Undersökningsdeltagarna studeras från något perspektiv; han/hon intervjuas, fyller i

en enkät, deltar i ett experiment etc. I dessa fall fordras i princip förhandsinformation. I vissa fall där förhandsinformationen skulle äventyra undersökningens syfte (t.ex. vid deltagande observation eller vid vissa psykologiska experiment) kan dock alternativ till individuell förhandsinformation övervägas. I sådana fall bör så snart som möjligt information lämnas i efterhand. 2) Undersökningsdeltagarna medverkar ej aktivt och uppgifter om dem som är intres-

santa för ett forskningsprojekt hämtas från redan existerande myndighetsregister. Om och hur information då skall lämnas får bedömas från fall till fall. Hänsyn bör därvid tas framförallt till den faktiska olägenhet utebliven eller indirekt information (t.ex. via massmedia) kan medföra för de berörda. Även faktorer som projektets storlek, typ av variabler och andra praktiska omständigheter kan här vägas in.

Fall som dessa förutsätter naturligtvis respektive myndighets och eventuellt datainspektionens tillstånd. I tveksamma fall inhämtas yttrande från forskningsrådets etikkommitté. 3) Den tredje varianten innebär en kombination av de två första, s.k. blandade under-

sökningar. Forskaren hämtar då på olika sätt in uppgifter genom deltagarnas aktiva insats i olika former enligt 1) ovan men har eller kommer också att få tillgång till uppgifter ur myndighetsregister om samma personer enligt 2) ovan. I den del som gäller undersökningsdeltagarnas aktiva insats måste självfallet en så fullständig information som möjligt ges. Normalt bör information ges även om annan, planerad datainsamling, t.ex. ur register. Om detta av skilda skäl inte går eller är olämpligt eller oetiskt med tanke på problemställningen bör frågan inte avgöras av forskaren själv utan alltid hänskjutas till forskningsetisk kommitté för bedömning.

S AMTYCKESKRAVET

Deltagare i en undersökning har rätt att själva bestämma över sin medverkan.

Detta krav kan konkretiseras i följande regler:

Regel 2

Forskaren bör inhämta uppgiftslämnares och undersökningsdeltagares samtycke. I vissa fall bör samtycke dessutom inhämtas från förälder/vårdnadshavare (t.ex. om de undersökta är under 15 år och undersökningen är av etiskt känslig karaktär).

Denna regel är liksom regel 1 beroende av undersökningens karaktär med avseende på undersökningsdeltagarnas aktivitet. I undersökningar med aktiv insats av deltagarna skall samtycke alltid inhämtas. I de fall uppgifter om deltagarna tas från existerande myndighetsregister och information inte lämnats eller lämnas t.ex. via massmedia behöver samtycke ej efterfrågas. Undersökningar av typ 3) enligt ovan, s.k. blandade undersökningar, skall alltid underställas forskningsetisk kommitté för prövning.

Då uppgifter om stora grupper insamlas genom postenkät krävs ej samtycke i förhand. Förutsatt att utförlig information medföljer enkätformuläret enligt vad som anges i kommentarerna till regel 1, kan det individuella samtycket anses ha lämnats när enkäten returneras ifylld.

I vissa fall, då undersökningen inte innefattar frågor av privat eller etiskt känslig natur, kan samtycke inhämtas via företrädare för uppgiftslämnare och undersökningsdeltagare (t.ex. skolledning, lärare, arbetsgivare, fackförening eller motsvarande) och eventuellt berörd tredje part. En förutsättning är då också att undersökningen i förekommande fall sker inom ramen för ordinarie arbetsuppgifter och på vanlig arbetstid.

Formerna för och omständigheterna kring inhämtandet av samtycke bör övervägas noga i de fall det finns skäl att anta att inhämtande av samtycke kan motverka individskyddskravet (t.ex. om förfrågan återuppväcker en till synes överstånden personlig kris, uppdagar för den tillfrågade okända negativa uppgifter om hans/hennes närmaste, aktualiserar tidigare kriminalitet eller sjukdom som den tillfrågade inte vill få bekantgjord, eller liknande). Under dessa omständigheter kan man alltså överväga att företa studien utan att inhämta samtycke. I tveksamma fall bör rådets etikkommitté avgöra frågan.

Särskild försiktighet bör iakttagas då det gäller omyndiga eller sådana personer som själva ej kan tillgodogöra sig given information. Så långt möjligt bör kravet på samtycke tillämpas. Där så inte är möjligt bör förmyndare eller närstående personer ges detta ansvar. I tveksamma fall rekommenderas samråd med kolleger och/eller forskningsrådets etikkommitté.

Regel 3

De som medverkar i en undersökning skall ha rätt att självständigt bestämma om, hur länge och på vilka villkor de skall delta. De skall kunna avbryta sin medverkan t.ex. mitt i en intervju utan att detta medför negativa följder för dem.

Vid forskning då deltagarna är aktiva är denna regel tämligen oproblematisk. Om en deltagare vill avbryta sin medverkan t.ex. mitt i en intervju står det honom/henne fritt att göra detta.

Denna rätt för undersökningsdeltagare att avbryta sin medverkan innebär inte automatiskt att forskaren måste förstöra tidigare insamlade data från den aktuella personen. Huruvida så skall ske beror bl.a. på hur den initiala informationen till deltagarna utformats. Forskaren har rätt att söka motivera de medverkande att kvarstå i forskningsprojektet. Denna påverkan får dock ej ta sig sådana former att de berörda inte längre självständigt kan fatta beslut om avbrytande.

Om en individ begär att få strykas ur ett forskningsmaterial bör detta tillgodoses så långt som möjligt. Formerna för utträde ur ett forskningsmaterial kan variera och är i första hand, som ovan sagts, avhängiga de överenskommelser som gjorts i samband med förhandsinformation. Då sådana överenskommelser inte finns bör en vägning ske mellan den reella skada ett forskningsmaterial kan åsamkas på lång och kort sikt av en begärd, total strykning ur materialet av en eller flera ingående individer och den faktiska olägen-

het det kan innebära för dessa individer att mot sin vilja kvarstå i materialet. En vanlig form för utträde är s.k. anonymisering vilket innebär att data står kvar men att alla möjligheter till identifikation undanröjs.

Om det skulle visa sig att kunskapstillskottet inte står i rimlig proportion till de olägenheter som kan förorsakas de medverkande eller andra berörda bör forskaren själv avbryta undersökningen.

Regel 4

I sitt beslut att delta eller avbryta sin medverkan får inte undersökningsdeltagarna utsättas för otillbörlig påtryckning eller påverkan. Beroendeförhållanden bör heller inte föreligga mellan forskaren och tilltänkta undersökningsdeltagare eller uppgiftslämnare.

I vissa fall kan, med hänvisning till det övergripande forskningskravet, beroendeförhållanden inte helt undvikas. Då bör undersökningen läggas upp så att det är omöjligt för forskaren att identifiera vem som lämnat de insamlade uppgifterna. Är en sådan uppläggning praktiskt omöjlig att genomföra eller skulle den i övrigt äventyra undersökningens syfte så bör personer erbjudas att medverka först efter noggrann vägning av det förväntade kunskapstillskottet mot tänkbara negativa konsekvenser på kort och lång sikt för de personer som befinner sig i beroendeställning. Härvid är det viktigt att den tillfrågade inte får uppfattningen att vägran att delta eller att fullfölja kan medföra nackdelar i form av t.ex. sämre vård eller behandling.

K ONFIDENTIALITETSKRAVET

Uppgifter om alla i en undersökning ingående personer skall ges största möjliga konfidentialitet och personuppgifterna skall förvaras på ett sådant sätt att obehöriga inte kan ta del av dem.

Frågan om konfidentialitet har ett nära samband med frågan om offentlighet och sekretess. Forskaren bör observera att lagstiftningen på området är svårtolkad och föremål för reformer.

Detta allmänna krav kan konkretiseras i följande regler:

Regel 5

All personal i forskningsprojekt som omfattar användning av etiskt känsliga uppgifter om enskilda, identifierbara personer bör underteckna en förbindelse om tystnadsplikt beträffande sådana uppgifter.

Vad som anses vara etiskt känsligt kan naturligtvis variera från samhälle till samhälle och från en tid till en annan. Utgångspunkten bör vara vad man kan anta att de berörda (således ej forskaren) och deras efterlevande kan uppfatta som obehagligt eller kränkande. I tveksamma fall beträffande vad som skall omfattas av tystnadsplikt rekommenderas samråd med kolleger eller med forskningsrådets etikkommitté.

Regel 6

Alla uppgifter om identifierbara personer skall antecknas, lagras och avrapporteras på ett sådant sätt att enskilda människor ej kan identifieras av utomstående. I synnerhet gäller detta uppgifter som kan uppfattas vara etiskt känsliga. Detta innebär att det skall vara praktiskt omöjligt för utomstående att komma åt uppgifterna.

Med avrapportering avses här både skriftligt offentliggörande (publicering) och muntlig redogörelse för andra än projektpersonal. Regel 6 innebär således att personuppgifter inte får lämnas ut till utomstående och att avrapportering skall ske i former som omöjliggör identifiering av enskilda. Denna regel gäller dock givetvis ej generellt. Vid exempelvis personhistoriska studier kan uppgifter av privat natur ingå i levnadsbeskrivningar. I sådana fall bör om möjligt samråd ske med direkt och indirekt berörda personer före publicering. I särskilt känsliga fall kan det vara befogat att uppskjuta eller avstå från publicering av vissa uppgifter.

Forskaren bör vara medveten om att även om personuppgifter publiceras utan att enskilda nämns vid namn, kan det, om data är tillräckligt detaljerade, vara möjligt för åtminstone vissa läsare att identifiera någon individ. Åtgärder bör då vidtas för att försvåra för utomstående att identifiera enskilda individer eller grupper av individer. Detta är särskilt viktigt då det gäller människor som i ett eller annat avseende kan anses svaga och utsatta och/eller har typiska, lätt igenkännliga särdrag.

Risken för att individer oavsiktligt kan identifieras bör beaktas vid vägningen av värdet av det förväntade kunskapstillskottet mot eventuella negativa konsekvenser för de berörda.

N YTTJANDEKRAVET

Uppgifter insamlade om enskilda personer får endast användas för forskningsändamål.

Detta allmänna krav kan konkretiseras i följande regler:

Regel 7

Uppgifter om enskilda, insamlade för forskningsändamål, får inte användas eller utlånas för kommersiellt bruk eller andra icke-vetenskapliga syften.

Generellt gäller att personuppgifter insamlade för forskningsändamål endast bör doneras eller utlånas till andra forskare som ikläder sig de förpliktelser mot uppgiftslämnare och försökspersoner som de forskare som ursprungligen insamlade materialet utlovat.

Regeln innebär t.ex. att forskare som sysslar med att kartlägga människors fritidsaktiviteter inte får sälja eller låna ut uppgifter om enskilda människor till exempelvis företag som tillverkar produkter för fritidsaktiviteter (att användas i deras marknadsföring).

Regel 8

Personuppgifter insamlade för forskningsändamål får inte användas för beslut eller åtgärder som direkt påverkar den enskilde (vård, tvångsintagning, etc.) utom efter särskilt medgivande av den berörda.

Den som deltagit i en undersökning som uppgiftslämnare eller försöksperson bör få åberopa forskningsresultat i samband med egen begäran om hjälp eller vård från t.ex. sociala myndigheter. Däremot får alltså inte forskningsresultatet användas av exempelvis sociala myndigheter för att mot undersökningsdeltagarnas vilja bereda dem vård, utsätta dem för tvångsintagning eller dylikt.

Vid planering av forskning bör projektledaren/forskaren överväga riskerna för att resultaten utnyttjas felaktigt på det sätt som omnämns i reglerna 7 och 8 och i tillämpliga fall vidta adekvata motåtgärder. I tveksamma fall rekommenderas samråd med kolleger eller med forskningsrådets etikkommitté.

I Humanistisk-samhällsvetenskapliga forskningsrådets forskningsetiska kommitté ingår omkring 10 ledamöter, varav en representerar det allmänna och de övriga forskarsamhället. Sekreteraren i kommittén går igenom i princip alla ansökningar som kommer in till rådet. Omkring 35– 50 ansökningar per år prövas av kommittén i sin helhet.

Även Socialvetenskapliga forskningsrådet har en särskild kommitté för forskningsetiska frågor, som granskar den forskning som rådet betalar. I etikkommittén ingår tre företrädare för det allmänna och tre företrädare för forskarsamhället. En av företrädarna för det allmänna är ordförande i kommittén. Det brukar inte förekomma skiljaktiga meningar i kommittén. Kommittén använder sig av de principer som tidigare redogjorts för. Kommittén har under år 1996 prövat omkring 34 forskningsprojekt.

Inom den medicinska forskningen finns en väl utvecklad och nästan heltäckande forskningsetisk granskning. Forskningsetiska kommittéer finns vid de medicinska fakulteterna, och på central nivå finns Nämnden för forskningsetik. Det finns även regionala forskningsetiska kommittéer. För att få anslag från Medicinska forskningsrådet och vissa andra finansiärer, t.ex. Riksföreningen mot cancer och landstingen, måste forskningen ha etikgranskats. För att en seriös facktidskrift skall publicera forskningsresultaten krävs vidare i praktiken att forskningsprojektet har granskats forskningsetiskt. En kommitté kan ha omkring 400 ärenden att behandla per år. I kommittéerna ingår alltid lekmän, som är politiskt tillsatta, jämte representanterna för forskarsamhället. Andelen lekmän varierar något i de olika kommittéerna. Som exempel kan nämnas att en kommitté i Stockholm har två lekmän och åtta sakkunniga forskare.

I alla nämnda kommittéer ingår således lekmän som kan sägas representera det allmänna. Kommittéerna för ofta en dialog med de forskare som söker pengar. På detta sätt kan utformningen av forskningsprojekten anpassas så att den personliga integriteten värnas. Kommittéernas utlåtanden är formellt rådgivande, men det torde i praktiken inte förekomma att en forskare får pengar till sådan forskning som kommittén har avstyrkt från etisk synpunkt.

Enligt vad vi har inhämtat är det, åtminstone under senare år, sällsynt att Datainspektionen uppställer strängare krav för att skydda den personliga integriteten än vad den granskande forskningsetiska kommittén uppställt; däremot är det omvända förhållandet – dvs. att kommittén ställer strängare krav än inspektionen – mera vanligt.

För att belysa vilka känsliga bedömningar det kan vara fråga om i de undantagsfall där inspektionen gör en strängare bedömning kan det finnas anledning att kort redogöra för ett exempel.

Viss forskning från senare år har gett en antydan om att det skulle kunna finnas ett samband mellan tillförsel av hormoner, t.ex. i form av P-piller, och bröstcancer. För att få nya och säkrare kunskaper i den frågan ville en grupp forskare undersöka långa flickor som i tonåren hade fått stora doser hormoner för att motverka att de blev ännu längre. Uppgifter om cirka 500 svenska flickor som kunde ha fått en sådan behandling skulle hämtas in från deras journaler. Dessa kvinnor skulle följas upp under minst ett tiotal år genom att forskarna varje år samkörde sitt register med bl.a. Cancerregistret och Dödsfallsregistret för att se vilka som fick cancer eller dog av det.

Forskarna ville inte informera de kvinnor som skulle registreras. De ansåg att informationen skulle kunna väcka stark oro samtidigt som det i dagsläget inte finns någon säker kunskap om den behandling som kvinnorna genomgått verkligen ökar risken för cancer; svaret på den frågan kan sannolikt inte ges förrän om drygt tio år. Det finns inte heller i dag någon möjlighet att förebygga eller tidigt upptäcka sådan cancer som behandlingen kanske skulle kunna ge.

De berörda forskningsetiska kommittéerna godkände forskningsprojektet utan något krav på information, och forskarna ansökte om Datainspektionens tillstånd att få föra registret. Under det dryga halvår som ansökan handlades hos inspektionen kom uppgifter om projektet ut i massmedia. Inspektionens styrelse pekade på detta faktum och ansåg att det inte fanns skäl att göra undantag från huvudprincipen om informerat samtycke. Det ansågs i stället vara ytterst angeläget att genom information om alla kända fakta stilla den oro som publiceringen kunde ha förorsakat de berörda kvinnorna. Inspektionen krävde alltså informerat samtycke som villkor för att få föra registret.

Forskarna har överklagat beslutet till regeringen, och det ärendet är inte avgjort ännu.

11.3.4. Forskningsetiska utredningen

Forskningsetiska utredningen berör i betänkandet Forskningsetisk prövning – Organisation, information och utbildning (SOU 1989:74) frågor som rör användningen av personuppgifter inom forskningen.

Utredningen menade att man inte kan komma ifrån att forskningen ofta måste baseras på känsliga uppgifter om individer för att få fram viktig kunskap och att det viktiga från integritetssynpunkt därför är att se till att uppgifterna hanteras på rätt sätt av forskarna. Det är i första hand forskarsamhället som måste ta ansvar för att forskningsetiska regler formuleras och följs. Det föreslogs att den forskningsetiska granskningen inom hög-

skolan skulle byggas ut och att det skulle förekomma mera utbildning och information om forskningsetiska frågor.

Utredningen lämnade vidare förslag som innebar att personregister som förs av vissa myndigheter237 och som uteslutande används för forskning och där resultaten redovisas utan att enskilda individers identitet avslöjas skulle tas undan från kravet på tillstånd av Datainspektionen. Undantaget skulle dock gälla bara under förutsättning antingen N att informerat samtycke hade hämtats in från de registrerade eller N att registreringen hade godkänts av en forskningsetisk kommitté.

Det skulle inte vara obligatoriskt att informera de registrerade när det fanns ett godkännande av en forskningsetisk kommitté; frågan om information t.ex. via massmedier skulle lämnas eller inte fick avgöras från fall till fall och kunde lämpligen diskuteras i kommittén.238

Den registeransvarige skulle som tidigare ha en förteckning över de register som fördes som vem som helst fick ta del av. Däremot skulle en enskild inte längre ha rätt till ett utdrag med sina egna uppgifter från ett forskningsregister om detta skulle kunna föra med sig ett sänkt integritetsskydd. Många forskningsregister är nämligen avidentifierade eller består av svårtolkade koder när de används i det dagliga arbetet, och en skyldighet att plocka fram uppgifter för ett registerutdrag på individnivå skulle därför kunna föra med sig att det integritetsskydd som t.ex. kodning eller kryptering innebär försvagades.

Utredningens förslag fick vid remissbehandlingen ett starkt stöd från den övervägande delen av forskarsamhället, medan bl.a. Datainspektionen och Riksdagens ombudsmän motsatte sig sådana ändringar i datalagen.239

Regeringens grundinställning var att de rättsliga och andra regler som gäller för samhällelig verksamhet i övrigt också skall gälla för forskningen.

Regeringen ansåg att datalagen borde gälla generellt. Också upprättandet, utnyttjandet och skötseln av register för forskningsändamål borde prövas i den ordning som gäller för sådana dataregister som utnyttjas för andra ändamål. Genom att Datainspektionen som en fristående myndighet granskar

237 Statliga högskoleenheter, statliga forskningsinstitut, Statistiska centralbyrån och myndigheter inom hälso- och sjukvården. 238 SOU 1989:74 s. 118. 239 Se prop. 1989/90:90 s. 212 och SOU 1991:21 s. 51 ff. Se också Datainspektionens årsbok 1989/90 s. 200 ff.

forskningsprojekten med utgångspunkt i datalagen och därvid lägger integritetsaspekter på verksamheten finns insyn från ett från forskarvärlden fristående organ och en garanti för att den individuella integriteten skyddas. Utredningens förslag och remissynpunkterna lämnades över till Datalagsutredningen för att bedömas i samband med mer allmänna överväganden om datalagens utformning240, se beträffande Datalagsutredningens förslag avsnitt 11.5.

Här kan också nämnas att regeringen redan tidigare hade avvisat liknande förslag från Statistikutredningen.241 Då anfördes att det var synnerligen angeläget att den enskildes integritets- och sekretesskydd beaktas i samband med inrättande av personregister. Sådana register för forsknings- och statistikändamål borde i linje med den inställningen bevakas från integritetssynpunkt med stöd av datalagen.242

Vad gäller forskningsregister har regeringen redovisat motsvarande inställning även på senare år i samband med att statsmaktsregister inrättats.243

Av vad som anförs i den senaste forskningspolitiska propositionen framgår att regeringen avser att ge forskningsetiska problem och forskarnas ansvar i dessa frågor en ökad uppmärksamhet. I den propositionen anförs bl.a.244

Forskarna måste […] upprätthålla av samhället godtagbara etiska principer för metoder i forskningsprocessen, t.ex. vad gäller experiment på människor eller djur eller registrering av data om privatpersoner, för att respekten för forskarnas frihet skall kunna försvaras i samhället.

Diskussionen om forskarnas ansvar har lett till att särskilda regler och nämnder för hantering av forskningsetiska problem har upprättats. Forskningsetiska frågor behandlades av en statlig utredning år 1989 (SOU 1989:74 och 75) och därefter av riksdagen (prop. 1989/90:90, bet. 1989/90:UbU25, rskr. 328). Riksdagen ansåg att forskarna själva måste ta ansvaret för den etiska kvaliteten likaväl som för den vetenskapliga. Etisk prövning av forskningsprojekt är således en naturlig del av verksamheten.

240 Se prop. 1989/90:90 s. 212 f. och regeringsbeslut 1990-07-12, dnr 3317/89. 241 Se SOU 1983:74, särskilt s. 185 f., och, beträffande remissvaren över det betänkandet, DsC 1984:11, särskilt s. 27 ff. En sammanfattning av utredningsläget år 1987 finns i SOU 1987:31 s. 35 ff. 242 Se prop. 1984/85:133 s. 16. 243 Se prop. 1992/93:193 s. 21 f. (sjukförsäkringsregister hos de allmänna försäkringskassorna) och 1993/94:235 s. 19 (arbetsförmedlingsregister). 244 Prop. 1996/97:5 s. 40 f.

Riksdagen framhöll bl.a. vikten av utbildning i forskningsetiska frågor på alla stadier, men särskilt inom forskarutbildningen.

I ett samhälle med ett starkt och ökande beroende av vetenskap och teknologi är forskningsetiska frågor i vidare mening av stort allmänt intresse. Hur forskningen inriktas, vilka projekt som prioriteras, v