SOU 2003:4
Behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten
Till statsrådet Ulrica Messing
Genom beslut den 22 augusti 2002 bemyndigade regeringen dåvarande chefen för Näringsdepartementet att tillkalla en särskild utredare med uppgift att med utgångspunkt i Vägverkets redovisning av färdtjänstens utveckling under perioden januari 1998 – september 2000 överväga behovet av ändringar i regelverket om färdtjänst och om det är lämpligt att undanta samordningen av beställning av sjuk- och färdtjänstresor i en beställningscentral från upphandlingskravet i lagen (1992:1528) om offentlig upphandling och i så fall hur ett sådant undantag bör författningsregleras. I ett delbetänkande skall utredaren lämna förslag till hur behandlingen av personuppgifter i kommunernas och trafikhuvudmännens register över färdtjänstberättigade bör författningsregleras.
Med stöd av bemyndigandet förordnades den 2 september 2002 före detta kanslichefen i trafikutskottet Anders Engdahl att vara särskild utredare.
Att som experter biträda utredningen förordnades den 24 september 2002 handläggaren Margareta Delén, utredningsledaren och ställföreträdande socialchefen Henry Freij, handläggaren Anders Hermansson, kammarrättsassessorn Peder Liljeqvist, ämnesrådet Anders Lindgren, utvecklings- och utredningsansvariga Solfrid Nilsen, departementssekreteraren Annika Olsson, rättssakkunniga Maria Ringvall, verkställande direktören Märta-Lena Schwaiger, tillgänglighets- och samordningsansvarige Björn Sundvall och utredaren Stig Wintzer.
I utredningens arbete har även deltagit förbundsjuristen Leif Jeppsson, styrelseordföranden Maria Lundgren, kammarrättsassessorn Göran Wickström och förbundsjuristen Staffan Wikell.
Till sekreterare förordnades den 9 september 2002 kammarrättsassessorn Mikael Ohlsson.
Utredningen, som antagit namnet Färdtjänstutredningen, överlämnar härmed delbetänkandet Behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten (SOU 2003:4)
Utredningen fortsätter med sitt arbete.
Stockholm i januari 2003
Anders Engdahl
/Mikael Ohlsson
Sammanfattning
Uppdraget
Utredningens uppgift är bl.a. att i ett delbetänkande lämna förslag till författningsreglering av behandlingen av personuppgifter i kommunernas och trafikhuvudmännens register över enskilda som är berättigade till färdtjänst och riksfärdtjänst. Utredningen har i det avseendet fått analysera huruvida olika avvikelser eller preciseringar är motiverade i förhållande till personuppgiftslagen (1998:204).
Nuvarande förhållanden
Det finns inte någon särskild registerförfattning som tar direkt sikte på den behandling av personuppgifter som förekommer i register inom färdtjänsten och riksfärdtjänsten utan i stället är personuppgiftslagens bestämmelser generellt tillämpliga på behandling av personuppgifter inom dessa verksamheter. Det är utredningens uppfattning att kommuner och trafikhuvudmän behöver föra automatiserade och manuella register över enskilda som ansöker om eller redan är berättigade till färdtjänst eller riksfärdtjänst
I vissa register inom färdtjänsten och riksfärdtjänsten finns det ett behov av att registrera uppgifter som rör hälsa, t.ex. en diagnos eller den enskildes behov av hjälpmedel för att transporten skall kunna utföras. Enligt 13 § personuppgiftslagen är det som huvudregel förbjudet att behandla bl.a. sådana personuppgifter som rör hälsa. Känsliga uppgifter får således inte behandlas utan särskilt författningsstöd, utom i de undantagsfall som anges i 14 19 §§personuppgiftslagen. Enligt utredningens mening finns det endast ett undantag som är av intresse för färdtjänsten och riksfärdtjänsten, nämligen den enskildes uttryckliga samtycke till att känsliga uppgifter registreras. Antalet personer som har tillstånd
till färdtjänst är ca 420 000 och antalet personer som har tillstånd till riksfärdtjänst ca 26 000. Om känsliga personuppgifter skall registreras krävs således för närvarande samtycke av dessa personer vilket med hänsyn till antalet tillstånd blir både besvärligt och kostsamt.
Överväganden och förslag
Utredningens överväganden i delbetänkandet omfattar i första hand frågan om behovet av särskild författningsreglering för register inom färdtjänsten och riksfärdtjänsten i förhållande till personuppgiftslagens bestämmelser om bl.a. behandling av känsliga uppgifter, ändamål, personuppgiftsansvar, användning av personnummer, bevarande och gallring samt enskildas rättigheter, t.ex. skadestånd och information. Utredningens uppfattning är dock att vissa registerfrågor inom verksamheterna måste analyseras mer ingående i slutbetänkandet.
Utredningen har varken haft tid eller möjlighet att göra en fullständig kartläggning av alla typer av register som kan förekomma inom färdtjänsten och riksfärdtjänsten. För att få en uppfattning om bl.a. ändamålet med sådana register har utredningen genomfört en enkätundersökning och tagit del av ett flertal beslut från Datainspektionen. Efter denna undersökning är det utredningens uppfattning att förekomsten av känsliga personuppgifter om hälsa är mest frekvent i register som utredningen betecknar tillståndsregister och beställningsregister, dvs. register som förs för handläggning av ärenden enligt lagen (1997:736) om färdtjänst eller lagen (1997:735) om riksfärdtjänst respektive för planering, samordning och beställning av resor. Sådana register får dessutom användas för andra ändamål vilka är angivna i den förordning som utredningen föreslår.
Känsliga uppgifter om hälsa
Med hänsyn till bl.a. förekomsten av känsliga uppgifter som rör hälsa i tillståndsregister och beställningsregister, är utredningens förslag att den behandling av personuppgifter som sker automatiserat och manuellt inom färdtjänsten och riksfärdtjänsten i sådana register skall författningsregleras särskilt i förordning. Sådana register skall föras av en kommun eller en trafikhuvudman, dvs.
personuppgiftsansvaret skall åvila en sådan myndighet, för att förordningen skall vara tillämplig. Förordningen skall också vara tillämplig vid behandling av personuppgifter i ett beställningsregister som förs av en enskild, om den enskilde enligt avtal med en kommun eller en annan trafikhuvudman om en beställningscentral eller om utförande av resor enligt lagen om färdtjänst eller lagen om riksfärdtjänst för ett sådant register den dag som förordningen träder i kraft. Anledningen till detta är att enskilda trafikutövare eller beställningscentraler tills vidare bör få fortsätta att föra register som redan finns. Däremot skall nyinrättade register omfattas av förordningen endast om de förs av en kommun eller en trafikhuvudman. Personuppgiftslagens bestämmelser är fortsatt tillämpliga på övriga register inom färdtjänsten och riksfärdtjänsten.
Utredningen föreslår att det skall införas bestämmelser som tillåter att det i ett tillståndsregister får behandlas känsliga uppgifter om hälsa, om uppgifterna har lämnats i ett ärende om färdtjänst eller riksfärdtjänst eller är nödvändiga för de ändamål som särskilt anges för ett tillståndsregister. Det är vidare utredningens förslag att sådana känsliga uppgifter som kan beröra hälsa och anges i särskild bilaga till föreslagen förordning skall få behandlas i ett beställningsregister, om uppgifterna har lämnats i ett ärende om färdtjänst eller riksfärdtjänst eller är nödvändiga för de ändamål som särskilt anges för ett beställningsregister. Det bör understrykas att bilagan till förordningen inte innehåller en fullständig uppräkning av vilka uppgifter som får registreras i ett beställningsregister, utan endast en redovisning av vilka uppgifter som rör hälsa som får förekomma i ett sådant register.
Personuppgiftsansvar
Utredningens bedömning är att vem eller vilka som är personuppgiftsansvariga för en behandling av personuppgifter i ett tillstånds- eller ett beställningsregister tills vidare skall avgöras genom tillämpning av bestämmelserna i personuppgiftslagen. Utredningen är medveten om att det kan vara svårt att med stöd av endast personuppgiftslagen fastställa vem som är personuppgiftsansvarig, eftersom fråga kan uppkomma bl.a. om en kommun eller en kommunal nämnd har ett sådant ansvar. Utredningen har emellertid av tidsskäl inte möjlighet att göra en ingående analys av
personuppgiftsansvaret i delbetänkandet. Sådana överväganden får i stället göras i slutbetänkandet.
Särskilt om beställningsregister och beställningscentraler
När det gäller beställningscentraler vill utredningen särskilt anmärka följande. En beställningscentral kan administreras av t.ex. ett privat taxibolag. Utredningens bedömning är att i de fall en kommun eller någon annan trafikhuvudman inte sköter och administrerar ett beställningsregister bör personuppgiftsansvaret ändå åvila kommunen eller trafikhuvudmannen. Anledningen härtill är att det finns känsliga personuppgifter i ett beställningsregister. Vidare har uppgifterna i ett beställningsregister anknytning till uppgifterna i ett tillståndsregister och är i vissa fall direkt överförda från det sistnämnda registret. Det är utredningens uppfattning att kommuner och trafikhuvudmän härvidlag bör tillämpa personuppgiftslagens bestämmelser om personuppgiftsbiträde i förhållande till t.ex. privatägda beställningscentraler. Som utredningen nämner ovan bör dock enskilda beställningscentraler eller trafikutövare ha möjlighet att fortsätta att föra egna beställningsregister som redan finns. I dessa fall kan de också bli personuppgiftsansvariga. Utredningen kommer att överväga dessa frågor ytterligare i slutbetänkandet.
Utredningen föreslår att endast den som för de ändamål som enligt föreslagen förordning skall gälla för ett beställningsregister behöver ha tillgång till uppgifter får ha direktåtkomst till uppgifterna i ett sådant register. Direktåtkomst får endast omfatta de uppgifter som behövs för att anordna resor.
Det förekommer att samordning sker mellan färdtjänsten och andra samhällsbetalda resor, t.ex. sjukresor och skolskjutsar. För att kunna tillgodogöra sig sådana möjligheter till samordning är det som regel nödvändigt med en s.k. gemensam beställningscentral. Det ligger inte i utredningens uppdrag att göra en översyn av behandlingen av personuppgifter i samband med anordnandet av sjukresor, skolskjutsar m.m. Utredningen vill dock påpeka att det i och för sig inte finns något hinder mot att en beställningscentral i sitt arbete med anordnande av transporter även fortsättningsvis samordnar information om både t.ex. färdtjänst- och sjukreseberättigade. En förutsättning är dock att uppgifterna i ett beställningsregister över färdtjänstberättigade behandlas i överensstämmelse med bestämmelserna i utredningens förslag. Det bör
åter påpekas att kommuner m.fl. kan välja att inte göra anpassningar i register motsvarande förordningens förslag. Personuppgiftslagens bestämmelser, bl.a. förbudet att utan samtycke behandla uppgifter om hälsa, blir fullt tillämpliga på sådana register som inte omfattas av utredningens förslag till förordning.
Sökbegränsningar
Utredningen lämnar förslag om att det skall finnas begränsningar i möjligheten att söka i tillstånds- och beställningsregister. Som sökbegrepp skall endast få användas dels personnummer, namn, telefonnummer och kundnummer samt andra liknande uppgifter som identifierar en person, dels ärendenummer och andra liknande uppgifter som identifierar ett ärende. Vid planering och utvärdering av färdtjänsten och riksfärdtjänsten samt vid framställning av statistik får dock endast andra uppgifter än de som angivits ovan användas som sökbegrepp. Enligt utredningens uppfattning är det svårt att exakt bestämma vilka uppgifter som är obehövliga vid planering och utvärdering av verksamheten samt vid framställning av statistik, men något större behov av uppgifter som identifierar enskilda personer eller ärenden torde inte föreligga och ur integritetssynpunkt är det också viktigt att sakuppgifter och vissa identitetsuppgifter hålls åtskilda.
Bevarande och gallring
Utredningens föreslår att uppgifter i tillståndsregister och beställningsregister, i avvaktan på en mer ingående analys av utredningen i slutbetänkandet, skall bevaras och gallras enligt bestämmelserna i personuppgiftslagen och arkivlagen (1990:782).
Enskildas rättigheter
De bestämmelser om rättelse, information och skadestånd som finns i personuppgiftslagen skall gälla även behandlingar som utförts i strid med nu föreslagen förordning. Bestämmelserna om rättelse och skadestånd i personuppgiftslagen gäller endast för brott mot den lagen och det är därför nödvändigt att i förordningen införa en hänvisning till personuppgiftslagen.
Författningsförslag
1. Förslag till förordning om viss behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten
Härigenom föreskrivs följande.
Förordningens tillämpningsområde
1 § Denna förordning gäller utöver personuppgiftslagen (1998:204) vid kommuners och trafikhuvudmäns behandling av personuppgifter i ett tillståndsregister eller ett beställningsregister inom färdtjänsten och riksfärdtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förordningen gäller även sådan behandling av personuppgifter som avses i första stycket och som en enskild utför i ett beställningsregister, om den enskilde enligt avtal med en kommun eller en trafikhuvudman om utförande av resor enligt lagen (1997:736) om färdtjänst eller lagen (1997:735) om riksfärdtjänst eller enligt avtal om en beställningscentral redan för ett sådant register den dag förordningen träder i kraft.
Behandling av personuppgifter som är tillåten enligt denna förordning får utföras även om den registrerade motsätter sig behandlingen.
Definitioner
2 § I denna förordning avses med tillståndsregister och beställningsregister sådana register som förs för de ändamål som anges i 3 och 4 §§.
Med trafikhuvudman avses i denna förordning detsamma som i lagen (1997:734) om ansvar för viss kollektiv persontrafik.
Ändamål
3 § Ett tillståndsregister får användas för handläggning av ärenden enligt lagen (1997:736) om färdtjänst och lagen (1997:735) om riksfärdtjänst. Ett sådant register får dessutom användas för
1. planering och utvärdering av färdtjänsten och riksfärdtjänsten,
och
2. framställning av statistik.
4 § Ett beställningsregister inom färdtjänsten och riksfärdtjänsten får användas för planering, samordning och beställning av resor. Ett sådant register får dessutom användas för
1. annan administration av resor,
2. planering och utvärdering av färdtjänsten och riksfärdtjänsten,
och
3. framställning av statistik.
Känsliga personuppgifter
5 § I ett tillståndsregister får personuppgifter som rör hälsa behandlas, om uppgifterna har lämnats i ett ärende om färdtjänst eller riksfärdtjänst eller är nödvändiga för de ändamål som anges i 3 §.
6 § I ett beställningsregister får personuppgifter som rör hälsa och som anges i bilagan till denna förordning behandlas, om uppgifterna har lämnats i ett ärende om färdtjänst eller riksfärdtjänst eller är nödvändiga för de ändamål som anges i 4 §.
Sökbegrepp
7 § Som sökbegrepp i tillståndsregister och beställningsregister får endast användas personnummer, namn, telefonnummer, kundnummer och andra liknande uppgifter som identifierar en person samt ärendenummer och andra liknande uppgifter som identifierar ett ärende.
Vid planering och utvärdering av färdtjänsten och riksfärdtjänsten samt vid framställning av statistik får endast andra uppgifter än de som anges i första stycket användas som sökbegrepp.
Direktåtkomst
8 § Endast den som för de i 4 § angivna ändamålen behöver ha tillgång till uppgifterna får ha direktåtkomst till uppgifterna i ett beställningsregister. Direktåtkomst får endast omfatta de uppgifter som behövs för att anordna resor.
Rättelse och skadestånd
9 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna förordning.
Överklagande
10 § Bestämmelser om överklagande av beslut om rättelse och om information enligt 26 § personuppgiftslagen (1998:204) finns i 22 och 22 a §§förvaltningslagen (1986:223).
1. Denna förordning träder i kraft den 1 september 2003.
2. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att förordningen har trätt i kraft beträffande den aktuella behandlingen.
3. Bestämmelserna i förordningen skall inte börja tillämpas förrän den 1 oktober 2007 när det gäller manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 och manuell behandling som utförs för ett visst ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
Bilaga
Uppgifter i ett beställningsregister som kan beröra hälsa
1. Uppgifter om den färdtjänstberättigades behov av:
 hjälpmedel  specialfordon  ledsagare  viss placering i fordonet  ett sanerat fordon  viss annan service för att transporten skall kunna utföras  viss annan anpassning av fordonet
2. Uppgifter om samåkning med andra resenärer är möjlig.
1. Uppdraget
1.1. Utredningens direktiv
Utredningen har i uppdrag att överväga behovet av ändringar i regelverken för färdtjänsten och riksfärdtjänsten. Utgångspunkten skall vara Vägverkets redovisning i bl.a. publikationen nr 2001:95 av vissa frågor som berör nämnda verksamheter. Utredningen skall också ta hänsyn till vad som framkommit vid Näringsdepartementets remissbehandling av Vägverkets redovisning. Remissyttrandena och en sammanställning av dessa finns tillgängliga i Näringsdepartementet (N2000/8680/TP).
Vidare skall utredningen kartlägga vilka tjänster som enligt gällande bestämmelser kan överlåtas på trafikhuvudmannen utan att upphandling sker. Utredningen skall därvid särskilt analysera förhållandet mellan lagen (1992:1528) om offentlig upphandling, lagen (1997:736) om färdtjänst och lagen (1991:419) om resekostnadsersättning vid sjukresor såvitt avser möjligheten till samordning av beställningar. Mot bakgrund av kartläggningen skall utredningen överväga om det är lämpligt att undanta samordningen av beställning av sjuk- och färdtjänstresor i en beställningscentral från upphandlingskravet i lagen om offentlig upphandling.
Mot bakgrund av kommunernas och trafikhuvudmännens behov av att registrera färdtjänstberättigade skall utredningen dessutom föreslå hur behandlingen av personuppgifter i sådana register skall författningsregleras. Utredningen skall särskilt beakta att endast de uppgifter om de färdtjänstberättigades hälsa som oundgängligen är nödvändiga för att färdtjänsten skall kunna tillhandahållas bör registreras. Utredningen skall även i övrigt beakta den enskildes behov av skydd mot otillbörliga ingrepp i hans eller hennes personliga integritet samt överväga i vad mån det är nödvändigt för enskilda trafikutövare, såsom taxiföretag, att få tillgång till uppgifter som rör de färdtjänstberättigades hälsa.
Utredningen skall i ett delbetänkande redovisa sina förslag om behandling av personuppgifter i register inom färdtjänsten och riksfärdtjänsten. Enligt kommittédirektiven är det angeläget att förslagen träder i kraft så snart som möjligt, varför författningsförslagen i delbetänkandet skall ske i förordning. Enligt direktiven skall dock utredningen i slutbetänkandet förslå hur en sådan författningsreglering skall ske i lag.
Direktiven i dess helhet framgår av bilaga 1.
1.2. Utredningsarbetet
Arbetet med delbetänkandet inleddes i början av september 2002.
Utredningens överväganden har hittills i första hand omfattat frågan om behovet av särskild författningsreglering i förhållande till personuppgiftslagens bestämmelser om känsliga personuppgifter, ändamål, innehåll m.m. Det kommer dock att i slutbetänkandet bli nödvändigt med ytterligare analys av vissa registerfrågor.
För att få en uppfattning om bl.a. ändamålet med olika register inom färdtjänsten och riksfärdtjänsten har utredningen, med bistånd av Svenska Kommunförbundet, Landstingsförbundet och Svenska Lokaltrafikföreningen, genomfört en enkätundersökning som vänt sig till vissa kommuner och trafikhuvudmän. Enkäten redovisas i bilaga 2 och vilka som besvarat denna redovisas i bilaga
3. Utredningen har vidare tagit del av ett större antal beslut från
Datainspektionen avseende olika register inom färdtjänsten och riksfärdtjänsten.
Arbetet med detta delbetänkande har bedrivits i nära samråd med bl.a. experter som representerat de berörda kommunerna och trafikhuvudmännen. Utredningen har också haft samråd med Datainspektionen.
2. Rättslig reglering till skydd för den personliga integriteten
Det finns inte någon författning som tar direkt sikte på den behandling av personuppgifter som förekommer inom färdtjänsten och riksfärdtjänsten. I olika författningar finns dock bestämmelser som gäller generellt för behandling av personuppgifter oberoende av inom vilket samhällsområde registerna kommer till användning. Dessa bestämmelser har i första hand till syfte att tillförsäkra den registrerade ett skydd för den personliga integriteten.
I detta avsnitt skall redovisas några av de mest betydelsefulla bestämmelserna för behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten.
2.1. Regeringsformen
I 1 kap. 2 § tredje stycket regeringsformen stadgas att det allmänna skall värna den enskildes privatliv och familjeliv. En särskild bestämmelse om den personliga integriteten och ADB finns i 2 kap. 3 § regeringsformen, vari anges att varje medborgare skall, i den utsträckning som närmare anges i lag, skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av ADB. Från och med den 24 oktober 1998 regleras den grundläggande ramen för behandling av personuppgifter i personuppgiftslagen (1998:204), som ersatt datalagen (1973:289).
2.2. Tryckfrihetsförordningen
I 2 kap. tryckfrihetsförordningen finns bestämmelser om rätten att ta del av allmänna handlingar (offentlighetsprincipen).
ADB-upptagningar, upptagningar som kan läsas, avlyssnas eller
på annat sätt uppfattas endast med tekniska hjälpmedel, är handlingar i tryckfrihetsförordningens mening.
En upptagning är allmän handling om den förvaras hos en myndighet och den enligt särskilda regler är att anse som upprättad hos eller inkommen till myndigheten. Upptagningen anses förvarad hos myndigheten om den är tillgänglig där för myndigheten med tekniskt hjälpmedel, som myndigheten själv utnyttjar för överföring i sådan form att upptagningen kan läsas, avlyssnas eller på annat sätt uppfattas.
2.3. Sekretesslagen
Av 7 kap. 37 § sekretesslagen (1980:100) framgår att sekretess skall gälla i ärende om tillstånd till färdtjänst och riksfärdtjänst om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Paragrafen har utformats efter förebild av sekretessen i socialtjänsten, 7 kap. 4 § sekretesslagen. Sekretess i ärende om färdtjänst och riksfärdtjänst gäller således för alla uppgifter om enskilds personliga förhållanden och sekretessen är inte mindre sträng än för uppgifter inom socialtjänsten. Sekretessen i färdtjänsten och riksfärdtjänsten gäller på samma sätt hos en kommunal nämnd som hos en trafikhuvudman och även om den sistnämnda är ett aktiebolag.
Sekretess gäller enligt 1 kap. 3 § sekretesslagen även mellan myndigheter. I vissa fall finns det behov av att överföra information som är nödvändig för att besluta i ett tillståndsärende om färdtjänst eller riksfärdtjänst från en kommunal nämnd till en trafikhuvudman som är tillståndsgivare. Eftersom sekretess råder om uppgifter om en enskilds personliga förhållanden kan en kommun inte utan vidare lämna ut sådana uppgifter till trafikhuvudmannen. I detta avseende är det regeringens uppfattning att en kommunal nämnd skall kunna lämna ut uppgifter om en enskilds personliga förhållanden till tillståndsgivaren endast om den enskilde har lämnat sitt samtycke härtill. Om den enskilde inte lämnar sitt samtycke har tillståndsgivaren att fatta beslut på den föreliggande utredningen, se prop. 1996/97:115 s. 48.
Bestämmelserna om sekretess och tystnadsplikt i sekretesslagen gäller endast i det allmännas verksamhet, se 1 kap. 1 § sekretesslagen, dvs. för nämnder, styrelser, andra myndigheter hos staten, kommunerna och landstingen samt för sådana bolag som jämställs
med myndigheter, exempelvis en trafikhuvudman som är ett aktiebolag. Sekretesslagen gäller däremot inte för personer som är verksamma inom en enskild verksamhet som utför färdtjänst eller riksfärdtjänst åt kommunen eller trafikhuvudmannen, exempelvis ett taxiföretag. Det stadgas därför i 15 § lagen (1997:736) om färdtjänst och 12 § lagen (1997:735) om riksfärdtjänst att personer som är eller har varit verksamma inom enskild verksamhet som bedrivs yrkesmässigt och som omfattas av de aktuella lagarna inte obehörigen får röja vad de i verksamheten fått veta om någons personliga förhållanden.
Trots sekretessen finns det dock en begränsad möjlighet att till beställningscentraler för transporter och trafikutövare lämna ut sådana uppgifter som behövs för att utföra transporten, se 14 § lagen om färdtjänst och 11 § lagen om riksfärdtjänst. Dessa uppgifter kan givetvis vara av den beskaffenheten att det står klart att de kan röjas utan att den enskilde lider men. I sådant fall gäller inte sekretess. Det kan vidare vara fråga om uppgifter som är nödvändiga för att anordna transporten, samtidigt som det inte är praktiskt möjligt att kräva den sökandes samtycke i varje enskilt fall. Exempel på uppgifter som avses är om specialfordon eller annan utrustning krävs, om fordonet måste vara sanerat på något sätt eller inte får ha använts till att transportera exempelvis pälsdjur och om en ledsagare eller en ledarhund måste följa med.
2.4. Datalagen
2.4.1. Lagen och tillämpningsområdet
Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Samtidigt upphörde datalagen (1973:289) att gälla, med undantag för bl.a. vid den tidpunkten pågående behandlingar av personuppgifter, för vilka datalagen gällde till och med den 30 september 2001. Datalagen hade till syfte att skydda den enskilde mot sådant otillbörligt intrång i den personliga integriteten som kan bli en konsekvens av dataregistrering. Datalagen reglerade användandet av personregister, med vilket förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgifter som kan hänföras till den som avses med uppgifterna. Integritetsskyddet omfattade endast fysiska personer. Lagen innehöll bestämmelser
om bl.a. tillstånd, registeransvarigs skyldigheter, tillsyn, straff och skadestånd.
2.4.2. Datainspektionen och tillstånd
Ett personregister fick inrättas och föras av den som anmält sig till Datainspektionen och fått en licens. Personuppgifter som innehöll särskilt känsliga personuppgifter, omdömen och värderingar om den registrerade, uppgifter om personer som saknade anknytning till den registeransvarige och personuppgifter som hämtades från andra personregister (samkörning) krävde normalt tillstånd från Datainspektionen för att få inrättas och föras. Datainspektionens möjlighet att meddela nya tillstånd upphörde den 24 oktober 1998, när personuppgiftslagen trädde i kraft. Uppgifter ansågs vara särskilt känsliga om de avslöjade att någon t.ex. misstänktes för eller hade dömts för brott, uppbar socialt bistånd eller om uppgifterna berörde personens hälsotillstånd. Också uppgifter om ras, politisk uppfattning, religiös tro eller övertygelse i övrigt föll inom kategorin särskilt känsliga uppgifter.
Vid tillståndsprövningen skulle Datainspektionen ta ställning till om det fanns anledning att anta att registreringen medförde ett otillbörligt intrång i den registrerades integritet. Om så var fallet skulle ett tillstånd inte lämnas. För de fall att Datainspektionen gav tillstånd, så skulle inspektionen också meddela föreskrifter om ändamålet med registret. Datainspektionen fick också, i den utsträckning det behövdes, för att hindra otillbörligt intrång i personlig integritet, meddela föreskrifter om exempelvis vilka uppgifter som fick ingå i registret, de bearbetningar av personuppgifter som fick göras med hjälp av automatisk databehandling, bevarande och gallring av uppgifter samt kontroll och säkerhet.
Undantagna från tillståndsplikt var bl.a. statsmaktsregister, dvs. register vars inrättande beslutats av riksdag eller regering. I dessa fall behövdes således inte tillstånd från Datainspektionen, trots att registren kunde innehålla särskilt känsliga uppgifter. Sådana personregister reglerades, och regleras än i dag, ofta i särskilda registerförfattningar.
2.4.3. Den registeransvariges skyldigheter
Registeransvarig var den för vars verksamhet ett personregister fördes, om han förfogade över registret. Såväl fysiska personer som företag och myndigheter kunde vara registeransvariga. Den registeransvarige var skyldig att se till att ett personregister fördes så att otillbörligt intrång inte skedde i den registrerades personliga integritet. En registeransvarig skulle även se till att registret fördes för det ändamål det var avsett för samt att uppgifterna behandlades i överensstämmelse med ändamålet och i enlighet med lag och andra föreskrifter.
2.5. Internationell reglering
2.5.1. Europarådets dataskyddskonvention
Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen trädde i kraft den 1 oktober 1985 och har tillträtts av Sverige. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.
2.5.2. Rekommendationer och riktlinjer om dataskydd
Europarådet har antagit åtskilliga rekommendationer om dataskydd inom olika områden. Dessa rekommendationer är i och för sig inte bindande för medlemsländerna, men genom att anta en rekommendation utan reservation anses medlemslandet i princip ha åtagit sig att följa den och anpassa sin nationella lagstiftning efter rekommendationens innehåll.
Internationella riktlinjer för integritetsskydd och persondataflöde har även färdigställts inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna överensstämmer i princip med de bestämmelser som återfinns i dataskyddskonventionen. Det bör tilläggas att år 1998 antogs OECD:s
ministerdeklaration ”Protection of Privacy on Global Networks”, som innebar att man slog fast intentionen att i ett internationellt perspektiv harmoniera de regler som bör gälla för hantering av personuppgifter i globala nätverk, för att skydda den personliga integriteten.
2.5.3. Dataskyddsdirektivet
Det har inom EU ansetts nödvändigt att det finns en hög och gemensam nivå för skyddet mot integritetskränkningar i samband med behandling av personuppgifter, för att trygga ett fritt flöde av information mellan medlemsstaterna. Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG
1
om skydd för
enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av principerna i dataskyddskonventionen år 1981. I artikel 1 anges syftet med direktivet, nämligen att medlemsstaterna, i överensstämmelse med direktivet, skall skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Syftet med direktivet är vidare att det skall finnas en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet av personuppgifter till andra medlemsstater under hänvisning till enskilda personers fri- och rättigheter.
Dataskyddsdirektivet innebär inte att man skall anta en gemensam personuppgiftslag för hela EU. Ett direktiv är endast bindande i fråga om det resultat som skall uppnås och överlämnar åt medlemsstaterna att själva välja form och metod. Medlemsstaterna kan dock inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av dataskyddsdirektivet.
1 EGT L 281, 23.11.1995 s.31 (Celex 31995L0046).
Direktivets tillämpningsområde
Dataskyddsdirektivet handlar om fysiska personers skydd. Skyddet för juridiska personer berörs inte av direktivet. Inte heller berörs sådan verksamhet som faller utanför gemenskapsrätten, däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Direktivet är tillämpligt på all behandling av personuppgifter och således också på manuella register, dock endast på sådana manuella register som är sökbara utifrån särskilda kriterier. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.
Bestämmelser om när personuppgifter får behandlas
Enligt dataskyddsdirektivet, artikel 6, måste all behandling av personuppgifter vara laglig och korrekt. Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Senare användning får inte ske på ett sätt som är oförenligt med dessa ändamål. Av artikeln framgår också bl.a. att oriktiga uppgifter eller ofullständiga uppgifter skall utplånas eller rättas.
Behandling av personuppgifter är tillåten om den registrerade otvetydigt har lämnat sitt samtycke eller behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att på den enskildes begäran vidta åtgärder inför ett avtal. Behandling får också ske om den är nödvändig för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas, se artikel 7.
Som en huvudregel föreskrivs förbud mot behandling av känsliga uppgifter, artikel 8.1. Till känsliga uppgifter räknas uppgifter som avslöjar ras eller etniskt ursprung, politisk uppfattning, religiös eller filosofisk övertygelse, facklig tillhörighet och uppgifter som rör hälsa eller sexualliv. Dessa kategorier av uppgifter får inte
behandlas utan uttryckligt samtycke av den registrerade, se artikel 8.2. I vissa särskilt angivna undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, exempelvis när behandlingen av uppgifter är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser och vård eller behandling. Medlemsländerna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än de som anges i direktivet.
Information till den registrerade och rättelse
Dataskyddsdirektivet föreskriver att den registeransvarige eller dennes företrädare skall lämna den registrerade viss information, se artiklarna 10 och 11. Skyldigheten att lämna information gäller dock inte i de fall den registrerade redan känner till uppgifterna. Den registrerade har rätt till information om bl.a. ändamålen med behandlingen, mottagare eller de kategorier av mottagare till vilka uppgifterna utlämnas och begriplig information om vilka uppgifter som behandlas. Har uppgifterna inte lämnats av den registrerade själv behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har emellertid rätt att på begäran få information om de registrerade uppgifterna, ett s.k. registerutdrag, se artikel 12.
Den registrerade skall i förekommande fall ha rätt att få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade. I direktivet finns inte någon definition av begreppet blockering. Av Kommissionens förklaring till direktivförslaget tycks framgå att med blockering avses att den registeransvarige får fortsätta att lagra uppgifterna, men inte på annat sätt behandla eller använda dem, se SOU 1997:39 s. 143. Om en uppgift rättas skall den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Detta gäller dock inte om en underrättelse är omöjlig eller skulle innebära en oproportionerligt stor ansträngning.
I artikel 13 finns det bestämmelser om att medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste vara en
nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. skyddet av den registrerades eller andras fri- och rättigheter.
Artikel 17 innehåller bestämmelser om säkerheten vid behandlingen av personuppgifter. Den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot varje slag av otillåten behandling. Personuppgifter skall dessutom skyddas mot bl.a. otillåten spridning, mot att de går förlorade genom olyckshändelse och mot att de ändras.
Anmälan till tillsynsmyndigheten
Av artikel 18 i dataskyddsdirektivet framgår att medlemsstaterna är tvungna att föreskriva att den registeransvarige eller dennes företrädare skall underrätta tillsynsmyndigheten innan genomförandet av en behandling som helt eller delvis genomförs på automatisk väg eller en serie av sådana automatiska behandlingar som har samma eller närbesläktade ändamål. För icke-automatiserade behandlingar av personuppgifter är det tillåtet för medlemsstaterna att föreskriva att vissa eller alla sådana behandlingar skall anmälas eller att ett förenklat anmälningsförfarande skall gälla för dem.
Undantag från anmälningsplikten alternativt tillämpning av ett förenklat förfarande får föreskrivas dels om det med hänsyn till de behandlade uppgifterna inte är sannolikt att den registrerades fri- eller rättigheter kränks, dels när ett uppgiftsskyddsombud (personuppgiftsombud) har utsetts.
2.6. Personuppgiftslagen
I juni 1995 utfärdade regeringen direktiv till Datalagskommittén om en total revision av datalagen och en analys av hur Dataskyddsdirektivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet Offentlighet Informationsteknik, SOU 1997:39. Regeringen beslutade den 8 december 1997 propositionen 1997/98:44 Personuppgiftslag (bet. 1997/98:KU18, rskr. 1997/98:180), vilken i huvudsak bygger på det förslag som lades fram i betänkandet.
Personuppgiftslagen (1998:204) trädde i kraft den 24 oktober 1998 samtidigt som datalagen upphörde att gälla. I fråga om behandling av personuppgifter som påbörjats före den 1 oktober 2001 skulle personuppgiftslagen emellertid inte tillämpas.
Detsamma gällde bl.a. för behandling som utfördes för ett visst bestämt ändamål om behandlingen för ändamålet påbörjades före ikraftträdandet.
2.6.1. Lagen och dess tillämpningsområde
Personuppgiftslagen (1998:204), som i huvudsak följer dataskyddsdirektivets text och disposition, omfattar all automatiserad behandling av personuppgifter och manuell behandling av personuppgifter i s.k. manuella register. I sistnämnda fall skall det vara fråga om uppgifter som ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, 5 §. Syftet med lagen är enligt 1 § att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
Lagen är generellt tillämplig och omfattar även sådan verksamhet som faller utanför EG-rätten, exempelvis behandling av personuppgifter hos polisen eller försvarsmakten. Av 2 § framgår att avvikande bestämmelser i lag eller förordning gäller framför personuppgiftslagen. Beslut som riksdagen eller regeringen har fattat i annan form än lag eller förordning tar däremot inte över bestämmelserna i personuppgiftslagen. Det är således följdriktigt att föreskrifter som myndigheter har beslutat inte heller tar över bestämmelserna i aktuell lag. Det finns vidare i 8 § en bestämmelse som klargör att lagen inte skall tillämpas, om det skulle inskränka myndigheternas skyldigheter att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. I samma paragraf framgår också att lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
Sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur undantas från personuppgiftslagen (6 §). Behandling av uppgifter om juridiska personer omfattas över huvud taget inte av lagen. I lagen görs vidare ett undantag för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §).
De regler i dataskyddsdirektivet som införts i personuppgiftslagen är i huvudsak generella. Enligt artikel 5 i direktivet åligger det medlemsstaterna att inom den ram direktivet drar upp
precisera på vilka villkor behandling av personuppgifter är tillåtna. Enligt regeringen kan en generell lag som i princip avser att reglera all icke privat användning inte gärna innehålla annat än generella principer och de allra viktigaste undantagen från dessa, se prop. 1997/98:44 s. 56. Regeringen eller Datainspektionen får därför bemyndigas att föreskriva undantag från vissa bestämmelser i personuppgiftslagen och precisera de generella principer som lagen innehåller.
2.6.2. Definitioner
Genom personuppgiftslagen (1998:204) utmönstras en rad begrepp som använts i datalagen, t.ex. personregister. En rad nya begrepp införs, vilka definieras i 3 §. Personuppgifter i lagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att varken juridiska personer eller avlidna personer omfattas av lagens tillämpningsområde. Med behandling av personuppgifter avses varje åtgärd som vidtas med uppgifterna, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, lagring, bearbetning, inhämtande, utlämnande, samkörning eller förstöring. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Ett personuppgiftsbiträde behandlar personuppgifter för den personuppgiftsansvariges räkning. Med personuppgiftsombud avses den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Det krävs inte att samtycket är skriftligt.
2.6.3. Förutsättningar för behandling av personuppgifter
Grundläggande krav (9 §)
De grundläggande kraven på behandling av personuppgifter i personuppgiftslagen (1998:204) stämmer överens med de krav som medlemsstaterna skall föreskriva enligt artikel 6 i dataskyddsdirektivet. Enligt lagen skall personuppgifter alltid behandlas på ett
korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in, vilket bl.a. innebär att uppgifterna inte får lämnas ut till annan om det är oförenligt med de ursprungliga ändamålen. Ett utlämnande med stöd av offentlighetsprincipen i 2 kap. TF hindras dock inte av denna princip. Att ändamålen skall vara särskilda innebär att en alltför allmänt hållen ändamålsbeskrivning inte får godtas. Hur detaljerad ändamålsbeskrivningen måste vara får avgöras i praxis och genom föreskrifter från regeringen och Datainspektionen. Det anses inte oförenligt med de ursprungliga ändamålen att behandla uppgifterna för historiska, statistiska eller vetenskapliga ändamål.
De behandlade uppgifterna måste vara riktiga och relevanta och de får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna har samlats in eller för vilka de senare behandlas. Om det är nödvändigt skall uppgifterna också vara aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa utplåning eller rättelse av sådana personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlats in eller för vilka de senare behandlas. Personuppgifterna får inte heller bevaras längre än nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Därefter måste de avidentifieras eller förstöras. Eftersom personuppgiftslagen är subsidiär till annan lagstiftning, får uppgifterna emellertid inte avidentifieras eller på annat sätt förstöras (dvs. gallras) om det strider mot bl.a. tryckfrihetsförordningens bestämmelser om allmänna handlingar.
När behandling av personuppgifter är tillåten (10 12 §§)
Personuppgifter får behandlas bara om den enskilde har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för vissa särskilda ändamål. Om den registrerade återkallar sitt samtycke får ytterligare personuppgifter om denne inte registreras. I vissa fall får dock personuppgifter behandlas trots att samtycke från den registrerade saknas. En förutsättning i samtliga dessa fall är att behandlingen är nödvändig för ändamålen. Här kan anmärkas att flertalet automatiserade bearbetningar av personuppgifter också kan utföras manuellt. Nödvändighetsrekvisitet har av Datalagskommittén tolkats så att personuppgifter får behandlas även i de
fall det är faktiskt möjligt att utföra uppgiften på annat sätt, om förfarandet underlättas genom användningen av automatisk databehandling (SOU 1997:39 s. 359).
Av 10 § personuppgiftslagen framgår att personuppgifter får behandlas i samband med ett avtal med den registrerade när det krävs för fullgörandet av avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet som åvilar honom eller henne. Personuppgifter får också behandlas för att skydda vitala intressen för den registrerade. Likaså får sådana uppgifter behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras och för att den personuppgiftsansvarige, eller någon annan till vilken personuppgifter har lämnats ut, skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.
Personuppgifter får vidare behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse av skydd. Vid intresseavvägningen jämställs med den personuppgiftsansvarige också sådana tredje män till vilka uppgiften lämnas ut.
Om en behandling av personuppgifter inte kan räknas till något av de fall som anges i 10 §, är behandlingen otillåten och får inte genomföras.
Behandling av känsliga personuppgifter (13 §)
I artikel 8 i dataskyddsdirektivet föreskrivs att medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening. Likaså är det förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. I fråga om uppgifter som rör hälsa omfattas uppgifter om den registrerades tidigare, nuvarande och framtida fysiska och psykiska hälsa samt uppgifter om missbruk av droger och alkohol. I personuppgiftslagen återfinns direktivets förbud mot behandling av känsliga personuppgifter.
Undantag från förbudet (14 20 §§)
I 14 20 §§personuppgiftslagen finns det bestämmelser som medför att känsliga personuppgifter i vissa fall ändå får behandlas. Förbudet mot behandling av känsliga personuppgifter gäller inte om den registrerade har lämnat sitt samtycke till behandlingen. Till skillnad från när samtycke krävs i andra sammanhang måste i fråga om känsliga personuppgifter samtycket emellertid vara uttryckligt, dvs. klart manifesterat.
Känsliga personuppgifter får vidare behandlas när det är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten. I stort sett gäller det fullgörandet av alla skyldigheter och rättigheter för arbetsgivaren beträffande de anställda och deras organisationer. De uppgifter som behandlas under denna förutsättning får lämnas ut till tredje man endast om det inom arbetsrätten finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade har samtyckt till utlämnandet.
Om den registrerade inte kan lämna sitt samtycke, får känsliga personuppgifter behandlas när det är nödvändigt för att den registrerades vitala intressen skall kunna skyddas. Innebörden av begreppet vitala intressen är inte entydigt definierat, utan ett sådant intresse kan antingen vara av grundläggande betydelse för den registrerade alternativt vara livsviktigt för honom eller henne.
Förbudet mot att behandla känsliga personuppgifter gäller inte heller när behandlingen utförs inom ramen för ideella organisationers berättigade verksamhet med ett politiskt, filosofiskt, religiöst eller fackligt syfte. För att sådan behandling skall vara tillåten förutsätts emellertid att behandlingen endast avser uppgifter om medlemmar eller personer som organisationen på grund av sitt ändamål har regelbunden kontakt med. Utlämnande av sådana uppgifter till tredje man kräver den registrerades uttryckliga samtycke.
Det är tillåtet att behandla känsliga personuppgifter som på ett tydligt sätt offentliggörs av den registrerade. Det är vidare tillåtet att behandla känsliga personuppgifter när det är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. Detta gäller när det förhållande som faller in under definitionen av känsliga personuppgifter också är en förutsättning för att personen i fråga skall ha rätt till en förmån eller ha en rättslig skyldighet gentemot någon annan. Som exempel kan nämnas rätten för en
sjuk person att få försäkringsersättning eller skyldigheten för den som tillhör Svenska kyrkan att betala avgift.
Förbudet mot behandling av känsliga uppgifter gäller inte när behandlingen är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling samt administration av hälso- och sjukvård. Förbudet gäller inte heller när sådana uppgifter behandlas antingen av någon som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och som samtidigt är underkastad tystnadsplikt eller av någon annan person som är underkastad en liknande tystnadsplikt. Slutligen undantas, under vissa förutsättningar, behandling för forskning och statistik från förbudet.
Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse, exempelvis folkhälsa.
2.6.4. Information till den registrerade
I 23 27 §§personuppgiftslagen (1998:204) finns bestämmelser om information till den registrerade. Bestämmelserna gäller främst den information som den personuppgiftsansvarige utan uppmaning har att lämna.
Om uppgifter om en person lämnas av personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen.
Om personuppgifterna inhämtas från någon annan källa än den registrerade själv, skall den personuppgiftsansvarige utan uppmaning lämna den registrerade information om behandlingen, när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man behöver informationen emellertid inte lämnas förrän uppgifterna lämnas ut för första gången. Informationen skall innehålla uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen och all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen.
Enligt 25 § personuppgiftslagen behöver information inte lämnas om sådant som den registrerade redan känner till, exempelvis på grund av att han eller hon redan har fått informationen i enlighet med annan lagstiftning.
Har uppgifterna hämtats in från en annan källa än den registrerade själv, behöver informationen inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Den personuppgiftsansvarige är skyldig att, till var och en som ansöker om det, en gång per kalenderår gratis lämna besked om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlats, varifrån dessa kommer och till vem de lämnas ut. Sådan information behöver emellertid inte lämnas beträffande personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Detta gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål, eller när det gäller löpande text som inte har fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
I den utsträckning det i en lag eller annan författning eller i ett beslut som har meddelats med stöd av en författning är särskilt föreskrivet att uppgifter inte får lämnas ut till den registrerade, behöver information inte lämnas. Regler om sekretess och tystnadsplikt går således före beskriven informationsskyldighet.
2.6.5. Rättelse
Av 28 § personuppgiftslagen (1998:204) framgår att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Med blockering avses varje åtgärd som kan vidtas för att de ifrågavarande personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och inte får lämnas ut till tredje man och anledningen till spärren.
Den personuppgiftsansvarige skall i vissa fall lämna en underrättelse om vidtagna korrigeringsåtgärder till tredje man till vilka personuppgifterna har lämnats ut. Detta skall ske om den registrerade begär det eller om det behövs för att undvika mera betydande skada eller olägenhet för den registrerade. En underrättelse behöver dock inte lämnas om det visar sig vara omöjligt att underrätta eller det skulle innebära en oproportionerligt stor arbetsinsats att lämna en
underrättelse. Den personuppgiftsansvarige har inte någon skyldighet att hålla reda på till vem uppgifterna lämnas ut. Om den personuppgiftsansvarige inte vet till vilka uppgifterna har lämnats ut, är det omöjligt att senare underrätta dem.
2.6.6. Säkerheten vid behandling av personuppgifter
Bestämmelser om säkerheten vid behandling av personuppgifter finns i 30 och 32 §§personuppgiftslagen (1998:204). Ett personuppgiftsbiträde, den som behandlar personuppgifter för den personuppgiftsansvariges räkning, och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges räkning får bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Instruktionerna bör formuleras på ett sådant sätt att var och en som arbetar med personuppgifter skall veta vilka ändamålen är med behandlingen och att behandling som är oförenlig med dessa ändamål är förbjuden. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i sådana frågor, skall i stället de bestämmelserna tillämpas. Det gäller i huvudsak bestämmelser om tystnadsplikt och sekretess.
Den personuppgiftsansvarige är skyldig att vidta tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Åtgärderna skall åstadkomma en lämplig säkerhetsnivå med hänsyn till de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, riskerna med behandlingen och hur känsliga de behandlade uppgifterna är.
Enligt 32 § personuppgiftslagen får Datainspektionen meddela beslut om säkerhetsåtgärder i enskilda fall. Följs inte beslutet frivilligt i det enskilda fallet, kan Datainspektionen enligt 45 § vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på något annat sätt än genom att lagra dem.
2.6.7. Tillsynsmyndighetens befogenheter
I 43 47 §§personuppgiftslagen (1998:204) regleras vissa av de befogenheter som tillkommer tillsynsmyndigheten, dvs. Datainspektionen, vilken har rätt att för sin tillsyn på begäran få tillgång till bl.a. personuppgifter som behandlats och tillträde till sådana
lokaler som har anknytning till behandlingen. Om Datainspektionen inte kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, kan myndigheten också vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på annat sätt än genom att lagra dem. Datainspektionen får också hos länsrätten ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas.
2.6.8. Anmälan till Datainspektionen
Anmälningsskyldighet (36 §)
Den personuppgiftsansvarige är skyldig att till Datainspektionen anmäla helt eller delvis automatiserad behandling av personuppgifter innan en sådan behandling företas. Manuella behandlingar omfattas inte av anmälningsskyldigheten. Avsikten med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen skall föra register över anmälda behandlingar.
I förarbetena (prop. 1997/98:44 s.97) till personuppgiftslagen (1998:204) redovisas regeringens uppfattning om Datainspektionens verksamhet. Enligt regeringen borde denna verksamhet koncentreras till att ge råd och sprida kunskap om de materiella reglerna samt att utöva tillsyn över att reglerna följs. Dataskyddsdirektivet föreskriver dock som huvudregel att alla automatiserade behandlingar av personuppgifter skall anmälas på förhand till tillsynsmyndigheten, se artikel 18.1. En sådan ordning skulle innebära att Datainspektionen, i motsats till regeringens uppfattning, i huvudsak skulle ägna sig åt hantering av anmälningar, tillstånd m.m. Från anmälningsskyldigheten får ett medlemsland emellertid föreskriva undantag.
För att kunna tillgodose både kravet att följa direktivet och önskemålet att begränsa anmälningsskyldigheten, har i personuppgiftslagen en principiell anmälningsskyldighet till Datainspektionen införts, samtidigt som möjligheterna att föreskriva om undantag från skyldigheten har utnyttjats fullt ut. När fråga är om särskilt integritetskänsliga behandlingar, som Datainspektionen skall kontrollera innan de påbörjas, föreskrivs dock inga undantag från anmälningsskyldigheten.
I personuppgiftslagen finns ett bemyndigande som ger regeringen eller Datainspektionen möjlighet att genom föreskrifter meddela undantag från anmälningsskyldigheten.
Personuppgiftsombud (37 40 §§)
En anmälan till Datainspektionen avseende automatiserad behandling av personuppgifter behöver inte ske, om den personuppgiftsansvarige har anmält till Datainspektionen att ett personuppgiftsombud utsetts och vem denne är. Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för denne. Om personuppgiftsombudet finner anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och om någon rättelse inte vidtas, skall personuppgiftsombudet anmäla detta till Datainspektionen. Personuppgiftsombudet skall vidare bl.a. hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.
2.6.9. Skadestånd och straff
Skadestånd (48 §)
Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid mot lagen har orsakat. Skadestånd kan således inte utgå vid brott mot motsvarande bestämmelser i s.k. registerförfattningar, vilka enligt 2 § gäller framför personuppgiftslagen (1998:204). Om skadestånd skall utgå i det sistnämnda fallet måste registerförfattningen innehålla egna skadeståndsbestämmelser eller en hänvisning till 48 § personuppgiftslagen.
Rätten till ersättning omfattar inte bara personskada, sakskada och ren förmögenhetsskada, utan även den kränkning av den personliga integriteten som behandlingen kan ha medfört. Ersättningen för kränkningen bör uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet.
Skadeståndsansvaret är i princip strikt. Det finns dock en möjlighet att helt eller delvis jämka skadeståndet, om den
personuppgiftsansvarige kan visa att den felaktiga behandlingen inte berodde på honom eller henne.
Straff (49 §)
Behandling av personuppgifter i strid med personuppgiftslagen kan medföra skyldighet att till de drabbade betala skadestånd och kan dessutom föranleda ett vitesföreläggande av tillsynsmyndigheten. Vissa förseelser är också straffbelagda. Den som uppsåtligen eller av oaktsamhet bryter mot vissa bestämmelser i lagen kan dömas till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år.
Det är straffbart att lämna osanna uppgifter i den information till den registrerade som lagen föreskriver eller i information till Datainspektionen. Det är vidare straffbart om någon i strid med lagen behandlar känsliga personuppgifter, för över uppgifter till tredje land eller underlåter att göra föreskriven anmälan om behandling av personuppgifter till Datainspektionen. I ringa fall skall emellertid inte dömas till ansvar. Vid en sådan bedömning får beaktas bl.a. vilken integritetskränkning eller risk för integritetskränkning som behandlingen orsakat.
3. Färdtjänsten och riksfärdtjänsten
3.1. Färdtjänsten
Genom lagen (1997:736) om färdtjänst, vilken trädde i kraft den 1 januari 1998, ersattes socialtjänstlagens (1980:620) dåvarande bestämmelser om färdtjänst. Färdtjänsten skall numera i huvudsak betraktas som en trafikpolitisk tjänst i syfte att bidra till en tillfredställande trafikförsörjning också för funktionshindrade i stället för lämnande av bistånd. I förarbetena till lagen om färdtjänst (prop. 1996/97:115 s. 36) anförde regeringen följande. Det kan inte uteslutas att det alltjämt undantagsvis kan uppstå situationer när funktionshindrade behöver bistånd enligt socialtjänstlagen från kommunen för att kunna resa. Detta är dock inte något specifikt för funktionshindrade. Även en person utan funktionshinder kan behöva sådan hjälp.- Det kommer däremot inte att bli möjligt att kräva av kommunen att regelrätt färdtjänst ges som bistånd eller service enligt socialtjänstlagen.
Enligt 7 § lagen om färdtjänst skall tillstånd till färdtjänst meddelas för den som på grund av funktionshinder, som inte endast är tillfälligt, har väsentliga svårigheter att förflytta sig på egen hand eller att resa med allmänna kommunikationsmedel. Om de allmänna kommunikationerna är så utformade att det är rimligt att kräva att även en funktionshindrad person skall kunna använda dem föreligger således ingen rätt att få färdtjänst. Tillståndet till färdtjänst omfattar inte resor som på något annat sätt bekostas av det allmänna, exempelvis skolskjutsar och sjukresor.
I 3 § lagen om färdtjänst anges att kommunen ansvarar för färdtjänsten för sina invånare. Detta ansvar omfattar i första hand färdtjänsten inom kommunen, men om det finns särskilda skäl skall färdtjänsten också anordnas mellan kommunen och en annan kommun. Kommunen har frihet att anordna färdtjänst även i andra fall. Kommunen har således möjlighet att ombesörja att färdtjänst
ges även i andra kommuner. Sådana transporter måste, för att falla inom kommunens befogenheter, gälla invånare i kommunen.
Kommunen kan överlåta sina uppgifter enligt lagen om färdtjänst till en trafikhuvudman, se avsnitt 3.3.
3.2. Riksfärdtjänsten
Med riksfärdtjänst avses resor mellan kommuner, där kommunen ger tillstånd och lämnar ersättning för kostnader utöver normala reskostnader för personer som till följd av ett stort och varaktigt funktionshinder måste resa på ett särskilt kostsamt sätt. När det gäller riksfärdtjänst är det således fråga om att lämna ersättning för reskostnaden i stället för att tillhandahålla en tjänst, men det inträffar dock att kommunerna också tillhandahåller resetjänsten. Bestämmelser om riksfärdtjänst finns i lagen (1997:735) om riksfärdtjänst.
Av 4 § lagen om riksfärdtjänst framgår att frågor om tillstånd prövas av den kommun där den sökande är folkbokförd. Kommunen kan överlåta sina uppgifter enligt lagen till en trafikhuvudman, se avsnitt 3.3.
3.3. Länstrafikansvariga och trafikhuvudman
Länstrafikansvariga
Enligt lagen (1997:734) om ansvar för viss kollektiv persontrafik skall det i varje län finnas länstrafikansvariga som ansvarar för den lokala och regionala kollektivtrafiken för persontransporter. I allmänhet är landstinget och kommunerna i länet gemensamt länstrafikansvariga. I Stockholms län är landstinget länstrafikansvarigt och i Gotlands län kommunen. Landstingen och kommunerna i övriga län kan komma överens om att antingen landstinget eller kommunerna skall vara länstrafikansvariga.
Trafikhuvudmannen
Den juridiska person som handhar de länstrafikansvarigas uppgifter kallas trafikhuvudman. Av 5 § lagen om ansvar för viss kollektiv persontrafik framgår att en trafikhuvudman som grundregel skall
vara ett kommunalförbund. Är de som är länstrafikansvariga överens, kan trafikhuvudmannen också vara ett aktiebolag. I ett sådant bolag skall de länstrafikansvariga inneha samtliga aktier. Ett landsting som ensamt är länstrafikansvarigt eller en kommun som ensam är länstrafikansvarig skall emellertid alltid vara trafikhuvudman.
Trafikhuvudmannens uppgifter vad avser färdtjänsten
Enligt 4 § lagen (1997:736) om färdtjänst får kommunen, efter överenskommelse med landstinget, om det hör till de länstrafikansvariga, överlåta sina uppgifter till trafikhuvudmannen i länet. Begreppen länstrafikansvariga och trafikhuvudman har samma innebörd i denna lag som i lagen om ansvar för viss kollektiv persontrafik.
De uppgifter som kan överlåtas till trafikhuvudmannen är ansvaret för att anordna färdtjänsten och uppgifter som innefattar myndighetsutövning, bl.a. prövning av frågor om tillstånd till färdtjänst. Uppgifter av praktisk natur vad avser färdtjänsten, exempelvis uppgiften att utföra själva transporten eller beställningsverksamheten kan en kommun utan stöd i lagen uppdra åt annan, se Lagrådets yttrande prop. 1996/97:115 s. 120 ff.
Om kommunen har överlåtit sina uppgifter till trafikhuvudmannen övertar denne också kommunens ansvar och skyldigheter. Trafikhuvudmannen skall då ansvara för att färdtjänst anordnas i en sådan kommun. Om det föreligger särskilda skäl kan trafikhuvudmannen vara skyldig att anordna färdtjänst mellan den kommunen och andra kommuner. Trafikhuvudmannen skall vidare pröva frågor om tillstånd till färdtjänst, vilket dock inte utesluter att kommunen svarar för beredningen av ärendet. I förarbetena till lagen om färdtjänst (prop. 1996:97:115 s. 41) anförde regeringen följande. En skyldighet för trafikhuvudmannen att i varje tillståndsärende låta kommunen yttra sig bör införas. Om så befinns lämpligt kan trafikhuvudmannen och kommunen komma överens om att ansökan ges in direkt till kommunen, som då bereder ärendet.
Kommunen kan då också ge förslag till beslut, inkl. vilka villkor som bör gälla för tillståndet (färdmedel, antal resor per tidsperiod, geografisk räckvidd, om ledsagare behövs, om samåkning är möjlig osv.) varefter trafikhuvudmannen beslutar.
Trafikhuvudmannens uppgifter vad avser riksfärdtjänsten
I likhet med vad som gäller för färdtjänsten får kommunens uppgifter vad avser riksfärdtjänsten och som innefattar myndighetsutövning överlåtas till trafikhuvudmannen i länet. Bestämmelsen finns i 3 § lagen (1997:735) om riksfärdtjänst. En överenskommelse om överlåtelsen skall dock ske med landstinget, om det hör till de länstrafikansvariga. De uppgifter som här avses är endast prövning av frågor om tillstånd till riksfärdtjänst, eftersom kommunen inte har någon skyldighet att tillhandahålla en tjänst utan i stället en skyldighet att lämna ersättning för reskostnaden. Uppgifterna får bara överlåtas till trafikhuvudmannen i länet och kan således inte överlåtas till en annan kommun eller ett landsting, om inte detta är länstrafikansvarigt och trafikhuvudman i länet.
4. Register med personuppgifter inom färdtjänsten och riksfärdtjänsten
Det är utredningens uppfattning att automatiserade och manuella register med personuppgifter krävs för att kommuner, trafikhuvudmän, beställningscentraler och trafikutövare skall kunna fullgöra sina uppgifter inom färdtjänsten och riksfärdtjänsten. För att hantera sådana ärenden om tillstånd och för att kunna ge exempelvis trafikutövare inom färdtjänsten erforderlig information behövs register med uppgifter om bostadsadress, nödvändiga hjälpmedel vid transporter m.m.
4.1. Allmänt om tidigare personregister
Som framgått av föregående kapitel ersatte lagen (1997:736) om färdtjänst, som trädde i kraft den 1 januari 1998, dåvarande bestämmelser i socialtjänstlagen (1980:620) vad avsåg tillståndsgivning till färdtjänst. Lagen (1997:735) om riksfärdtjänst trädde i kraft samma dag och ersatte lagen (1993:963) om kommunal riksfärdtjänst.
Före angiven tidpunkt behandlades ärenden om färdtjänst i socialtjänstens verksamhet. Socialstyrelsens föreskrifter om personregister inom socialtjänsten (SOSFS 1981:126) tillämpades då för dessa ärenden. Utöver vad Socialstyrelsen föreskrev gällde dock datalagens (1973:289) bestämmelser, om personregistren fördes med hjälp av automatisk databehandling.
I Socialstyrelsens föreskrifter anfördes bl.a. följande. I personregistren får tas in sådana uppgifter som inte rör ömtåliga personliga förhållanden. Uppgifter som får tas in är i stället sådana som i allmänhet framstår som neutrala, exempelvis uppgifter om namn, personnummer och adress. Enligt 59 § andra stycket socialtjänstlagen får dock i personregistren tas in uppgifter om ömtåliga personliga förhållanden, när det är fråga om beslut som inom socialtjänsten fattas om den registrerade och som innebär myndig-
hetsutövning. Med myndighetsutövning avses som regel utövning av befogenhet att bestämma om förmån, rättighet, skyldighet etc.
Kommuner och trafikhuvudmän behövde tidigare ha tillstånd från Datainspektionen för att få inrätta och föra personregister för färdtjänsten och riksfärdtjänsten.
4.2. Nuvarande register inom färdtjänsten och riksfärdtjänsten
Personuppgiftslagen (1998:204) trädde i kraft den 24 oktober 1998 och samma dag upphörde datalagen (1973:289) att gälla. Enligt övergångsbestämmelser till personuppgiftslagen skulle dock datalagen i vissa avseenden tillämpas t.o.m. den 30 september 2001. Samtliga tillstånd från Datainspektionen upphörde att gälla den 30 september 2001, vilket innebär att de personregister som förts med sådant tillstånd numera helt innefattas av personuppgiftslagens bestämmelser.
För att undersöka behandlingen av personuppgifter i register inom färd- och riksfärdtjänsten har utredningen genomfört en enkätundersökning som vänt sig till vissa kommuner och trafikhuvudmän, se bilaga 2. Utredningen har vidare tagit del av ett flertal beslut från Datainspektionen. Nedan följer en kortfattad redovisning av vad som framkommit genom denna undersökning.
4.2.1. Register inom färdtjänsten
Såsom tidigare redovisats finns i dag ingen författningsreglering av vilka register som får föras av kommuner, trafikhuvudmän och enskilda vad avser färdtjänsten och riksfärdtjänsten. Sådana register har tidigare förts med tillstånd av Datainspektionen.
Den nedanstående redogörelsen av olika register med personuppgifter inom färdtjänsten är av förklarliga skäl inte fullständig, utan avsikten med redovisningen är att få en överskådlig uppfattning om vilka register som kan finnas, ändamålen med registren och en beskrivning av de uppgifter om de registrerade som skall behandlas. Det finns i vissa fall en redogörelse över mottagare till vilka uppgifterna kan komma att lämnas ut. I beskrivningen redovisas inte vilken kommun eller trafikhuvudman som inrättat eller för aktuellt register. Nedan lämnade redogörelse av olika
register är i vissa fall en sammanställning av uppgifter från kommuner och trafikhuvudmän. Utredningen har också inhämtat ett flertal tidigare beslut från Datainspektionen avseende olika register inom färdtjänsten och riksfärdtjänsten.
Det bör anmärkas att det finns olika typer av register med personuppgifter inom färdtjänsten och riksfärdtjänsten. Registren har olika innehåll och det finns registerlösningar av olika slag. Skillnaderna kan bero på en mängd olika förhållanden, exempelvis kommunens storlek, att vissa kommuner och trafikhuvudmän inte är anslutna till beställningscentraler och att några register förs manuellt. För att det över huvud taget skall kunna vara möjligt att beskriva och analysera sådana register inom färdtjänsten och riksfärdtjänsten som kan innehålla känsliga personuppgifter, har utredningen valt att kalla register som är relevanta i detta sammanhang för tillståndsregister respektive beställningsregister.
Register
Tillståndsregister: Registret används för att där dokumentera samtliga uppgifter om en person som ansöker om eller har beviljats färdtjänst eller riksfärdtjänst. Registret används för handläggning av ärenden, dvs. utredning, journalhantering, produktion av tillståndsbevis eller färdtjänstkort, diarieändamål och aktkontroll, hjälpmedel för utskrift och expediering av beslut samt för betalning av resorna. Registren skall vidare möjliggöra planering och utvärdering av verksamheten, bl.a. framtagande av olika avstämningsunderlag och bokföringsunderlag samt framställning av statistik. Tillståndsregistret innehåller uppgifter om bl.a. namn, adress, personnummer, beslutsunderlag, dvs. läkarintyg, utredning, uppgifter om den enskildes funktionsnedsättning, ansökan om färdtjänst, fotografi och den enskildes behov av särskilda hjälpmedel och service.
Beställningsregister: Vid beställning, dirigering och planering av resandet inom färdtjänsten och riksfärdtjänsten förs ibland uppgifter över till ett beställningsregister. Sådana uppgifter är exempelvis namn, adress, kundnummer, telefonnummer, om specialfordon eller annan utrustning krävs och om samåkning med andra resenärer är möjlig. I andra system lämnar kommunen eller trafikhuvudmannen normalt inte ut några uppgifter till trafikutövaren, utan i stället får den färdtjänstberättigade ett plastkort
som används som färdbevis när resa sker med trafikutövaren. På färdbeviset anges bl.a. om ledsagare har rätt att följa med och om speciella riktlinjer gäller för resan. Ett beställningsregister används för planering, samordning och beställning av resor. Registret används också för planering och utvärdering av verksamheten, t.ex. framtagande av avstämningsunderlag, samt framställning av statistik. Vidare nyttjas ett sådant register för annan administration av resor, t.ex. betalning av resorna.
Register med uppgifter om resor: Registren används för att kontrollera utförda uppdrag och för att samla alla uppgifter rörande beställningar, uppdrag och utförda resor för statistisk behandling.
Syftet med registren är också att kontrollera inkommande taxameterdata och att hålla ett bokföringsmaterial. Registren innehåller uppgifter om bl.a. resebeställningar, transportuppdrag, resdatum, reslängd, restid och personnummer.
Register för ekonomi och redovisning: Registret används för bokföring, redovisning, kundfakturering och leverantörsbetalningar och innehåller uppgifter om namn, adress, resdag, avgiftsgrund m.m.
Leverantörsregister: Registren används för att kunna fördela uppdrag till rätt leverantör.
Gemensamma frågor för tillstånds- och beställningsregister
Tillstånds- och beställningsregister kan vara separata eller sammankopplade, vilket innebär att register kan finnas på två olika ställen, dels hos kommunen respektive trafikhuvudmannen, dels hos beställningscentralen.
Vad avser tillståndsregistret förefaller handläggare som bedömer rätt till färdtjänst och den som är ansvarig för registret ha direkt åtkomst till uppgifter i ett sådant register. Färdtjänsthandläggare och beställningsmottagare har som regel direkt åtkomst till uppgifter i ett beställningsregister.
4.2.2. Register inom riksfärdtjänsten
Av utredningens enkätundersökning framgår att s.k. tillståndsregister och beställningsregister finns även inom riksfärdtjänsten. Vissa kommuner och trafikhuvudmän anordnar således också resor för dem som är berättigade till riksfärdtjänst, trots att kommunen
respektive trafikhuvudmannen inte har någon skyldighet att tillhandahålla en tjänst utan i stället en skyldighet att lämna ersättning för reskostnaden. Dessa s.k. tillståndsregister och beställningsregister har motsvarande innehåll som beskrivna register inom färdtjänsten.
Inom riksfärdtjänsten kan givetvis också förekomma register med uppgifter om resor, register för ekonomi och redovisning m.m.
5. Överväganden och förslag
5.1. Allmänna utgångspunkter
Enligt utredningens bedömning får automatiserade och manuella register anses vara en nödvändig förutsättning för en effektiv och ändamålsenlig behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten. Exempel på vilka register som kan förekomma i dessa verksamheter finns redovisat i kapitel 4. Verksamheterna inom färdtjänsten och riksfärdtjänsten innefattar en betydande hantering av personuppgifter och i vissa fall sker en direkt eller indirekt behandling av känsliga personuppgifter som rör hälsa. De aktuella registren berör vidare ett stort antal individer.
För behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten gäller personuppgiftslagen (1998:204). Den första frågan utredningen har att ta ställning till är om det finns behov av särskild författningsreglering av behandlingen av personuppgifter i angivna verksamheter. Vid denna bedömning har utredningen att belysa huruvida avvikelser eller preciseringar är motiverade i förhållande till personuppgiftslagens bestämmelser.
Med hänsyn till den begränsade tid som utredningen har till sitt förfogande för att lämna delbetänkandet omfattar övervägandena i första hand huruvida det finns behov av särskild författningsreglering i förhållande till personuppgiftslagens bestämmelser om bl.a. ändamål, behandling av känsliga uppgifter, personuppgiftsansvar, bevarande och gallring och enskildas rättigheter, t.ex. skadestånd. En mer ingående analys av vissa registerfrågor inom färdtjänsten och riksfärdtjänsten får ske i slutbetänkandet.
Ändamålet med behandling av personuppgifter är en av de viktigaste frågorna vid tillämpningen av personuppgiftslagen. En ändamålsbestämmelse anger den allmänna ramen för registrens innehåll och på vilket sätt registren kan användas. Det är enligt utredningens uppfattning viktigt att ändamålen med de register som blir föremål för särskild författningsreglering uttrycks så att
det inte uppstår konflikter med hur registren i praktiken skall användas.
Det är av vikt att en särskild registerförfattning innehåller bestämmelser om behandling av känsliga personuppgifter, se avsnitt 5.4.2, för att undvika att sådan behandling står i strid med dataskyddsdirektivet eller personuppgiftslagen. Aktuella bestämmelser måste utformas så att de harmonierar med ändamålet med ett register.
Om det förekommer behandling av personuppgifter i personuppgiftslagens mening finns det någon eller några som är personuppgiftsansvariga för den behandlingen. En personuppgiftsansvarig kan ådömas skadestånd om behandlingen av personuppgifter inte sker i överensstämmelse med lagen. Vid särskild författningsreglering av register finns det två alternativa lösningar till frågan om personuppgiftsansvar. I det första alternativet anges det direkt i författningen vem som är personuppgiftsansvarig. I det andra alternativet berörs inte personuppgiftsansvaret i den särskilda registerförfattningen, vilket medför att frågan om vem som är personuppgiftsansvarig får avgöras genom en tillämpning av personuppgiftslagen. Utredningen redovisar i avsnitt 5.4.3 överväganden om vilket alternativ som är mest lämpligt i en registerförfattning för färdtjänsten och riksfärdtjänsten.
I dataskyddsdirektivet och personuppgiftslagen regleras inte uttryckligen frågan om sökmöjligheter och sökbegränsningar. Indirekt regleras dock sökmöjligheter genom den s.k. finalitetsprincipen i 9 § första stycket d) personuppgiftslagen. Förekomsten av många sökbegrepp kan öka risken för integritetsintrång och i registerförfattningar förekommer därför att användningen av registeruppgifter som sökbegrepp begränsas. Enligt utredningen bör den rättsliga regleringen av vilka sökbegrepp som skall vara tillåtna analyseras.
En annan viktig fråga är när uppgifter i ett register skall gallras. En alltför omfattande gallring i ett register kan medföra att det inte kommer att finnas tillräckligt med material för t.ex. planering och uppföljning av verksamheten. En alltför begränsad gallring kan få till följd att känsliga uppgifter om den enskilde onödigtvis sparas, vilket kan upplevas som integritetskränkande. Utredningens överväganden redovisas i avsnitt 5.4.5.
Bestämmelser om bl.a. skadestånd och rättelse, se avsnitten 6.1 och 6.2, gäller endast för brott mot personuppgiftslagen. Fråga uppkommer därför om det finns behov av liknande bestämmelser i en särskild registerförfattning.
Även utredningens överväganden i fråga om behovet av andra bestämmelser i en särskild registerförfattning för färdtjänsten och riksfärdtjänsten redovisas nedan.
Särskilt om personuppgiftslagen
Regeringen har tillsatt en särskild utredare med uppgift att se över personuppgiftslagen, Utredningen om översyn av personuppgiftslagen, Ju 2002:02. Utredaren skall inom ramen för dataskyddsdirektivet utforma ett regelverk som mera tar sikte på att förhindra missbruk av personuppgifter, samtidigt som reglerna om hur uppgifterna får behandlas lättas upp. Utredningen skall vara klar senast den 31 mars 2003.
Det är mot bakgrund av att arbetet med nämnda utredning ännu pågår inte möjligt att beakta den utredningens arbete i nu aktuellt författningsärende. Det kan dock senare finnas anledning att närmare belysa vilka överväganden som gjorts av Utredningen om översyn av personuppgiftslagen.
5.2. Personuppgiftslagen eller särskild registerförfattning
Utredningens förslag: Kommuners och trafikhuvudmäns
behandling av personuppgifter som sker automatiserat eller manuellt inom färdtjänsten och riksfärdtjänsten i tillståndsregister och beställningsregister skall författningsregleras särskilt i förordning. Förordningen skall även tillämpas på behandling av personuppgifter i ett beställningsregister som utförs av en enskild, om den enskilde enligt avtal med en kommun eller en trafikhuvudman om utförande av resor enligt lagen (1997:736) om färdtjänst eller lagen (1997:735) om riksfärdtjänst eller enligt avtal om en beställningscentral redan för ett sådant register den dag förordningen träder i kraft. En registrerad skall inte ha rätt att motsätta sig behandling som är tillåten enligt denna förordning. Tillståndsregister och beställningsregister skall definieras som register som motsvarar ändamålen med sådana register.
Utredningens bedömning: Personuppgifter i övriga register
inom färdtjänsten och riksfärdtjänsten skall behandlas enligt personuppgiftslagens (1998:204) bestämmelser. Det finns inte
behov av någon särskild författningsreglering avseende behandling av personuppgifter i löpande text.
Personuppgiftslagen är en generell lagstiftning som reglerar behandling av personuppgifter. Om avvikande bestämmelser meddelas i lag eller förordning gäller dessa framför personuppgiftslagen.
Fråga uppkommer då om automatiserad och manuell behandling av personuppgifter i färdtjänsten och riksfärdtjänsten medför ett behov av särskild författningsreglering eller om det är tillräckligt att personuppgiftslagen är direkt tillämplig på behandlingen.
När behandling av personuppgifter är tillåten
I kapitel 4 har redovisats exempel på olika register som används inom färdtjänsten och riksfärdtjänsten. Det som avgör om dessa register även fortsättningsvis kan användas utan särskild författningsreglering, är om behandlingen innefattas i det tillåtna området som sätts upp av personuppgiftslagens bestämmelser.
I 10 § personuppgiftslagen finns det en fullständig uppräkning av i vilka fall behandling av personuppgifter är tillåten. Om en behandling inte kan hänföras till någon av de rättsliga grunder för behandling av personuppgifter som anges i lagrummet, är behandlingen otillåten och får inte genomföras. Är det fråga om behandling av känsliga personuppgifter eller personnummer m.m. måste behandlingen dessutom vara tillåten enligt bestämmelserna i 13 22 §§.
Enligt 10 § personuppgiftslagen får personuppgifter behandlas om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig av vissa uppräknade orsaker. Enligt Datalagskommittén, SOU 1997:39 s. 359, kan nödvändighetskravet inte rimligen innebära att det skall vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av dataskyddsdirektivet. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas automatiserat eller manuellt i register.
Av intresse för färdtjänsten och riksfärdtjänsten är framför allt 10 § e) personuppgiftslagen om myndighetsutövning, men punkten
b) om rättslig skyldighet kan också vara av intresse i detta sammanhang.
Av 10 § e) personuppgiftslagen framgår att personuppgifter får behandlas om det är nödvändigt för att kunna utföra en
arbetsuppgift i samband med myndighetsutövning. Myndighetsutövningen skall utföras av den personuppgiftsansvarige själv eller av en tredje man till vilken uppgifterna har lämnats ut. Den aktuella bestämmelsen tillåter sannolikt en stor del av den behandling av personuppgifter som utförs inom den offentliga sektorn. Enligt Datalagskommittén, SOU 1997:39 s. 362, bör man till dess att något annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighetsutövning omfattas av lagrummet.
Enligt 10 § b) personuppgiftslagen får personuppgifter behandlas om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet. En definition av rättslig skyldighet skulle kunna vara sådana skyldigheter som grundar sig på författningsbestämmelser, se SOU 1997:39 s. 360.
Datoriserade och manuella register med personuppgifter är enligt utredningens mening nödvändiga för att kommunerna och trafikhuvudmännen skall kunna fullgöra sina uppgifter inom färdtjänsten och riksfärdtjänsten gentemot de ca 420 000 personer som är berättigade till färdtjänst och de ca 26 000 som är berättigade till riksfärdtjänst. Nödvändighetsrekvisitet är således uppfyllt.
Med myndighetsutövning avses sådan offentlig verksamhet som innebär utövande av befogenhet att för enskild bestämma förmån, rättighet, skyldighet, disciplinpåföljd eller annat jämförbart förhållande, se prop. 1985/86:80 s.55. Att pröva frågor om tillstånd till färdtjänst och riksfärdtjänst får betraktas som myndighetsutövning, även om det exempelvis är ett aktiebolag som prövar en sådan fråga.
Av lagen (1997:736) om färdtjänst och lagen (1997:735) om riksfärdtjänst framgår att varje kommun ansvarar för färdtjänsten och riksfärdtjänsten för sina invånare. Detta ansvar kan överlåtas till trafikhuvudmannen i länet. En behandling av personuppgifter kan då vara nödvändig för att angivna juridiska personer skall kunna fullgöra sina rättsliga skyldigheter.
Enligt utredningens uppfattning bör det således vara möjligt för kommuner och olika trafikhuvudmän att med stöd av aktuella bestämmelser i personuppgiftslagen fortsätta att föra olika register med anknytning till färdtjänsten och riksfärdtjänsten till den del de inte innehåller känsliga personuppgifter. Någon särskild författningsreglering är inte nödvändig för sådana register. Behandling av personuppgifter i tillståndsregister och beställningsregister behöver emellertid regleras särskilt, se nedan.
Såsom redovisats är personuppgiftslagen generellt tillämplig på all behandling av personuppgifter inte bara i register utan även i
löpande text, t.ex. ordbehandlingsdokument. Enligt 8 § personuppgiftsförordningen (1998:1191) är det tillåtet att behandla känsliga uppgifter i löpande text, om uppgifterna har lämnats i ett ärende eller nödvändiga för handläggningen av det. Utredningen finner därför inte något behov av särskild författningsreglering i detta avseende.
Behandling av känsliga uppgifter m.m.
I 13 § personuppgiftslagen föreskrivs ett principiellt förbud mot att behandla vad som enligt lagrummet är att beteckna som känsliga personuppgifter. För sådana uppgifter är det således inte tillräckligt att de krav som uppställs i 10 § personuppgiftslagen är uppfyllda för att behandling skall vara tillåten. Känsliga uppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv. Av intresse för färdtjänsten och riksfärdtjänsten är enligt utredningens uppfattning i detta fall endast uppgifter som rör hälsa. Av 14 § personuppgiftslagen framgår att förbudet mot behandling av känsliga personuppgifter inte gäller om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen.
Det är i detta sammanhang inte möjligt att i detalj beskriva varje automatiserat och manuellt register med personuppgifter som förs inom färdtjänsten och riksfärdtjänsten, eftersom olika kommuner och trafikhuvudmän har olika sådana register. Av särskilt intresse för detta utredningsuppdrag får anses vara sådana register som utredningen betecknar tillståndsregister och beställningsregister, eftersom dessa som regel innehåller känsliga uppgifter som rör hälsa.
Av enkätundersökningen, se avsnitt 4.2, framgår att uppgifter om personers funktionsnedsättningar, allergier och hjälpmedel vid transporter (exempelvis rullstol, ledarhund m.m.) i vissa fall behandlas i tillståndsregister och beställningsregister inom färdtjänsten. Det förekommer att känsliga uppgifter också behandlas i sådana register som avser riksfärdtjänsten. Uppgifter som direkt rör hälsotillstånd, exempelvis angivande av funktionsnedsättning, liksom uppgifter som indirekt rör hälsotillståndet, exempelvis rullstol eller ledarhund, tillhör kategorin känsliga personuppgifter om hälsa. Känsliga personuppgifter får inte behandlas utan särskilt författningsstöd, utom i de undantagsfall som anges i person-
uppgiftslagen. Mot bakgrund av redovisningen ovan förefaller det vara endast ett undantag som är av intresse för färdtjänsten och riksfärdtjänsten, nämligen uttryckligt samtycke.
Antalet personer som har tillstånd till färdtjänst är, som tidigare anförts, ca 420 000 och antalet personer som har tillstånd till riksfärdtjänst är ca 26 000. Att begära samtycke av dessa personer torde med hänsyn till antalet tillstånd vara både besvärligt och kostsamt. Detta sammantaget med utredningens uppfattning om att det finns behov av att behandla sådana känsliga uppgifter i register inom färdtjänsten och riksfärdtjänsten för att kommunerna, trafikhuvudmännen, beställningscentraler och trafikutövare skall kunna fullgöra sina uppgifter i dessa verksamheter utgör tillräckliga skäl för en särskild författningsreglering.
Av 8 kap. 5 § regeringsformen framgår att föreskrifter om kommunernas befogenheter och om deras åligganden skall meddelas i lag. Kommunernas och trafikhuvudmännens ansvar när det gäller färdtjänsten och riksfärdtjänsten följer av lag och i detta ansvar får anses ingå att administrera verksamheten, så att denna kan fullgöras på ett ändamålsenligt sätt, exempelvis genom behandling av personuppgifter. Allmänna föreskrifter om behandling av personuppgifter finns också i personuppgiftslagen. Enligt utredningens uppfattning utgör den nämnda bestämmelsen i regeringsformen inte något hinder mot att nu aktuell registerförfattning regleras i förordning.
Konstitutionsutskottet har dock i sina av riksdagen godkända betänkanden (bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48) anfört att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll skall regleras särskilt i lag. Regeringen har delat konstitutionsutskottets bedömning (prop. 1990/91:60 s. 58 och 1997/98:44 s. 41). Kommunernas och trafikhuvudmännens behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten i tillstånds- och beställningsregister är enligt utredningens mening av sådan karaktär och omfattning att vissa principer för sådan behandling bör slås fast i lag. Detsamma gäller för behandling av personuppgifter som en enskild utför i ett beställningsregister. I kommittédirektiven till nu aktuell utredning uttalas emellertid att det är angeläget att en författningsreglering kommer till stånd så snart som möjligt, varför regleringen under en övergångsperiod bör ske i förordning.
Personuppgiftslagen, som i detta avseende har samma tillämpningsområde som dataskyddsdirektivet, omfattar såväl
automatiserad behandling av personuppgifter som manuell behandling av personuppgifter i register. Med register avses enligt dataskyddsdirektivet varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. För manuella register gäller särskilda övergångsbestämmelser, om registret fanns eller påbörjades innan personuppgiftslagen trädde i kraft, vilket medför att flera bestämmelser i personuppgiftslagen inte blir tillämpliga på ett sådant manuellt register förrän år 2007. Enligt vad utredningen erfarit förekommer manuella tillstånds- och beställningsregister inom färdtjänsten och riksfärdtjänsten i ytterst begränsad omfattning. Trots detta är det utredningens uppfattning att sådana register bör omfattas av den särskilda författningsregleringen.
Det är således endast den behandling av personuppgifter som sker automatiserat och manuellt inom färdtjänsten och riksfärdtjänsten i tillståndsregister och beställningsregister som skall författningsregleras särskilt i förordning. För tydlighetens skull bör sådana register definieras, se avsnitt 5.4.1. Det är vidare utredningens uppfattning att nu föreslagen förordning skall vara tillämplig när det är kommuner och trafikhuvudmän som behandlar personuppgifter i nämnda register. Förordningen bör dock även gälla för en enskilds behandling av personuppgifter i ett beställningsregister, om den enskilde enligt avtal med en kommun eller en trafikhuvudman om utförande av resor enligt lagen (1997:736) om färdtjänst eller lagen (1997:735) om riksfärdtjänst eller enligt avtal om en beställningscentral redan för ett sådant register den dag förordningen träder i kraft, se avsnitt 5.4.3.
För övriga register inom färdtjänsten och riksfärdtjänsten bör personuppgiftslagen fortsatt vara ensam tillämplig på behandlingen av personuppgifter.
Den registrerades rätt att motsätta sig behandling av uppgifter
Enligt artikel 14 a) i dataskyddsdirektivet skall medlemsstaterna tillförsäkra den registrerade rätten att när som helst av avgörande och berättigade skäl som rör den registrerades personliga situation motsätta sig behandling av uppgifter som rör honom eller henne. Detta gäller åtminstone i de fall som avses i bl.a. artikel 7 e), av vilken framgår att personuppgifter får behandlas om detta är nödvändigt för att utföra en arbetsuppgift som är ett led i
myndighetsutövning, utom när den nationella lagstiftningen föreskriver något annat.
Av 12 § andra stycket personuppgiftslagen framgår att en registrerad, utöver vad som följer av 11 § och 12 § första stycket, inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt den lagen. Utformningen av bestämmelsen är sådan att den inte omfattar behandling som sker enligt bl.a. särskilda registerförfattningar. Det finns skäl att anta att de som är i behov av eller redan är berättigade till färdtjänst eller riksfärdtjänst inte skulle motsätta sig sådan behandling av personuppgifter, som t.ex. en kommun utför korrekt med stöd av nu aktuell förordning, eftersom behandlingen är en förutsättning för att färdtjänsten respektive riksfärdtjänsten skall kunna fungera på ett effektivt och ändamålsenligt sätt. Enligt utredningens uppfattning bör trots detta uttryckligen anges att behandling av personuppgifter som är tillåten enligt förordningen får utföras även om den registrerade motsätter sig behandlingen.
5.3. Användning av personnummer
Utredningens bedömning: Personuppgiftslagens (1998:204)
bestämmelser om personnummer bör gälla när personuppgifter behandlas inom färdtjänsten och riksfärdtjänsten.
Enligt 22 § personuppgiftslagen får uppgifter om personnummer och samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller av något annat beaktansvärt ändamål. Syftet med bestämmelsen är att det beträffande varje enskilt register skall göras en intresseavvägning mellan de skäl som gör att behandlingen av personnummer och samordningsnummer är påkallade, mot behovet av ett fullgott skydd för den personliga integriteten.
Enligt utredningens uppfattning bör inte denna reglering avseende samordningsnummer vara av något större intresse för färdtjänsten eller riksfärdtjänsten, eftersom det för varje folkbokförd person fastställs ett personnummer, se 18 § folkbokföringslagen (1991:481). En enskilds rätt till färdtjänst eller riksfärdtjänst förutsätter nämligen att man är folkbokförd i en kommun.
Ett personnummer är en enhetlig och en för varje person särskiljande och varaktig identitetsbeteckning. Det är ett billigt och säkert instrument för identifiering av enskilda. Ett personnummer är vidare kort och det är lätt att kontrollera. En användning av personnummer inom färdtjänsten och riksfärdtjänsten kan exempelvis bidra till att förväxlingar av resenärer undviks och att transportmedlen utnyttjas effektivt vilket påverkar bl.a. kostnaderna för färdtjänsten.
Med beaktande av vad som anförts ovan är det utredningens uppfattning att registrering av personnummer inom färdtjänsten och riksfärdtjänsten även fortsättningsvis skall kunna ske utan särskild författningsreglering utöver personuppgiftslagen. Vid denna bedömning tas också hänsyn till de bestämmelser om sekretess som gäller inom dessa verksamheter till skydd för den enskildes personliga integritet. Det bör dock understrykas att kommuner, trafikhuvudmän m.fl. skall överväga behovet av att registrera personnummer beträffande varje enskilt register.
5.4. Författningsreglerad behandling av personuppgifter i ett tillståndsregister respektive ett beställningsregister
5.4.1. Ändamål
Utredningens förslag: Ett tillståndsregister skall få användas för
handläggning av ärenden enligt lagen (1997:736) om färdtjänst och lagen (1997:735) om riksfärdtjänst. Ett sådant register skall dessutom få användas för planering och utvärdering av färdtjänsten och riksfärdtjänsten samt för framställning av statistik.
Ett beställningsregister inom färdtjänsten och riksfärdtjänsten skall få användas för planering, samordning och beställning av resor. Ett sådant register skall dessutom få användas för annan administration av resor, för planering och utvärdering av färdtjänsten och riksfärdtjänsten samt för framställning av statistik.
I särskilda registerförfattningar är ändamålsbestämmelser av central betydelse, eftersom bestämmelserna anger den allmänna ramen för registrens innehåll och på vilket sätt den personuppgiftsansvarige får använda registren. Avgränsningen av de ändamål för vilka ett register får användas är därför av stor betydelse för skyddet av den
personliga integriteten. Enligt 9 § personuppgiftslagen (1998:204) får personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Av lagrummet framgår vidare att senare behandling inte får vara oförenlig med de ursprungliga ändamålen och att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen.
Behandling av personuppgifter i ett tillståndsregister eller ett beställningsregister inom färdtjänsten och riksfärdtjänsten kommer att omfatta känsliga personuppgifter, exempelvis uppgifter om den funktionshindrades behov av särskilt hjälpmedel. Det är därför viktigt att grundläggande krav ställs på behandlingen och att den tillgodoser den enskildes integritetsskydd. För att åstadkomma ett tillräckligt integritetsskydd är det lämpligt att specificera ändamålen för behandling av personuppgifter i tillståndsregister och beställningsregister.
Tillståndsregister
Av enkätundersökningen och av Datainspektionen tidigare meddelade beslut framgår att ett s.k. tillståndsregister används för bl.a. utredning om färdtjänst, diarieändamål, aktkontroll, statistik och för att de som beviljats resor skall ha möjlighet att få resor beställda och utförda enligt de tillstånd som givits.
Vad som framkommit visar enligt utredningens mening att ett tillståndsregister bör få användas för handläggning av ärenden enligt lagen om färdtjänst och lagen om riksfärdtjänst. I begreppet handläggning ingår bl.a. utredning om färdtjänst och riksfärdtjänst, utredning om vilka behov den enskilde har avseende resor, journalhantering, diarieföring, aktkontroll, produktion av tillståndsbevis eller färdtjänstkort, hjälpmedel för utskrift och expediering av beslut, betalningsadministration för resorna samt delgivningsrutiner. Ett sådant register bör också få användas för framställning av statistik. Enligt utredningens uppfattning är det vidare av mycket stort värde för kommuner och trafikhuvudmän att få använda ett tillståndsregister för att ta fram underlag för planering och utvärdering av den egna verksamheten, även om det inte sker uteslutande i statistisk form. Det kan i detta avseende vara fråga om att ta fram olika avstämningsunderlag eller bokföringsunderlag.
Beställningsregister
Vad som framkommit vid utredningens enkätundersökning och analys av Datainspektionens tidigare beslut visar att ändamålet med ett beställningsregister kan vara att möjliggöra planering, samordning och beställning av resor, exempelvis bokning av ett fordon till den färdtjänstberättigade och utskrift av en körorder till en trafikutövare. För att kommuner, trafikhuvudmän, beställningscentraler och trafikutövare skall kunna fullgöra sina uppgifter inom färdtjänsten och riksfärdtjänsten är det motiverat att uppgifter i ett beställningsregister får behandlas för de ändamål som nyss nämnts. Enligt utredningens uppfattning bör ett beställningsregister också få användas för planering och utvärdering av den egna verksamheten, t.ex. för att ta fram avstämningsunderlag eller bokföringsunderlag eller för kontroll av att trafikutövaren utfört en beställd resa. Ett sådant register bör vidare få användas för framställning av statistik. Ett beställningsregister bör också få användas för annan administration av resor, t.ex. vid betalning av resorna m.m.
5.4.2. Innehåll
Utredningens förslag: Det skall införas bestämmelser för att tillåta
hanteringen av känsliga personuppgifter som rör hälsa enligt 13 § personuppgiftslagen (1998:204) i tillståndsregister och beställningsregister, utan att något samtycke behövs från de som ansöker om eller redan är berättigade till färdtjänst eller riksfärdtjänst.
För att känsliga uppgifter om hälsa skall få registreras i ett tillståndsregister skall krävas att uppgifterna har lämnats i ett ärende om färdtjänst eller riksfärdtjänst eller är nödvändiga för ändamålen med ett sådant register.
I ett beställningsregister skall man få behandla sådana känsliga uppgifter som rör hälsa som anges i bilaga till föreslagen förordning, om uppgifterna har lämnats i ett ärende om färdtjänst eller riksfärdtjänst eller är nödvändiga för ändamålen med ett sådant register.
En reglering av innehållet i ett register har stor betydelse för skyddet av den personliga integriteten. Behovet av skydd förstärks när de uppgifter som behövs är av känslig natur. Känsliga personuppgifter får inte behandlas utan särskilt författningsstöd, utom i de undantagsfall som anges i personuppgiftslagen. Av 20 §
personuppgiftslagen framgår dock att regeringen får meddela ytterligare undantag från förbudet mot att behandla känsliga uppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I ett tidigare lagstiftningsärende (prop. 2000/01:80 s.144) har gjorts bedömningen att det är ett viktigt allmänt intresse att socialtjänsten kan utföra sina arbetsuppgifter på ett tillfredställande sätt.
Tillståndsregister
Av utredningens enkätundersökning och beslut från Datainspektionen framgår att ett tillståndsregister kan innehålla uppgifter om bl.a. funktionshinder, behov av hjälpmedel eller av särskilt fordon och av service. Ett sådant register kan också innehålla uppgifter om bl.a. ärendets handläggning, medicinsk utredning i övrigt, personnummer och adress.
Med hänsyn till alla de uppgifter som kan ingå i ett tillståndsregister, exempelvis uppgifter om en utredning om tillstånd skall ges till färdtjänst, är det inte möjligt eller lämpligt att i detalj beskriva vilka uppgifter som skall få registreras i ett sådant automatiserat eller manuellt tillståndsregister.
Personuppgiftslagen innehåller emellertid ett principiellt förbud mot att behandla personuppgifter som rör bl.a. hälsa. Vissa av uppgifterna i ett tillståndsregister, exempelvis om en persons funktionshinder eller behovet av hjälpmedel, får betecknas som sådana känsliga personuppgifter. Från förbudet gäller undantag bl.a. vid uttryckligt samtycke från den registrerade. Det undantaget är dock besvärligt och kostsamt att använda när det gäller register som rör personer berättigade till färdtjänst eller riksfärdtjänst, se avsnitt 5.2. För att känsliga uppgifter om hälsa skall kunna registreras i kommunernas och trafikhuvudmännens tillståndsregister måste detta därför uttryckligen framgå av annan lag eller förordning. I detta sammanhang bör det framhållas att kommuner och trafikhuvudmän har behov av att kunna behandla sådana känsliga personuppgifter för att klara sina åligganden inom färdtjänsten och riksfärdtjänsten. Att kommuner och trafikhuvudmän skall ges möjlighet att utföra sina arbetsuppgifter inom färdtjänsten och riksfärdtjänsten på ett tillfredställande sätt är enligt utredningens uppfattning ett viktigt allmänt intresse. Känsliga personuppgifter bör därför få behandlas i ett tillståndsregister under förutsättning att uppgifterna har lämnats i ett ärende
om färdtjänst eller riksfärdtjänst eller är nödvändiga för de ändamål som i föreslagen förordning särskilt anges för ett tillståndsregister.
Behandling i ett tillståndsregister av andra känsliga personuppgifter som nämns i 13 § personuppgiftslagen skall vara förbjuden, om inte annat följer av personuppgiftslagen.
Beställningsregister
I ett beställningsregister finns sådana uppgifter om färdtjänstberättigade som är av särskilt intresse för beställningscentraler och trafikutövare. Det är fråga om uppgifter som är nödvändiga för att anordna en resa. I ett beställningsregister behövs uppgifter bl.a. om specialfordon eller annan utrustning krävs, om samåkning med andra resenärer är möjlig, behov av ledsagare eller ledarhund, placering i fordonet, resebeställningar, adresser, telefonnummer, portkoder m.m. Det förekommer att beställningsregister används också inom riksfärdtjänsten.
I ett beställningsregister finns således uppgifter om den enskilde är exempelvis rullstolsburen eller har ledarhund, uppgifter som enligt utredningens mening får anses röra hälsa. I likhet med vad som bör gälla för ett tillståndsregister måste det därför uttryckligen framgå av annan lag eller förordning, om känsliga uppgifter som rör hälsa skall kunna registreras utan uttryckligt samtycke i ett s.k. beställningsregister. Det får anses vara ett viktigt allmänt intresse att kommuner, trafikhuvudmän, beställningscentraler och trafikutövare skall kunna ges möjlighet att utföra sina arbetsuppgifter inom färdtjänsten och riksfärdtjänsten på ett tillfredställande sätt. I detta arbete är ett beställningsregister av central betydelse.
I avsnitt 2.3 finns en redogörelse för att sekretess i ärenden om färdtjänst och riksfärdtjänst gäller för alla uppgifter om enskilds personliga förhållanden. Trots sekretessen finns det en begränsad möjlighet för en tillståndsgivare att till en beställningscentral för transporter och till en trafikutövare lämna ut sådana uppgifter som behövs för att anordna transporten. Bestämmelserna om sekretess sammantaget med ändamålet med ett beställningsregister, dvs. att möjliggöra t.ex. planering, samordning och beställning av resor, medför att förekomsten av känsliga personuppgifter om hälsa bör vara betydligt mindre omfattande än i ett tillståndsregister. Det kan därför vara lämpligt att specificera vilka uppgifter rörande hälsa som får registreras i ett automatiserat eller manuellt beställnings-
register. Till en förordning om behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten bör det därför fogas en bilaga med specificering av sådana uppgifter. I bilagan bör således inte en fullständig uppräkning göras av vilka uppgifter som får förekomma i ett beställningsregister, utan endast redovisas vilka uppgifter om hälsa som får förekomma i ett sådant register.
Följande uppgifter som indirekt kan röra hälsa bör få förekomma i ett beställningsregister.
Uppgifter om den färdtjänstberättigades behov av:
N hjälpmedel, exempelvis rullstol, rollator eller krycka,
ledarhund etc. som används vid förflyttning eller andra hjälpmedel, t.ex. medicinsk utrustning
N specialfordon N ledsagare N viss placering i fordonet N ett sanerat fordon, exempelvis uppgifter om att pälshår inte
får förekomma i fordonet
N viss annan service för att transporten skall kunna utföras,
t.ex. uppgifter om att den färdtjänstberättigade behöver viss hjälp av chaufför etc.
N viss annan anpassning av fordonet, t.ex. att ett säte måste
justeras eller tas bort
I ett beställningsregister bör vidare få förekomma uppgifter om samåkning med andra resenärer är möjlig.
De angivna känsliga uppgifterna får behandlas i ett beställningsregister under förutsättning att uppgifterna har lämnats i ett ärende om färdtjänst eller riksfärdtjänst eller är nödvändiga för de ändamål som i förordningen särskilt anges för ett beställningsregister. Det är således utredningens uppfattning att det är nödvändigt för bl.a. beställningscentraler och enskilda trafikutövare, såsom ett taxiföretag, att få tillgång till angivna uppgifter om hälsa i ett beställningsregister.
Andra uppgifter om hälsa, exempelvis den enskildes funktionsnedsättning eller diagnos och övriga känsliga personuppgifter enligt 13 § personuppgiftslagen är således förbjudna att behandla i ett automatiserat eller manuellt beställningsregister, om inte annat följer av personuppgiftslagen.
5.4.3. Personuppgiftsansvar och personuppgiftsbiträde
Utredningens bedömning: Frågan om vem som är person-
uppgiftsansvarig för behandling av personuppgifter i ett tillståndsregister eller ett beställningsregister skall avgöras efter en tillämpning av bestämmelserna i personuppgiftslagen (1998:204). Personuppgiftsansvaret för ett beställningsregister bör dock åvila kommunen eller trafikhuvudmannen även i de fall dessa myndigheter inte sköter och administrerar ett beställningsregister, om registret inte förs när förordningen träder i kraft. Om ett privat bolag administrerar ett beställningsregister bör detta ske i egenskap av personuppgiftsbiträde.
Personuppgiftsansvarig
Av 3 § personuppgiftslagen framgår att med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. I 9 § personuppgiftslagen anges de grundläggande kraven på den personuppgiftsansvariges behandling av personuppgifter. Den personuppgiftsansvarige skall se till bl.a. att personuppgifter endast behandlas i överensstämmelse med lag och att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed. Den personuppgiftsansvarige ansvarar gentemot de registrerade för att de grundläggande kraven alltid uppfylls vid behandlingen av personuppgifter. Detta ansvar gäller även om den personuppgiftsansvarige har anlitat ett personuppgiftsbiträde eller utsett ett personuppgiftsombud. Vidare innebär personuppgiftsansvaret skyldigheter att bl.a. lämna information till den registrerade, att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas och att ersätta den registrerade för skada som åstadkommits på grund av felaktig behandling av personuppgifter, se 23 27 §§, 31 och 48 §§personuppgiftslagen.
Det finns två alternativa lösningar till hur frågan om personuppgiftsansvar skall regleras. I det första alternativet anges det direkt i författningen vem som är personuppgiftsansvarig. I det andra alternativet berörs inte personuppgiftsansvaret i den särskilda registerförfattningen. Det sistnämnda alternativet medför att personuppgiftslagens bestämmelser gäller och att frågan om vem
som är personuppgiftsansvarig får avgöras genom en tillämpning av den lagen.
En fördel med det förstnämnda alternativet är att det blir enklare för den enskilde att få rätt gentemot den personuppgiftsansvarige, om avgränsningsfrågor kan undvikas genom en bestämmelse som klart uttalar vem som bär personuppgiftsansvaret. Detta alternativ kan dock vara svårt att tillämpa om aktuell lagstiftning berör många olika aktörer.
Inom färdtjänsten och riksfärdtjänsten kan det förekomma flera olika aktörer. Kommunen är i och för sig huvudman för båda dessa verksamheter men kan överlåta sina uppgifter till trafikhuvudmannen i länet, vilken kan vara t.ex. ett kommunalförbund eller ett aktiebolag.
Kommunens uppgifter fullgörs av den eller de nämnder som kommunfullmäktige bestämmer. Ansvaret för färdtjänsten ligger i de flesta kommuner kvar på socialnämnden. Ansvarig nämnd för färdtjänsten och riksfärdtjänsten kan också vara t.ex. en färdtjänstnämnd, en teknisk nämnd eller en kommundelsnämnd. I ett informationsblad från Datainspektionen anges att i en kommun är normalt både kommunstyrelsen och de kommunala nämnderna, om de är så självständiga att de är förvaltningsmyndigheter, personuppgiftsansvariga, var och en i sin verksamhet. Enligt informationsbladet är det inte möjligt att generellt ange vilket organ i kommunen som är personuppgiftsansvarigt, utan de faktiska omständigheterna måste prövas i varje enskilt fall, exempelvis om nämnden självständigt förfogar över de personuppgifter som behandlas.
Det kan således vara svårt att med stöd av endast personuppgiftslagen fastställa vem som är personuppgiftsansvarig, vilket talar för att det i en författning om register inom färdtjänsten och riksfärdtjänsten uttryckligen bör anges vem eller vilka som är personuppgiftsansvariga. Samtidigt måste det emellertid noga analyseras hur ett sådant uttryckligt ansvar skall regleras, för att en sådan författningsreglering inte skall binda upp kommuner och andra trafikhuvudmän vid en viss ordning i fråga om förande av de aktuella registren. Av tidsskäl är det dock inte möjligt att göra en sådan ingående analys i detta delbetänkande. Enligt utredningens uppfattning är det därför lämpligt att personuppgiftsansvaret tills vidare avgörs genom en prövning enligt personuppgiftslagens allmänna bestämmelse. I de flesta fall torde det inte uppstå några problem, eftersom det kan förväntas att ansvaret för att föra ett
register och behandla uppgifter i detta på något sätt kommer till uttryck genom interna överenskommelser, arbetsordningar m.m. Utredningen återkommer till frågan om personuppgiftsansvar i slutbetänkandet.
Personuppgiftsansvar och förordningens tillämpningsområde
Med hänsyn bl.a. till gällande bestämmelser om sekretess, förutsätter utredningen att ett tillståndsregister inte sköts och administreras av annan än tillståndsgivaren till färdtjänst eller riksfärdtjänst, dvs. en kommun eller en trafikhuvudman.
Ett beställningsregister kan däremot administreras av bl.a. en kommun, en trafikhuvudman och ett aktiebolag, t.ex. ett privat taxibolag. Det är utredningens ståndpunkt att i de fall en kommun eller någon annan trafikhuvudman inte sköter och administrerar ett beställningsregister bör personuppgiftsansvaret för ett sådant register ändå åvila kommunen eller trafikhuvudmannen. Anledningen härtill är att det finns känsliga personuppgifter i ett beställningsregister. Vidare har uppgifterna i ett beställningsregister anknytning till uppgifterna i ett tillståndsregister och är i vissa fall direkt överförda från det sistnämnda registret, vilket finns hos kommunen eller trafikhuvudmannen. Det är därför utredningens förslag att förordningen skall omfatta kommuners och trafikhuvudmäns behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten i tillstånds- och beställningsregister. Förordningen bör dock även omfatta enskildas behandling av personuppgifter i ett beställningsregister, om den enskilde enligt avtal med en kommun eller trafikhuvudman om utförande av resor enligt lagen (1997:736) om färdtjänst eller lagen (1997:735) om riksfärdtjänst eller avtal om en beställningscentral redan för ett sådant register när förordningen träder i kraft, se vidare nedan.
Personuppgiftsbiträde
Såsom tidigare redovisats är det utredningens uppfattning att personuppgiftsansvaret för ett beställningsregister bör åvila kommunen eller trafikhuvudmannen även i de fall dessa myndigheter inte sköter ett sådant register. Enligt utredningens mening bör kommuner och olika trafikhuvudmän tillämpa personuppgifts-
lagens bestämmelser om personuppgiftsbiträde i förhållande till privata taxibolag m.fl. Om ett privat bolag sköter ett beställningsregister bör detta alltså ske i egenskap av personuppgiftsbiträde. Det är dock utredningens förslag att nu aktuell förordning också skall omfatta en enskilds behandling av personuppgifter i ett beställningsregister, om den enskilde enligt avtal med en kommun eller en trafikhuvudman om utförande av resor enligt lagen om färdtjänst eller riksfärdtjänst eller enligt avtal om en beställningscentral redan för ett sådant register när förordningen träder i kraft. Utredningens synpunkter avseende personuppgiftsbiträden har således betydelse främst för register som inte förts före nämnda dag.
Av 30 § personuppgiftslagen framgår att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Enligt datalagskommitténs betänkande, SOU 1997:39 s. 408, framgår det inte klart av dataskyddsdirektivet hur pass utförliga instruktioner en personuppgiftsansvarig måste lämna ett personuppgiftsbiträde. Enligt kommittén bär den personuppgiftsansvarige ansvaret för att instruktionerna är så tydliga att otillåten behandling inte kommer att utföras. Det var kommitténs uppfattning att syftet med bestämmelserna får antas vara bl.a. att var och en som arbetar med personuppgifter skall veta åtminstone vilka ändamålen med behandlingen är och att behandling som är oförenlig med dessa ändamål är förbjuden. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Skriftlighetskravet innebär att avtalet måste vara uttryckt i text, men texten kan finnas antingen på papper eller i elektronisk form. Något krav på att avtalshandlingen skall vara undertecknad finns inte, se prop. 1997/98:44 s. 134. I avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som anges i 31 § första stycket personuppgiftslagen. Det sagda innebär att avtalet särskilt skall föreskriva att personuppgiftsbiträdet är skyldigt att vidta de säkerhetsåtgärder som den personuppgiftsansvarige är skyldig att vidta enligt lagen. Det bör i detta sammanhang anmärkas att det är den personuppgiftsansvarige och inte personuppgiftsbiträdet som har ansvaret gentemot de registrerade för att olika krav vid behandlingen av personuppgifter
är uppfyllda. Personuppgiftslagens bestämmelser om personuppgiftsbiträde är tillämpliga utan att en särskild hänvisning ges till lagen och utan att en särskild föreskrift lämnas om sådant biträde i nu aktuell förordning.
Det bör vidare anmärkas att det är av största vikt för att ett förfarande med personuppgiftsbiträde skall fungera på ett tillfredställande sätt, att kommuner och trafikhuvudmän agerar som personuppgiftsansvariga och att ett avtal om personuppgiftsbiträde upprättas på ett korrekt sätt, dvs. i överensstämmelse med personuppgiftslagen.
Enskilds behandling av personuppgifter i ett beställningsregister
Om tillämpningsområdet för nu aktuell förordning begränsas till att avse endast kommuners och trafikhuvudmäns behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten i tillståndsregister och beställningsregister, kommer en enskilds behandling av sådana uppgifter i ett beställningsregister att regleras enbart av personuppgiftslagen, om den enskilde inte är personuppgiftsbiträde åt en kommun eller en trafikhuvudman. Detta skulle medföra att en enskild som enligt tidigare avtal med en kommun eller en trafikhuvudman för ett beställningsregister inte skulle kunna fortsätta behandla känsliga uppgifter som rör hälsa utan uttryckligt samtycke från den registrerade.
Såsom redovisats är det utredningens uppfattning att vem som är personuppgiftsansvarig för behandling av personuppgifter i bl.a. ett beställningsregister tills vidare skall avgöras efter en tillämpning av personuppgiftslagen. Det är vidare utredningens ståndpunkt att i de fall en kommun eller trafikhuvudman inte sköter och administrerar ett beställningsregister, personuppgiftsansvaret för ett sådant register ändå bör åvila kommunen eller trafikhuvudmannen. Denna bedömning har påverkat förordningens tillämpningsområde. Nämnda frågor är komplicerade och kommer att bli föremål för ytterligare överväganden i slutbetänkandet. För att övergångsvis undvika problem är det utredningens mening att det är skäligt att ett beställningsregister som administreras av enskild den dag förordningen träder i kraft, enligt utredningens förslag den 1 september 2003, skall omfattas av förordningens bestämmelser. Härigenom kan redan befintliga register som förs av enskild få användas i vart fall övergångsvis. För att förordningen skall bli
tillämplig på ett sådant register krävs givetvis dessutom att anpassningar görs så att det föreligger överensstämmelse mellan registret och förordningens bestämmelser.
Det bör i detta sammanhang understrykas att föreslagen förordning inte utgör hinder mot att privata beställningscentraler även fortsättningsvis, med samtycke från de registrerade personerna, är personuppgiftsansvariga för ett beställningsregister utan att några anpassningar sker i förhållande till förordningens bestämmelser.
5.4.4. Sökbegränsningar
Utredningens förslag: Det skall finnas begränsningar i möjlig-
heten att söka i tillståndsregister och beställningsregister. Som sökbegrepp skall endast få användas personnummer, namn, telefonnummer och kundnummer samt andra liknande uppgifter som identifierar en person. Som sökbegrepp i sådana register får dessutom användas ärendenummer och andra liknande uppgifter som identifierar ett ärende.
Vid planering och utvärdering av färdtjänsten och riksfärdtjänsten samt vid framställning av statistik skall i stället samtliga uppgifter utom de som identifierar en person eller ett ärende få användas som sökbegrepp.
En myndighet är enligt tryckfrihetsförordningen i princip skyldig att använda alla uppgifter som sökbegrepp för att ta fram den information som någon begär att få ta del av. Ett utlämnande skall emellertid alltid föregås av en sekretessprövning. Av 2 kap. 3 § tryckfrihetsförordningen framgår dock att en myndighets befogenhet att göra sammanställningar av upptagningar, t.ex. automatiserade register, tillgängliga för egen räkning kan begränsas genom lag, eller förordning. Rättsliga begränsningar av detta slag kan ske genom föreskrifter om sökbegrepp i ett register. En sådan föreskrift innebär enligt nämnda lagrum i tryckfrihetsförordningen att sammanställningen i fråga inte är en allmän handling.
Kommuner och trafikhuvudmän m.fl. är för närvarande inte genom författning underställda några egentliga begränsningar när det gäller möjligheterna att söka i registren inom färdtjänsten och riksfärdtjänsten. Av utredningens enkätundersökning och tidigare beslut från Datainspektionen framgår att kommuner och trafikhuvudmän i huvudsak använder endast personnummer, namn,
telefonnummer och eventuella kundnummer som sökbegrepp i tillstånds- och beställningsregister. Enligt vad utredningen erfarit förekommer det dock att andra sökbegrepp än de nu redovisade används vid sökning i register inom färdtjänsten och riksfärdtjänsten, t.ex. adresser, ärendenummer, utförda resor, färdsätt, funktionskoder (kan vara ett specifikt nummer som är knutet till en viss funktionsnedsättning), ålder osv. Det är dock utredningens uppfattning att det är viktigt att sökbegrepp som är känsliga ur integritetssynpunkt används i mycket begränsad omfattning eller inte alls. Konsekvensen av en sådan begränsning är normalt att varken myndigheten eller en enskild kan få ta del av information genom användande av vissa sökbegrepp. Genom ett sådant förfarande uppnås ett ökat integritetsskydd, men samtidigt begränsas registrets användbarhet, exempelvis vid framtagande av uppgifter för statistik. Uppgifterna som ingår i tillståndsregister och beställningsregister kan delvis vara av känslig beskaffenhet. Det kan gälla uppgifter om t.ex. en funktionsnedsättning men också uppgifter om behov av olika hjälpmedel vid förflyttning. Förekomsten av känsliga uppgifter i registren talar för att tillåtna sökbegrepp bör begränsas.
Utredningen har inte något att invända mot att de sökbegränsningar som i dag synes tillämpas för vissa av registren inom färdtjänsten och riksfärdtjänsten ges fortsatt giltighet. Det bör därför uttryckligen framgå av förordningen att tillåtna sökbegrepp är bl.a. personnummer, namn, telefonnummer och kundnummer. Enligt utredningens mening bör det inte heller finnas hinder mot att använda andra liknande uppgifter som identifierar en person, t.ex. en adress, som sökbegrepp. Vidare förefaller ett ärendenummer vara ett viktigt sökbegrepp för att bl.a. handlägga tillståndsärenden, eftersom ett sådant nummer givetvis har anknytning till ett pågående ärende eller ett redan fattat beslut. Att använda ärendenummer som sökbegrepp kan vidare medföra att personnummer, namn etc. utnyttjas i mer begränsad omfattning vid sökning i ett register, vilket torde vara en fördel ur integritetssynpunkt. Som sökbegrepp bör också få användas andra liknande uppgifter som identifierar ett ärende. De sistnämnda uppgifterna skall således självständigt och direkt identifiera vilket ärende det är fråga om.
Mot en sådan begränsning av sökbegrepp som redovisas ovan kan anföras att ändamålen med tillståndsregister och beställningsregister inbegriper planering och utvärdering av färdtjänsten och riksfärdtjänsten samt framställning av statistik. Det ligger i sakens
natur att det är svårt att utföra en arbetsuppgift inom ramen för dessa ändamål om det endast är tillåtet att använda nyssnämnda sökbegrepp. Det är därför utredningens uppfattning att sökbegränsningen bör få en annan utformning vid planering och utvärdering samt vid framställning av statistik. Det är svårt att nu bestämma exakt vilka uppgifter som är obehövliga vid sådana arbeten, men enligt utredningens mening torde det inte finnas något större behov av uppgifter om personnummer, namn, telefonnummer och kundnummer eller andra liknande uppgifter som identifierar en person vid exempelvis framställning av statistik. Det är sannolikt inte heller nödvändigt att i detta sammanhang använda ärendenummer som sökbegrepp. Enligt utredningens uppfattning torde det däremot finnas ett behov av att använda bl.a. känsliga uppgifter som sökbegrepp vid framställning av statistik för utvärdering och planering av verksamheten, eftersom t.ex. uppgifter om hur många färdtjänstberättigade i en kommun som är rullstolsburna kan påverka kommunens eller trafikhuvudmannens val vid upphandlingen av en trafikutövare. Även uppgifter om t.ex. ålderskategorier bör kunna användas som sökbegrepp. Det bör särskilt anmärkas att det är viktigt att sakuppgifter och identitetsuppgifter är åtskilda vid planering och utvärdering av färdtjänsten och riksfärdtjänsten samt vid framställning av statistik, så att enskilda inte kan identifieras i dessa sammanhang. I föreslagen förordning anges därför att endast andra uppgifter än sådana som identifierar personer eller ärenden får användas som sökbegrepp vid planering och utvärdering av verksamheten samt vid framställning av statistik.
5.4.5. Bevarande och gallring
Utredningens bedömning: Uppgifter i tillståndsregister och
beställningsregister skall tills vidare bevaras och gallras enligt bestämmelserna i personuppgiftslagen (1998:204).
Regler om bevarande och gallring av allmänna handlingar hos myndigheter finns i arkivlagen (1990:782). Enligt lagen är huvudregeln att allmänna handlingar skall bevaras. Av 10 § arkivlagen framgår att allmänna handlingar får gallras. Gallringen skall ske på ett sådant sätt att kvarvarande arkivmaterial kan tillgodose rätten att ta del av allmänna handlingar, rättsskipningens
och förvaltningens behov av information samt forskningens behov. I annan lag eller förordning får finnas avvikande bestämmelser om gallring som tar över arkivlagens bestämmelser. Av 8 § andra stycket arkivlagen framgår att kommunstyrelsen är arkivmyndighet i kommunen och landstingsstyrelsen i landstinget, om inte kommunfullmäktige eller landstingsfullmäktige har utsett någon annan nämnd eller styrelse till arkivmyndighet. Enligt 16 § samma lag får kommunfullmäktige eller landstingsfullmäktige meddela föreskrifter om arkivvården inom kommunen, i den utsträckning något annat inte är särskilt föreskrivet. Det är således kommuner och landsting som bestämmer vilka gallringsbestämmelser för allmänna handlingar som skall gälla inom dessa myndigheter.
I 9 § i) första stycket personuppgiftslagen anges att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste de avidentifieras eller förstöras. Personuppgifter får dock behandlas under längre tid för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter får också bevaras om en gallring av dem skulle hindra fullgörandet av en myndighets skyldighet att lämna ut uppgifter enligt 2 kap. tryckfrihetsförordningen, se 8 § första stycket personuppgiftslagen. Vidare anges i andra stycket sistnämnda lagrum att bestämmelserna i lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
I tillstånds- och beställningsregister inom färdtjänsten och riksfärdtjänsten samlas förhållandevis stora mängder uppgifter om enskilda personer. Dessa uppgifter kan i vissa avseenden vara integritetskänsliga. Enligt regeringens bedömning finns det behov av klara och enkla regler om gallring i de lagar som skall reglera behandling av personuppgifter i myndighetsverksamhet, se prop. 2000/01:33 s. 117. Det är således nödvändigt att närmare utreda behovet av särskilda bestämmelser om bevarande och gallring vad avser uppgifter i tillståndsregister och beställningsregister och då göra en avvägning mellan bl.a. integritetsintresset och offentlighetsintresset, varav sistnämnda intresse ställer krav på att vissa uppgifter bevaras för framtiden. Av tidsskäl har det dock inte varit möjligt att göra en sådan analys i detta delbetänkande. Uppgifter i tillstånds- och beställningsregister bör därför tills vidare bevaras och gallras enligt bestämmelserna i personuppgiftslagen, vilka i detta fall är tillämpliga utan att någon hänvisning till den lagen är nödvändig. Det bör åter anmärkas att bestämmelserna i
personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
5.4.6. Särskilt om beställningscentraler och trafikutövare samt direktåtkomst
Utredningens förslag: Endast den som för de ändamål som gäller
för ett beställningsregister behöver ha tillgång till uppgifterna skall få ha direktåtkomst till uppgifter i ett sådant register. Direktåtkomst får endast omfatta de uppgifter som behövs för att anordna resor.
Allmänt
En beställningscentral kan administreras av exempelvis en kommun, en trafikhuvudman eller ett privat taxibolag. Ett av de effektivaste sätten att sänka kommunernas och andra trafikhuvudmäns kostnader för färdtjänsten är att samordna resor. Det kan ske genom att flera personer samtidigt reser i ett fordon eller att viss planering sker avseende resorna, bl.a. vad avser färdväg. Det förekommer också att samordning sker mellan färdtjänsten och andra samhällsbetalda resor, t.ex. sjukresor och skolskjutsar. För att kunna tillgodogöra sig sådana möjligheter till samordning är det som regel nödvändigt med en gemensam beställningscentral.
I likhet med vad som gäller för beställningscentraler finns det både samhällsägda och privatägda trafikutövare, dvs. trafikutövandet kan skötas av exempelvis en kommun eller ett taxiföretag.
Direktåtkomst
Det ligger inte inom utredningens uppdrag att göra en översyn av behandlingen av personuppgifter i register i samband med anordnandet av sjukresor, skolskjutsar eller andra samhällsbetalda resor. Utredningen vill dock påpeka att det i och för sig inte finns något direkt hinder mot att en och samma beställningscentral i sitt arbete med anordnande av transporter samordnar information om t.ex. både färdtjänst- och sjukreseberättigade personer. Om man vill att nu föreslagen förordning skall vara tillämplig på behandling
av personuppgifter i en gemensam beställningscentral, i stället för att personuppgiftslagen är fullt tillämplig på sådan behandling, krävs emellertid att uppgifterna i ett beställningsregister avseende färdtjänstberättigade och eventuellt riksfärdtjänstberättigade behandlas i överensstämmelse med bestämmelserna i utredningens förslag.
Att den som har bestämmanderätt över ändamålen med och medlen för behandling av personuppgifter, dvs. den personuppgiftsansvarige, skall ha tillgång till uppgifterna i sina egna register får anses klart. Det finns därför endast behov av särskilda bestämmelser om direktåtkomst, om någon annan än den personuppgiftsansvarige behöver ha tillgång till uppgifterna i ett register.
Såsom tidigare redovisats organiseras färdtjänsten och riksfärdtjänsten inte på samma sätt hos olika kommuner och trafikhuvudmän. Detta medför givetvis också skillnader i uppbyggnaden och hanteringen av register i nyssnämnda verksamheter. Av den enkätundersökning som utredningen gjort framkommer att uppgifter som behövs för att anordna en resa i vissa fall överförs från ett tillståndsregister till ett beställningsregister. Vidare framgår det att en handläggare som har att bedöma tillstånd till färdtjänst och riksfärdtjänst kan ha tillgång till uppgifterna i både tillstånds- och beställningsregistret medan en beställningsmottagare, dvs. viss personal i beställningscentralen, endast har tillgång till uppgifter i det sistnämnda registret.
Enligt vad utredningen erfarit förekommer det att annan än den personuppgiftsansvarige har tillgång till uppgifterna i ett beställningsregister, t.ex. om beställningscentralen är privatägd. Från integritetssynpunkt är det angeläget att direktåtkomst till uppgifterna i ett beställningsregister inte är vidare än vad som behövs med hänsyn till de ändamål för vilka uppgifterna behandlas. Tillgång till uppgifterna i ett beställningsregister bör begränsas så att direktåtkomst enbart ges den som behöver uppgifterna för att kunna utföra sitt arbete. Uppgifterna får naturligtvis inte användas för något annat än de ändamål för vilka ett beställningsregister får föras.
Av redovisningen i avsnitt 2.3, framgår att sekretess gäller i ärenden om tillstånd till färdtjänst och riksfärdtjänst för uppgifter om en enskilds personliga förhållanden, om uppgiftslämnaren inte är säker på att uppgifterna kan lämnas ut utan att den enskilde lider men. Direktåtkomst till sekretessbelagda uppgifter kräver att det finns en sekretessbrytande bestämmelse som tillåter att uppgifterna lämnas ut. Sådana bestämmelser finns i 15 § lagen (1997:736) om
färdtjänst och 12 § lagen (1997:735) om riksfärdtjänst. Utredningens förslag till reglering av direktåtkomst är i överensstämmelse med dessa bestämmelser.
Enligt 31 § personuppgiftslagen skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Det ankommer således på den personuppgiftsansvarige att t.ex. utforma nödvändiga system för behörighetskontroll m.m., vilket är viktigt med hänsyn till att ett beställningsregister innehåller uppgifter som indirekt kan beröra enskilda personers hälsa.
6. Enskildas rättigheter
6.1. Rättelse
Utredningens förslag: De bestämmelser om rättelse som finns i
personuppgiftslagen (1998:204) skall gälla även behandlingar som utförts i strid med nu aktuell förordning.
Av 28 § personuppgiftslagen framgår att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen eller föreskrifter som har utfärdats med stöd av lagen. Med blockering avses att en uppgift förknippas med information om att den är spärrad för annat utlämnande än vad som anges i 2 kap. tryckfrihetsförordningen. I lagrummet uttalas inte vilken av de alternativa metoderna som skall väljas i olika situationer och den personuppgiftsansvarige får således välja själv. Att en uppgift behandlas i strid med personuppgiftslagen kan innebära antingen att uppgiften är felaktig eller att den används på ett felaktigt sätt i verksamheten. Det sistnämnda fallet bör t.ex. vara för handen när behandlingen av en personuppgift inte sker i överensstämmelse med ändamålet med registret.
Bestämmelserna om rättelse gäller endast för brott mot personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen, vilket betyder bl.a. att rättelse enligt lagrummet inte kan ske vid brott mot bestämmelser i s.k. särskilda registerförfattningar, som gäller framför personuppgiftslagen. Den enskilde bör ha möjlighet till rättelse av uppgifter som behandlas enligt nu aktuell förordning och det är därför nödvändigt att i denna förordning införa en hänvisning till bestämmelsen i personuppgiftslagen.
6.2. Skadestånd
Utredningens förslag: De bestämmelser om skadestånd som finns
i personuppgiftslagen (1998:204) skall gälla även behandlingar som utförts i strid med nu föreslagen förordning.
I avsnitt 2.6.9 finns en redogörelse för skadestånd enligt 48 § personuppgiftslagen. Av redogörelsen framgår bl.a. att den personuppgiftsansvarige skall ersätta den registrerade för den skada som en behandling av personuppgifter i strid med den lagen har orsakat. Bestämmelserna om skadestånd gäller således endast för brott mot personuppgiftslagen. Det är utredningens uppfattning att den enskilde bör ha samma förutsättningar till skadestånd om han eller hon lider skada av behandling som utförs i strid med nu aktuell förordning. I förordningen bör därför införas en hänvisning till bestämmelserna om skadestånd i personuppgiftslagen.
6.3. Information till den registrerade
Utredningens bedömning: Bestämmelserna i personuppgiftslagen
(1998:204) om den personuppgiftsansvariges informationsplikt bör gälla även när personuppgifter behandlas i ett tillståndsregister eller ett beställningsregister inom färdtjänsten eller riksfärdtjänsten.
Bestämmelser om vilken information den registrerade har rätt till då personuppgifter beträffande honom eller henne behandlas finns i 23 27 §§personuppgiftslagen. En redogörelse för dessa bestämmelser lämnas i avsnitt 2.6.4. När uppgifter om en person inhämtas från denne själv skall den personuppgiftsansvarige alltid självmant lämna information om behandlingen. Sådan information är obligatorisk, dvs. det finns inte möjlighet till undantag från denna informationsskyldighet. Det bör inte uppkomma några större problem för kommuner, trafikhuvudmän m.fl. att tillgodose sådan informationsskyldighet.
Om personuppgifter samlas in från någon annan än den registrerade skall information lämnas när uppgifterna registreras. Information behöver dock inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller
lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Det bör anmärkas att uppgifter om en sökande till färdtjänst eller riksfärdtjänst i första hand inhämtas från den sökande själv och att information inte behöver lämnas om sådant som den enskilde redan känner till. Av 16 § förvaltningslagen (1986:223) framgår att en sökande har rätt att ta del av det som har tillförts ärendet från annan än honom själv, om detta avser myndighetsutövning mot någon enskild. Den enskilde bör därför redan genom denna bestämmelse om kommunicering få information bl.a. om personuppgifter samlas in från någon annan än honom eller henne. Med hänsyn till det anförda torde informationsskyldigheten inte förorsaka kommuner, trafikhuvudmän eller enskilda några större svårigheter. Vad avser färdtjänsten och riksfärdtjänsten saknas det således skäl att göra undantag, vare sig genom utvidgning eller genom inskränkning, från den informationsskyldighet som föreskrivs i personuppgiftslagen.
6.4. Överklagande
Utredningens förslag: Ett beslut om att avslå en ansökan om
rättelse eller information enligt 26 § personuppgiftslagen (1998:204) skall i vissa fall få överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. En hänvisning skall göras till 22 § förvaltningslagen (1986:223) för att tydliggöra att alla beslut om rättelse eller information inte får överklagas.
I ett flertal särskilda registerförfattningar, bl.a. lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, finns bestämmelser om att ifrågavarande myndigheters beslut om rättelse eller information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol. I förarbetena till förstnämnda lag (prop. 2000/01:80 s. 159) framgår att regeringens uppfattning är att beslut angående behandling av personuppgifter som direkt rör den enskilde skall kunna överklagas. Enligt regeringen bör man därför kunna överklaga sådana beslut som redovisats ovan.
Det finns inte skäl till att i nu aktuellt författningsärende göra en annan bedömning än den regeringen tidigare gjort om överklagande. Enligt utredningens mening skall därför en kommuns eller en trafikhuvudmans beslut om att avslå en ansökan om information och om rättelse kunna överklagas som förvaltningsbeslut, jfr 10 kap. 3 § kommunallagen (1991:900). Besluten får således i enlighet med 22 a § förvaltningslagen. överklagas hos allmän förvaltningsdomstol och det bör krävas prövningstillstånd för överklagande till kammarrätten. Att materiellt reglera en enskilds rätt att överklaga beslut torde dock kräva författning i lag och det bör därför endast göras en hänvisning till 22 a § förvaltningslagen i nu aktuell förordning. Det bör emellertid understrykas att alla beslut om rättelse och information enligt 26 § personuppgiftslagen inte får överklagas, eftersom sådana beslut också kan fattas av andra än myndigheter, t.ex. ett privat taxiföretag som för ett beställningsregister. För att tydliggöra att vissa av nämnda beslut inte kan överklagas bör därför en hänvisning också göras till 22 § förvaltningslagen, i vilken framgår att ett beslut får överklagas av den som beslutet angår, om det har gått honom emot och beslutet kan överklagas.
Andra beslut som rör behandling av personuppgifter i tillståndsregister och beställningsregister kan inte överklagas.
7. Ekonomiska konsekvenser av förslagen
Utredningen gör den bedömningen att de förslag som innebär eventuella förändringar i de nuvarande färdtjänst- och riksfärdtjänstregistren kan medföra mindre kostnader av engångskaraktär för bl.a. kommuner och trafikhuvudmän. Kostnaderna förväntas därför kunna hanteras inom respektive myndighets budget.
Förslagen innebär att området för överklagande till allmän förvaltningsdomstol utökas. Domstolsprövning med anledning av förordningen förväntas förekomma i ytterst begränsad omfattning och bedöms därför inte påverka förvaltningsdomstolarnas resursbehov.
8. Ikraftträdande
För att de lämnade förslagen skall kunna genomföras fordras att berörda kommuner, trafikhuvudmän m.fl. får tid att förbereda vissa tekniska åtgärder avseende register, t.ex. för direktåtkomst och sökbegränsningar. Förordningen om viss behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten föreslås därför träda i kraft den 1 september 2003.
Av övergångsbestämmelserna till personuppgiftslagen (1998:204) framgår att beträffande skadestånd skall den lagens bestämmelser tillämpas bara om den omständighet som yrkandet hänför sig till har inträffat efter det att personuppgiftslagen har trätt i kraft. Motsvarande övergångsbestämmelse bör gälla avseende behandling enligt nu föreslagna förordning. Förordningens bestämmelser om skadestånd skall således tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att förordningen trätt i kraft. För behandling av personuppgifter som har påbörjats före ikraftträdandet kommer skadeståndsbestämmelserna i antingen datalagen (1973:289) eller personuppgiftslagen att vara tillämpliga.
För manuella register gäller särskilda övergångsbestämmelser i personuppgiftslagen och motsvarande bestämmelser bör finnas i nu ifrågavarande förordning. Med hänsyn härtill skall bestämmelserna i den nya förordningen inte börja tillämpas förrän den 1 oktober 2007, i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling av personuppgifter som utförs för ett visst ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
9. Författningskommentar
9.1. Förslag till förordning om viss behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten
1 §
Av 2 § personuppgiftslagen framgår att bestämmelser i lagar och förordningar som avviker från personuppgiftslagen gäller framför denna. För tydlighetens skull kan det dock ändå vara motiverat att det av förordningen uttryckligen framgår att den gäller utöver personuppgiftslagen.
Förordningen skall tillämpas vid kommuners och trafikhuvudmäns behandling av personuppgifter i ett tillståndsregister eller ett beställningsregister inom färdtjänsten eller riksfärdtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förordningen skall även tillämpas på behandling av personuppgifter i ett beställningsregister som utförs av en enskild, om den enskilde enligt avtal med en kommun eller en trafikhuvudman om utförande av resor enligt lagen om färdtjänst eller lagen om riksfärdtjänst eller enligt avtal om en beställningscentral för ett sådant register när förordningen träder i kraft, se avsnitten 5.2 och 5.4.3. Det bör i detta sammanhang understrykas att förslaget inte innebär något förbud mot att ett tillstånds- eller ett beställningsregister förs utan anpassningar i enlighet med förordningen. Personuppgiftslagens bestämmelser blir dock fullt tillämpliga på sådana register och är fortsatt tillämpliga på övriga register inom färdtjänsten och riksfärdtjänsten.
Begreppen behandling och personuppgifter definieras i 3 § personuppgiftslagen. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, exempelvis genom
insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är livet.
2 §
I avsnitt 3.3 lämnas en redovisning av trafikhuvudmannens uppgifter såvitt avser färdtjänsten och riksfärdtjänsten. Av utredningens enkätundersökning och av Datainspektionens tidigare beslut om register inom färdtjänsten och riksfärdjänsten framgår att känsliga personuppgifter enligt 13 § personuppgiftslagen som rör hälsa förekommer framför allt i register som utredningen betecknar tillståndsregister och beställningsregister. För tydlighetens skull definieras dessa register genom en hänvisning till ändamålsbestämmelserna i föreslagen förordning.
3 §
I paragrafen anges de ändamål för vilka personuppgifter i ett tillståndsregister får användas, nämligen handläggning av ärenden enligt lagen om färdtjänst och lagen om riksfärdtjänst. Ett sådant register får dessutom användas för planering och utvärdering av färdtjänsten och riksfärdtjänsten samt för framställning av statistik. Genom ändamålsbestämmelsen anges den yttre ramen för vad uppgifterna i ett tillståndsregister får användas till. Ändamålet har avgörande betydelse för vilka uppgifter som får tas in i registret och hur dessa uppgifter får behandlas. Bestämmelsen blir därför av stor vikt för den personliga integriteten. Det åligger den personuppgiftsansvarige att se till att uppgifterna i ett register används på ett sätt som står i överensstämmelse med registrets ändamål.
4 §
I bestämmelsen anges ändamålen med ett beställningsregister. Ett beställningsregisters ändamål kan vara planering, samordning och beställning av resor inom färdtjänsten och eventuellt riksfärdtjänsten. Ett sådant register kan dessutom användas för annan administration av sådana resor, för planering och utvärdering av verksamheten samt för framställning av statistik. Ett beställningsregister kan således användas t.ex. till framtagande av olika
avstämningsunderlag, bokföringsunderlag och kontroll av att resor blivit utförda.
5 §
I ett tillståndsregister får personuppgifter som rör hälsa behandlas, om uppgifterna har lämnats i ett ärende om färdtjänst eller riksfärdtjänst eller om sådana uppgifter är nödvändiga för de ändamål som sägs i 3 §. Bestämmelsen medför att kommuner och olika trafikhuvudmän inte längre behöver be om samtycke från färdtjänstberättigade för att kunna registrera sådana känsliga personuppgifter.
6 §
Ett beställningsregister får inte i samma omfattning som ett tillståndsregister innehålla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen som rör hälsa, utan får endast innehålla sådana uppgifter om hälsa som anges i bilaga till den föreslagna förordningen. Anledningen härtill är bl.a. att det inte finns ett lika stort behov av uppgifter om den enskildes hälsa i ett beställningsregister som i ett tillståndsregister. Det bör anmärkas att det i bilagan inte finns en fullständig uppräkning av vilka uppgifter som får förekomma i ett beställningsregister, utan endast en redovisning av vilka uppgifter om hälsa som får finnas i ett sådant register.
7 §
I paragrafen regleras bruket av sökbegrepp i tillståndsregister och beställningsregister. Se avsnitt 5.4.4.
8 §
Direktåtkomst omfattar vanligen hela registret och den som får direktåtkomst kan arbeta mot registret med sina frågor. Endast den som för de i 4 § angivna ändamålen behöver ha tillgång till uppgifterna får ha direktåtkomst till uppgifterna i ett beställningsregister. Direktåtkomst får endast omfatta de uppgifter som behövs för att anordna resor. Det finns endast behov av särskilda bestämmelser om direktåtkomst, om någon annan än den personuppgiftsansvarige har tillgång till uppgifterna i ett register. Enligt vad utredningen erfar bör detta komma i fråga endast avseende ett beställningsregister. Bestämmelsen är utformad i överensstämmelse med de sekretessbrytande bestämmelserna i 15 §
lagen om färdtjänst och 12 § lagen om riksfärdtjänst. De närmare övervägandena avseende detta förslag finns i avsnitt 5.4.6.
9 §
Personuppgiftslagens bestämmelser om rättelse och skadestånd är utformade så att dessa gäller vid överträdelse av den lagen. Genom aktuell paragraf görs personuppgiftslagens bestämmelser tillämpliga också då personuppgifter behandlas i strid med nu föreslagen förordning.
10 §
I bestämmelsen upplyses om att ett beslut om rättelse eller om avslag på ansökan om information i vissa fall får överklagas hos allmän förvaltningsdomstol.
Särskilt yttrande av Anders Hermansson, Märta-Lena Schwaiger, Björn Sundvall och Stig Wintzer
Frågan om vem som är personuppgiftsansvarig för behandling av de personuppgifter i register som omfattas av den föreslagna förordningen är inte reglerad i den av utredningen föreslagna författningstexten. Eftersom denna fråga är oreglerad gäller, som nämns i kapitel 5 i utredningens betänkande, personuppgiftslagens allmänna regler om personuppgiftsansvar.
Utredningens uppfattning är att personuppgiftsansvaret för ett s.k. beställningsregister alltid bör åvila en myndighet, i detta fall en kommunal nämnd eller en trafikhuvudman. Personuppgiftsansvaret bör enligt utredningen åvila den kommunala nämnden/trafikhuvudmannen också i de fall då en privat utförare anordnar tjänster av typen beställningscentral och färdtjänsttransporter (avsnitt 5.4.3 i betänkandet). Vi vänder oss bestämt mot ett sådant synsätt. PuL:s bestämmelse i 3 § om personuppgiftsansvar innebär att den som ensam eller tillsammans med annan bestämmer över ändamålet med och hjälpmedel för behandlingen av personuppgifter är personuppgiftsansvarig. Vidare utgår regleringen i 3 och 30-31 §§personuppgiftslagen (PuL) om personuppgiftsbiträde från att biträdet behandlar personuppgifter för en personuppgiftsansvarigs räkning. Den personuppgiftsansvarige äger alltså uppgifterna och kan rättsligt och faktiskt förfoga över dessa. I ett avtal mellan en kommun/trafikhuvudman och en privat utförare om anordnande av färdtjänsttransporter är så inte fallet, eftersom avtalet inte avser behandling av personuppgifter utan utförande av en tjänst. Utföraren bestämmer således med vilka hjälpmedel denne skall fullgöra sin del av avtalet och måste därför ges möjlighet att registrera uppgifter i de register som är bäst lämpade för utförarens egen verksamhet.
Teoretiskt skulle kunna man kunna tänka sig ett avtal mellan en kommun/trafikhuvudman och en privat utförare som anger att utföraren är personuppgiftsbiträde till kommunen/trafikhuvudmannen för behandling av uppgifter i ett beställningsregister.
Ett sådant avtal skulle dock strida mot den rättsliga grunden för avtal om personuppgiftsbiträde genom att de uppgifter som behandlas i verksamheten inte är kommunens/trafikhuvudmannens utan utförarens egna eftersom registret används som ett stöd i utförarens verksamhet för att utföra den avtalade tjänsten. Vidare löper avtal mellan en kommun/trafikhuvudman och en utförare oftast på flera år och kommunen/trafikhuvudmannen har ingen rättslig möjlighet att säga upp ett löpande avtal med utföraren för att reglera äganderätt till uppgifterna i de beställningsregister som utföraren arbetar med. Dessutom är det högst oklart om någon utförare frivilligt vill ingå ett avtal med en kommun/trafikhuvudman som innebär att uppgifterna de arbetar med inte är transportföretagets, utan en kommuns eller trafikhuvudmans. Detta är särskilt viktigt mot bakgrund av de konsekvenser ett sådant avtal skulle få för frågan om offentlighetsinsyn, bevarande och gallring av uppgifter m.m.
Ur nämndens/trafikhuvudmannens synvinkel skulle en reglering som innebär att de är personuppgiftsansvariga för den behandling av personuppgifter som utförs av en utförare medföra mycket stora praktiska problem samtidigt som den inte innebär några fördelar ur integritetssynpunkt. Det skulle t.ex. innebära att nämnden/trafikhuvudmannen har ansvaret för att tillse att personuppgiftsbehandlingen hos en utförare sker enligt PuL:s och förordningens krav. Vidare innebär detta att nämnden/trafikhuvudmannen har ansvaret för att verkställa en eventuell begäran från en registrerad om att erhålla s.k. registerutdrag enligt 26 § PuL. Dessutom har nämnden/trafikhuvudmannen skadeståndsansvaret enligt PuL för behandlingar i strid mot den föreslagna förordningen eller mot PuL som biträdet utför.
Enligt 30 § PuL gäller att ett personuppgiftsbiträde enbart får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Biträdet kan alltså inte självständigt vidta några åtgärder med register, programvara eller säkerhet utan måste alltid invänta instruktioner från uppdragsgivaren. Detta strider mot det rättsliga förhållandet mellan en huvudman och en självständig utförare. Det som är föremål för avtalet mellan beställaren och utföraren är inte heller behandlingen av personuppgifter, utan en driftentreprenad om anordnande av färdtjänsttransporter eller en beställningscentralsfunktion. Att i detalj styra utföraren vad gäller behandlingen av personuppgifter i verksamheten och samtidigt förbehålla sig äganderätten till de uppgifter som utföraren själv
påfört i registren strider mot den rättsliga konstruktionen. Så länge en privat utförare av färdtjänst är en självständig uppdragstagare finns inte heller några praktiska möjligheter för en kommun/trafikhuvudman att styra utföraren så hårt att denne kan ha nödvändig insyn och kontrollmöjligheter över personuppgiftsbehandlingen, vilket krävs för att vara säker på att behandlingen sker i enlighet med lagen.
I 1 § andra stycket i den av utredningen föreslagna förordning, stadgas att förordningen gäller behandling i beställningsregister hos en privat utförare under förutsättning att utföraren förde ett sådant register den 1 september 2003. För register hos privata utförare som upprättas efter detta datum gäller endast PuL:s regler. En sådan konstruktion innebär att känsliga personuppgifter inte kan införas i register som upprättas efter september 2003 utan samtycke från den registrerade. Vi menar att denna olikhet i regleringen beroende på när registret upprättades är orimlig. I sekretesslagen, 7 kap 37 §, finns en bestämmelse som innebär att sekretess gäller i ärende om tillstånd till färdtjänst eller riksfärdtjänst för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde, eller någon honom närstående lider men. Vidare gäller att uppgift utan hinder av sekretessen får lämnas till enskild enligt vad som föreskrivs i färdtjänstlagen. I 14 § färdtjänstlagen stadgas också att trots sekretess får en tillståndsgivare lämna ut uppgifter om enskildas personliga förhållanden till en beställningscentral för transporter eller en trafikutövare, om uppgifterna behövs för att anordna färdtjänsttransporter. Sekretesslagen tillåter alltså att känsliga uppgifter i PuL:s mening får lämnas till en privat utförare av färdtjänst. Det finns enligt vår mening ingen anledning att i denna förordning hindra att känsliga uppgifter behandlas i utförares datoriserade register när sekretesslagen och färdtjänstlagen tillåter att sådana uppgifter får hanteras i den private utförarens verksamhet.
Enligt PuL:s regler gäller att ett personuppgiftsbiträde blir skyldig att behandla personuppgifter i enlighet med PuL genom ett avtal med den personuppgiftsansvarige. Personuppgiftsbiträdet får alltså ingen direkt skyldighet enligt PuL eller den föreslagna förordningen att uppfylla de lagliga kraven utan blir bunden först genom avtalet med den personuppgiftsansvarige. Om ett avtal mellan en kommun/trafikhuvudman och en utförare skulle innehålla brister ifråga om parternas förpliktelser på ömse sidor kan denna konstruktion medföra oklarhet om vem som är personuppgiftsansvarig för en
viss behandling. Detta innebär således att det finns en uppenbar risk för rättsförluster för enskilda registrerade, vilket är en klar nackdel ur de registrerades synvinkel. Om kraven enligt PuL och den föreslagna förordningen däremot blir direkt gällande för den privata utföraren, alltså att denne blir personuppgiftsansvarig för sin behandling av personuppgifter, finns stora fördelar ur integritetsskyddssynpunkt.
I avsnittet 5.4.3 under rubriken ”Enskilds behandling av personuppgifter i ett beställningsregister” framgår att en privat utförare, med den föreslagna ordningen, i vissa fall kan anse vara personuppgiftsansvarig för sin behandling av personuppgifter. En sådan ordning innebär att det kan uppstå oklarheter för den registrerade vem som i ett konkret fall är personuppgiftsansvarig för behandling av personuppgifter hos en privat utförare. Detta är enligt vår mening mycket olyckligt. Vi menar därför att den föreslagna förordningen, efter förebild från 11 och 17 §§ i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, måste reglera frågan om personuppgiftsansvar. Vi kan inte heller finna några sakliga skäl till att regleringen av personuppgiftsansvaret skall se annorlunda ut för behandling av personuppgifter inom färdtjänsten än inom socialtjänsten. Förordningen bör därför utformas i enlighet med förordningen 2001:637, så att den kommunala nämnden/trafikhuvudmannen är personuppgiftsansvarig för den behandling som sker i dess verksamhet och en privat utförare är personuppgiftsansvarig för behandling av personuppgifter som sker i dess verksamhet. Genom en sådan ordning undanröjs eventuella oklarheter om vem som i ett konkret fall är personuppgiftsansvarig. Slutligen undanröjer en sådan ordning osäkerhet för den enskilde om huruvida ett avtal mellan ett personuppgiftsbiträde och en kommun/trafikhuvudman verkligen innebär att biträdet åläggs samma skyldigheter som den personuppgiftsansvarige har enligt lag.
Kommittédirektiv
Vissa färdtjänstfrågor Dir. 2002:108
Beslut vid regeringssammanträde den 22 augusti 2002.
Sammanfattning av uppdraget
En särskild utredare tillkallas med uppgift att N med utgångspunkt i Vägverkets redovisning av färdtjänstens
utveckling och tillstånd under perioden januari 1998 – september 2000 överväga behovet av ändringar i regelverket om färdtjänst,
N överväga om det är lämpligt att undanta samordningen av
beställning av sjuk- och färdtjänstresor i en beställningscentral från upphandlingskravet i lagen (1992:1528) om offentlig upphandling och i så fall hur ett sådant undantag bör författningsregleras, samt
N lämna förslag till hur behandlingen av personuppgifter i kom-
munernas och trafikhuvudmännens register över färdtjänstberättigade bör författningsregleras.
Bakgrund och behovet av en utredning
Historik om färdtjänsten
Under 1960-talet började färdtjänst anordnas som ett frivilligt åtagande från kommunernas sida. Färdtjänst sågs som en humanitär insats med generellt utformad service för personer som på grund av funktionshinder hade begränsad förflyttningsförmåga och därigenom inskränkt tillgång till kollektivtrafik. År 1970 hade ett hundratal av landets då 850 kommuner inrättat färdtjänst i organiserad form. Införande av statsbidrag för färdtjänst aktualiserades av Handikapputredningen i betänkandet (SOU 1970:64) ”Bättre socialtjänst åt handikappade”. Allt fler kommuner inrättade också färdtjänst och år 1974 fanns sådan i 90 % av kommunerna.
År 1980 hade färdtjänst inrättats i samtliga kommuner men det var först år 1982, i samband med att socialtjänstlagen trädde i kraft, som det blev en lagfäst skyldighet för kommunerna att tillhandahålla färdtjänst.
Rätten till insatser enligt socialtjänstlagen (1980:620) har sin grund i 1 § lagen, portalparagrafen, där det bl.a. stadgas att ”samhällets socialtjänst skall på demokratins och solidaritetens grund främja människornas ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet.” Fram t.o.m. år 1997 var färdtjänst en sådan i socialtjänstlagen angiven insats. Kommunen har enligt socialtjänstlagen skyldighet att tillhandahålla också andra insatser än de angivna, om den enskilde har behov av sådana. Färdtjänst som beviljades enligt socialtjänstlagens tidigare bestämmelser kunde därför, med socialtjänstlagens synsätt, ha andra grunder än ett faktiskt funktionshinder. Lagen innehöll inga krav på funktionshinder som förutsättning för att få rätt till färdtjänst.
Riksdagen beslutade i oktober 1997 nya lagar om färdtjänst, riksfärdtjänst och ansvar för viss kollektiv persontrafik. Den nya lagstiftningen innebär ett nytt synsätt på färdtjänst och riksfärdtjänst. Från att ha varit en fråga om bistånd betraktas färdtjänst numera som en form av kollektivtrafik för att bidra till en tillfredsställande trafikförsörjning även för funktionshindrade.
Vägverkets rapport om färdtjänstens tillstånd och utveckling samt behov av tillsynsmyndighet.
I oktober 2001 redovisade Vägverket på regeringens uppdrag färdtjänstens utveckling och tillstånd under perioden januari 1998 - september 2000 (ärende nr N2000/8680/TP). Redovisningen har därefter remissbehandlats.
Enligt Vägverkets redovisning behövs förtydliganden av hur lagen (1997:736) om färdtjänst skall tillämpas. Vägverket har föreslagit att detta bör ske genom att lagen ändras i vissa avseenden. Enligt Vägverket har kommunerna efterfrågat bl.a. tydligare definitioner och stöd för tillämpning och tolkning av lagen.
Mot bakgrund av Vägverkets redovisning finns det behov av att ytterligare överväga om lagen om färdtjänst bör ändras. Därvid bör beaktas att framför allt de färdtjänstberättigade uppfattar att tillämpningen av lagen har tenderat att bli allt mer restriktiv, vilket leder till att de får försämrade transportmöjligheter. Som underlag
för en analys av eventuella lagändringar finns det ett omfattande underlag som Vägverket lagt till grund för sin redovisning.
Samordning av beställningscentraler för sjukresor och färdtjänst
Enligt 4 § lagen (1997:736) om färdtjänst får en kommun överlåta sina uppgifter enligt lagen till trafikhuvudmannen i länet. Detta får ske även om trafikhuvudmannen är ett aktiebolag. En liknande bestämmelse finns beträffande riksfärdtjänst i 3 § lagen (1997:735) om riksfärdtjänst. Syftet med att ge kommunerna möjlighet att genom trafikhuvudmannen hantera såväl färdtjänsten som den ordinarie kollektivtrafiken var att möjliggöra en bättre samordning av transportformerna och en bättre handikappanpassning av kollektivtrafiken. I vissa kommuner har det samlade ansvaret för färdtjänsten förts över på trafikhuvudmannen, medan andra kommuner har valt att endast föra över ansvaret för själva färdtjänsttransporterna på trafikhuvudmannen.
Den beskrivna lagregleringen innebär att en kommun kan överlåta ansvaret för färdtjänsten till trafikhuvudmannen även om denna är ett aktiebolag, utan att genomföra ett upphandlingsförfarande, jfr 5 kap. 2 § lagen (1992:1528) om offentlig upphandling.
Landstingen och vissa kommuner anordnar även s.k. sjukresor samt skall enligt bestämmelserna i lagen (1991:419) om sjukresor betala ersättning för sådana resor. I den lagstiftning som styr landstingens och kommunernas hantering av sjukresor finns inga bestämmelser om att ansvaret för denna verksamhet får överlåtas till trafikhuvudmannen. Detta innebär att om någon del av sjukreseverksamheten skall överlåtas på en trafikhuvudman som är ett aktiebolag, så måste det ske efter upphandling enlig lagen om offentlig upphandling, se bl.a. Regeringsrättens dom den 19 december 2000 i mål nr 180-2000. Syftet med kravet på att de aktuella tjänsterna skall upphandlas är att göra den offentliga verksamheten effektivare och billigare.
Det finns dock hos vissa kommuner och landsting en önskan att samordna beställningarna av sjukresor och färdtjänstresor i trafikhuvudmannens beställningscentral. Detta skulle enligt kommunerna och landstingen avsevärt effektivisera verksamheten.
Vissa registerfrågor
Generella bestämmelser om behandling av personuppgifter finns i personuppgiftslagen (1998:204). Genom lagen genomförs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046).
Enligt 13 § personuppgiftslagen är det som huvudregel förbjudet att behandla bl.a. sådana personuppgifter som rör hälsa. I 14-19 §§ samma lag finns en uttömmande uppräkning av undantag från förbudet. Enligt 15 § personuppgiftslagen är det således tillåtet att behandla uppgifter som rör hälsa om den registrerade har gett sitt uttryckliga samtycke till behandlingen. Vidare får bl.a. uppgifter som rör hälsa behandlas för hälso- och sjukvårdsändamål under de förutsättningar som anges i 18 § personuppgiftslagen.
Av 2 § personuppgiftslagen följer att om det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen skall de bestämmelserna gälla. Detta innebär att ytterligare undantag från förbudet mot att behandla känsliga uppgifter kan föreskrivas i lag eller förordning. Sådana bestämmelser får dock inte strida mot det nämnda EG-direktivet.
För att kunna tillhandahålla en ändamålsenlig färdtjänst behöver kommuner och trafikhuvudmän föra automatiserade register över de färdtjänstberättigade. I registret måste det ingå vissa uppgifter som rör den färdtjänstberättigades hälsa, t.ex. om personen i fråga är rullstolsburen och därför måste åka i ett specialfordon.
Kommunernas och trafikhuvudmännens behandling av uppgifter omfattas inte av de undantag som anges i 15-19 §§personuppgiftslagen. Eftersom det för närvarande inte finns någon författning där kommuner och trafikhuvudmän undantas från förbudet mot att behandla känsliga uppgifter är dessa hänvisade till att begära samtycke från de färdtjänstberättigade. Med hänsyn till det stora antalet färdtjänstberättigade personer har detta dock visat sig kräva en stor arbetsinsats.
Mot bakgrund av det nu anförda bör kommunernas och trafikhuvudmännens rätt att behandla känsliga uppgifter författningsregleras. Detta bör på sikt ske i en lag (jfr prop. 1997/98:44, s. 41 och bet. 1990/91:KU11, s. 11). Det är dock angeläget att en författningsreglering kommer till stånd så snart som möjligt, varför regleringen under en övergångsperiod bör ske i förordning.
Uppdraget
En särskild utredare tillkallas med uppgift att överväga behovet av ändringar i regelverket om färdtjänst. Utgångspunkt bör vara Vägverkets redovisning. Utredaren skall därvid beakta vad som kommit fram vid remissbehandlingen av Vägverkets redovisning. Om utredaren kommer fram till att det finns behov av ändringar i regelverket skall förslag lämnas till de författningsändringar som behövs.
Utredaren skall vidare kartlägga vilka tjänster som enligt gällande regler kan överlåtas på trafikhuvudmannen utan att upphandling sker. Utredaren skall därvid särskilt analysera förhållandet mellan lagen om offentlig upphandling, färdtjänstlagstiftningen och lagstiftningen om sjukresor såvitt avser möjligheten till samordning av beställningar. Mot bakgrund av kartläggningen skall utredaren överväga om det är lämpligt att undanta samordningen av beställning av sjuk- och färdtjänstresor i en beställningscentral från upphandlingskravet i lagen (1992:1528) om offentlig upphandling. Om utredaren skulle finna skäl för ett sådant undantag skall förslag till nödvändiga författningsändringar lämnas. Utredaren skall, särskilt med avseende på upphandlingsreglerna, samråda med Näringslivets nämnd för regelgranskning vad gäller redovisning av förslagets konsekvenser för små företag.
Utredaren skall dessutom, mot bakgrund av kommunernas och trafikhuvudmännens behov av att registrera färdtjänstberättigade, föreslå hur behandlingen av personuppgifter i ett sådant register skall författningsregleras. Eftersom det är angeläget att en sådan reglering kommer till stånd så snart som möjligt skall utredaren i ett delbetänkande föreslå en reglering i förordning. I slutbetänkandet skall utredaren dock föreslå hur registerföringen skall regleras i lag. Vid utarbetandet av sina förslag skall utredaren särskilt beakta att endast de uppgifter om de färdtjänstberättigades hälsa som oundgängligen är nödvändiga för att en tillfredsställande färdtjänst skall kunna tillhandahållas bör registreras. Utredaren skall även i övrigt beakta den enskildes behov av skydd mot otillbörliga ingrepp i hans eller hennes personliga integritet samt överväga i vad mån det är nödvändigt för enskilda trafikutövare, såsom taxiföretag, att få tillgång till uppgifter som rör de färdtjänstberättigades hälsa. Utredaren bör i denna del av uppdraget samråda med handikapporganisationerna, Svenska kommunförbundet och, i frågor om integritetsskydd och behandling av personuppgifter, Datainspektionen.
Utredaren skall samråda med kollektivtrafikkommittén (N 2001:05).
Redovisning av uppdraget
Utredaren skall senast den 1 februari 2003 lämna förslag till hur behandlingen av personuppgifter i register över färdtjänstberättigade bör regleras på förordningsnivå. Övriga delar av uppdraget skall redovisas senast den 1 november 2003.
(Näringsdepartementet).
Förfrågan om personregister vad avser färdtjänst och riksfärdtjänst
Regeringen beslutade den 22 augusti 2002 (direktiv 2002:108) att tillkalla en särskild utredare för att bl.a. lämna förslag till hur behandlingen av personuppgifter i kommunernas och trafikhuvudmännens register över färdtjänstberättigade bör författningsregleras. Särskild utredare är undertecknad Anders Engdahl, tidigare kanslichef i Trafikutskottet. Utredningen har tagit namnet Färdtjänstutredningen (N 2002:15).
Utredningens uppdrag skall vara slutfört den 1 november 2003. Utredningen skall dock redan den 1 februari 2003 lämna ett delbetänkande i vilken den skall redovisa förslag som beskrivits ovan.
För att kunna kartlägga användningen av personregister vad avser färdtjänst och riksfärdtjänst behöver utredningen en komplett sammanställning av de personregister som i dag används vid kommunerna, hos skilda trafikhuvudmän och beställningscentraler. Utredningen ber därför om hjälp med insamlingen av denna information. N En sammanställning av personregister vad avser färdtjänst och
riksfärdtjänst som i dag används vid kommunerna, hos skilda trafikhuvudmän och hos beställningscentralerna.
N Har ni fört personregister vad avser färdtjänst och riksfärd-
tjänst med stöd av lag, förordning eller tidigare beslut av Datainspektionen?
N Kopior av tillstånd från Datainspektionen avseende person-
register vad avser färdtjänst och riksfärdtjänst som används vid kommunen eller trafikhuvudmannen (såväl grundbeslut som eventuella senare ändrings- eller tilläggsbeslut)
N Beskrivning av ADB-register enligt 15 kap. 11 § sekretesslagen
(1980:100)
N Vem var registeransvarig enligt datalagen (1973:289), vem är
registeransvarig enligt personuppgiftslagen (1998:204) för register om färdtjänst och riksfärdtjänst?
N Har ni särskilda önskemål när det gäller personuppgifter som
bör registreras i ”tillståndsregister” respektive i ett register som beställningscentralerna har tillgång till?
N Kan ni ge en beskrivning av ovan redovisade personregister vad
avser ändamål, direktåtkomst, innehåll, sökbegränsningar och bevarande och gallring?
Det är av mycket stor vikt att informationen erhålls skyndsamt, eftersom utredningen har begränsad tid till sitt förfogande. Information bör således lämnas senast fredagen den 11 oktober 2002. Tack på förhand.
Materialet bör skickas till: Länsrätten i Skåne län Färdtjänstutredningen Mikael Ohlsson Box 4522 203 20 Malmö
Ni kan vidare skicka materialet elektroniskt till följande adress: mikael.ohlsson@llm.dom.se.
Med vänlig hälsning
Anders Engdahl
/Mikael Ohlsson
Följande kommuner och trafikhuvudmän har besvarat enkäten, se bilaga 2
Gävle kommun Göteborgs stad Helsingborgs kommun Kävlinge kommun Marks kommun Norrköpings kommun
Färdtjänstnämnden i Stockholm Hallandstrafiken AB Kalmar läns Trafik AB Länstrafiken i Örebro Västernorrlands läns Trafik AB Västtrafik AB, Anropsstyrd trafik