SOU 2004:6
Översyn av personuppgiftslagen
Till statsrådet Thomas Bodström
Genom beslut den 21 februari 2002 bemyndigade regeringen statsrådet Britta Lejon att tillkalla en särskild utredare med uppgift att se över personuppgiftslagen.
Den 14 mars 2002 förordnades chefsjuristen Sören Öman att vara särskild utredare.
Till experter förordnades från och med den 1 april 2002 hovrättsassessorn Clara Ahlqvist, advokaten Tom Ekelund, hovrättsrådet Ingela Halvorsen, chefsjuristen Leif Lindgren, juristen Ulla Lönnqvist Endre, regeringsrådet Mats Melin, advokaten Claes Månsson, bolagsjuristen Kerstin Osterman, professorn Peter Seipel, departementssekreteraren Pernilla Skantze, jur.kand. Nicklas Skår, juristen Marie-Louise Ulfward och förbundsjuristen Staffan Wikell. Pernilla Skantze entledigades per den 1 september 2002.
Utredningen har antagit namnet Personuppgiftslagsutredningen. Clara Ahlqvist har författat avsnitt 6. Datainspek tionen har bidragit me d avsnitt 5.3.
Claes Månsson och Nicklas Skår har avgett särskilt yttrande. Utredningen överlämnar härmed betänkandet Översyn av personuppgiftslagen (SOU 2004:6). Uppdraget är därmed slutfört.
Stockholm i januari 2004
Sören Öman
Sammanfattning
Hanteringen av personuppgifter som inte ingår i personregister underlättas
Personuppgiftslagsutredningen har haft i uppdrag att göra en översyn av personuppgiftslagen. Syftet har varit att undersöka om det trots gällande EG-direktiv om personuppgifter går att införa regler mot missbruk av personuppgifter i stället för regler om hanteringen av sådana uppgifter.
Utredningen anser att det är möjligt i fråga om behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud och bild. Det ställningstagandet har gjorts efter en noggrann analys av undantagsmöjligheterna i EG-direktivet i belysning av den utveckling som skett sedan personuppgiftslagen trädde i kraft 1998, bl.a. EG-domstolens motivering i domen i det svenska s.k. konfirmandlärarmålet.
Utredningen föreslår ett undantag från de allra flesta hanteringsreglerna i personuppgiftslagen för behandling av sådana personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter, dvs. i praktiken personregister och personuppgiftsanknutna databaser.
Utredningens förslag innebär i korthet att hanteringsreglerna i personuppgiftslagen inte skall tillämpas på bl.a. sådan vardaglig hantering som produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte skall infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem.
Den som i sin dator vill hantera personuppgifter i löpande text, t.ex. enkla meddelanden eller kortare och längre texter, eller i ljud och bild eller i e-post behöver således normalt inte bry sig om hanteringsreglerna i personuppgiftslagen. Det är bara om han eller hon vill infoga materialet i någon form av databas som det behövs ytterligare överväganden. Har databasen en personuppgiftsanknuten struktur, där just personuppgifter har markerats som sådana, måste hanteringsreglerna tillämpas.
Den föreslagna, nya regleringen har i praktiken betydelse bara vid automatiserad behandling som sker med hjälp av datorer.
Den behandling som undantas från hanteringsreglerna skall enligt förslaget i stället regleras av en enkel regel till skydd mot missbruk av personuppgifterna. Behandlingen av personuppgifter får nämligen inte utföras om den innebär ett otillbörligt intrång i den personliga integriteten. För att underlätta tillämpningen har utredningen i sina kommentarer sammanfattat några enkla och självklara riktlinjer som bör följas:
- Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering
- Samla inte utan godtagbara skäl en stor mängd uppgifter om en person
- Rätta personuppgifter som visar sig vara felaktiga eller missvisande
- Förtala eller förolämpa inte någon annan
- Bryt inte mot tystnadsplikt
Den registrerade skall vidare liksom i dag ha rätt att på begäran få ett s.k. registerutdrag med bl.a. de personuppgifter som behandlas. Ett generellt undantag föreslås emellertid för den händelse det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna ett registerutdrag, t.ex. därför att det är svårt att hitta uppgifter om en viss person i löpande text och ljud- och bildupptagningar.
Den som bryter mot reglerna till skydd mot missbruk av personuppgifter kan enligt förslaget få betala skadestånd till den registrerade. Förslaget innebär vidare att Datainspektionen skall se till att reglerna följs.
Skyldigheten att lämna registerutdrag blir mindre betungande
Om en personuppgiftsansvarig har väldigt många register, en större mängd ostrukturerat material eller material på många olika ställen, t.ex. i hundratals persondatorer, kan det vara omöjligt eller väldigt betungande att söka fram alla uppgifter om en person som begär ett s.k. registerutdrag. Utredningen föreslår därför att det uttryckligen anges att information enligt 26 § personuppgiftslagen, i form av ett s.k. registerutdrag, inte behöver lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Det krävs dock som regel att den sökande först tillfrågas om sådana upplysningar som kan underlätta sökandet efter personuppgifterna.
Syftet med den föreslagna ändringen är inte att inskränka det som faktiskt tillämpas i dag utan snarast att verklighetsanpassa lagtexten.
Regeringen och myndigheter får föreskriva sådana undantag från personuppgiftslagen som är tillåtna enligt EG-direktivet
Enligt EG-direktivet är det tillåtet för medlemsstaterna att föreskriva undantag från vissa bestämmelser i EG-direktivet när det är nödvändigt med hänsyn till fullgörandet av vissa uppräknade viktiga samhälls- och myndighetsfunktioner eller med hänsyn till skyddet av fri- och rättigheter. Någon motsvarande undantagsbestämmelse finns inte i dag i personuppgiftslagen. Utredningen föreslår att undantagsmöjligheterna utnyttjas genom att regeringen och den myndighet som regeringen bestämmer uttryckligen bemyndigas att meddela föreskrifter och beslut i enskilda fall om sådana undantag som är tillåtna enligt EG-direktivet.
Bara grovt oaktsamma förfaranden skall vara straffbara
I dag kan en person dömas till böter eller fängelse om han eller hon uppsåtligen eller av oaktsamhet bryter mot personuppgiftslagen i fyra uppräknade fall. Utredningen föreslår en avkriminalisering som innebär att, förutom uppsåtliga förfaranden, bara grovt oaktsamma förfaranden skall vara straffbara. Utredningen har inte funnit anledning att i övrigt föreslå en avkriminalisering.
Det förtydligas hur myndighetsbeslut överklagas
Redan i dag kan vissa myndighetsbeslut enligt personuppgiftslagen överklagas enligt allmänna bestämmelser om överklagande. Utredningen föreslår att det direkt i personuppgiftslagen tas in bestämmelser om i vilka fall och hur en myndighets beslut enligt lagen överklagas. Särskilda bestämmelser om hur beslut av domstolar överklagas skall dock enligt förslaget tas in i de registerlagar som reglerar domstolarnas behandling av personuppgifter.
Personuppgiftslagens förhållande till offentlighetsprincipen och sekretesslagen förtydligas
I syfte att förtydliga föreslår utredningen en uttrycklig regel om att de generella bestämmelserna i personuppgiftslagen inte inskränker myndigheternas skyldighet enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen att på begäran söka efter, sammanställa och lämna ut personuppgifter. Utredningen föreslår vidare att även andra organ än myndigheter som har skyldigheter enligt offentlighetsprincipen, t.ex. kommunala bolag, skall omfattas av de undantag med hänsyn till offentlighetsprincipen som finns i personuppgiftslagen.
Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Utredningen har haft i uppdrag att förtydliga bestämmelsen men inte att föreslå att den skall ändras i sak eller upphävas. Utredningen föreslår att bestämmelsen förtydligas enligt följande.
Sekretess skall gälla för en personuppgift om det finns skäl att anta att uppgiften efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen. Därmed förtydligas bl.a. att myndigheten måste ha något skäl – t.ex. att uppgifter om väldigt många människor begärs utlämnade – för att ställa frågor om den tilltänkta användningen av uppgifterna.
Sekretess skall också gälla för en personuppgift om myndighetens utlämnande av uppgiften står i strid med bestämmelsen om överföring av personuppgifter till tredje land i 33 § personuppgiftslagen. Det skall dock inte medföra sekretess för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information, t.ex. fastighetsregistret. Dessa bestämmelser kommer i praktiken bara att vara aktuella i det undantagsfallet att en myn-
dighet enligt offentlighetsprincipen är skyldig att sända en personuppgift till utlandet.
Övriga frågor
Utredningen har haft i uppdrag att se över möjligheten till undantag för sådan behandling av personuppgifter inom den privata sfären som faller utanför EG-rätten och därmed inte omfattas av EGdirektivet. Utredningen konstaterar att det undantag för rent privat behandling av personuppgifter som är tillåtet enligt EG-direktivet redan har utnyttjats fullt ut och att det inte finns skäl för att göra ytterligare undantag från personuppgiftslagen.
I dag finns det i personuppgiftslagen ett förbud för andra än myndigheter, dvs. enskilda, att behandla personuppgifter om lagöverträdelser m.m., men undantag kan föreskrivas i andra författningar eller i beslut i enstaka fall. Utredningen har haft i uppdrag att analysera om konkreta undantag bör tas in direkt i personuppgiftslagen. Utredningen har kommit fram till att de möjligheter till undantag genom generella föreskrifter i andra författningar och genom beslut i enstaka fall som redan finns är tillräckliga och att några bestämmelser om undantag från förbudet för enskilda att behandla personuppgifter om lagöverträdelser således inte bör föras in direkt i personuppgiftslagen.
Det föreslås inga ändringar i personuppgiftslagen med anledning av EG-domstolens dom med tolkningsbesked i det svenska s.k. konfirmandlärarmålet om publicering av personuppgifter på Internet.
______________
De föreslagna lagändringarna kan i praktiken träda i kraft tidigast den 1 juli 2005.
1. Författningsförslag
1.1. Förslag till lag om ändring i personuppgiftslagen (1998:204)
Härigenom föreskrivs i fråga om personuppgiftslagen (1998:204)
dels att 8, 26 och 49 §§ skall ha följande lydelse, dels att det i lagen skall införas fyra nya paragrafer, 5 a, 26 a och 42 a och 52 §§, samt närmast före 5 a och 42 a §§ nya rubriker av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Personuppgifter som inte ingår i personregister
5 a § Bestämmelserna i 9, 10, 13, 21, 23, 24, 28, 33 och 42 §§ skall inte tillämpas på behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Sådan behandling får utföras bara om den inte innebär ett otillbörligt intrång i den personliga integriteten.
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att söka efter, sammanställa och lämna ut personuppgifter. Bestämmelserna innebär inte heller en sådan begränsning av en myndighets befogenhet att göra en sammanställning tillgänglig som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar.
Vid tillämpningen av denna paragraf jämställs med myndighet ett annat organ i den utsträckning som anges i 1 kap.8 och 9 §§sekretesslagen (1980:100).
26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna
lämnas ut. En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.
Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
26 a § Information enligt 26 § behöver inte lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Information enligt 26 § behöver inte heller lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
Bemyndigande att meddela undantag
42 a § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 § om det är nödvändigt med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) åtal eller förebyggande, undersökning eller avslöjande av brott
eller av överträdelse av etiska regler,
e) ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska
unionen eller en stat som ingår i den unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet,
f) myndighetsutövning som avser tillsyn, inspektion eller reglering
i fråga om sådant som nämns i c–e, eller
g) skyddet av fri- och rättigheter.
Regeringen får under de förutsättningar som nämns i första stycket i enskilda fall besluta om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 §. Regeringen får överlåta åt myndighet att fatta sådana beslut.
49 §
Till böter eller fängelse i
högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
49 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som
föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13–21 §§,
c) för över personuppgifter till tredje land i strid med 33–35 §§, el-
ler
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt
föreskrifter meddelade med stöd av 41 §. I ringa fall döms inte till ansvar. Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.
52 § En myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol. Andra beslut av myndighet enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten. Första och andra styckena gäller inte beslut av riksdagen och regeringen. I fråga om överklagande av beslut av allmän domstol och allmän förvaltningsdomstol finns särskilda föreskrifter.
1
Senaste lydelse SFS 1999:1210.
______________
Denna lag träder i kraft den […]. Föreskrifterna i 52 § skall dock inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.
1.2. Förslag till lag om ändring i sekretesslagen (1980:100)
Härigenom föreskrivs
1
att 7 kap. 16 § sekretesslagen (1980:100)
skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 kap.
16 §
2
Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204).
Sekretess gäller för personuppgift, om
1. det finns skäl att anta att upp-
giften efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen (1998:204), eller
2. myndighetens utlämnande av
uppgiften står i strid med 33 § personuppgiftslagen. Att myndighetens utlämnande står i strid med 33 § personuppgiftslagen skall dock inte medföra sekretess för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information.
______________
Denna lag träder i kraft den […].
1
Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).
2
Senaste lydelse SFS 1998:205.
2. Utredningsarbetet och betänkandet
2.1. Utredningsarbetet
Utredningens utredningsdirektiv (dir. 2002:31) finns som bilaga 1. Utredningen har enligt tilläggsdirektiv (dir. 2003:53 och 2003:164) fått förlängd utredningstid för att kunna beakta EG-domstolens dom i det s.k. konfirmandlärarmålet. Domen meddelades den 6 november 2003.
Utredningen har haft 10 sammanträden, varav ett internatsammanträde under två dagar. Vid sammanträdena har utkast till texter till betänkandet gåtts igenom och diskuterats.
Utredningen har haft en hemsida på Internet.
1
Den särskilde utredaren har samrått med Offentlighets- och sekretesskommittén (Ju 1999:06) och haft informationsutbyte med Underrättelsedatautredningen (Fö 2002:01). Det uppdrag om samråd med den kommitté som får i uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället som anges i utredningsdirektiven har inte kunnat fullgöras, eftersom den nämnda kommittén inte tillsatts ännu.
Utredaren har under hand berett Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Sveriges Akademikers Centralorganisation (SACO), Tidningsutgivarna och Riksarkivet tillfälle att komma in med synpunkter på utkast till texter.
Utredaren har haft kontakter med företrädare för de politiska partier som är representerade i riksdagen och därvid informerat om de förslag som utredningen övervägt och inhämtat partiernas syn-
1
http://www.sou.gov.se/pulutredningen/.
punkter. Utredaren har bl.a. informerat om huvuddragen i förslagen vid ett sammanträde med riksdagens konstitutionsutskott.
Utredaren, som varit placerad på Justitiedepartementets grundlagsenhet och bl.a. verkat inom EU för att EG-direktivet om personupp gifter
2
skall ändras, har under utredningstiden följt eller del-
tagit i viktigare delar av det löpande arbetet med författningar och internationella kontakter och överenskommelser rörande skydd för personuppgifter. Utredaren har haft kontakter med företrädare för EG-kommissionen.
Utredaren har också, bl.a. via Datainspektionens expert i utredningen, hållit sig underrättad om Datainspektionens arbete med att utforma konkret vägledning i fråga om personuppgiftslagen (1998:204).
2.2. Betänkandet
Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Betänkandet inleds därför med ett kortare avsnitt om personlig integritet (avsni tt 3) .
Som underlag för sitt arbete har utredningen bl.a. haft, förutom EG-direktivet om personuppgifter och personuppgiftslagen, utvecklingen i rättstillämpningen, resultatet av Justitiedepartementets offentliga utvärdering av EG-direktivet och genomförandet av EGdirektivet i andra länder.
EG-direktivet om personuppgifter, som ligger till grund för personuppgiftslagen, finns som bilaga 3. De bestämmelser i EGdirektivet som har betydelse för utredningens överväganden presenteras i det avsnitt respektive fråga berörs. En allmän genomgång av bestämmelserna i EG-direktivet finns i Datalagskommitténs betänkande SOU 1997:39 (avsnitt 3) och kortare presentationer av EG-direktivet finns i flera färska betänkanden med förslag till särskilda registerförfattningar, t.ex. avsnitt 2.1 i SOU 2001:100. Det har inte ansetts nödvändigt att upprepa något liknande här. Som bilaga 4 finns det protokoll som fördes inom rådet när den gemensamma ståndpunkten om EG-direktivet antogs och som innehåller
2
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för
enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046), kallas i det följande bara EG-direktivet.
vissa uttalanden som kan vara av betydelse vid tolkningen av EGdirektivet.
Personuppgiftslagen finns som bilaga 2. De bestämmelser i lagen som har betydelse för utredningens överväganden presenteras i det avsnitt respektive fråga berörs. Eftersom kortare presentationer av bestämmelserna i personuppgiftslagen finns i flera färska betänkanden med förslag till särskilda registerförfattningar, t.ex. avsnitt 2.2 i SOU 2001:100, har det inte ansetts nödvändigt med någon motsvarande presentation här.
Integritetsskyddet vid användandet av information är sedan flera årtionden berört också i andra internationella instrument än EGdirektivet. Av snitt 4 innehåller en ö versikt över de viktigaste av dessa instrument. De viktigaste bestämmelserna i Europarådets dataskyddskonvention nr 108, som är bindande för Sverige, finns i engelsk version och svensk översättning i bilaga 5. De bestämmelser i de internationella instrumenten som har direkt betydelse för utredningens överväganden presenteras i det avsnitt respektive fråga berörs.
Utredningen har gått igenom och följt utvecklingen i rättstillämpningen på området. En redovisning av detta finns i avsnitt 5. Relevant domstolspraxis redovisas också i de avsnitt som berör olika sakfrågor. I avsnitt 14 redo görs särskilt för utredningens överväganden med anledning av EG-domstolens dom i det s.k. konfirmandlärarmålet.
Justitiedepartementet har gjort en offentlig utvärdering av EGdirektivet. En sammanfattning av den utvärderingen finns i avsnitt 6.
Utredningen har gått igenom den generella lagstiftning som genomför EG-direktivet i andra länder i EU och EES. Utredningen har därvid noterat att det finns skillnader i genomförandet och att dessa skillnader kan innebära olägenheter för personuppgiftsansvariga med verksamhet i flera länder eller i en internationell koncern. Det är emellertid inget som man kan råda bot på genom ändringar i bara den svenska personuppgiftslagen, utan ett avhjälpande kräver internationellt samarbete. EG-kommissionen har i sin rapport
3
från
maj 2003 om genomförandet av EG-direktivet i medlemsstaterna presenterat ett arbetsprogram för ett bättre genomförande av EGdirektivet. EG-kommissionens rapport innehåller i en bilaga en omfattande redovisning av genomförandet i medlemsstaterna. Ut-
3
KOM(2003) 265 slutlig av den 15 maj 2003.
redningen har därför inte ansett det meningsfullt att i betänkandet redovisa alla olikheter i genomförandet eller att här försöka lämna en allmän presentation av genomförandet i andra länder. Genomförandet i andra länder av relevanta bestämmelser i EG-direktivet redovisas dock kortfattat i de avsnitt som berör olika sakfrågor.
Utredningens huvuduppgift är att se hur långt man inom ramen för EG-direktivet kan gå för att åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter än hanteringen av dessa. Utredningens överväganden och förslag i den delen redovisas i avsnitt 7 o m personuppgifter som inte ingår i personregister.
Utredningen har därutöver enligt utredningsdirektiven vissa särskilda uppdrag som redovisas i följande avsnitt. I avsnitt 8 berörs möjligheterna att göra undantag från personuppgiftslagen för sådant som inte omfatta s av EG-direktivet, och i avsnitt 9 be rörs möjligheterna att göra undantag från vissa bestämmelser i lagen för bl.a. säkerhet och brottsundersökning m.m. Avs nitt 10 innehåller en redovisning av möjligheterna att genom uttryckliga bestämmelser i personuppgiftslagen tillåta att andra än myndigheter behandlar personuppgifter om lagöverträdelser. Frågan om möjligheterna att justera bestämmelserna om registerutdrag, som utredningen funnit anledning att ta upp, berörs i avsnit t 11. Uppdra get att se över om något som i dag är straffbelagt enligt personuppgiftslagen kan avkriminaliseras redovisas i avsnit t 12. Avsnit t 13 i nnehåller utredningens överväganden och förslag om hur det i personuppgiftslagen kan införas ett förtydligande av hur myndighetsbeslut överklagas. Avslutningsvis redovisar utredningen i avsnitt 15 uppdraget att förtydliga bestämmelsen i 7 kap. 16 § sekretesslagen (1980:100).
Avsnit t 16 i nnehåller utredningens överväganden i fråga om ikraftträdande av föreslagna lagändringar och övergångsbestämmelser till dessa.
I avsnitt 17 b erörs konsekvenserna av utredningens förslag. I det avslutande avsnittet finns författningskommentarer till utredningens förslag till lagändringar.
Därefter finns det särskilda yttrande som avgetts. I bilaga 6 finns det en sammanfattning på engelska.
3. Den personliga integriteten
3.1. Begreppet personlig integritet
Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §).
Den personliga integriteten har uppmärksammats i många statliga utredningar och varit föremål för analys även i många andra sammanhang. Det genomgående för dessa överväganden har varit att det alltid visat sig vara svårt att precisera innebörden av begreppet personlig integritet.
4
Uppfattningen om vad som omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Den enskildes uppfattning kan i sin tur påverkas av t.ex. politisk eller religiös övertygelse. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans eller hennes integritet har kränkts eller inte.
Det finns en allmän uppfattning i samhället att varje person har ett välgrundat anspråk på att andra personer handlar på ett sådant sätt att hans eller hennes personliga integritet respekteras. Oavsett den exakta definitionen av begreppet personlig integritet finns en privat sfär som man inte accepterar intrång i. Skyddet för den personliga integriteten uppfattas också som viktigt av de enskilda människor som är berörda. Man skulle kunna tro att människors
4
Redogörelsen i förevarande avsnitt bygger exempelvis på motsvarande redogörelse i SOU
2002:2 s. 138 ff.
upplevda obehag av att personuppgifter behandlas i olika sammanhang skulle ha minskat i takt med att användningen av datorer blivit vardagsmat och IT-samhället krupit närmare. Emellertid visar de undersökningar som gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. Människor upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i någon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts.
5
Skyddet för den personliga integriteten anses vidare vara en grundläggande mänsklig rättighet, skyddad genom internationella instrument, nationell lagstiftning, tradition och kultur.
Till grund för stadgandet om värnandet av den enskildes privatliv i 1 kap. 2 § tredje stycket regeringsformen ligger uppfattningen att grundsatsen om den enskildes rätt till en fredad sektor är av så väsentlig betydelse i en demokratisk stat att den bör komma till allmänt uttryck i grundlag.
6
Det kan dock konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet personlig integritet. Så används t.ex. i 1 kap. 2 § tredje stycket regeringsformen begreppet ”enskilds privatliv” när den grundläggande ambitionen för det allmänna att skydda den ”personliga integriteten” slås fast, eftersom det senare begreppet ansågs svårbegripligt och svårt att avgränsa.
7
Begreppet finns emellertid sedan år 1989 i 2 kap. 3 §
andra stycket regeringsformen.
Oavsett svårigheten att definitivt klarlägga innebörden i begreppet personlig integritet måste man på något sätt ta sig an begreppet i alla sammanhang som rör behandling av personuppgifter och tilllämpning av personuppgiftslagen. Det grundläggande syftet med lagstiftningen är skyddet för den personliga integriteten. Man måste därför i vart fall ha en föreställning om begreppets innebörd i allmänhet och dess betydelse för den praktiska tillämpningen i det enskilda fallet.
Personlig integritet kan vara att slippa få vissa personliga uppgifter om sig själv spridda till andra människor. Svårigheten att definiera begreppet positivt har dock lett till att man i stället försökt att identifiera vad som konstituerar en kränkning av den personliga
5
6
7
integriteten. En integritetskränkning beskrivs i dessa sammanhang som att förlora kontrollen över sin egen person eller en viss typ av uppgifter om sig själv.
När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ofta till en av professorn Stig Strömholm upprättad ”kränkningskatalog”. Som exempel ur denna kan nämnas spridande av förtroliga uppgifter, avslöjande inför offentligheten av annans privata förhållanden, utnyttjande av annans namn eller bild och angrepp på annans heder och ära.
8
Professorn Peter Seipel delar in försöken att precisera innebörden av begreppet personlig integritet i följande kategorier:
9
a Sfärteorin Den enskilde har en innersta sfär, där förhållanden, egenskaper
och handlingar inte bör vara kända av andra än den enskilde själv. Utanför denna innersta sfär finns andra sfärer med gradvis avtagande känslighet och med växande anspråk från omvärlden på att information måste vara tillgänglig. b Datakategoriteorin Det finns olika kategorier av data som kan känslighetsgraderas.
Exempelvis är adressuppgifter, generellt sett, mindre integritetskänsliga än uppgifter om politisk övertygelse. c Situationsteorin Det finns inga kategorier av data som å priori kan anses okäns-
liga från integritetsskyddssynpunkt. Intrångsmöjligheterna hänger helt och hållet samman med i vilken situation uppgifter används, dvs. av vem, för vilket syfte, tillsammans med vilka andra uppgifter osv. d Äganderättsteorin Data om individen är individens egendom. Han eller hon måste
alltid samtycka till att andra får del av dem. e Autonomiteorin Integritetsskyddets kärna består i en rätt att bli lämnad ifred, att
själv få avgöra i vilka sammanhang och under vilka förutsättningar man träder i förbindelse med omvärlden, framför allt med myndigheter och andra representanter för samhället. f Empirteorin Vad som uppfattas som integritetsintrång måste fastställas på
statistisk väg. Man måste således hämta vägledning i undersök-
8
SvJT 1971 s. 698 f.
9
Peter Seipel, Juridik och IT, 7:e uppl. s. 252 f.
ningar av det slag som vid flera tillfällen har utförts av Statistiska centralbyrån.
Rätten till personlig integritet är vidare inte absolut, utan från tid till annan föremål för inskränkningar. Skyddet för den personliga integriteten måste avvägas mot andra grundläggande demokratiska rättigheter och värden, t.ex. informationsfriheten och yttrandefriheten.
Man måste också beakta de helt legitima behov som finns att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det vi lever i. Utgångspunkten var i förarbetena till 1973 års datalag att skyddet för den personliga integriteten inte kan sträcka sig längre än vad som är möjligt med hänsyn till de krav samhällsgemenskapen uppställer. Det förutsattes således att en väl fungerande samhällsorganisation alltid kommer att medföra intrång i enskilda individers personliga integritet. Frågan blir då vad som kan tolereras och vad som går utöver det som är acceptabelt samt vad som är ett otillbörligt intrång i den personliga integriteten och vad som inte är det.
Mot bakgrund härav kan man säga att personers integritet kränks i den mån som det sker ett intrång i deras privata sfär och/eller uppgifter om dem, som det finns rimliga skäl att beteckna som integritetskänsliga, sprids. Dessa uppgifter kan gälla personers egenskaper, uppfattningar eller handlingar. Rättigheten till personlig integritet kan beskrivas som en ”prima facie-rättighet”. Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.
10
3.2. Personlig integritet vid automatiserad behandling av personuppgifter
Det klassiska målet för integritetsskyddet i samband med automatiserad behandling av personuppgifter – att få bli lämnad i fred – har enligt vissa fått ett nytt innehåll genom att datakvalitetsfrågor tagit över. Man framhåller härvid vikten av att behandlade uppgifter
10
SOU 1997:39 s. 796 och 801.
är korrekta, att uppgifterna används i rätt sammanhang och endast för berättigade ändamål. Skyddsintresset kan i detta sammanhang anses vara lika viktigt för juridiska personer som för enskilda individer. Fokus är mer inriktat på att informationsbehandlingen håller en hög kvalitet än att individens personuppgifter inte får behandlas.
Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.
Sådana tankegångar kan sägas ligga till grund för de dataskyddsprinciper som utarbetats
11
och som ligger till grund för hanterings-
reglerna i personuppgiftslagen.
Att den personliga integriteten skyddas innebär enligt Datalagskommittén att användningen av personuppgifter regleras och begränsas. Enligt dess uppfattning står det klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet. Vilken reglering och begränsning av användningen av personuppgifter som är nödvändig för att skydda den personliga integriteten ansåg kommittén till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörligt intrång i annans personliga integritet skall så långt som möjligt förebyggas. När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället. Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när och hur i och för sig korrekta personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.
12
Per-
sonuppgiftslagen skall alltså utgöra den reglering och begränsning av användningen av personuppgifter som enligt rådande värderingar i samhället är nödvändig för att skydda den personliga integriteten.
11
Se om dessa principer avsnitt 4.
12
Värderingarna i samhället påverkas bl.a. av hur informationstekniken uppfattas och används. Detta är emellertid ett dynamiskt område där utvecklingen går snabbt. Man kan dock urskilja åtminstone fem aspekter när det gäller hur informationstekniken uppfattas och används: automation, informationshantering, kommunikation, vardagsteknik och konvergens.
13
I datorernas barndom var det automation som stod i fokus. De nya maskinerna utgjorde ett effektivt alternativ till manuell hantering av t.ex. beräkningar, eftersom de kunde automatiserat bearbeta information på ett strukturerat sätt.
I takt med att tekniken för att lagra och återhämta information i datorläsbart format förbättrades ökade intresset för informationshantering. Man kunde nu ha enorma mängder information tillgänglig för datorbehandling, och med rätt struktur och teknik kunde man också lätt finna relevant information.
Ungefär i detta skede – när myndigheter och andra stora organisationer kunde både ha informationen lättillgänglig och bearbeta den automatiserat – ökade oron för intrång i den personliga integriteten och utarbetades som ett svar de s.k. dataskyddsprinciper som ligger bakom EG-direktivet.
Men utvecklingen av informationstekniken och synen på och användningen av den stannade inte där.
Datorer, och därmed tekniken att enkelt lagra och bearbeta information, har för det första blivit ett vardagligt arbetsredskap och var mans egendom, en vardagsteknik.
På senare år har för det andra kommunikation alltmer betonats. Internationella datakommunikationsnätverk, såsom Internet, har utvecklats och fått ett enormt genomslag hos organisationer och enskilda. Dessa nätverk kan användas inte bara för att kommunicera enskilt med anslutna användare utan också som ett lättillgängligt massmedium där vem som helst kan publicera information. Därmed har den grundläggande konflikten mellan integritetsskydd och yttrande- och informationsfrihet blivit akut. Det faktum att så många datorer är sammankopplade i världsomspännande nätverk gör också säkerhetsfrågor akuta.
För det tredje har ett fenomen som brukar benämnas konvergens uppmärksammats på senare år. Olika former av informationsteknik smälter samman alltmer – datorkommunikation, telefon, radio och television m.m. – och informationstekniken kommer in på allt fler
13
Indelningen och begreppsbildningen i denna del har inspirerats av en artikel av Peter
Seipel i SOU 2002:112 s. 21–32.
områden i vårt vardagsliv – positionsbestämning av vardagsföremål såsom fordon och telefoner, ”intelligenta” kylskåp eller hela hem, inpasseringssystem m.m. Den alltmer utbredda och sammansmälta användningen av informationsteknik i vardagslivet, särskilt i kombination med lagring, bearbetning och kommunikation av den information som framkommer, har inneburit nya möjligheter att kartlägga individer på ett ibland osynligt sätt. Kommunikation i nätverk förutsätter vidare oftast att de datorer som är sändare och mottagare är identifierade på något sätt, t.ex. genom s.k. IPnummer, vilket gör att kommunikationen i sig kan ge upphov till nya former av personanknuten information som kan sparas och användas för att kartlägga individer.
Enligt utredningsdirektiven skall utredningen närmare analysera förutsättningarna – inom ramen för EG-direktivet – för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet skall i första hand vara att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Regleringen skall liksom hittills vara teknikoberoende. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredningen föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten. Skillnaden mellan lagstiftning efter en hanteringsmodell respektive en missbruksmodell beskrivs i avsnitt 7.2.
Utgångspunkten är alltså att hanteringsreglerna till skydd för den personliga integriteten vid behandling av personuppgifter om möjligt skall lättas upp. Rådande värderingar i samhället får anses ge vid handen att dessa hanteringsregler i många fall upplevs som alltför restriktiva och byråkratiska i förhållande till det integritetsskydd ett upprätthållande av reglerna kan ge. Detta stöds av Justitiedepartementets offentliga utvärdering av reglerna (EG-direktivet om personuppgifter – En offentlig utvärdering, Ds 2001:27; i fortsättningen benämnd Justitiedepartementets offentliga utvärdering). Hanteringsreglerna i personuppgiftslagen tar främst sikte på automatiserad behandling av personuppgifter i datorer. Man kanske kan säga att i takt med att datorer blivit tillgängliga för envar och datoranvändning blivit en vardaglig sak, har hanteringsreglerna kommit att framstå som alltmer otidsenliga. När reglerna skall tillämpas varje dag inte bara av regelrätta registerförare och deras specialise-
rade medhjälpare utan också av så gott som varje anställd och egenföretagare, är det naturligt att söka efter enklare regler som på ett mer konkret sätt skyddar den personliga integriteten.
Det må vara svårt att förstå varför något så vardagligt som ”normal” datoranvändning skall vara underkastat särskilda regler som upplevs som byråkratiska och inte påtagligt kopplade till integritetsskyddet. Det är dock inte utredningens uppfattning att intresset i samhället för ett starkt integritetsskydd i sig minskat utan det finns som utredningen ser det en större förståelse och ett större intresse för generellt verkande och teknikoberoende regler som mera direkt och konkret skyddar den personliga integriteten. Regeringen avser exempelvis, såsom framgår av utredningsdirektiven, att tillsätta en särskild kommitté med uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället.
14
Riksdagen har också av regeringen beställt en
analys av om det frivilliga grundlagsskyddet för t.ex. hemsidor på Internet kan komma i konflikt med bestämmelserna med syfte att skydda den personliga integriteten och, om så behövs, förslag till ändrad lagsti ftning.
15
Det är utredningens uppfattning att sådana generellt verkande och teknikoberoende regler till direkt skydd för den personliga integriteten, som nu skall analyseras i särskild ordning, ofta är att föredra framför sådana hanteringsregler som finns i personuppgiftslagen när det gäller alldaglig datoranvändning. Sådana generella regler måste emellertid – såsom redan aviserats – utredas och analyseras i ett större sammanhang än inom ramen för en översyn av personuppgiftslagen med sitt trots allt mera begränsade tillämpningsområde.
Utredningen vill för tydlighets skull tillägga att de s.k. dataskyddsprinciper
16
som ligger bakom hanteringsreglerna i person-
uppgiftslagen och de många särskilda registerförfattningar som anknyter till lagen fortfarande är i allra högsta grad adekvata och relevanta i fråga om hantering av personuppgifter i stora, regelrätta registerstrukturer. Det gäller t.ex. de stora databaser med personuppgifter som finns hos myndigheter och större företag, såsom banker och försäkringsbolag, eller företag som specialiserat sig på
14
Jämför också studien Skyddet för enskilda personers privatliv, Ds 1994:51, och Jan Free-
se, Rapport om skyddet för enskilda personers privatliv – ett mer samlat grepp?, 1995.
15
KU 2001/02:21 s. 32 och rskr. 2001/02:233. Analysen skall göras av Tryck- och yttrande-
frihetsberedningen (Ju 2003:04), se dir. 2003:58. Jämför också Ds 2003:25 om självsanering av Internet.
16
Se om dessa principer avsnitt 4.
registerhantering av personuppgifter vid t.ex. kreditupplysning eller direkt marknadsföring.
17
17
Jämför SOU 1997:39 s. 185 f.
4. Internationella instrument
4.1. Inledning
Förutom EG-direktivet finns det ett par andra för Sverige bindande internationella instrument rörande skydd för personuppgifter som utarbetats inom Europarådet. Det gäller dels artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som numera gäller som svensk lag (SFS 1994:1219), dels Europarådets s.k. dataskyddskonvention (nr 108). Här redovisas därför i relevanta delar innehållet i dessa instrument, som Sverige alltså måste följa oberoende av EG-direktivet.
Det finns vidare ett par andra internationella instrument än de som utarbetats inom Europarådet som bör nämnas: OECD:s riktlinjer och rekommendation om skyddet för den personliga integriteten och gränsöverskridande flöden av personuppgifter och FN:s riktlinjer om datoriserade register med personuppgifter. Också dessa instrument redovisas därför här.
Det bör här också nämnas att Europeiska unionens stadga om de grundläggande rättigheterna, som i dag inte är bindande, i artikel 8 innehåller följande särskilda bestämmelser om skydd av personuppgifter:
”1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
2. Dessa uppgifter skall behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
3. En oberoende myndighet skall kontrollera att dessa regler efterlevs.”
4.2. Europarådet
4.2.1. Europakonventionen
Artikel 8 i Europakonventionen lyder enligt följande:
”Artikel 8 – Rätt till skydd för privat- och familjeliv
1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.
2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.”
Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna. I viss utsträckning kan de olika artiklarna i konventionen emellertid ha betydelse också för förhållandet mellan enskilda. Det är oklart om och i vilken utsträckning artikel 8 kan ha betydelse i fråga om enskildas behandling av personuppgifter.
EG-domstolen har ansett att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av EG-direktivet vid bedömningen av nationella regler som tillåter behandling av personupp gifter.
18
Här finns vidare anledning att redovisa också artikel 10 i Europakonventionen om yttrandefrihet:
18
EG-domstolens dom den 20 maj 2003 i mål nr C-465/00 och C-138 och 139/01.
”Artikel 10 – Yttrandefrihet
1. Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Denna artikel hindrar inte en stat att kräva tillstånd för radio-, televisions- eller biografföretag.
2. Eftersom utövandet av de nämnda friheterna medför ansvar och skyldigheter, får det underkastas sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som är föreskrivna i lag och som i ett demokratiskt samhälle är nödvändiga med hänsyn till statens säkerhet, till den territoriella integriteten eller den allmänna säkerheten, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller för annans goda namn och rykte eller rättigheter, för att förhindra att förtroliga underrättelser sprids eller för att upprätthålla domstolars auktoritet och opartiskhet.”
4.2.2. Dataskyddskonvention nr 108
Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Den engelska texten i konventionen till och med kapitel III, jämte en svensk översättning, finns i bilaga 5. Till konventionen har fogats en förklarande rapport av den expertgrupp inom Europarådet som utarbetat konventionstexten. Konventionen trädde i kraft den 1 oktober 1985, då kravet var uppfyllt att fem medlemsländer tillträtt konventionen. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är alltså bindande för Sverige, liksom för övriga medlemsstater. Det har beslutats om ändringar i dataskyddskonventionen för att göra det möjligt för Europeiska unionen att ansluta sig. Det har också till konventionen utarbetats ett tilläggsprotokoll om tillsynsmyndigheter och flödet av personuppgifter över gränserna. Till konventionen ansluter en rad rekommendationer som inte är direkt bindande.
19
19
Konventionen och rekommendationerna samt annat material finns på Europarådets
webbplats för dataskyddsfrågor: http://www.coe.int/T/E/Legal_affairs/Legal_cooperation/Data_protection/.
Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).
Konventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla dessa grundläggande principer. Dessa grundläggande principer skall garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta skall göra det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.
Kapitel II innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl.a. att uppgifterna skall inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.
Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning, dels att de utgör en nödvändig åtgärd i ett demokratiskt samhälle för att skydda statens säkerhet, allmän säkerhet, statens monetära intressen eller för att undertrycka brottsliga åtgärder eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.
Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.
4.3. OECD:s riktlinjer
20
Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och flödet av personuppgifter över gränserna, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och därmed åtagit sig att följa denna. Ytterligare åtgärder som t.ex. ratifikation av medlemsländerna krävs inte varför riktlinjerna har trätt i kraft.
Enligt rekommendationen skall medlemsländerna i sin nationella lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som har presenterats i de riktlinjer som fogats till rekommendationen. Medlemsländerna skall vidare försöka undanröja opåkallade hinder för internationell datakommunikation som gäller personuppgifter och undvika att nya sådana skapas under förevändning av behov av skydd för personlig integritet. Samarbete skall bedrivas vid verkställigheten av riktlinjerna och så snart som möjligt skall länderna avtala om särskilda procedurer för överläggningar och samarbete som gäller tillämpningen av riktlinjerna.
Syftet med riktlinjerna är att söka undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av det sammanhang i vilket de används. Riktlinjerna är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn. De är tillämpliga både för uppgifter som lagras automatiskt och uppgifter som förs manuellt. Det finns inget hinder mot att man tillämpar olika skyddsåtgärder för olika slag av
20
Framställningen bygger på den som finns i SOU 1993:10 s. 62 ff.
personuppgifter, att man från riktlinjernas tillämpning undantar personuppgifter som uppenbart inte innebär någon risk för personlig integritet eller att man tillämpar riktlinjerna endast på automatisk databehandling av personuppgifter. Undantagen från riktlinjernas grundläggande principer för nationell och internationell tilllämpning skall vara så få som möjligt och göras kända för allmänheten. Riktlinjerna skall betraktas som minimiregler, varför ingenting hindrar att integritetsskyddet görs mer omfattande.
Riktlinjerna innehåller en särskild avdelning som behandlar åtta grundläggande principer rörande skyddet för personlig integritet på det nationella planet.
1. Insamlingen av personuppgifter skall vara begränsad och uppgifter skall inhämtas på ett lagligt och korrekt sätt samt, när det är skäligt, med den registrerades kännedom eller samtycke (”Collection Limitation Principle”).
2. Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och, i den utsträckning det behövs för dessa ändamål, vara riktiga och fullständiga samt hållas aktuella (”Data Quality Principle”).
3. De ändamål för vilka personuppgifterna samlas in skall vara preciserade senast vid insamlingen. Den efterföljande användningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålen och som preciseras vid varje förändring (”Purpose Specification Principle”).
4. Personuppgifter får inte röjas, göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade, om det inte sker med den registrerades medgivande eller med stöd av författning (”Use Limitation Principle”).
5. Personuppgifter skall genom rimliga säkerhetsåtgärder skyddas mot risker för förlust eller otillåten tillgång, förstörelse, användning, förändring eller otillåtet röjande (”Security Safeguards Principle”).
6. En öppenhet skall råda beträffande personuppgifter i fråga om utveckling, tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudändamålen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns (”Openness Principle”).
7. Den enskilde skall ha rätt att av den registeransvarige eller av annan få reda på om denne har personuppgifter om honom/henne, att få sig tillsänt eventuella personuppgifter inom rimlig tid, utan
alltför stor kostnad, på rimligt sätt och i begriplig form. Vidare skall den enskilde ha rätt att vid avslag på en begäran om uppgifter få veta skälen härför och ha möjlighet att överklaga. Den enskilde skall även ha rätt att ifrågasätta uppgifter som gäller honom eller henne och, om så är nödvändigt, få dessa utraderade, rättade eller kompletterade (”Individual Participation Principle”).
8. Den registeransvarige skall ha ansvaret för att de lagstiftningsåtgärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs (”Accountability Principle”).
En avdelning av riktlinjerna innehåller principer för internationell tillämpning. Här föreskrivs bl.a. att medlemsländerna skall vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländerna avhålla sig från att göra inskränkningar i fråga om flödet av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land, om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås. Ett medlemsland får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritetslagstiftningen innehåller särskilda skyddsregler, om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet. Medlemsländerna skall undvika att – under åberopande av skydd för personlig integritet och individens friheter – i lag, tillämpning eller förfarande ställa upp hinder för flödet av personuppgifter över gränserna som går utöver vad som är nödvändigt för sådant skydd.
Regler om ömsesidigt bistånd mellan medlemsländerna m.m. finns i en särskild avdelning av riktlinjerna. Medlemsländerna skall införa legala, administrativa eller andra förfaranden eller vidta andra åtgärder för att beträffande personuppgifter ge skydd för personlig integritet och individens friheter. Medlemsländerna skall särskilt sträva efter att anta lämplig inhemsk lagstiftning, att främja och understödja självreglering i form av etiska regler eller på annat sätt, att införa lämpliga sanktioner och rättsmedel samt att se till att registrerade inte utsätts för orättvis särbehandling. På begäran skall medlemsländerna ge ett annat medlemsland upplysning om hur de principer iakttas som riktlinjerna innehåller. Medlemsländerna skall också se till att de förfaranden som tillämpas för flöden av personuppgifter över gränserna och för skyddet av personlig integritet
och individens friheter är enkla och jämförbara med dem som andra medlemsländer tillämpar. Medlemsländerna skall vidare genom särskilda förfaranden underlätta utbyte av information rörande riktlinjerna och ömsesidigt bistånd i fråga om de förfaranden och utredningar som kan bli aktuella. Vidare skall medlemsländerna arbeta för att utveckla inhemska och internationella principer för vilket lands lag som blir tillämplig i fråga om flöden av personuppgifter över gränserna.
4.4. FN:s riktlinjer
FN:s generalförsamling antog år 1990 följande riktlinjer om datoriserade register med personuppgifter (computerized personal data files):
“GUIDELINES CONCERNING COMPUTERIZED PERSONAL
DATA FILES
adopted by the General Assembly on 14 December 1990
The procedures for implementing regulations concerning computerized personal data files are left to the initiative of each State subject to the following orientations:
A. Principles concerning the minimum guarantees that should be provided in national legislations
1. PRINCIPLE OF LAWFULNESS AND FAIRNESS Information about persons should not be collected or processed in unfair or unlawful ways, nor should it be used for ends contrary to the purposes and principles of the Charter of the United Nations.
2. PRINCIPLE OF ACCURACY Persons responsible for the compilation of files or those responsible for keeping them have an obligation to conduct regular checks on the accuracy and relevance of the data recorded and to ensure that they are kept as complete as possible in order to avoid errors of omission and that they are kept up to date regularly or when the information contained in a file is used, as long as they are being processed.
3. PRINCIPLE OF THE PURPOSE-SPECIFICATION The purpose which a file is to serve and its utilization in terms of that purpose should be specified, legitimate and, when it is established, receive a certain amount of publicity or be brought to the attention of
the person concerned, in order to make it possible subsequently to ensure that: (a) All the personal data collected and recorded remain relevant and adequate to the purposes so specified; (b) None of the said personal data is used or disclosed, except with the consent of the person concerned, for purposes incompatible with those specified; (c) The period for which the personal data are kept does not exceed that which would enable the achievement of the purpose so specified.
4. PRINCIPLE OF INTERESTED-PERSON ACCESS Everyone who offers proof of identity has the right to know whether information concerning him is being processed and to obtain it in an intelligible form, without undue delay or expense, and to have appropriate rectifications or erasures made in the case of unlawful, unnecessary or inaccurate entries and, when it is being communicated, addressees. Provision should be made for a remedy, if need be with the supervisory authority specified in principle 8 below. The cost of any rectification shall be borne by the person responsible for the file. It is desirable that the provisions of this principle should apply to everyone, irrespective of nationality or place of residence.
5. PRINCIPLE OF NON-DISCRIMINATION Subject to cases of exceptions restrictively envisaged under principle 6, data likely to give rise to unlawful or arbitrary discrimination, including information on racial or ethnic origin, colour, sex life, political opinions, religious, philosophical and other beliefs as well as membership of an association or trade union, should not be compiled.
6. POWER TO MAKE EXCEPTIONS Departures from principles 1 to 4 may be authorized only if they are necessary to protect national security, public order, public health or morality, as well as, inter alia, the rights and freedoms of others, especially persons being persecuted (humanitarian clause) provided that such departures are expressly specified in a law or equivalent regulation promulgated in accordance with the internal legal system which expressly states their limits and sets forth appropriate safeguards. Exceptions to principle 5 relating to the prohibition of discrimination, in addition to being subject to the same safeguards as those prescribed for exceptions to principles 1 and 4, may be authorized only within the limits prescribed by the International Bill of Human Rights and the other relevant instruments in the field of protection of human rights and the prevention of discrimination.
7. PRINCIPLE OF SECURITY Appropriate measures should be taken to protect the files against both natural dangers, such as accidental loss or destruction and human dan-
gers, such as unauthorized access, fraudulent misuse of data or contamination by computer viruses.
8. SUPERVISION AND SANCTIONS The law of every country shall designate the authority which, in accordance with its domestic legal system, is to be responsible for supervising observance of the principles set forth above. This authority shall offer guarantees of impartiality, independence vis-a-vis persons or agencies responsible for processing and establishing data, and technical competence. In the event of violation of the provisions of the national law implementing the aforementioned principles, criminal or other penalties should be envisaged together with the appropriate individual remedies.
9. TRANSBORDER DATA FLOWS When the legislation of two or more countries concerned by a transborder data flow offers comparable safeguards for the protection of privacy, information should be able to circulate as freely as inside each of the territories concerned. If there are no reciprocal safeguards, limitations on such circulation may not be imposed unduly and only in so far as the protection of privacy demands. 10. FIELD OF APPLICATION The present principles should be made applicable, in the first instance, to all public and private computerized files as well as, by means of optional extension and subject to appropriate adjustments, to manual files. Special provision, also optional, might be made to extend all or part of the principles to files on legal persons particularly when they contain some information on individuals.
B. Application of the guidelines to personal data files kept by governmental international organizations The present guidelines should apply to personal data files kept by governmental international organizations, subject to any adjustments required to take account of any differences that might exist between files for internal purposes such as those that concern personnel management and files for external purposes concerning third parties having relations with the organization.
Each organization should designate the authority statutorily competent to supervise the observance of these guidelines.
Humanitarian clause: a derogation from these principles may be specifically provided for when the purpose of the file is the protection of human rights and fundamental freedoms of the individual concerned or humanitarian assistance.
A similar derogation should be provided in national legislation for governmental international organizations whose headquarters agreement does not preclude the implementation of the said national legisla-
tion as well as for non-governmental international organizations to which this law is applicable.”
5. Utvecklingen i rättstillämpningen och av annan vägledning
5.1. Inledning
I enlighet med utredningsdirektiven har utredningen som underlag för sin översyn av personuppgiftslagen bl.a. haft utvecklingen i rättstillämpningen sedan personuppgiftslagen trädde i kraft i oktober 1998. I detta avsnitt redovisas kortfattat den svenska domstolspraxis som utredningen fått kännedom om (avsni tt 5.2). I fråga om domstolspraxis redovisas i övrigt kortfattat de mål angående EGdirektivet som förekommit i EG-domstolen (avs nitt 5.4). Såvitt utredningen kunnat finna har det inte efter personuppgiftslagens ikraftträdande förekommit något avgörande från Europeiska domstolen för de mänskliga rättigheterna som har direkt betydelse för utredningsuppdraget. Det har i övrigt inte varit möjligt att beakta rättstillämpningen i utlandet.
I fråga om rättstillämpningen i övrigt i Sverige har utredningen beaktat Datainspektionens praxis (avs nitt 5.3), bas erat på uppgifter som Datainspektionen lämnat till utredningen, och Justitiekanslerns praxis ( avsnitt 5.4), baserat på u ppgifter från Justitiekanslern. I övrigt har det inte varit möjligt för utredningen att systematiskt beakta hur personuppgiftsansvariga och registrerade i praktiken tillämpar personuppgiftslagen.
Eftersom annan vägledning än rättspraxis kan ha stor betydelse, särskilt innan rättspraxis hunnit bildas, berörs även sådan vägledning kortfattat (avsnit t 5.6).
5.2. Svensk domstolspraxis
Under detta avsnitt redovisas svensk domstolspraxis som utredningen fått kännedom om och som kan vara av betydelse för utredningsuppdraget. Det finns ingen garanti för att redovisningen är fullständig avseende underrättspraxis, eftersom det visat sig inte vara möjligt att systematiskt söka fram alla äldre avgöranden som kan vara av betydelse. Från den 1 juli 2002 har det emellertid införts en skyldighet för domstolar att sända relevanta avgöranden till Datainspektionen.
21
Det finns bara ett fåtal avgöranden som direkt har gällt tillämpningen av personuppgiftslagen. Bara ett fall har avgjorts av högsta instans. Det är i stället främst genom avgöranden om tillämpningen av 7 kap. 16 § sekretesslagen, som hänvisar till personuppgiftslagen, som personuppgiftslagen kommit upp i domstol.
Fall som i första hand gäller om ett visst förfarande med personuppgifter är skyddat av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen kan ha avgörande betydelse för om personuppgiftslagen är tillämplig. Eftersom sådana fall inte direkt gäller tillämpningen av personuppgiftslagen utan tillämpningen av grundlagarna, redovisas fallen inte här.
5.2.1. Tillämpning av personuppgiftslagen
Inledning
Bara ett fåtal fall har gällt frågan om ansvar för brott mot personuppgiftslagen. Alla fall utom ett har gällt publicering på Internet. Några fall är inte slutligen avgjorda ännu. Något exempel på enskilt åtal har utredningen inte hittat, utan i samtliga brottmål har åklagare fört talan.
Bara i ett fall har det varit fråga om ett tvistemål om skadestånd för brott mot personuppgiftslagen utan samband med ett brottmål.
21
Förordningen (2002:265) om underrättelse till Datainspektionen om vissa domar och
beslut.
Internetpublicering
Prejudikat från Högsta domstolen om webbplats för kritik och debatt
Ett fall om Internetpublicering har avgjorts av Högsta domstolen (NJA 2001 s. 409). Det gällde en man – B – som under namnet Stiftelsen Mot Nordbanken (SMN) inrättat en webbplats på Internet. På webbplatsen förekom bl.a. en s.k. elektronisk skampåle och uppgifter om flera namngivna personer. Som exempel kan nämnas att det på webbplatsen fanns uppgifter om en person som innebar att denne bl.a. ingått avtal som avslöjade ytterst grova brott mot bank- och avtalslagar, tillsammans med andra plundrat och slaktat B:s företagsgrupp, i samverkan med andra satt ihop ett avtal som B tvingades underteckna under hot av konkurs, varit inblandad i skenaffärer i syfte att göra en skattebluff, utställt luftfakturor på cirka 400 000 kr, förskingrat B:s tillgångar samt bestulit B på hans livsverk. På webbplatsen hade B angett att SMN är ett ”forum för belysning av bankers, finansbolags och enskilda kapitalisters skadegörelse före, under och efter bankkrisen. Miljardrullningar som med sitt brottsliga inslag ännu inte nått sin kulmen. SMN ska genom Internet förmedla kunskap, erfarenheter och råd för att förhindra en upprepning av denna genom tiderna största svenska samhällskandal i sitt slag. Allt för att folk skall kunna skydda sig mot skrupelfria banker och samvetslösa nätverkskapitalister som har satt i system att roffa åt sig ytterligare makt och medel på entreprenörers, uppfinnares och samhällets bekostnad.”
Åtalet gällde i Högsta domstolen bl.a. att B på Internet lagt ut såväl integritetskränkande som andra personuppgifter varigenom de förts över till tredje land. Högsta domstolen bedömde B:s förfarande enligt personuppgiftslagen, och den avgörande frågan var om förfarandet var undantaget från straffansvar enligt 7 § andra stycket i den lagen därför att behandlingen av personuppgifter skett uteslutande för journalistiska ändamål. Domstolen noterade att den bestämmelsen grundar sig på artikel 9 i EG-direktivet och fortsatte:
”När det gäller tolkningen av artikel 9 i direktivet finns det anledning att peka på att EU enligt artikel F.2 i fördraget om upprättande av Europeiska unionen skall respektera de grundläggande rättigheterna så som de garanterats i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och så som de följer av medlemsstaternas gemensamma konstitutionella traditioner. Detta
återspeglas på olika sätt i regleringen i direktivet. Av artikel 1 framgår att syftet med direktivet är att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Av punkt 10 i direktivets ingress framgår att med rätten till privatliv avses detsamma som i artikel 8 i Europakonventionen. Enligt den artikeln har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. På motsvarande sätt framgår av direktivets ingress, punkt 37, att bestämmelserna i artikel 9 om yttrandefrihet särskilt avser den frihet att ta emot och sprida uppgifter och tankar som fastslagits i artikel 10 i Europakonventionen.
Det får mot den bakgrunden anses vara uppenbart att tolkningen av artikel 9 i direktivet skall ske med särskilt beaktande av Europakonventionen. Sedan den 1 januari 1995 gäller Europakonventionen också som lag här i landet och lag eller annan föreskrift får inte meddelas i strid med konventionen enligt 2 kap. 23 § regeringsformen.
Skyddet enligt artikel 8 i Europakonventionen avser privatlivets område. Även om det kan vara svårt att avgränsa vad som är att hänföra till det området faller alltså uppgifter som hänför sig till en persons offentliga liv i princip utanför skyddsområdet. Så länge uppgifterna angår privatlivet saknar det däremot i sig betydelse vilken karaktär som uppgifterna i övrigt har. Skyddet gäller i sådant fall även om uppgifterna inte i sig är känsliga på annat sätt än att de angår privatlivet. Skyddet enligt artikel 8 får inskränkas med stöd av lag bl.a. om det i ett demokratiskt samhälle är nödvändigt med hänsyn till andra personers fri- och rättigheter. En sådan rättighet som kan föranleda inskränkningar är den i artikel 10 skyddade yttrandefriheten.
Den i artikel 10 föreskrivna rätten till åsiktsfrihet och till att utan offentlig myndighets inblandning ta emot och sprida uppgifter och tankar är inte inskränkt till någon viss grupp av personer utan avser var och en. Utövandet av yttrandefriheten får i lag underkastas bl.a. sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som i ett demokratiskt samhälle är nödvändiga till skydd för annans goda namn och rykte eller rättigheter. En rättighet som kan föranleda inskränkningar är den i artikel 8 skyddade rätten till privatliv. En sådan inskränkning kan sträcka sig längre än vad som behövs för skydd av annans goda namn eller rykte. För uppgifter som ligger utanför det av artikel 8 skyddade området får inskränkningen däremot i allmänhet inte sträcka sig längre än vad som krävs för detta ändamål.
Det finns inte anledning att anta att direktivet i nu berörda hänseenden skulle tolkas på annat sätt än i överensstämmelse med Europakonventionen. I den danska lagstiftning som implementerat direktivet har detta markerats genom att i lagen införa en uttrycklig hänvisning till artikel 10 i Europakonventionen. I motsvarande norska lagstiftning har undantaget för journalistiska ändamål av motsvarande skäl preciserats
till att också omfatta ’opinionsdannende’ ändamål. Det kan också noteras att den rekommendation (1/97) angående lagstiftning om uppgiftsskydd och medierna som avgivits av den arbetsgrupp som inrättats enligt artikel 29 i direktivet uttryckligen tar sin utgångspunkt i Europakonventionens artiklar 8 och 10.
Av vad som anförts ovan framgår att rättigheterna enligt artikel 8 och 10 i Europakonventionen i enskilda fall kan komma i konflikt med varandra. För att avgöra sådana konflikter tillämpar Europadomstolen den s.k. proportionalitetsprincipen vilket innebär att en avvägning görs mellan intresset av skydd för privatlivet och intresset av yttrandefrihet. Det får antas att det i personuppgiftslagen föreskrivna, på direktivet grundade, undantaget för journalistiska ändamål utgör ett försök att i mer generella termer ge uttryck för en sådan intresseavvägning. Att uttrycket journalistiska ändamål använts kan under sådana förhållanden inte antas vara i avsikt att privilegiera etablerade massmedier eller personer som är yrkesverksamma inom sådana medier. Med uttrycket torde snarare få antas vara avsett att betona vikten av en fri informationsspridning i frågor av betydelse för allmänheten eller för grupper av människor och en fri debatt i samhällsfrågor.
Undantag från de i artikel 8 och 10 garanterade rättigheterna får göras endast om det är nödvändigt för skyddet av grundläggande värden i ett demokratiskt samhälle. Av Europadomstolens praxis framgår att tolkningen av vad som är nödvändigt, och därmed också den avvägning som kan behöva göras mellan olika rättigheter, inte kan fastställas för alla länder och alla tidpunkter utan måste bedömas mot bakgrund av rådande förhållanden i varje land. Varje stat anses åtnjuta en viss frihet att bedöma om ett ingrepp är nödvändigt eller inte och därmed också hur intresseavvägningen mellan olika rättigheter bör göras i enskilda fall.
Vid den svenska implementeringen av direktivet har det också gjorts den bedömningen att artikel 9 tillåter ett hänsynstagande till bl.a. konstitutionella traditioner och principer och att direktivet därför inte lägger hinder i vägen för det generella undantag från personuppgiftslagens bestämmelser som enligt 7 § första stycket gäller i den utsträckning som en tillämpning av dessa skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (jfr SOU 1997:39 s. 263 och prop. 1997/98:44 s. 50 f). Även om det kan diskuteras hur långt spelrummet för nationella variationer sträcker sig (jfr Lagrådet i a. prop. s. 236) torde det vara uppenbart att ett sådant utrymme finns när det gäller tillämpningen av undantag för journalistiska ändamål. Att så är fallet vinner också stöd av utformningen av den rekommendation som berörts ovan.
I förarbetena till personuppgiftslagen har beträffande undantaget för journalistiska ändamål angetts att utgångspunkten skulle vara att detta
handlar om ’vedertagen’ journalistik (a. SOU s. 264) samt att enighet skulle råda om att ’seriös’ journalistisk verksamhet är skyddsvärd (a. prop. s. 52). Oavsett ordvalet står det klart att avsikten med dessa uttalanden inte varit att hävda att avgränsningen skulle ske med tillämpning av någon form av kvalitetskriterium när det gäller innehållet utan endast syftat till att ange karaktären av en bedriven verksamhet. Detta framgår bl.a. av den särskilda förklaring i mötesprotokollet som Sverige fick intagen i samband med att direktivet antogs i ministerrådet. Enligt förklaringen ansåg Sverige att de med journalistiska ändamål jämställda undantagen för konstnärligt eller litterärt skapande mera syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet (jfr de s.k. instruktionerna i 1 kap. 4 § tryckfrihetsförordningen och 1 kap. 5 § yttrandefrihetsgrundlagen). Enligt vad som anges i propositionen (s. 53) skall tolkningen av undantaget ske med hänsyn till den avgivna förklaringen vilket anges kunna få betydelse särskilt för kommunikation som inte bedrivs av yrkesverksamma journalister.
Det syfte för webbsidan som angetts på denna och som [B] utvecklat i målet måste mot den angivna bakgrunden anses ligga väl inom ramen för ett journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. I vad mån sedan webbsidan kan anses motsvara godtagbar standard enligt de kriterier som man brukar använda när man värderar etablerad journalistisk verksamhet saknar i sig betydelse för bedömningen.
Att webbsidan som sådan måste anses ha haft ett journalistiskt ändamål utesluter emellertid inte att det inom ramen för denna skulle kunna förekomma publicering och behandling av personuppgifter som inte kan anses ha haft ett journalistiskt ändamål. Publicering av uppgifter av rent privat karaktär kan exempelvis normalt inte anses ha ett journalistiskt ändamål helt oberoende av om publiceringen sker i ett sammanhang som i övrigt har journalistiska ändamål. Det saknar härvid i princip betydelse om uppgifterna angår personer som det lämnats också andra uppgifter om som får anses vara omfattade av det journalistiska ändamålet.
[B] får anses ha gjort gällande att alla personuppgifter på webbsidan omfattas av journalistiska ändamål. Under sådana förhållanden ankommer det i princip på åklagaren att åberopa och visa att det föreligger sådana omständigheter som gör att denna invändning mot ansvar framstår som obefogad (jfr NJA 2000 s. 355 och a. prop. s. 119). Vad åklagaren kan anses ha åberopat i denna del är att uppgifterna varit kränkande.
Att elektroniskt eller på annat sätt publicerade texter innehåller kränkande eller nedvärderande uppgifter eller omdömen innebär emellertid inte i sig att det inte är fråga om journalistiska ändamål. Tvärtom får sådant anses utgöra ett normalt inslag inom ramen för en kritisk
samhällsdebatt. Som Europadomstolen framhållit innefattar yttrandefriheten även rätten att framföra sådan information och sådana åsikter och tankar som kränker, chockerar eller stör.
Då det i målet inte framförts någon annan omständighet som skulle kunna göra att vissa av personuppgifterna inte omfattades av journalistiska ändamål skall [B:s] invändning i den delen godtas.
För att webbsidan skall vara undantagen från straffansvar enligt 7 § andra stycket personuppgiftslagen krävs emellertid härutöver att behandlingen på webbsidan skett ’uteslutande’ för journalistiska ändamål. Åklagaren får anses ha gjort gällande att [B] haft till syfte att sprida kränkande eller nedvärderande personuppgifter och att behandlingen av dessa uppgifter med hänsyn härtill i vart fall inte skett uteslutande for journalistiska ändamål.
Begränsningen till ’uteslutande’ journalistiska ändamål syftar i första hand på att klargöra att sådan personuppgiftsbehandling som sker inom massmedia och av journalister för annat än redaktionella ändamål faller utanför undantaget. Massmedias behandling av personuppgifter för exempelvis fakturering, direktreklam eller kartläggning av läsarprofiler faller således utanför undantaget (jfr rekommendationen 1/97). Något stöd för att uttrycket ’uteslutande’ därutöver också skulle tolkas så att det oberoende av att en publicering haft journalistiska ändamål skulle vara möjligt att med stöd av personuppgiftslagen bestraffa angrepp på annans goda namn och rykte kan inte anses föreligga.
Detta innebär inte att det så länge som det föreligger ett journalistiskt ändamål står fritt att framföra uppgifter av det aktuella slaget. Uppgiftslämnandet kan vara straffbart som förtal enligt den reglering som finns för sådana brott med särskild försvarlighetsbedömning och möjlighet till sanningsbevisning. Något utrymme för att göra motsvarande bedömningar inom ramen för personuppgiftslagen finns däremot inte. Mot den bakgrunden måste det anses stå klart att straffansvaret enligt personuppgiftslagen inte heller kan avgränsas utifrån sådana kriterier.
Högsta domstolen, som mot bakgrund av vad som anförts inte bedömt det som nödvändigt att inhämta något förhandsavgörande från EG-domstolen, finner sammanfattningsvis – vid tillämpning av 7 § andra stycket i den svenska personuppgiftslagen – att det inte är visat annat i målet än att [B:s] behandling av personuppgifter på den aktuella webbsidan skett uteslutande för journalistiska ändamål. Han skall därför inte dömas till ansvar för den åtalade gärningen. Vid den bedömningen saknar Högsta domstolen anledning att pröva i vad mån det även på annan grund skulle kunna finnas skäl att ogilla åtalet.”
Högsta domstolen synes i rättsfallet ha gjort en vid och yttrandefrihetsvänlig tolkning av kravet på att en behandling av personupp-
gifter skall ha skett uteslutande för journalistiska ändamål. Det har ansetts som journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten.
Publicering av uppgifter om misstänkta våldtäktsmän
I fallet – Helsingborgs tingsrätts dom 2001-01-31 i mål nr B 3915-00 – dömdes en person för brott mot personuppgiftslagen till 80 dagsböter för det att han på sin hemsida på Internet påstått att fem namngivna personer gjort sig skyldiga till våldtäkt och därigenom olovligen dels behandlat personuppgifter om lagöverträdelser som innefattar brott, dels fört över personuppgifterna till tredje land. Den tilltalade dömdes också att betala skadestånd för kränkning med 5 000 kr vardera till två målsägande.
Publicering av uppgifter om journalister
En person åtalades för att han olovligen fört över uppgifter om flera personer till tredje land. Tingsrätten – Linköpings tingsrätts dom 2003-07-01 i mål nr B 260-01 – kom fram till att han lagt ut uppgifterna på Internet på en ”rödinglista” och gjort sig skyldig till brott mot personuppgiftslagen. Brottet ansågs grovt i fråga om två politiskt aktiva personer och två journalister. Publiceringen av personuppgifterna ansågs i dessa fall nämligen ha haft till syfte att motverka politiskt engagemang och politisk verksamhet samt att motverka ett fritt meningsutbyte i medierna och på annat sätt. Beträffande övriga personer hade publiceringen inte haft samma allvarliga syfte, varför brottet inte ansågs grovt utan var preskriberat. Den tilltalade dömdes till 150 dagsböter för grovt brott mot personuppgiftslagen, grovt olaga hot och rattfylleri. Tingrätten dömde också ut yrkade skadestånd för kränkning på mellan 5 000 och 60 000 kr. De två journalisterna fick dessutom ekonomiskt skadestånd för förlorad arbetsförtjänst, medan ett skadeståndskrav för kostnader för reparation av dörr ogillades eftersom det inte var visat att kostnaderna uppkommit till följd av den gärning som den tilltalade gjort sig skyldig till.
Publicering av uppgifter om arbetskamrater
Ett pågående mål gäller publicering av personuppgifter om arbetskamrater på Internet. Det fallet gäller en person – B – som arbetade i ett pastorat och lade ut hemsidor på Internet om arton personer som arbetade inom pastoratet. B nämnde på en hemsida bl.a. att en person skadat foten och var halvt sjukskriven. Eksjö tingsrätt fann i dom 2000-06-07 i mål nr B 809-99 att B genom oaktsamhet brutit mot personuppgiftslagen genom att behandla en känslig personuppgift – uppgiften om den skadade foten och sjukskrivningen – genom att låta bli att anmäla behandlingen av personuppgifter till Datainspektionen och genom att föra över personuppgifter till tredje land. Tingsrätten kom också fram till att överträdelserna inte var ringa och dömde B till fyrtio dagsböter.
B har överklagat domen till Göta hovrätt (mål nr B 747-00) som gett henne prövningstillstånd. Hovrätten beslutade den 23 februari 2001 att hämta in ett s.k. förhandsavgörande från EG-domstolen i sju olika frågor om tolkningen av EG-direktivet. EG-domstolen meddelade dom den 6 november 2003 (mål C-101/01), se avsnitt 5.5.2. Göta h ovrätt har ännu inte avgjort målet.
Ett annat pågående mål gäller närmast en arbetsgivares publicering av uppgifter om en anställd. Kristinehamns tingsrätt dömde en ordförande i en privatskola till åttio dagsböter för att skolan på en hemsida på Internet publicerat uppgifter om att en anställd haft samarbetssvårigheter och varit sjukskriven (Kristinehamns tingsrätts dom 2003-02-06 i mål nr B 291-02). De publicerade uppgifterna ansågs som känsliga personuppgifter enligt 13 § personuppgiftslagen, och det förhållandet att uppgifterna funnits kvar på hemsidan en tid efter det att den anställde påtalat saken ansågs försvårande. Att den anställde i efterhand – sedan han fått 13 000 kr för det inträffade – lämnat sitt samtycke till publiceringen tillmättes ingen betydelse. Den tilltalade överklagade, men Hovrätten för Västra Sverige (dom 2003-06-25 i mål nr B 1750-03) har fastställt tingsrättens dom. Den tilltalade har överklagat hovrättens dom.
Publicering av uppgifter om närstående eller f.d. närstående
Några fall har gällt publicering på Internet av fotografier och andra uppgifter om personer som gärningsmannen känt personligen, t.ex. uppgifter om en f.d. flickvän.
I det första fallet – Trollhättans tingsrätts dom 2002-03-27 i mål nr B 5-02 – hade en person, A, på en webbplats på Internet publicerat två fotografier av en annan person och nitton fotografier av sin svägerska utan deras kännedom eller samtycke. Tingsrätten gjorde följande bedömning:
”Skuldfrågan I målet är utrett att [A] har lagt ut fotografier av målsägandena på en webbplats på Internet. Att på det viset hantera fotografier av identifierbara och nu levande personer skall bedömas som behandling av personuppgifter enligt 3 § personuppgiftslagen. Den omständigheten att [A] har spritt personuppgifterna via en webbplats på Internet och därmed till ett obestämt antal personer, innebär att behandlingen inte bör betraktas som ett led i en rent privat verksamhet. Behandlingen är därmed inte enligt 6 § undantagen från personuppgiftslagens tillämpningsområde (se SOU 1997:39 s. 120–121).
Att personuppgifter läggs ut på en webbplats på Internet på det sätt som skett i detta fall innebär att uppgifterna har gjorts tillgängliga för användare av Internet i hela världen. Det är därmed fråga om överföring av personuppgifter till tredje land. Enligt 33 § personuppgiftslagen är det förbjudet att till tredje land föra över personuppgifter som är under behandling, om landet inte har en adekvat nivå för skyddet av personuppgifterna. […]
33 § personuppgiftslagen medger alltså att personuppgifter under vissa förutsättningar överförs till tredje land. Emellertid är sådan överföring tillåten endast om behandlingen uppfyller personuppgiftslagens krav i övrigt (se prop. 1999/2000:11 s. 16). I detta fall kan konstateras att [A] vid behandling av [svägerskans] personuppgifter inte har uppfyllt de grundläggande krav som ställs i 10 § personuppgiftslagen på tillåten behandling. [A] har därmed brutit mot 33 § personuppgiftslagen genom att till tredje land föra över personuppgifter som varit under behandling, trots att detta inte varit tillåtet.
Vid angivna förhållanden har [A] gjort sig skyldig till brott enligt 49 § personuppgiftslagen, såvida det inte är fråga om ett ringa fall. Vad som är ringa fall skall bedömas med hänsyn till samtliga omständigheter i det enskilda fallet. Alla faktorer såsom uppgifternas art och vilken integritetskränkning eller risk för integritetskränkning som behandlingen har orsakat skall vägas in (se prop. 1999/2000:11 s. 21).
På webbsidan med målsägandenas bilder fanns bl.a. texten ‘At tribute to all beautiful young girls in the world’. På sidan fanns under rubriken ‘Beautiful links’ ett antal länkar till andra webbplatser med namn som bl.a. ‘Obsessed of Lil Amber’, ‘Lovely Amanda’ och ‘Our little angels’. Vidare fanns texten ‘Subscribe to adorepreteen’ som tydligen var en särskild funktion som gav möjlighet att prenumerera på en e-
postlista. Även om [A] har bestritt att hans webbsida haft kopplingar till någon form av barnpornografi, innebär de sammantagna omständigheterna kring behandlingen att gärningen inte kan betraktas som ringa.
[A] har invänt att han saknat uppsåt till brott, eftersom han inte visste att det var otillåtet att lägga ut bilder på en webbplats på Internet.
Enligt vad [A] själv har berättat är utrett att han har haft uppsåt till de faktiska omständigheterna, dvs. att han vidtog åtgärder med bilder av identifierbara personer och att bilderna, genom att läggas ut på Internet, skulle bli tillgängliga för Internetanvändare i hela världen. Det förhållandet att [A] kan ha varit okunnig om det närmare innehållet i personuppgiftslagen fritar honom inte från ansvar.
[…] Skadeståndsfrågan I målet är utrett att [A] har behandlat [svägerskans] personuppgifter i strid med personuppgiftslagen. [A] är därmed enligt 48 § personuppgiftslagen skyldig att ersätta [svägerskan] för skada och för kränkning av den personliga integriteten som behandlingen har orsakat.
[A] har på Internet lagt ut ett stort antal bilder av [svägerskan], tagna när hon var barn. Även om bilderna är av vardaglig karaktär och alltså i sig inte anmärkningsvärda, måste ändå beaktas att det rör sig om bilder som till sin natur är privata och som [svägerskan] inte haft skäl att anta skulle få en stor spridning bland okända. Dessa omständigheter i förening med utformningen av webbsidan innebär enligt tingsrättens mening en förhållandevis allvarlig kränkning av [svägerskans] personliga integritet. Ersättningen för kränkning bestäms till skäliga 5 000 kr.
Enligt [svägerskans] och [en annan persons] samstämmiga uppgifter har [svägerskan] mått psykiskt dåligt av vetskapen att [A] hade lagt ut bilder av henne på Internet. Som tingsrätten har konstaterat ovan måste [A:s] handlande anses ha inneburit en förhållandevis allvarlig kränkning av hennes personliga integritet. Tingsrätten finner mot denna bakgrund att det får anses utrett att det i målet aktuella brottet har orsakat [svägerskan] sådan skada som skall ersättas i form av sveda och värk. Ersättningen bestäms till skäliga 5 000 kr.”
Tingrätten dömde A för brott mot personuppgiftslagen och viss annan brottslighet till skyddstillsyn och åttio dagsböter samt förpliktade honom att betala sammanlagt 10 000 kr i skadestånd till svägerskan.
I ett annat fall dömde Uppsala tingsrätt en person för brott mot personuppgiftslagen till 50 dagsböter för att han på en hemsida på Internet utan samtycke publicerat uppgifter av rent privat karaktär – om bl.a. födelsetid, adress och familjeförhållanden – om en kvin-
na som inte varit harmlösa och därmed fört över uppgifterna till tredje land (Uppsala tingsrätts dom 2002-05-02 i mål nr B 879-02).
Ett par fall har gällt publicering på Internet av sexkontaktannonser. I ett fall dömde Solna tingsrätt en person till fängelse i tre månader för grovt förtal och brott mot personuppgiftslagen för att han vid tre tillfällen låtit publicera på Internet sexkontaktannonser om en f.d. sambo (Solna tingsrätts dom 2002-04-03 i mål nr B 296-01). Svea hovrätt har efter överklagande fastställt domen (dom 2002-11-04 i mål nr B 4812-02, RH 2002:71), och Högsta domstolen har inte meddelat prövningstillstånd (beslut 2003-02-14 i mål nr B 4382-02). I ett annat fall dömde Södra Roslags tingsrätt en person till fängelse i två månader för brott mot personuppgiftslagen, grovt förtal och anstiftan till sexuellt ofredande för att han vid ett tillfälle publicerat en sexkontaktannons på Internet om en flicka han lärt känna via Internet (dom 2003-10-01 i mål nr 2614-03). Flickan fick skadestånd med 20 000 kr, varav 10 000 kr för sveda och värk och 10 000 kr för kränkning. Den dömde har överklagat domen.
Upprättande av datoriserat register över politiska motståndare
Ett fall har gällt upprättandet av ett regelrätt datoriserat register som inte publicerats på Internet. Riksåklagaren åtalade två personer för brott mot personuppgiftslagen, grovt brott, för att de på automatisk väg olovligen lagrat uppgifter om mer än ettusen personer i ett register. Personuppgifterna avsåg ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, sexualliv och domar i brottmål. Syftet med registreringen var enligt åtalet att kunna sprida uppgifterna och därmed bl.a. möjliggöra angrepp på personer på grund av deras politiska uppfattning, ras, etniska ursprung eller trosbekännelse.
Helsingborgs tingsrätt (dom 2002-11-07 i mål nr B 1124-00) ogillade åtalet mot den ena personen eftersom han påbörjat behandlingen av personuppgifterna medan datalagen gällde och då det han gjort inte var straffbart enligt både datalagen och personuppgiftslagen (se 5 § lagen om införande av brottsbalken).
Den andra personen dömdes till tre månaders fängelse för grovt brott mot personuppgiftslagen och ringa vapenbrott (avseende tårgas). Han hade invänt att behandlingen var av rent privat natur och att den hade journalistiska ändamål. Tingsrätten ansåg dock att registret, med det innehåll och den utformning det hade, inte kunde
bidra till information, kritik och debatt om samhällsfrågor av betydelse för allmänheten. Enligt tingsrätten var det uppenbart att registret inte hade något som helst att tillföra samhälls- och allmänintresset. Registret saknade enligt tingsrättens mening värde som bakgrundsinformation för en seriös samhällsdebatt. Det var, enligt tingsrätten, uppenbart att den verkliga avsikten med behandlingen varit att kartlägga politiska motståndare och att på något sätt sprida uppgifter om dem och därmed möjliggöra angrepp på dem.
När det gällde bedömningen att brottet mot personuppgiftslagen var grovt noterade tingsrätten följande omständigheter. Behandlingen hade rört en mängd personer och avsett mycket känsliga uppgifter. Syftet med behandlingen var att kartlägga politiska meningsmotståndare och utsätta dessa för trakasserier. Behandlingen hade haft ett diskriminerande motiv. Behandlingen hade inneburit en avsevärd kränkning av de registrerades personliga integritet.
Mot bakgrund av omfattningen av behandlingen och den synnerligen stora kränkning denna inneburit för människors personliga integritet ansåg tingsrätten att brottet var av en sådan art att påföljden skulle bestämmas till fängelse.
Tingsrätten biföll också åklagarens yrkande om förverkande enligt 36 kap. 3 § första stycket första punkten brottsbalken av bl.a. CD-skivor och handskrivna lappar som innehöll känsliga personuppgifter och personuppgifter som avser domar i brottmål.
Ett skadestånd för kränkning om 10 000 kr dömdes också ut. Ytterligare skadeståndsanspråk avskildes från brottmålet och handläggs för närvarande som separata tvistemål.
Åklagaren, den person som dömts och målsägandena överklagade tingsrättens dom. Hovrätten över Skåne och Blekinge (dom 2003-11-11 i mål nr B 3113-02) frikände den person som dömts vid tingsrätten och dömde den person som frikänts vid tingsrätten för brott mot datalagen. Hovrätten ansåg att båda tilltalade hade påbörjat sin behandling av personuppgifterna redan innan personuppgiftslagen trädde i kraft och att det därför krävdes att det de gjort var straffbart enligt både datalagen och personuppgiftslagen. Hovrätten kom fram till att den person som frikändes inte hade fört ett sådant personregister som datalagen gällde för och därför inte kunde dömas för brott mot den lagen. Den andra personen hade emellertid enligt hovrätten brutit mot förbudet i datalagen mot att lämna ut en personuppgift i ett personregister, om det finns anledning att anta att uppgiften skall användas för automatisk databehandling i strid med datalagen, genom att lämna en CDskiva med ett datorregister till den frikände. Den behandlingen av
bl.a. känsliga personuppgifter är enligt hovrätten straffbar också enligt personuppgiftslagen. Hovrätten ansåg att det kunde hållas för säkert att de tilltalade inte haft sådant syfte med behandlingen som avses med undantaget från personuppgiftslagen för rent privat behandling och behandling för journalistiska ändamål (6 och 7 §§). Hovrätten pekade bl.a. på att de, trots att de haft tillgång till uppgifterna i mer än ett år, inte redovisat några resultat av journalistisk verksamhet. En målsägande fick ett skadestånd enligt datalagen.
Tvistemål om skadestånd för förbrytargalleri på Internet
I ett tvistemål om skadestånd för brott mot personuppgiftslagen har Hovrätten för Västra Sverige (dom 2002-06-20 i mål nr T 250 5-01)
22
med hänvisning till Högsta domstolens avgörande i
NJA 2001 s. 409 ansett att en publicering av namn och bild på Internet i ett ”förbrytargalleri” på en hemsida som var gjord för att visa hur myndigheter och en entreprenör agerat i samband med ett vägbygge skett uteslutande för journalistiska ändamål.
5.2.2. Tillämpning av 7 kap. 16 § sekretesslagen
Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Rättsfall om tillämpningen av den bestämmelsen kan därför ge vägledning om vilken behandling av personuppgifter som står eller inte står i strid med personuppgiftslagen. Det är i själva verket främst genom avgöranden om tillämpningen av 7 kap. 16 § sekretesslagen som personuppgiftslagen hittills kommit upp i domstol.
Det finns tre vägledande rättsfall från högsta instans – Regeringsrätten.
Manuell behandling av personuppgifter
Ett fall från Regeringsrätten – RÅ 2001 ref. 35 – har gällt frågan om en viss manuell behandling av personuppgifter omfattas av person-
22
Högsta domstolen har inte meddelat prövningstillstånd, beslut 2002-11-06 i mål nr
T 2872-02.
uppgiftslagen därför att uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, 5 § andra stycket personuppgiftslagen. Ett företag ville ha ut betygsuppgifter på papper från Kungliga Tekniska Högskolan (KTH) om cirka 1 400 studenter. Vid utlämnandet skulle uppgifterna vara sorterade efter studenternas efternamn. Företaget skulle därefter manuellt beräkna medelbetyg för varje student och sortera handlingarna efter medelbetyg. Regeringsrätten förordnade att betygshandlingarna skulle lämnas ut till företaget och anförde i domskälen bl.a. följande:
”Av lagtexten, förarbetena och persondatadirektivet får anses framgå att någon form av förberedelse eller bearbetning måste ha ägt rum för att personuppgifter i ett antal dokument skall kunna anses ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär enligt Regeringsrättens mening att tillgängligheten i regel måste ha åstadkommits genom något särskilt arrangemang för sökning bland uppgifterna, t.ex. i form av kortregister, sökmarkörer eller liknande. Det skall således finnas möjlighet till sökning av olika personuppgifter på ett betydligt effektivare sätt än i form av en genomgång och granskning dokument för dokument. Detta leder till slutsatsen att en sortering av ett antal dokument i en viss ordning inte utan ytterligare åtgärder kan anses uppfylla det i lagtexten angivna kravet. Regeringsrätten finner därför att personuppgifterna i de efterfrågade handlingarna vid ett utlämnande från KTH inte ingår i en sådan samling som omfattas av PUL. Frågan är då om personuppgifterna i de handlingar som återstår efter det att bolaget gallrat handlingarna och sorterat återstående handlingar efter varje students betygsgenomsnitt kan sägas ingå i en sådan samling. Med hänsyn till vad som uppgivits om det beräknade antalet återstående handlingar [några tiotal betygshandlingar] kan det i och för sig ifrågasättas om mängden uppgifter är tillräcklig för att kunna utgöra en sådan samling. Utan ytterligare bearbetning utgör handlingarna emellertid även i detta skick endast ett antal handlingar sorterade i en viss ordning. Kravet på bearbetning är i den situationen enligt Regeringsrättens mening lika litet uppfyllt som vid ett utlämnande från KTH. Den omständigheten att möjligheten finns att i stället sortera handlingarna efter studenternas ålder eller i bokstavsordning efter studenternas efternamn ändrar inte detta förhållande.”
Kammarrätten i Stockholm har (dom 2000-09-21 i mål nr 3398-2000) gjort en liknande bedömning i fråga om en förteckning
över gällande hyreskontrakt hos Familjebostäder; en komplettering av förteckningen, sorterad efter adress, med ytterligare en kolumn med namn ansågs inte innebära att personuppgifterna i förteckningen blev tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Även Kammarrätten i Göteborg har (dom 2001-07-04 i mål nr 1521-2001) gjort en liknande bedömning i fråga om betygskataloger över grundskoleelever i en kommun.
Länsrätten i Stockholms län har (dom 2002-10-29 i mål nr 4349-02 E) bedömt att en samling mikrokort i pärmar i visst fall utgjort ett sådant manuellt register som omfattas av personuppgiftsla gen, se om fallet i avsnitt 5.2.3.
Eskilstuna tingsrätt har (dom 2002-04-16 i mål nr B 506-02) i ett mål om ansvar för tjänstefel gjort bedömningen att förandet av en förteckning i en anteckningsbok över personer som omhändertagits enligt lagen (1976:511) om omhändertagande av berusade personer, som var sökbar endast på namn, inte omfattas av personuppgiftslagen.
Behandling för direkt marknadsföring eller liknande
Det andra rättsfallet från Regeringsrätten – RÅ 2001 ref. 68 – gällde frågan om behandling av personuppgifter för direkt marknadsföring var tillåten efter en intresseavvägning enligt 10 § f personuppgiftslagen. Ett företag hade hos Jordbruksverket begärt att få ut en kopia av verkets adressregister över mjölkproducenter för att kunna marknadsföra sina foderprodukter. Regeringsrätten förordnade att adressregistret skulle lämnas ut till företaget och anförde i domskälen bl.a. följande:
”Den av bolaget avsedda behandlingen omfattas av PUL och får anses nödvändig för att tillgodose bolagets intresse av att på visst sätt marknadsföra foderprodukter. Detta ändamål får enligt Regeringsrättens mening ses som ett berättigat intresse. Fråga är då om begärda uppgifter kan lämnas ut på den grunden att bolagets intresse av att behandla uppgifterna för marknadsföring kan anses väga tyngre än den enskildes integritetsintresse.
[E]nligt 10 § f PUL [skall] en avvägning göras mellan – i det här fallet – bolagets kommersiella intresse och den enskildes intresse av ’skydd mot kränkning av den personliga integriteten’. Med hänsyn till att det är fråga om marknadsföring riktad till näringsidkare, att uppgifterna i fråga inte kan bedömas som känsliga och att den enskilde kan
motsätta sig att personuppgifterna används för direkt marknadsföring finner Regeringsrätten att bolagets kommersiella intressen får anses väga tyngre än den enskildes integritetsintresse.”
Kammarrätten i Jönköping hade i ett tidigare fall om utlämnande av adressregistret (dom 1999-11-16 i mål nr 3865-1999) kommit till motsatt slutsats och vägrat utlämnande.
Det tredje fallet från Regeringsrätten – RÅ 2002 ref. 54 – gällde också intresseavvägning enligt 10 § f personuppgiftslagen vid direkt marknadsföring. Ett företag ville ha ut Centrala Studiestödsnämndens register över studiestödsmottagare för att sända erbjudanden om rabatter till studenterna en gång per termin. Eftersom det var fråga om en stor mängd personuppgifter, fick det antas att företaget hade för avsikt att använda sig av helt eller delvis automatiserad behandling. Regeringsrätten fann att den avsedda behandlingen omfattades av personuppgiftslagen och fick anses vara nödvändig för att tillgodose företagets intresse av att i marknadsföringssyfte skicka ut rabatterbjudandena, ett intresse som befanns berättigat. Regeringsrätten refererade övervägandena angående intresseavvägningen i fråga om Jordbruksverkets register över mjölkproducenter som var näringsidkare (RÅ 2001 ref. 68) och fortsatte:
”I detta mål är det emellertid fråga om privatpersoners intresse av skydd för den personliga integriteten. Det bör i ett sådant fall därför krävas att avvägningen mellan bolagets kommersiella intresse och den enskildes integritetsintresse på ett entydigt sätt utfaller till det förstnämndas förmån för att ett utlämnande av de begärda uppgifterna skall kunna ske.
Såvitt gäller den planerade marknadsföringens omfattning beaktar Regeringsrätten att denna får anses vara förhållandevis begränsad genom att den inskränker sig till ett utskick per termin. Beträffande marknadsföringens innehåll har bolaget inte närmare klargjort vilka företag som kommer att erbjuda rabatter eller andra förmåner via bolagets rabattkort. Det saknas emellertid skäl att anta att marknadsföringen skulle komma att innehålla inslag som i sig kan betraktas som integritetskränkande.
Det bör vidare beaktas att de uppgifter som begärs utlämnade inte kan bedömas vara känsliga. Den bedömningen förändras inte av det förhållandet att enligt nu gällande studiestödslag (1999:1395) storleken på såväl studiebidrag som studielån påverkas av den studerandes inkomster. Den omständigheten att en studerande erhåller studiemedel i någon omfattning kan nämligen, med hänsyn till det s.k. fribeloppets storlek och den successiva nedtrappning av studiemedlen som sker vid
inkomster som överstiger det beloppet, inte leda till någon annan slutsats om hans eller hennes övriga inkomstförhållanden än att dessa inte är osedvanligt goda.
Med hänsyn till nu nämnda förhållanden, liksom till att den enskilde har en ovillkorlig rätt att motsätta sig att personuppgifterna används för direkt marknadsföring, finner Regeringsrätten att bolagets kommersiella intresse i förhållande till det motstående integritetsintresset väger så tungt att dess tilltänkta behandling av personuppgifterna inte kan anses stå i strid med 10 § PUL. Det kan inte heller antas att den planerade behandlingen av personuppgifterna skulle strida mot någon annan bestämmelse i PUL.”
Ytterligare ett par kammarrättsfall har gällt tillåtligheten av direkt marknadsföring eller liknande.
I ett fall hade ett försäkringsbolag hos Rikspolisstyrelsen begärt att få ut uppgifter om födelsetid (personnumrets sex första siffror) och postnummer för alla anställda hos polisen för att kunna sortera bort dessa offentliganställda inför ett utskick som bolaget tänkte göra till bara privatanställda. Kammarrätten i Stockholm (dom 2001-06-19 i mål nr 1138-2001) ansåg att den avsedda behandlingen inte stod i strid med 10 § personuppgiftslagen och förordnade att uppgifterna skulle lämnas ut.
Motsvarande bedömning gjorde Kammarrätten i Stockholm (dom 2002-07-19 i mål nr 4384-2002) när försäkringsbolaget begärde att få ut adressuppgifter för de anställda vid Kemikalieinspektionen för att sända ut direkt marknadsföring till dem.
I ett fall hade Svenska Jägareförbundet hos Naturvårdsverket begärt att få ut uppgift om namn, adress och personnummer för nästan 300 000 personer ur verkets jaktkortsregister för att använda för medlemsvärvning. Kammarrätten i Stockholm (dom 2003-08-28 i mål nr 5033-03) fann att den tilltänkta behandlingen av personnummer inte var förenlig med 22 § personuppgiftslagen. Kammarrätten ansåg dock att behandlingen av uppgifter om namn och adress inte stod i strid med 10 § f personuppgiftslagen och förordnade att dessa uppgifter skulle lämnas ut till förbundet.
Behandling för utsändande av enkäter eller liknande
Ett par kammarrättsfall har gällt utsändande av enkäter eller liknande.
I ett fall hade en person begärt att få ut Vägverkets register över personal vid trafikskolor, inklusive personnummer, för att på uppdrag av Sveriges Trafikskolors Riksförbund göra en enkätundersökning om varför trafikskolepersonal slutar sin anställning. Det ansågs tveksamt om behandlingen var tillåten enligt 10 och 22 §§personuppgiftslagen och utlämnande vägrades (Kammarrättens i Sundsvall dom 2001-10-22 i mål nr 2670-2001
23
).
24
I ett annat fall hade Svenska Jägareförbundet begärt att få ut adressuppgifter för 20 000 personer ur Naturvårdsverkets jaktkortsregister för att sända ut en enkät för att få underlag för statistik om avskjutning av djur. Kammarrätten i Stockholm noterade (dom 2002-07-19 i mål nr 2620-2002) att Svenska Jägareförbundet bär huvudansvaret för att leda delar av viltvården och jakten i landet och att detta utgör en arbetsuppgift av allmänt intresse. Eftersom den avsedda användningen av personuppgifterna var nödvändig för arbetsuppgiftens utförande, fanns det inte något hinder enligt 7 kap. 16 § sekretesslagen mot att lämna ut uppgifterna.
Vägran att ange ändamålet med insamlingen
I ett kammarrättsfall där en sökande hade låtit bli att ange ändamålet med insamlingen av vissa personuppgifter ansågs det kunna antas att uppgifterna skulle komma att behandlas i strid med personuppgiftslagen (Kammarrättens i Sundsvall dom 2000-06-14 i mål nr 1443-2000).
Utlämnande av personuppgifter till anställda vid massmedieföretag m.m.
Några kammarrättsfall har gällt utlämnande av personuppgifter till anställda vid massmedieföretag (Kammarrättens i Sundsvall dom 2000-02-08 i mål nr 23-2000, Kammarrättens i Jönköping dom 2000-08-31 i mål nr 1226-2000, Kammarrättens i Göteborg dom 2001-03-29 i mål nr 7459-2000 och Kammarrättens i Stockholm dom 2001-04-10 i mål nr 1737-2001). I samtliga fall har sökandena fått ut uppgifterna efter överklagande, oftast med motiveringen att
23
Regeringsrätten har vägrat att medge prövningstillstånd.
24
Jämför i fråga om behandling av personnummer Kammarrättens i Stockholm dom
2000-04-10 i mål nr 9572-1999.
personuppgiftslagen inte är tillämplig på sådan verksamhet som är grundlagsskyddad.
Ett fall har gällt utlämnande av personuppgifter till en person som studerade journalistik. En person hade hos det kommunala bostadsaktiebolaget Poseidon begärt att få ut personuppgifter om hyresgäster m.m. Poseidon avslog begäran med hänvisning till sekretess enligt bl.a. 7 kap. 16 § sekretesslagen. I överklagande till kammarrätten anförde personen att han studerade journalistik på universitet och behövde uppgifterna för ett examensarbete i form av en journalistisk produkt avsedd att publiceras i tryckt periodisk skrift. Kammarrätten i Göteborg (dom 2003-02-14 i mål nr 6296-2002) ansåg att klagandens uppgifter fick godtas och att personuppgiftslagen därmed inte var tillämplig i målet.
5.2.3. Övriga mål
I detta avsnitt berörs några fall som har viss anknytning till personuppgiftslagen.
Intresseavvägning, känsliga personuppgifter, personnummer
I ett ärende om tillämpning av 17 § socialförsäkringsregisterlagen (1997:934) i tidigare lydelse uppkom fråga om en viss behandling var förenlig med personuppgiftslagen. AFA Sjukförsäkringsaktiebolag ansökte hos Datainspektionen om att enligt det nämnda lagrummet få ut personuppgifter ur socialförsäkringsregistret på medium för automatisk databehandling. AFA ville ha uppgifter – bl.a. personnummer – på personer som haft förtidspension eller sjukbidrag för att söka efter personer som kan vara berättigade till försäkringsersättning från AFA. Datainspektionen avslog ansökan eftersom ett utlämnande av uppgifterna skulle medföra att de behandlas i strid med personuppgiftslagen. AFA överklagade beslutet till Länsrätten i Stockholms län som biföll överklagandet, dom 2001-06-14 i mål nr 11256-99. Länsrätten berörde bl.a. frågan om behandlingen av personuppgifter var tillåten enligt bestämmelsen i 10 § f personuppgiftslagen om en intresseavvägning och anförde bl.a. följande:
”Med hänsyn till ändamålet med behandlingen – att möjliggöra för AFA att informera de försäkrade att de kan ha rätt till ersättning och
uppmana dem att ansöka om sådan – och att det är relativt begränsade uppgifter som skall hämtas in samt vad som upplysts om hanteringen, nämligen att den skall ske automatiserat och att ingen enskild person kommer att befatta sig med några personuppgifter, får AFA:s intresse av att genomföra behandlingen […] anses väga över de registrerades integritetsintresse.
Ytterligare en förutsättning för behandling är att en behandling av personuppgifter inte strider mot förbudet i 13 § andra stycket personuppgiftslagen att behandla känsliga personuppgifter som rör hälsa.
[…] En uppgift om
varför någon uppbär förtidspension eller sjukbidrag
skulle kunna sägas röra en persons hälsa. Enbart en uppgift om att en person uppbär förtidspension eller sjukbidrag kan dock enligt länsrättens mening inte anses röra en persons hälsa. […]
Eftersom det enda sättet att identifiera de försäkrade är att samköra personnummer, får användningen av personnummer anses motiverad. Vidare finner länsrätten, vid en jämförelse med 24 § personuppgiftslagen, inte att det skulle strida mot denna bestämmelse att lämna information om behandlingen först i samband med utskicket och enbart till dem som erhåller detta.”
Datainspektionen överklagade domen till Kammarrätten i Stockholm, som meddelade prövningstillstånd, men sedan skrev av målet eftersom bestämmelsen i socialförsäkringsregisterlagen ändrats (beslut 2002-11-28 i mål nr 4405-01).
Kristinehamns tingsrätt (dom 2003-02-06 i mål nr B 291-02) har ansett att en uppgift om en anställds sjukskrivning utgjort en känslig personuppgift enligt 13 § personuppgiftslagen, se om fallet i avsnit t 5.2.1.
Manuell behandling av personuppgifter
Ett fall om tillämpningen av lagen (2001:184) om behandling av uppgifter i kronofogdemyndigheternas verksamhet har gällt frågan om vad som är en sådan manuell behandling av personuppgifter som omfattas av den lagen och av personuppgiftslagen. I fallet hade personuppgifter gallrats från den automatiserade utsöknings- och indrivningsdatabasen och i stället lagts på manuella mikrokort som fanns i pärmar. Personuppgiftslagen och den aktuella lagen gäller bara för behandling av personuppgifter som helt eller delvis är automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av
personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Frågan var om personuppgifterna på mikrokorten behandlades på ett sådant sätt att bestämmelserna om rättelse av personuppgifter var tillämpliga. Länsrätten i Stockholms län (dom 2002-10-29 i mål nr 4349-02 E) uttalade följande:
”Utifrån vad som framkommit i målet beträffande uppgifterna som lagts över på mikrokort, finner länsrätten det utrett att kronofogdemyndighetens samling av mikrokort utgör en strukturerad samling av personuppgifter. Vad gäller möjligheterna till sökning och sammanställning av uppgifterna är läget mer oklart. Kronofogdemyndigheten har i det här avseendet anfört att det bara finns en sökväg till uppgifterna som lagts över på mikrokort och att uppgifterna således inte är tillgängliga för sökning eller sammanställning enligt flera kriterier. […]
[…] Enligt länsrättens mening bör inte det faktum att det i lagtexten talas om kriterier i pluralis leda till att antalet sökvägar (en eller flera) tillåts avgöra om en samling personuppgifter skall anses utgöra ett manuellt register. Formuleringen ’tillgängliga för sökning eller sammanställning enligt särskilda kriterier’ är till sin karaktär öppen och synes omfatta både sökning enligt ett och flera kriterier. Något särskilt stöd för att valet av att uttrycka ’särskilda kriterier’ i pluralis verkligen skulle innebära att minst två sökvägar måste finnas till ett manuellt register för att det skall omfattas av aktuell lagstiftning har inte framkommit i målet eller i lagstiftningsärendet. Enligt länsrättens mening bör det öppna skrivsättet i stället tolkas så att valet av kriterier som kan förekomma har inte gjorts på förhand utan det är ett flertal olika kriterier som kan komma i fråga. En sökväg – ett kriterium – är alltså tillräcklig(t) för att registret skall omfattas av [den aktuella lagen] och personuppgiftslagen. Mot bakgrund av EG-direktivet får det väsentliga anses vara huruvida en samling av uppgifter är väl strukturerad och lätt tillgänglig för sökning. I sådana fall får enskilda anses ha ett sådant berättigat skyddsintresse att samlingen av uppgifter bör omfattas av lagstiftningen. Kronofogdemyndighetens pärmar med mikrokort är organiserade utifrån tidpunkten för gallringen från utsöknings- och indrivningsdatabasen. I själva pärmarna är sedan uppgifterna organiserade utifrån personnummer. Till pärmarna hör ett kortregister, uppdelat utifrån gallringsår, i vilket det är möjligt att söka på både namn och personnummer. Vid sökning i utsöknings- och indrivningsdatabasen på en person som har aktuella ärenden/skulder hos kronofogdemyndigheten lämnas dessutom i förekommande fall uppgift om att det finns äldre uppgifter på mikrokort beträffande personen samt sådan information att det lätt går att finna uppgifterna i pärmarna med mikrokort. Länsrätten gör sammantaget bedömningen att kronofogdemyndighetens hantering av
mikrokort utgör en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.”
Samtycke i avtalsvillkor i konsumentförhållanden
Marknadsdomstolen har med stöd av lagen (1994:1512) om avtalsvillkor i konsumentförhållanden förbjudit ett företag att för telefonabonnemang till konsument tillämpa avtalsvillkor om att kunden medger att personuppgifter får användas för nummerupplysningsändamål och för utformningen av företagets information och erbjudanden till kunden i samband med abonnemanget (MD 2002:23). Av villkoret framgick nämligen inte att den registrerade enligt 11 § personuppgiftslagen har möjlighet att skriftligen anmäla att han eller hon motsätter sig att personuppgifter behandlas för ändamål som rör direkt marknadsföring, varför konsumenten kunde få uppfattningen att han eller hon var bunden av medgivandet. Villkoret ansågs därför oklart, och det ansågs kunna vilseleda de kunder med vilka avtal ingås om deras rättsliga möjligheter att hindra att personuppgifter behandlas för ändamål som rör direkt marknadsföring.
Överklagande av myndighetsbeslut om rättelse
I fallet begärde en person – B – hos kronofogdemyndigheten att en uppgift om honom i utsökningsregistret skulle rättas. Kronofogdemyndigheten avslog ansökningen om rättelse, eftersom uppgiften var riktig. B överklagade kronofogdemyndighetens beslut, men länsrätten anslöt sig till kronofogdemyndighetens bedömning och ändrade inte det överklagade beslutet. B överklagade till kammarrätten, som undanröjde länsrättens dom och avvisade B:s överklagande, eftersom frågor om rättelse av registeruppgifter regleras i 28 § personuppgiftslagen och då oenighet mellan den personuppgiftsansvarige och den registrerade kan anmälas till Datainspektionen. Kronofogdemyndigheten överklagade till Regeringsrätten och yrkade att länsrättens dom skulle stå fast. Regeringsrätten avvisade överklagandet (beslut 2000-08-23 i mål nr 1997-2000), eftersom kammarrättens beslut inte kunde anses ha gått kronofogdemyndigheten emot.
25
25
Jämför Kammarrättens i Stockholm dom 2000-10-17 i mål nr 4977-2000.
Överklagande av Datainspektionens beslut
I en skrivelse till en personuppgiftsansvarig (NKMR) hade Datainspektionen konstaterat att NKMR behandlade personuppgifter i strid med personuppgiftslagen och uppmanat NKMR att upphöra med behandlingen. Det beslutet fick enligt Kammarrättens i Stockholm beslut 2002-01-23 i mål nr 1173-2001 överklagas då det bl.a. fick ses som ett påbud som sakligt sett låg nära ett formligt föreläggande att efterleva lagstiftningen.
En person hade anmält ett par förfaranden till Datainspektionen, men inspektionen hade beslutat i det ena fallet att inte vidta någon ytterligare åtgärd i ett öppnat tillsynsärende och i det andra fallet att inte öppna något tillsynsärende. Länsrätten i Stockholms län ansåg i beslut 2001-10-30 i mål nr 14081-01 E att anmälaren inte hade rätt att överklaga besluten. Kammarrätten i Stockholm meddelade inte prövningstillstånd (beslut 2002-05-23 i mål nr 6675-2001).
Av Kammarrättens i Stockholm beslut 2000-11-27 i mål nr 5367-2000 framgår att Datainspektionens beslut enligt nuvarande 11 § personuppgiftsförordningen (1998:1191) om att inte vidta åtgärder med anledning av en anmälan om förhandskontroll inte är överklagbart ens om Datainspektionen i beslutet gett uttryck för sin uppfattning i sakfrågan. Av Länsrättens i Stockholms län beslut 2001-08-17 i mål nr 11312-01 E framgår vidare att allmänheten eller en anmälare inte har rätt att överklaga ett sådant beslut.
26
5.3. Datainspektionens praxis
Eftersom Datainspektionen inte längre fattar några beslut om tillstånd enligt datalagen för att föra dataregister har den praxisbildning som tidigare förekom genom dessa beslut upphört. De beslut som innebär att Datainspektionen tar ställning till hur bestämmelserna i personuppgiftslagen skall tillämpas är i dag i stället främst beslut i tillsynsärenden, beslut om yttranden efter samråd med personuppgiftsombud enligt 38 § personuppgiftslagen, beslut efter anmälan om förhandskontroll enligt 11 § personuppgiftsförordningen samt beslut i förfrågningsärenden. Datalagen har enligt övergångsbestämmelserna till personuppgiftslagen tillämpats i
26
Kammarrätten i Stockholm har vägrat att medge prövningstillstånd, mål nr 5347-01.
många fall fram till den 1 oktober 2001. Den praxis som gäller Datainspektionens tillämpning av personuppgiftslagen är mot denna bakgrund ännu inte särskilt omfattande. I detta avsnitt redogörs för ett antal avgöranden som är av principiellt intresse och kan tjäna som vägledning vid framtida tillämpning av personuppgiftslagen.
Under hösten 2001 genomförde Datainspektionen ett tillsynsprojekt för att närmare undersöka på vilket sätt elevers personuppgifter behandlas i grundskoleverksamheten. Inom ramen för projektet inspekterade Datainspektionen ett tiotal grundskolor och genomförde även tillsyn genom att ett 30-tal skolor fick besvara frågor i en enkät. Tillsynen visade att det förekom vissa brister i hanteringen av elevernas personuppgifter, och Datainspektionen fick därför anledning att framföra synpunkter på hanteringen i vissa avseenden. Resultatet av projektet och Datainspektionens ställningstaganden i vissa frågor som rör behandling av elevers personuppgifter i skolan redovisas i Datainspektionens rapport 2002:2, vartill hänvisas.
5.3.1. Avvikande författningsbestämmelser (2 §)
Av 2 § personuppgiftslagen framgår att personuppgiftslagen är subsidiär i förhållande till andra författningar. Om det finns bestämmelser i en annan lag eller i en förordning som avviker från personuppgiftslagen, skall de bestämmelserna tillämpas i stället.
Datainspektionen har i ett ärende som gällde en förfrågan från VPC AB (dnr 1921-2000) haft anledning att uttala sig om tillämpligheten av denna bestämmelse. Frågan gällde en ”konflikt” mellan bestämmelserna i 3 kap. 13 § aktiebolagslagen om skyldighet för VPC att lämna ut uppgifter i aktieböcker och förvaltarförteckningar och 9 och 10 §§personuppgiftslagen. VPC frågade om bolaget kunde låta bli att lämna ut uppgifter ur dessa register när man visste att uppgifterna skulle komma att behandlas i strid med personuppgiftslagen t.ex. genom att användas för direktreklamändamål (ett annat ändamål än det som uppgifterna samlades in för). Datainspektionen uttalade att bestämmelserna i 3 kap. 13 § aktiebolagslagen är att se som en specialreglering angående utlämnande av handlingar som enligt 2 § personuppgiftslagen tar över bestämmelserna i personuppgiftslagen om behandling i form av utlämnande av personuppgifter. Trots att VPC befarade att det kunde komma att ske en behandling av personuppgifter i strid med personuppgiftslagen i nästa led, kunde VPC enligt Datainspektionens uppfattning inte
lagligen vägra att lämna ut de aktuella uppgifterna. Med hänsyn till att bestämmelserna i aktiebolagslagen kommit till innan personuppgiftslagen trädde ikraft ansåg Datainspektionen att frågan om vilka följder bestämmelserna i 3 kap. 13 § aktiebolagslagen får för enskildas integritet borde uppmärksammas i den pågående översynen av aktiebolagslagen.
Datainspektionen har i ett tillsynsärende mot Taxi Stockholm (dnr 2025-2001) konstaterat att kameraövervakning i taxibilar genom att digitala stillbilder tas av passagerarna innebär en sådan behandling av personuppgifter som aves i personuppgiftslagen. Lagen (1998:150) om allmän kameraövervakning innehåller vissa bestämmelser som avviker från personuppgiftslagen och därför gäller före personuppgiftslagen. Enligt 6 § lagen om kameraövervakning skall länsstyrelsen meddela tillstånd till allmän kameraövervakning om intresset av sådan övervakning väger tyngre än den enskildes intresse av att inte bli övervakad. Denna bestämmelse har enligt Datainspektionen företräde i förhållande till bestämmelserna i personuppgiftslagen om när behandling av personuppgifter är tillåten. Även bestämmelsen i 14 § lagen om allmän kameraövervakning, som gäller bevarande av bild- eller ljudmaterial från allmän kameraövervakning, har enligt Datainspektionens beslut företräde framför bestämmelsen om bevarande av personuppgifter i 9 § första stycket i personuppgiftslagen. Däremot ansåg Datainspektionen att bestämmelserna i personuppgiftslagen skall tillämpas i fråga om information till de registrerade, vilket för Taxi Stockholms del innebär att man på lämpligt sätt måste informera sina passagerare om vem som är personuppgiftsansvarig, ändamålet med personuppgiftsbehandlingen, mottagarna av uppgifterna samt rätten för den registrerade att ansöka om information och att få rättelse.
I ett ärende som gällde förhandskontroll av en behandling av känsliga personuppgifter för forskningsändamål (dnr 89-2003) har Datainspektionen konstaterat att bestämmelser i lagen (2001:99) om den officiella statistiken om information till de registrerade avviker från personuppgiftslagens bestämmelser och skall tillämpas i stället för dessa. Uppsala universitet skulle bedriva forskning om arbetslöshet och arbetsmarknad och behövde för detta ändamål en mängd personuppgifter från Statistiska centralbyråns databas LOUISE. Bland de uppgifter som skulle användas fanns känsliga personuppgifter, såsom uppgift om arbetshandikapp. Uppgifterna skulle lämnas ut från Statistiska centralbyrån i enlighet med bestämmelserna i 16–18 §§ lagen om den officiella statistiken, vilket innebär dels att uppgifterna skulle kodas innan de lämnades ut, dels
att Statistiska centralbyrån skulle behålla kodnyckeln. Uppgifterna skulle således med personuppgiftslagens definition vara personuppgifter. Uppsala universitet hade inte för avsikt att informera de personer vars uppgifter skulle användas i forskningen. Datainspektionen konstaterade att 18 § lagen om den officiella statistiken innehåller en bestämmelse som innebär att den som har fått kodade uppgifter för forskningsändamål i enlighet med 16 § i den lagen inte behöver lämna någon information till de registrerade, förutsatt att den som fått uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inspektionens slutsats blev att bestämmelsen avviker från personuppgiftslagens bestämmelser och skall tillämpas i stället för dessa, vilket innebär att Uppsala universitet inte behöver informera de registrerade om att deras uppgifter behandlas i forskningen.
5.3.2. Personuppgifter (3 §)
Datainspektionen har (dnr 1123-2000) ansett att det inte var fråga om personuppgifter när en kommun på en webbplats informerade om när brottslingar skulle friges. Informationen omfattade uppgifter om att en person hemmahörande i ett visst område i kommunen och dömd för visst brott snart skulle släppas, men utan direkta namn- eller adressuppgifter.
5.3.3. Personuppgiftsansvar (3 §)
Datainspektionen har i ett ärende (dnr 785-2000) uttalat sig i frågan om den som från en egen webbplats på Internet länkar till en annan webbplats som innehåller personuppgifter kan betraktas som personuppgiftsansvarig för behandlingen av dessa uppgifter. Datainspektionen uttalade följande:
”Finns det en länk på en webbplats till en annan webbplats med personuppgifter så anses personuppgifterna på den senare webbplatsen inte göras tillgängliga på den första webbplatsen enbart genom länken. Lagligheten av behandlingen av personuppgifterna bedöms således endast på den senare webbplatsen. Innehåller länken i sig personuppgifter torde dock en behandling ske av dessa uppgifter på den första webbplatsen.”
5.3.4. Förhållandet till tryck- och yttrandefriheten (7 §)
Datainspektionen har handlagt flera ärenden som gällt gränsdragningen mot det grundlagsskyddade området enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen och frågan om vad som är att anse som behandling uteslutande för journalistiska ändamål enligt 7 § andra stycket personuppgiftslagen. Inspektionen har också i något fall berört frågan om vad som är att anse som en behandling uteslutande för konstnärligt skapande enligt 7 § andra stycket personuppgiftslagen.
I klagomålsärendet ”press nu” fann inspektionen (beslut 1999-06-01 i ärende med dnr 722-99) att en sammanställning av ärenden från Hälso- och sjukvårdens ansvarsnämnd (HSAN) som publicerats på en webbplats av redaktionen för en tryckt periodisk skrift omfattades av yttrandefrihetsgrundlagen och att behandlingen av personuppgifter föll utanför tillämpningsområdet för personuppgiftslagen. I ett efterföljande ”självanmält” ärende fann inspektionen (beslut 1999-10-21 i ärende med dnr 785-99) att en enskild persons vidarespridning av sammanställningen hade sin grund i en grundlagsskyddad publicering som får anses utgöra vedertagen journalistik och att dennes publicering föll under begreppet uteslutande journalistiska ändamål i 7 § andra stycket personuppgiftslagen.
Ett uppmärksammat ärende avsåg tillsyn mot ett företag som bedrev skolfotografering för framställning och spridning av skolkataloger med fotografier på cd-skivor. Datainspektionen fann (beslut 1999-12-17 i ärende med dnr 2078-99) att det var fråga om framställning och spridning av tekniska upptagningar som omfattades av grundlagsskydd enligt yttrandefrihetsgrundlagen varför hindrande bestämmelser i personuppgiftslagen inte skall tillämpas.
Datainspektionen har i ett par fall inlett tillsyn mot företag som på Internet publicerar domstolsavgöranden i sin helhet dvs. med alla i domarna förekommande personuppgifter öppet redovisade. Datainspektionen fann i ett av dessa fall att publiceringen uppenbarligen omfattades av grundlagskydd enligt yttrandefrihetsgrundlagen (beslut 2002-04-17 i ärende med dnr 21-2002). I ett annat fall fann inspektionen (beslut 2002-04-09 i ärende med dnr 703-2001) att företagets invändning om att behandlingen av personuppgifter omfattades av grundlagsskydd som avses i 7 § första stycket personuppgiftslagen fick godtas.
Datainspektionen har, som det sist nämnda fallet antyder, iakttagit stor försiktighet när det gäller fall där omständigheterna gett
indikationer på att behandlingen kan falla under den grundlagsskyddade tryck- och yttrandefriheten. Som anges i förarbetena till 7 § personuppgiftslagen får en invändning om att en behandling av personuppgifter avser sådant som är undantaget enligt denna paragraf godtas, om det inte av omständigheterna framgår att invändningen är så osannolik att den kan lämnas utan avseende (prop. 1997/98:44 s. 119).
Datainspektionen avskrev ett klagomålsärende (beslut 2000-01-14 i ärende med dnr 442-99) som gällde en kommuns publicering av fotografier på en webbplats efter att kommunen anfört omständigheter till stöd för grundlagsskydd.
I ett ärende som avsåg ett bolag som tillhandahöll abonnentupplysningar ur en databas benämnd ”Privatpersoner A-Ö” på en webbplats fann Datainspektionen att bolagets invändning om att dess behandling av personuppgifter omfattades av grundlagsskydd fick godtas, varför ärendet avskrevs (beslut 2002-03-21 i ärende med dnr 331-2002). Bolaget ansåg sig ha stöd för att i yttrandefrihetsrättsligt skyddade former tillhandahålla upplysningar direkt ur databasen bl.a. med hänvisning till att bolaget framställde cd-skivor med sådana abonnentupplysningar och var ett sådant företag för yrkesmässig framställning av tekniska upptagningar som avses i 1 kap. 9 § yttrandefrihetsgrundlagen.
Också frågan om en behandling har skett uteslutande för journalistiska ändamål har varit uppe till bedömning. Ett tillsynsärende (beslut 2003-11-03 i ärende med dnr 138-2003) gällde Svenska Styrkelyftförbundets publicering av personuppgifter om dopningavstängda personer på sin webbplats på Internet. Datainspektionen fann att denna publicering av personuppgifter på Internet låg inom ramen för ett journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. I ett annat tillsynsärende (beslut 2003-11-18 i ärende med dnr 1228-2003) hade inspektionen att ta ställning till Svenska Travsportens Centralförbunds publicering av uppgifter om överträdelser av olika slag på sin webbplats på Internet under rubriken Nyheter & Notiser. Datainspektionen ansåg att även denna publicering av personuppgifter på Internet torde ligga inom ramen för ett journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten.
Undantaget i 7 § andra stycket personuppgiftslagen för behandling av personuppgifter som sker uteslutande för konstnärligt skapande åberopades av en kommun i ett tillsynsärende. Kommunen hade publicerat namnen på de 47 772 invånarna i kommunen på sin
webbplats och menade att publiceringen var att hänföra till sådant konstnärligt skapande som avses i bestämmelsen i personuppgiftslagen. Det konstnärliga syftet med publiceringen var enligt kommunen att åskådliggöra en mängd, att gestalta hur många 47 000 personer är. Datainspektionen fann (beslut 1999-06-01 i ärende med dnr 1062-99) det uppenbart att lagstiftaren inte menat att bestämmelsen i 7 § personuppgiftslagen om konstnärligt skapande skall tillämpas i ett sådant fall.
5.3.5. Berättigade ändamål (9 §) och tillåten behandling (10 §)
Datainspektionen har bedömt flera fall av behandling av personuppgifter som rört digital inspelning av telefonsamtal. Det har gällt både myndigheters och privata företags inspelning av telefonsamtal. Ändamålen med inspelningarna i de fall som bedömts var antingen dokumentation av hot eller kvalitetssäkring.
När det gäller inspelning vid hot konstaterade inspektionen i ett samrådsärende som rörde Stockholms tingsrätt (beslut 2003-10-07 i ärende med dnr 978-2002) att domstolar är sådana myndigheter där risken är särskilt stor att personal utsätts för våld eller annat allvarligt men. Syftet med inspelningen var att snabbt kunna agera när hot framförs vid telefonsamtal till domstolens växel. Enligt inspektionens mening talade därför mycket för att den tänkta inspelningen och lagringen av telefonsamtal kunde bedömas som tillåten med stöd av en sådan intresseavvägning som avses i 10 § f personuppgiftslagen.
En annan bedömning gjorde inspektionen när det gällde ett företags inspelning av samtal från kunder (beslut 2003-04-16 i ärende med dnr 113-2003). Företaget ville spela in de anställdas samtal med kunder för att i efterhand kunna bedöma kvaliteten på samtalen. Inspektionen konstaterade att det var tveksamt om kvalitetssäkring av kundsamtal genom inspelning alltid är ett sådant berättigat ändamål som anges i 9 § personuppgiftslagen, särskilt med hänsyn till de möjligheter till medlyssning som finns. Fråga uppkom också om inspelningen kunde vara tillåten efter samtycke från kunderna. Inspektionen ansåg att ett samtycke från kunderna att bli inspelad kunde ifrågasättas, särskilt om kunden i de fall denne inte ville bli inspelad endast var hänvisad till personligt besök eller epost. Vid en intresseavvägning enligt 10 § f personuppgiftslagen fann inspektionen att den enskildes, dvs. kundens, personliga in-
tegritet i allmänhet vägde tyngre än den personuppgiftsansvariges intresse. Inspektionen hänvisade slutligen i ärendena till kravet på information till de registrerade.
Ett annat tillsynsärende (beslut 2003-04-16 i ärende med dnr 1535-2002) gällde digital inspelning av telefonsamtal mellan kunder och anställda vid något av Apotekets kundcentrum, dit allmänheten bl.a. kunde ringa och fråga om biverkningar av läkemedel. Datainspektionen ansåg att Apoteket hade ett berättigat intresse av att spela in samtalen. Vidare fann inspektionen att Apotekets intresse av att behandla personuppgifterna vägde tyngre än de registrerades intresse av skydd mot integritetskränkningar. En särskild fråga i ärendet var att frågor om läkemedel ibland kunde sammankopplas med den uppringande personens hälsotillstånd och därför eventuellt utgöra en känslig personuppgift enligt 13 § personuppgiftslagen. Inspektionen konstaterade att den som är yrkesmässigt verksam inom hälso- och sjukvård och har tystnadsplikt får behandla känsliga personuppgifter som omfattas av tystnadsplikten med stöd av 18 § andra stycket personuppgiftslagen. Apotekets legitimerade personal och övriga personal har tystnadsplikt enligt lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Det fanns därför enligt inspektionen laglig grund för att i detta sammanhang även behandla känsliga personuppgifter. Inspektionen fann slutligen att en förutsättning för att behandlingen av personuppgifter skall vara laglig är att Apoteket informerar den uppringande personen om inspelningen. När det gällde inspelning av de anställda fanns redan rutiner för information och samtycke i samband med anställningen.
I ett tillsynsärende (beslut 2003-06-17 i ärende med dnr 330-2002) granskade inspektionen en bostadsrättsförening med anledning av att föreningen infört datorstyrda lås- och passagesystem med elektronisk registrering (logg) till föreningens allmänna utrymmen. För att kunna öppna dörrar till exempelvis entréer, källare och garage krävdes ett särskilt magnetkort. Varje magnetkort hade ett särskilt nummer som kunde knytas till lägenhetsinnehavaren. Enligt Datainspektionen fanns en möjlighet att knyta registreringarna i systemet till en enskild fysisk person. Mot denna bakgrund fann inspektionen anledning att bedöma passagesystemet utifrån personuppgiftslagens bestämmelser. Inspektionen konstaterade inledningsvis att behandlingen av personuppgifter inte kunde bygga på samtycke, eftersom det inte fanns några alternativ till magnetnyckel med registrering. Datainspektionen fann inte skäl att ifrågasätta att föreningen hade ett berättigat intresse av att behand-
la personuppgifter i ett låssystem som bygger på magnetnycklar. Loggning av magnetnycklar fick dock enligt inspektionens uppfattning endast ske om det var nödvändigt för att få passagesystemet att fungera tillfredsställande. Det kunde enligt Datainspektionens inte godtas att systemet användes för andra ändamål.
Ett tillsynsärende hos Datainspektionen (beslut 2003-12-16 i ärende med dnr 1682-2002) föranleddes av uppgifter om att ett s.k. krockminne i vissa bilar vid en kollision lagrade fordonsrelaterad data. I krockminnet lagrades bl.a. uppgifter om bilens hastighet, bromsaktivering, om farthållaren var aktiverad, bältesanvändning för passagerarna i framsätena, om huvudljus var påslaget, aktuell växel, status på samtliga dörrar (låsta/olåsta, öppna/stängda) och tidpunkt. Bilföretaget avsåg att använda uppgifterna för att förbättra framtidens bilar när det gäller krock- och körsäkerhet. Datainspektionen bedömde att flera av de uppgifter som registrerades i samband med en olycka utgjorde personuppgifter enligt personuppgiftslagen. Enligt Datainspektionens mening blev bilföretaget personuppgiftsansvarig för uppgifterna först när företaget hämtat in uppgifterna efter det att en olycka hade inträffat. För att den personuppgiftsbehandling som företaget utförde genom att hämta in uppgifter från kolliderade bilar skulle anses tillåten enligt 10 § personuppgiftslagen, krävdes enligt Datainspektionens mening att inhämtandet föregicks av ett samtycke från bilens ägare och de personer vars personuppgifter registrerades.
5.3.6. Känsliga personuppgifter (13–19 §§)
I ett uppmärksammat tillsynsärende (dnr 1404-2001) mot Kungliga biblioteket (KB) hade Datainspektionen anledning att ta ställning till om en insamling av samtliga svenska webbsidor från Internet för att bevara det elektroniska kulturarvet för framtiden (det s.k. kulturarvsprojektet) var förenlig med bestämmelserna i personuppgiftslagen. Datainspektionen ansåg att personuppgiftsbehandlingen i projektet var nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt 10 § d personuppgiftslagen. Däremot fann Datainspektionen att insamlingen av webbsidorna också innebar en behandling av känsliga personuppgifter utan samtycke från de registrerade som inte var tillåten. Datainspektionen konstaterade att en insamling av material för att bevara det digitala kulturarvet inte i sig kunde anses utgöra ett forskningsprojekt, eftersom insamlingen skedde för att bevara material som kunde utgöra underlag för fram-
tida forskning. Det dåvarande undantaget för forsknings- och statistikändamål i 19 § personuppgiftslagen från förbudet att behandla känsliga personuppgifter var därför enligt Datainspektionen inte tillämpligt. Eftersom inte heller något av de övriga undantagen från förbudet var tillämpligt, bedömde Datainspektionen att personuppgiftsbehandlingen i KB:s kulturarvsprojekt inte var förenlig med personuppgiftslagen. Datainspektionen ansåg emellertid att det fanns skäl att särreglera den behandling av personuppgifter som KB:s projekt innebar och uppmärksammade därför regeringen på sitt beslut. Regeringen har därefter utfärdat förordningen (2002:287) om behandling av personuppgifter i Kungl. Bibliotekets digitala kulturarvsprojekt som ger författningsstöd för den behandling av känsliga personuppgifter som utförs inom projektet.
Ett annat fall (dnr 1966-2001) gällde Handikappförbundens samarbetsorgans rättsdatabas och dess förenlighet med personuppgiftslagen. I databasen fanns flera hundra sammanfattningar av rättsfall som rörde funktionshindrade. Databasen vände sig till samarbetsorganets medlemsorganisationer och externa organisationer samt myndigheter. Datainspektionen konstaterade att det var fråga om behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen och fann att behandlingen inte var förenlig med personuppgiftslagen.
Enligt 10 § första stycket andra punkten personuppgiftsförordningen i lydelse före den 1 januari 2004 skulle behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning anmälas till Datainspektionen för förhandskontroll. Denna typ av personuppgiftsbehandling förekom inom ramen för olika forskningsprojekt. I samband med sådan förhandskontroll har Datainspektionen i några fall haft att ta ställning till om den behandling av känsliga personuppgifter som utförs inom forskningsprojekten kan äga rum utan samtycke från de registrerade. Numera gäller i stället att känsliga personuppgifter får behandlas för forskningsändamål om det finns samtycke eller behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.
Ett par fall har gällt förhandskontroll vid forskning på genetiska uppgifter. Det ena fallet (dnr 380-2001) gällde en genetisk forskningsstudie med syfte att bl.a. undersöka vissa genetiska faktorers betydelse för uppkomsten av prostatacancer. De blodprover som skulle användas för genetiska analyser i forskningsstudien hade lämnats i tidigare forskningsprojekt där personerna i fråga hade informerats om den framtida hanteringen av blodproverna och
godkänt att ett spar- eller forskningsprov togs. Vissa personer hade sedermera utvecklat prostatacancer. Datainspektionen tillämpade avvägningsnormen i dåvarande 19 § första stycket personuppgiftslagen. Enligt denna bestämmelse fick känsliga personuppgifter behandlas utan uttryckligt samtycke för forsknings- och statistikändamål om behandlingen är nödvändig på sätt som sägs i 10 § personuppgiftslagen och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Datainspektionen bedömde att samhällsintresset av den aktuella cancerforskningen vägde över risken för integritetsintrång förutsatt att information om personuppgiftsbehandlingen lämnades på lämpligt sätt, t.ex. via anslag eller annonser. Vid intresseavvägningen beaktade Datainspektionen också att de personer som genomgått en behandling som botat deras cancersjukdom kunde uppleva det som psykologiskt arbetsamt med en förnyad kontakt. Det andra fallet (dnr 1386-2002) gällde en forskningsstudie där bl.a. vissa genetiska faktorers betydelse för risken att drabbas av hjärtinfarkt skulle undersökas. Även i detta fall bedömde Datainspektionen med tillämpning av dåvarande 19 § första stycket personuppgiftslagen att personuppgiftsbehandlingen var förenlig med personuppgiftslagen under förutsättning att deltagarna i forskningsprojektet på lämpligt sätt, i första hand genom direktutskick, informerades om behandlingen i enlighet med bestämmelserna i 25 § personuppgiftslagen.
När det gäller humanistisk-samhällsvetenskaplig registerforskning har Datainspektionen vid förhandskontroll i några fall tagit ställning till om känsliga personuppgifter kan behandlas utan samtycke och utan att de registrerade informeras om behandlingen. Ett ärende (dnr 1231-2003) gällde ett forskningsprojekt vid Stockholms universitet, Kriminologiska institutionen, om diskriminering inom rättssystemet. Många uppgifter om brott och känsliga personuppgifter från polisen, Brottsförebyggande rådet och Statistiska centralbyrån (SCB) skulle hanteras i forskningen. Datainspektionen bedömde att personuppgifterna kunde behandlas trots att de registrerade skulle varken samtycka till eller få information om forskningen. I bedömningen vägdes särskilt in att Humanistisksamhällsvetenskapliga Forskningsrådet (HSFR, numera Vetenskapsrådet) hade granskat forskningsprojektet etiskt och godtagit förfarandet. Datainspektionen vägde också in att uppgifterna från SCB skulle lämnas ut avidentifierade utan kodnyckel sedan forskarnas material samkörts med SCB:s register och att särskilda IT-
säkerhetsåtgärder vidtagits för att skydda uppgifterna innan de avidentifierades. Ett annat forskningsprojekt där Datainspektionen godtagit att registerforskning ägde rum utan vare sig samtycke från eller information direkt till de registrerade rörde en epidemiologisk och hälsoekonomisk uppföljning av personer med schizofreni (dnr 366-2003). Eftersom information riktad direkt till de registrerade, som flera led av paranoid schizofreni, kunde leda till onödig oro, rädsla och misstänksamhet hos dessa ansåg Datainspektionen att informationen kunde lämnas på annat lämpligare sätt, t.ex. via anslag.
5.3.7. Personnummer (22 §)
Datainspektionen har i ett yttrande enligt nuvarande 15 § personuppgiftsförordningen över ett förslag till en branschöverenskommelse inom direktmarknadsföringsområdet uttalat sig om användningen av personnummer (beslut 1999-06-16 i ärende med dnr 1338-99). Datainspektionen gav därvid uttryck för sin dittillsvarande uppfattning att det inte finns skäl för att använda personnummer för direktmarknadsföringsändamål. Inspektionen förklarade dock att det inte ansetts hindra tillfällig personnummersättning av kund- eller prospectregister hos myndighet, t.ex. Statens personnadressregisternämnd, för borttagning av egna kunder eller för uppdatering av register.
Ett samrådsärende (beslut 2003-08-13 i ärende med dnr 1005-2003) rörde frågan om det var tillåtet för en kommun att samla in personnummer redan vid ansökan om bygglov i syfte att underlätta eventuell kravhantering. Inledningsvis konstaterade inspektionen att i de fall en sökande frivilligt lämnar uppgift om sitt personnummer, t.ex. i en blankett efter att ha fått information om behandlingen, kan handlandet ses som konkludent och godtas som samtycke till att uppgiften registreras. Om det inte fanns något samtycke, var det enligt inspektionens uppfattning endast befogat att behandla personnummer vid kravhantering, exempelvis vid inkassokrav och vid ansökan om betalningsföreläggande.
5.3.8. Information till den registrerade (25 §)
I flera ärenden har Datainspektionen haft uppe frågan om innebörden av bestämmelsen i 25 § andra stycket personuppgiftslagen om
att information inte behöver lämnas om sådant som den registrerade redan känner till.
I ett ärende (dnr 1596-2001) var frågan om Tullverket var skyldigt att lämna information till de registrerade i samband med behandling av tulldeklarationer. Datainspektionen konstaterade att i stort sett samtliga myndigheter i dag använder sig av någon form av datoriserat stöd för handläggningen av ärenden m.m. På grund härav kunde det enligt inspektionens mening i många fall förutsättas att den som vänder sig till en myndighet redan känner till eller förstår att uppgifterna registreras i någon form av automatiserat register. Enligt Datainspektionens uppfattning behövde Tullverket inte lämna information om behandlingen av personuppgifter i samband med tulldeklarationer, eftersom det kunde anses att den som lämnar en tulldeklaration känner till vem som är personuppgiftsansvarig och för vilka ändamål tulldeklarationen kommer att behandlas.
I ett annat ärende (dnr 1869-2001) var frågan om vilken information Lantbrukarnas riksförbund var skyldigt att ge dem som sökte medlemskap. Inspektionen uttalade att om den registrerade själv har lämnat in personuppgifter till den personuppgiftsansvarige, behöver den personuppgiftsansvarige inte lämna information så länge uppgifterna bara används för de ändamål som den registrerade kan förutse. I en sådan situation får den registrerade anses känna till den personuppgiftsansvariges identitet och ändamålen med behandlingen. Datainspektionen fann att för det fall nya medlemmar kan förutse bl.a. för vilka ändamål personuppgifterna skulle behandlas behövde någon information inte lämnas.
I ett tillsynsärende mot Bra Böcker AB (dnr 1890-2001) har Datainspektionen närmare preciserat kravet i 25 § personuppgiftslagen på vilken information som skall lämnas till registrerade då insamling av personuppgifter skett från annan källa än den registrerade själv. Ärendet gällde frågan om man i ett direktreklamutskick uttryckligen måste informera om rätten att ansöka om information och få rättelse. Enligt den branschöverenskommelse som finns beträffande direktreklam skall det finnas en upplysning om varifrån de använda adressuppgifterna har inhämtats, s.k. adresskälleangivelse. Källangivelsen skall enligt branschöverenskommelsen vara utformad så att den som får reklamen skall kunna ta kontakt med källan för att där ta tillvara sina rättigheter enligt personuppgiftslagen. Den skall därför innehålla telefonnummer och/eller adress till källan. I det aktuella fallet fanns det i bolagets direktreklamutskick information om namn och postnummer till adresskällan, telefonnummer och adress till bolaget och dess kundservice samt en hän-
visning till bolagets webbsida. Uttrycklig information om rätten att ansöka om information och få rättelse fanns dock inte angiven. Datainspektionen bedömde dock att risken för integritetsintrång generellt sett är liten vid personuppgiftsbehandling i direktreklamsammanhang och att information om rätten att ansöka om information och att få rättelse normalt sett är uppfylld genom en adresskälleangivelse och angivande av adress och telefonnummer till direktreklambolagets kundservice. Datainspektionens bedömning kan sägas utgöra en precisering av kravet i den branschöverenskommelse Datainspektionen tidigare yttrat sig över utan invändningar i det nu aktuella avseendet.
5.3.9. Registerutdrag (26 §)
I ett tillsynsärende mot Skandinaviska Enskilda Banken (dnr 687-2002) kom frågan upp om innehållet i s.k. registerutdrag enligt 26 § personuppgiftslagen. Banken tog i utdragen inte med uppgifter om transaktioner och saldon. Datainspektionen konstaterade att den enskilde har rätt att få besked om även sådana uppgifter. Inspektionen förutsatte emellertid att banken lämnade sådan information både kontinuerligt och på uttrycklig begäran om just sådana uppgifter. Inspektionen ansåg att kraven enligt 26 § därigenom fick anses tillgodosedda, om det i registrutdraget upplystes om möjligheten att även få uppgifter om transaktioner och saldon.
5.3.10. Publicering på Internet (33 §)
Datainspektionen har i flera ärenden tagit ställning till publicering av personuppgifter på Internet.
Ett ärende (dnr 1369-2000) gällde publicering av en skolkatalog på Internet. En elev i en gymnasieskola hade som specialarbete gjort en hemsida om sin skola. Hemsidan innehöll bl.a. en inskannad version av gymnasiets skolkatalog med gruppbilder och namn på elever i samtliga klasser. Skolkatalogen hade publicerats på Internet utan elevernas samtycke. En elev vid skolan hade beviljats skydd för sina personuppgifter och invände mot publiceringen. Datainspektionen konstaterade att publiceringen inte under några omständigheter kunde anses som harmlös och att den stred mot förbudet mot överföring av personuppgifter till tredje land i 33 § personuppgiftslagen.
Ett annat ärende (dnr 741-2000) gällde en webbplats som innehöll bl.a. namn och bild på barn som hade tvångsomhändertagits med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga. Uppgifterna på webbplatsen hade publicerats av Nordiska Kommittén för Mänskliga Rättigheter (NKMR) under en s.k. SÖK-tjänst. NKMR anförde att uppgifterna publicerades med samtycke och med ändamålet att barnens biologiska föräldrar skulle kunna få information om var barnen befann sig och om hur barnet hade det i fosterhemmet. Datainspektionen inledde tillsyn mot NKMR och konstaterade följande i sitt beslut. Det är enligt 21 § personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om bl.a. administrativa frihetsberövanden oavsett samtycke från de registrerade. Det framgår av lagens förarbeten att med administrativa frihetsberövanden avses bl.a. att någon har varit föremål för tvångsingripande enligt lagen med särskilda bestämmelser om vård av unga. NKMR:s SÖK-tjänst behandlade därför personuppgifter i strid med 21 § personuppgiftslagen. Eftersom uppgifterna dessutom gjordes tillgängliga via Internet, stred behandlingen även mot förbudet i 33 § personuppgiftslagen att överföra personuppgifter till tredje land. Datainspektionen beslutade också med hänsyn till förfarandets allvarliga karaktär att överlämna ärendet till polisen.
5.4. Justitiekanslerns praxis
Justitiekanslern prövar bl.a. frågor om skadestånd skall betalas av staten, bl.a. skadestånd enligt personuppgiftslagen, och i dessa ärenden kan tolkningen av personuppgiftslagen komma upp.
27
Ju-
stitiekanslern har också vissa uppgifter i fråga om tryck- och yttrandefriheten. Fall som i första hand gäller om ett visst förfarande med personuppgifter är skyddat av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen kan ha avgörande betydelse för om personuppgiftslagen är tillämplig. Eftersom sådana fall inte direkt gäller tillämpningen av personuppgiftslagen utan tillämpningen av grundlagarna, redovisas fallen inte här.
I ett fall hade en person begärt skadestånd med anledning av att Premiepensionsmyndigheten sänt ett meddelande med sekretessbe-
27
Ibland gäller saken behandling av personuppgifter som regleras av en särskild registerför-
fattning som hänvisar till skadeståndsbestämmelsen i personuppgiftslagen.
lagda uppgifter om hur hans premiepension placerats till honom i ett kuvert som inte varit förslutet. Justitiekanslern fann – beslut 2002-02-21, dnr 1980-02-42 – att det inte kunde uteslutas att det sätt på vilket meddelandet sänts inneburit att personuppgiftslagens regler åsidosatts, men att den kränkning som ett sådant åsidosättande kan ha medfört måste anses så begränsad att det inte fanns någon rätt till kränkningsersättning enligt 48 § personuppgiftslagen. Justitiekanslern beaktade att det inte varit fråga om personuppgifter av särskilt känslig art och att det bara funnits en begränsad risk för spridning av uppgifterna.
I beslut 2002-09-03, dnr 1652-02-42, har Justitiekanslern tillerkänt en person som under en vecka felaktigt varit registrerad som avliden i folkbokföringsregistret ersättning med 25 000 kr för kränkningen och 1 000 kr för kostnader enligt en bestämmelse i lagstiftningen om det registret som hänvisar till skadeståndsbestämmelsen i personuppgiftslagen.
I beslut 2003-09-11, dnr 2081-03-42, har Justitiekanslern tillerkänt en person begärd ersättning med 10 000 kr för det att det under mer än tre år felaktigt varit antecknat i belastningsregistret att han haft besöksförbud.
I beslut 2003-11-17, dnr 660-02-40, har Justitiekanslern tillerkänt en person ersättning för lidande med 10 000 kr för det att han under cirka tre månader varit oriktigt registrerad i misstankeregistret som skäligen misstänkt för ringa narkotikabrott och brott mot knivlagen, vilket ledde till att han fick vänta på körkortstillstånd.
I beslut 2003-03-28, dnr 73-02-42, har Justitiekanslern tillerkänt en student ersättning med 1 000 kr för kränkning för det att ett universitet på ett intranät under mindre än 48 timmars tid hade publicerat en lista med tentamensresultat med hans personnummer. I beslut 2003-04-14, dnr 1858-02-42, har Justitiekanslern avslagit samme students anspråk på skadestånd för det att universitetet registrerat hans telefonnummer i studiedokumentationssystemet Ladok. Justitiekanslern ansåg att det är ett berättigat intresse enligt personuppgiftslagen för universitet och högskolor att registrera adresser och telefonnummer som behövs för att komma i kontakt med de studenter som är inskrivna vid universitetet och att universitetets behov av att registrera telefonnumret väger tyngre än studentens intresse av att telefonnumret inte registreras; när studenten begärde det, togs telefonnumret bort.
I beslut 2003-06-19, dnr 1842-03-40, har Justitiekanslern tillerkänt en person med skyddad adress ersättning med 15 000 kr för kränkning och med 20 000 kr för skada i form av flyttkostnader
och fördyrade levnadsomkostnader för att en uppgift om personens skyddade adress oriktigt tagits bort ur försäkringskassans register.
I beslut 2003-06-26, dnr 1902-03-42, har Justitiekanslern tillerkänt två personer ersättning för olika straff- och påminnelseavgifter som de åsamkats till följd av att räkningar inte tillställdes dem, eftersom deras folkbokföringsadress varit oriktigt återgiven i folkbokföringsregistret.
I beslut 2003-07-02, dnr 1913-03-42 och 1914-03-42, har Justitiekanslern tillerkänt två personer, vars pensioner betalats ut på ett felaktigt sätt eftersom uppgifter registrerats felaktigt hos försäkringskassan, ersättning med 460 kr vardera för den oro som den uteblivna pensionsutbetalningen medfört och de kostnader som uppkommit för att efterforska pensionen. I ett annat fall har en person fått ersättning med 1 000 kr (beslut 2003-10-16, dnr 2783-03-42). Och i ett motsvarande fall avseende felaktig utbetalning av sjukpenning har en person fått ersättning med 2 000 kr (beslut 2003-09-15, dnr 1706-03-42).
I beslut 2003-07-16, dnr 1724-03-42, har Justitiekanslern tillerkänt en person ersättning för kursförlust med 988 kr, eftersom ett felaktigt kontonummer registrerats hos försäkringskassan, vilket lett till att föräldrapenning satts in på ett fondkonto.
I beslut 2003-10-15, dnr 596-03-42, har Justitiekanslern tillerkänt en person ersättning för kränkning med 4 000 kr för att en skuld varit felaktigt registrerad i utsökningsregister under drygt två år. En annan person har i ett fall där den felaktiga registreringen i utsökningsregistret varat i ungefär ett och ett halvt år fått ersättning med 5 000 kr för lidande (beslut 2003-11-05, dnr 1760-03-42).
I beslut 2003-03-28, dnr 580-03-42, har Justitiekanslern avslagit ett skadeståndsanspråk för felaktig registrering av folkbokföringsadress, eftersom det inte visats att den felaktiga registreringen orsakat den skada i form av kostnader till följd av att telefonräkning sänts till fel adress som ersättning krävdes för.
I beslut 2003-10-09, dnr 2795-03-42, har Justitiekanslern avslagit ett skadeståndsanspråk avseende ersättning för s.k. kvarstående skatt. Försäkringskassans personregister hade innehållit en felaktig uppgift om en persons underlag för preliminär skatt vilket lett till att personen påfördes kvarstående skatt. Justitiekanslern ansåg dock att den omständigheten att en skattskyldig har att betala en del av den slutliga skatten som rätteligen belöper på inkomsterna för ett visst beskattningsår i form av kvarskatt inte i sig var att betrakta som en ersättningsgill förmögenhetsskada.
I beslut 2003-02-21, dnr 1762-02-40, har Justitiekanslern bedömt om registrerade personuppgifter varit felaktiga eller ofullständiga och funnit att så inte varit fallet.
I beslut 2003-08-27, dnr 3271-02-42, och i beslut 2003-11-18, dnr 3152-02-42, har Justitiekanslern avslagit skadeståndsanspråk med anledning av felaktig registrering av uppgifter om avlidna.
5.5. Mål i EG-domstolen
5.5.1. Mål om att medlemsstater inte följt EG-direktivet
EG-kommissionen har i EG-domstolen väckt talan om att domstolen skall fastställa att Tyskland, Frankrike, Luxemburg och Irland (mål C-443, 449 och 450/00 respektive C-459/01) inte genomfört EG-direktivet i tid. EG-domstolen har i dom den 4 oktober 2001 fastslagit att Luxemburg brutit mot sina förpliktelser enligt EGdirektivet. Målen mot Tyskland och Frankrike har återkallats och skrivits av, medan målet mot Irland inte är avgjort ännu.
5.5.2. Förhandsavgöranden
Det finns några mål där nationella domstolar har bett EGdomstolen om ett s.k. förhandsavgörande om tolkningen av EGdirektivet.
28
Det gäller dels de frågor som Göta hovrätt ställt i det
mål som berörs i avsnitt 5.2.1 (mål C-101/01), dels frågor som ett par österrikiska domstolar ställt (mål C-465/00 och C-138 och 139/01).
Frågor från Göta hovrätt
Det svenska s.k. konfirmandlärarmålet, som omtalas närmare i avsnit t 5.2.1, g äller en konfirmandlärares publicering av personuppgifter om arbetskamrater på Internet. Göta hovrätt hade i målet ställt sju frågor om tolkningen av EG-direktivet.
28
I EG-domstolens dom den 14 september 2000 i mål C-369/98 har EG-direktivet indirekt
berörts.
Generaladvokaten vid EG-domstolen kom i sitt förslag till avgörande (den 19 september 2002) fram till att en behandling av personuppgifter, vilken består i att utan ekonomiskt vinstsyfte skapa en hemsida av aktuell typ, vilken endast är avsedd att utgöra stöd för konfirmationsundervisning som ges i en församling, gratis och helt utan samband med någon anställning, inte omfattas av gemenskapsrätten, se artikel 3.2 i EG-direktivet. Generaladvokaten besvarade inte hovrättens övriga frågor.
EG-domstolen (dom den 6 november 2003 i mål C-101/01) gjorde en annan bedömning. För det första kom domstolen fram till att omnämnandet av olika personer – med namn eller på annat sätt, t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en hemsida på Internet utgör en sådan helt eller delvis automatiserad behandling av personuppgifter som i och för sig omfattas av EG-direktivet. En uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör dessutom, enligt EG-domstolen, en känslig personuppgift om hälsa. EG-domstolen konstaterade vidare till skillnad från generaladvokaten att den behandling som utförts inte var undantagen från EG-direktivet enligt artikel 3.2. Det var bl.a. uppenbart enligt domstolen att en behandling av personuppgifter som består i att uppgifterna offentliggörs på Internet för att bli tillgängliga för ett obestämt antal personer inte föll under undantaget för rent privat behandling.
Däremot är det enligt EG-domstolen inte fråga om någon överföring av uppgifter till tredje land i EG-direktivets mening när en person, som befinner sig i en medlemsstat, lägger ut personuppgifter på en hemsida på Internet som är lagrad hos en fysisk eller juridisk person, som har den webbplats där man kan komma åt sidan och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.
EG-domstolen kom vidare fram till att bestämmelserna i EGdirektivet inte i sig utgör en begränsning som står i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom EU. Enligt EG-domstolen ankommer det på de nationella myndigheter och domstolar som skall tillämpa den nationella genomförandelagstiftningen att garantera en rättvis balans mellan de rättigheter och skyldigheter som är i fråga.
Slutligen konstaterade EG-domstolen att det inte finns något hinder för en medlemsstat att utöka räckvidden av genomförandelagstiftningen till att omfatta områden som inte ingår i EG-
direktivets tillämpningsområde. Det gäller naturligtvis bara om inte någon annan gemenskapsrättslig bestämmelse hindrar det.
Frågor från österrikiska domstolar
Målen från Österrike gäller ett speciellt förfarande enligt österrikisk lagstiftning. Detta förfarande innebär att ett statligt organ är skyldigt att – i syfte att offentliggöra uppgifterna – samla in och vidarebefordra uppgifter om namn och lön för personer med en viss minimiinkomst som är anställda hos vissa myndigheter och andra organ som helt eller delvis står under statligt inflytande. Frågan i EG-domstolen gällde om förfarandet var förenligt med EGdirektivet.
Generaladvokaten vid EG-domstolen kom i sitt förslag till avgörande fram till att det förfarande som föreskrivs inte omfattas av bestämmelserna i EG-direktivet, eftersom behandlingen utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, se artikel 3.2 i EG-direktivet.
EG-domstolen (dom den 20 maj 2003 i mål C-465/00 och C-138 och 139/01) fann emellertid att EG-direktivet är tillämpligt på förfarandet. Domstolen kom vidare fram till att EG-direktivet (artiklarna 6.1 c och 7 c och e) inte utgör något hinder för en sådan nationell lagstiftning som den som det var i fråga i målen, under förutsättning att det är utrett att spridning i stor omfattning av såväl inkomstbeloppen som namnen på de personer som uppbär inkomsterna är både nödvändig och lämplig för lagstiftarens syfte, nämligen att allmänna medel skall förvaltas väl. Enligt EG-domstolen ankommer det på de nationella domstolarna att pröva om så är fallet.
EG-domstolen ansåg vidare att de tidigare nämnda artiklarna i EG-direktivet har direkt effekt i den meningen att de kan åberopas av en enskild inför nationella domstolar för att dessa inte skall tilllämpa nationella rättsregler som strider mot artiklarna.
5.6. Annan vägledning
5.6.1. Vägledning från Datainspektionen
Datainspektionen har utfärdat föreskrifter om anmälan av behandlingar
29
och om undantag från förbudet för andra än myndigheter
att behandla personuppgifter om lagöverträdelser m.m.
30
Datainspektionen har vidare utfärdat allmänna råd om säkerhet för personuppgifter och om information till registrerade enligt personuppgiftslagen. Inspektionen har också kommit ut med informationsskrifter om personuppgiftsombud (1999) om personuppgifter i arbetslivet (2001), om hur länge personuppgifter får bevaras (2003), om samtycke (2003) och om intresseavvägning (2003). Inspektionen har dessutom gett ut ett antal kortare informationsblad om personuppgiftsansvar, personuppgiftsombud, personuppgifter och Internet, anmälan och förhandskontroll, känsliga personuppgifter i forskningen samt övergången till personuppgiftslagen. Materialet är tillgängligt på Datainspektionens webbplats.
31
Datainspektio nen svarar varje år på tusentals telefon- och epostförfrågningar bl.a. via ett särskilt inrättat s.k. call-center med två jurister. Inspektionen har också en omfattande konferens- och föreläsningsverksamhet.
Det kan vidare nämnas att Datainspektionen medverkar i en arbetsgrupp enligt artikel 29 i EG-direktivet tillsammans med företrädare för tillsynsmyndigheter i andra medlemsstater och EGkommissionen. Den arbetsgruppen har utfärdat en lång rad yttranden och rekommendationer rörande skyddet för personuppgifter och tolkningen av EG-direktivet.
32
5.6.2. Branschöverenskommelser
Enligt 15 § personuppgiftsförordningen (1998:1191) skall Datainspektionen på begäran av en organisation som företräder en väsentlig del av de personuppgiftsansvariga inom en viss bransch eller
29
DIFS 1998:2 senast ändrad genom DIFS 2001:1.
30
DIFS 1998:3.
31
http://www.datainspektionen.se.
32
Arbetsgruppens material finns på EG-kommissionens webbplats: http://europa.eu.int/comm/internal_market/privacy/workingroup_en.htm.
inom ett visst område avge yttrande över förslag till överenskommelser vad avser behandling av personuppgifter inom branschen eller området (branschöverenskommelse). Yttrandet skall avse branschöverenskommelsens förenlighet med personuppgiftslagen och andra författningar som reglerar den behandling av personuppgifter det är fråga om. Datainspektionen skall innan den avger yttrande om det är lämpligt se till att organisationer som företräder de registrerade har fått tillfälle att yttra sig över förslagen till branschöverenskommelser.
Datainspektionen har yttrat sig över tre branschöverenskommelser, en om direkt marknadsföring, en om marknadsundersökningar och en om behandling av personuppgifter på inkassoområdet. Datainspektionen granskar för närvarande utkast till branschöverenskommelser om behandling av personuppgifter i finansieringsverksamhet och i skolfotoverksamhet samt ett förslag om ändringar i branschöverenskommelsen om marknadsundersökningar. Regeringen har satt som mål att Datainspektionen aktivt skall arbeta för att det kommer till stånd en ökad självreglering genom bl.a. flera branschöverenskommelser.
5.6.3. Särskilda registerförfattningar
På många områden, särskilt i fråga om myndighetsregister, kan mera konkret vägledning för behandlingen av personuppgifter fås genom s.k. särskilda registerförfattningar. Enligt 2 § personuppgiftslagen gäller nämligen avvikande bestämmelser i lag eller författning före personuppgiftslagen. Sedan personuppgiftslagen trädde i kraft har det utfärdats en lång rad författningar med särbestämmelser som är anpassade till lagen.
33
Även förarbetena till sär-
skilda registerförfattningar kan i viss ut sträckning g e vägledning för tillämpningen av personuppgiftslagen.
5.6.4. Litteratur
Det finns i dag en hel del litteratur kring personuppgiftslagen. Det har getts ut en traditionell lagkommentar och några mera praktiskt inriktade publikationer. Genomförandet av EG-direktivet i de nor-
33
Se t.ex. uppräkningen på s. 26 ff. i Sören Öman & Hans-Olof Lindblom, Personuppgifts-
lagen – En kommentar, andra upplagan 2001.
diska länderna har beskrivits i en antologi, och personuppgiftsskyddet i Sverige och Frankrike har jämförts i en doktorsavhandling. Vidare finns det en hel del tidskriftsartiklar med rättsfallskommentarer och belysning av särskilda aspekter.
Flera branschorganisationer och liknande har gett ut vägledning om personuppgiftslagen.
Det finns på det internationella planet åtminstone två kommentarer till EG-direktivet (på tyska).
5.7. Utredningens analys
Personuppgiftslagen har gällt sedan oktober 1998, men inte tillämpats fullt ut på automatiserad behandling förrän tre år senare. Under den förhållandevis korta tid som lagen tillämpats har det, såsom den tidigare redovisningen visar, förekommit en utveckling i rättstillämpningen och tillkommit en hel del annan vägledning för tillämpningen. Det har exempelvis redan kommit fyra vägledande avgöranden från högsta instans. Enligt utredningens bedömning har man knappast haft anledning att vänta sig fler vägledande avgöranden i svensk domstolspraxis. Utvecklingen i rättspraxis fortskrider således i normal eller till och med snabbare än normal takt.
Eftersom personuppgiftslagen grundar sig på ett EG-direktiv, som EG-domstolen har att uttolka, och i stort sett följer EGdirektivets struktur och text, har regeringen medvetet avstått från att i förarbetena närmare uttala sig om tolkningen.
34
Regeringen var
emellertid medveten om att de generella regler so m finns i per sonuppgiftslagen behöver preciseras och utvecklas och delegerade därför kompetens att göra det till Datainspektionen.
35
Regeringen in-
struerade också Datainspektionen att särskilt inrikta sin verksamhet på att informera om gällande regler
36
och gav senare inspektio-
nen i särskilt uppdrag att publicera ko nkret vägled ning i vissa avseenden
37
.
När det gälle r just förekomsten av annan vägledning för tillämpningen av personuppgiftslagen än rättspraxis finns det delade meningar. En del menar att mera konkret vägledning borde ha kommit fram vid det här laget och att osäkerheten om vad som gäller är be-
34
35
36
1 § andra stycket förordningen (1998:1192) med instruktion för Datainspektionen.
37
Se regleringsbreven för Datainspektionen för 2002 och 2003.
svärande och borde avhjälpas t.ex. genom möjlighet till förhandsbesked från exempelvis Datainspektionen. Andra menar att det inte är så konstigt att det till en EG-baserad lagstiftning inte finns mer vägledning. Enligt dessa är osäkerheten inte heller särskilt besvärande, eftersom detta ger den som skall tillämpa lagstiftningen ett större, eget spelrum tills vidare.
Utredningen kan för egen del konstatera att det nu faktiskt kommit en hel del vägledning från bl.a. Datainspektionen. Å andra sidan kan det också konstateras att det, trots den praxis och vägledning som finns, på många punkter är oklart hur lagstiftningen skall tillämpas i konkreta situationer. Så är det emellertid ofta med relativt ny lagstiftning, särskilt sådan som bygger på EG-direktiv. Utredningen har dock inte fått uppfattningen att oklarheten om vad som gäller i olika situationer är så besvärande att den hindrat en önskvärd samhällsutveckling eller allvarligt försvårat genomförandet av önskvärda behandlingar. Om det på något visst område skulle finnas ett särskilt behov av mer konkret vägledning, finns det för övrigt alltid möjlighet för organisationer av personuppgiftsansvariga att själva utarbeta en branschöverenskommelse med vägledning som Datainspektionen har att granska.
38
Målet för Datainspektio-
nens verksamhet är också att inspektio nen aktivt skall arbeta för att det kommer till stånd en ökad självreglering genom bl.a. flera branschöverenskommelser.
39
Det kan inte anses li gga inom ramen fö r utredningsuppdraget att överväga ett helt nytt system för normgivning och vägledning, t.ex. ett system med förhandsbesked. Datainspektionens framtida verksamhetsinriktning har också setts över nyligen av en annan utredning.
40
38
Se 15 § personuppgiftsförordningen (1998:1191).
39
Se regleringsbreven för Datainspektionen för 2002 och 2003.
40
6. Justitiedepartementets offentliga utvärdering
6.1. Inledning
Justitiedepartementet har gjort en enkät för en offentlig utvärdering av EG-direktivet som i februari 2001 remitterades till 109 myndigheter, organisationer och företag. Allmänheten inbjöds också att svara på enkäten på Internet via Justitiedepartementets webbplats. Sammanlagt kom det in 94 svar på enkäten, varav 79 svar bedömdes vara allvarligt menade i sak.
Enkäten innehöll 16 frågor om eventuella problem med olika bestämmelser i EG-direktivet. Enkäten innehöll också ett par frågor om synpunkter på det utkast till lagstiftningsmodell som utarbetats av Justitiedepartementet och som är mer inriktat på att ingripa mot missbruk av personuppgifter än på att reglera själva hanteringen av personuppgifter (missbruksmodell) samt en fråga om övriga synpunkter på ändringar av EG-direktivet.
Den offentliga utvärderingen avsåg alltså EG-direktivet, men det står klart att de allra flesta som svarat i praktiken uttalat sig om de bestämmelser i personuppgiftslagen som genomför EG-direktivet.
Enkätsvaren innefattar en mängd meningsyttringar. Förutom allmänna påpekanden om lagens tillämpning och konstruktion märks särskilt synpunkter som rör yttrandefriheten på Internet. När det gäller konkreta problem med EG-direktivet och personuppgiftslagen framkommer främst en osäkerhet om hur olika bestämmelser skall tolkas. Justitiedepartementets förslag till missbruksmodell har fått ett överväldigande positivt gensvar.
Enkätsvaren har publicerats i Ds 2001:27 EG-direktivet om personuppgifter – En offentlig utvärdering. Svaren kan sammanfattas enligt följande.
6.2. Eventuella problem med EG-direktivet
De flesta svarande – såväl myndigheter, organisationer och större företag som privatpersoner – har anfört att definitionerna av grundläggande begrepp som personuppgift, manuell behandling, samtycke, personuppgiftsansvarig och personuppgiftsbiträde är svåra att tolka. Ett flertal myndigheter och organisationer har också påtalat att definitionerna av begreppen personuppgift och behandling är mycket vidsträckta och att detta kan innebära problem vid tillämpningen av EG-direktivet och personuppgiftslagen.
Många svarande har anfört att tillämpningsområdet för direktivet är för omfattande och att bl.a. vardaglig behandling av personuppgifter bör undantas från dess tillämpningsområde. Flera har kritiserat föreskrifterna om undantag från lagens tillämpningsområde, särskilt undantagen för journalistisk, konstnärlig och litterär verksamhet samt förhållandet till tryck- och yttrandefriheten och offentlighetsprincipen, för att vara för svårtolkade och oklara. Hur avgörs t.ex. om en bild eller en text är konstnärlig eller journalistisk? Motsvarande osäkerhet har uttryckts beträffande bestämmelsen om territoriellt tillämpningsområde.
Vidare har ett flertal svarande, bl.a. vissa fackförbund, befarat att tillämpningsområdet för personuppgiftslagen innebär att offentlighetsprincipen inskränkts. Ett flertal privatpersoner har också kritiserat undantaget för privat behandling för att vara för snävt och oklart, t.ex. då det inte synes omfatta fallet där enskilda sluter sig samman i en ideell organisation och där behandlar personuppgifter inom ramen för organisationens ändamål och då det inte heller framgår om undantaget omfattar släktforskning.
Bestämmelserna om de grundläggande kraven på behandling av personuppgifter har rönt mindre kritik. En del instanser har dock pekat på oklarheter vad gäller innebörden av olika krav på behandlingens ändamål samt tolkning av vissa begrepp som korrekt sätt och god sed.
Flera instanser har pekat på problem med föreskriften om när behandling är tillåten. Detta gäller särskilt svårigheter med att inhämta samtycke samt tolkning av nödvändighetskravet och den intresseavvägning som i vissa fall skall göras vid bedömning av om en behandling är nödvändig. De flesta svarande har härvid – i stället för EG-direktivets och personuppgiftslagens nuvarande s.k. hanteringsmodell – förespråkat den missbruksmodell som tagits fram av Justitiedepartementet.
En del svarande har hänvisat till konkreta problem med bestämmelserna om känsliga personuppgifter och personuppgifter om lagöverträdelser. Vissa fackförbund har påtalat problem med att medlemskap i fackförening anses som en känslig personuppgift. Vissa sammanslutningar av konstnärer och fotografer har kritiserat bestämmelsens tillämplighet på fotografier. Utgör t.ex. ett fotografi av en person med kryckor en personuppgift som rör hans eller hennes hälsa? Svenska kyrkan har påtalat problem med kravet på regelbunden kontakt när kyrkan behandlar känsliga personuppgifter som avslöjar religiös övertygelse hos andra än medlemmar, t.ex. donatorer. Svenska kommunförbundet har pekat på problem med kommunernas behandling av känsliga personuppgifter i skolans verksamhet, t.ex. hos skolpsykologer och i skolbespisningen samt i färdtjänsten. Bestämmelsen med ett absolut förbud för andra än myndigheter att behandla uppgifter om lagöverträdelser m.m. har också kritiserats för att vara för snäv.
Många instanser – såväl myndigheter, organisationer, företag och enskilda – har ansett att tillämpningen av bestämmelserna om informationsplikt är betungande, kostsam och i vissa fall onödig. Svårigheter har också påtalats i fråga om tolkningen av vad som är en ”oproportionerligt stor arbetsinsats” och undantaget för sådant som den enskilde redan känner till i de fall då han eller hon själv har lämnat in uppgifter till t.ex. en myndighet. Föreskriften om sökandes rätt till registerutdrag har rönt något mindre kritik. En del svarande har dock anfört att denna informationsskyldighet är tidskrävande och kostsam, särskilt i fråga om personuppgifter som finns i löpande text och i form av fotografier. Bl.a. arkivmyndigheterna har mot denna bakgrund påtalat behovet av och det angelägna med ett undantag från skyldigheten att lämna registerutdrag när det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträngning (motsvarande det i 24 § tredje stycket personuppgiftslagen och artikel 11.2 i EG-direktivet).
Ett stort antal svarande har kritiserat bestämmelserna om överföring av personuppgifter till tredje land. Kritiken har främst gällt tilllämpligheten på behandling av personuppgifter på Internet. Många instanser – såväl myndigheter, företag och organisationer som privatpersoner – har påtalat att regleringen förhindrar utnyttjandet av modern informationsteknologi, t.ex. offentliggörande av myndigheters beslut och diarier på Internet. Vidare har regeln om s.k. harmlösa personuppgifter kritiserats för att vara otydlig.
De svarande har inte haft några omfattande synpunkter på föreskrifterna om skadestånd och straff. En del har dock pekat på att till-
lämpningen av sanktionsreglerna kan bli problematisk när lagen är oklar samt att en sådan osäkerhet är otillfredsställande ur rättssäkerhetssynpunkt.
Bestämmelserna om rättelse, automatiserade beslut och säkerhet har varken givit anledning till särskilda synpunkter eller större missnöje. Bestämmelserna om anmälan till Datainspektionen och om upplysning till allmänheten har inte heller medfört någon större reaktion. Vissa instanser har emellertid ifrågasatt nyttan av dessa bestämmelser. De svarande har inte heller haft några omfattande synpunkter på föreskrifterna om Datainspektionens befogenheter.
6.3. Missbruksmodell
I princip samtliga svarande har anfört att en lagstiftning i enlighet med Justitiedepartementets utkast till missbruksinriktade regleringsmodell är att föredra framför EG-direktivets nuvarande s.k. hanteringsmodell, även om en del har velat gå ännu längre. Det har bl.a. framhållits att den föreslagna missbruksmodellen tillgodoser kravet på skydd mot kränkningar av enskilda personers integritet, är mer flexibel och möjliggör användandet av ny informationsteknologi.
Vissa instanser har dock påtalat ett behov av ett förtydligande av begreppen strukturerad text, spridning, skada samt allmänt intresse. En del har också anfört att det över huvud taget inte är meningsfullt att göra en distinktion mellan strukturerade uppgifter och löpande text eftersom de flesta uppgifter som behandlas automatiserat – t.ex. i elektroniska dokument – lätt kan struktureras så att sökning underlättas.
7. Personuppgifter som inte ingår i personregister
7.1. Inledning
Enligt utredningsdirektiven skall utredningen närmare analysera förutsättningarna – inom ramen för EG-direktivet – för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet skall i första hand vara att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Regleringen skall liksom hittills vara teknikoberoende. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredningen föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten.
Enligt utredningsdirektiven skall utredningen vidare särskilt analysera om det är möjligt och lämpligt med en generell bestämmelse – baserad på bestämmelsen i artikel 7 f i EG-direktivet om en intresseavvägning – av innebörd att personuppgifter får behandlas om det är nödvändigt för information och debatt eller opinionsbildning, om det inte finns risk för otillbörligt intrång i den personliga integriteten eller om det finns ett allmänintresse som överväger integritetsintrånget. Utredningen skall vidare särskilt analysera möjligheterna till undantag avseende behandling av känsliga personuppgifter och överföring av personuppgifter till tredje land för viktiga allmänna intressen enligt artikel 8.4 och 26.1 d i EGdirektivet med hänsyn till intresset för information, debatt och opinionsbildning.
Utredningsuppdraget avser alltså i första hand att undersöka om och i vilken utsträckning det med hänsyn till EG-direktivet är möjligt att i dag i personuppgiftslagen genomföra en s.k. missbruksmodell för regleringen av behandling av personuppgifter. Personuppgiftslagen har med hänsyn till EG-direktivet baserats på en annan lagstiftningsmodell, en s.k. hanteringsmodell.
7.2. Missbruksmodell
Det är något oklart vad som menas med en missbruksmodell respektive hanteringsmodell för lagstiftningen. Datalagskommittén, som införde terminologin, beskrev skillnaderna på följande sätt:
41
”Man kan på ett principiellt plan tänka sig åtminstone två olika modeller för regleringen av skyddet för den personliga integriteten:
- Reglering av själva hanteringen av personuppgifter (hanteringsmodellen).
- Reglering av sådant utnyttjande av personuppgifter som kan karakteriseras som ett missbruk (missbruksmodellen).
När man riktar in sig på att reglera själva hanteringen av personuppgifter, blir det viktigt med regler som avser t.ex.
- att precisera godtagbara ändamål med hanteringen och hindra användning som inte stämmer överens med sådana ändamål,
- att inte fler uppgifter än nödvändigt hanteras,
- att de hanterade uppgifterna är korrekta och relevanta,
- att de hanterade uppgifterna inte läcker ut från den som hanterar dem och
- att de registrerade kan få kännedom om av vem uppgifterna hanteras och vilka uppgifter som hanteras.
Den nuvarande datalagen och EG-direktivet kan sägas bygga på en sådan modell för skyddet av den personliga integriteten. Också Europarådets konvention och rekommendationer samt, på det globala planet, OECD:s riktlinjer verkar bygga på hanteringsmodellen. Även den svenska grundlagen
42
kan sägas kräva att det skall finnas en lagstiftning
baserad på hanteringsmodellen, innefattande skydd mot integritetskränkningar genom att personuppgifter registreras (oavsett om de i någon mening missbrukas eller inte).
41
42
2 kap. 3 § 2 st. regeringsformen.
De som förespråkar den modell som koncentrerar sig på reglering av det som kan karakteriseras som missbruk av personuppgifter, brukar utgå från att själva hanteringen av personuppgifterna skall vara i det närmaste fri. Det har t.ex. talats om ett slags allemansrätt till personuppgifter.
43
Det viktiga med den modellen blir i stället att identifiera
vilken användning av personuppgifter som utgör ett sådant missbruk att det bör förbjudas, dvs. i första hand kriminaliseras eller skadeståndsbeläggas.
Båda modellerna har fördelar. Även om en reglering i enlighet med hanteringsmodellen görs i princip teknikoberoende, är det inte praktiskt möjligt att låta den omfatta all hantering av personuppgifter; hanteringen av sådana personuppgifter som någon har memorerat (’har i huvudet’) bör t.ex. lämnas utanför regleringen, trots att de memorerade uppgifterna givetvis kan komma att användas till skada för den som uppgifterna avser. Missbruksmodellen däremot är helt teknikoberoende och tar sikte på det skadliga utnyttjandet av personuppgifterna oberoende av vilket hjälpmedel som har använts vid utnyttjandet (papper och penna, dator, det mänskliga minnet etc.).
Med hanteringsmodellen kan man alltså – till skillnad från missbruksmodellen – inte komma till rätta med allt missbruk av personuppgifter eller all användning av personuppgifter som enskilda kan tycka är obehaglig eller skadlig.
Med hanteringsmodellen främjas en kontinuerligt god hantering av personuppgifter; man begränsar hanteringen till de uppgifter som behövs och hanteringen sker på ett ändamålsenligt sätt som den enskilde kan få insyn i. Den modellen förutsätter också att det finns någon sorts kontroll av eller tillsyn över hanteringen. Missbruksmodellen är å andra sidan mera repressiv till sin karaktär. Där kommer regleringen och tillsynen in först sedan skadan har skett, när missbruket är ett faktum. Det torde med den modellen vara svårt att på ett tillräckligt förutsebart sätt reglera och kontrollera olika ’förberedelser’ till missbruk.
Den hantering som inte innebär ett missbruk lämnas med missbruksmodellen i princip utanför regleringen; där gäller ’allemansrätten till personuppgifter’. Med hanteringsmodellen regleras däremot i princip också sådan hantering av personuppgifter som objektivt sett måste betraktas som harmlös. Det kan därför tyckas att hanteringsmodellen spänner över onödigt mycket. Missbruksmodellen lämnar å andra sidan öppet för en hantering av också känsliga personuppgifter som redan genom sin stora omfattning kan oroa många människor.”
43
Se Jan Freese, Rapport om skyddet för enskilda personers privatliv – ett mer samlat
grepp?, 1995, avsnitt 10.4.
Regeringen ansåg vid utarbetandet av personuppgiftslagen att det inte var möjligt att uppfylla skyldigheten att genomföra EGdirektivet på annat sätt än genom att införa en lagstiftning av hanteringsmodell och påpekade att ingen hade kunnat konkret ange hur det skulle kunna vara möjligt med hänsyn till EG-direktivet att använda en renodlad missbruksm odell.
44
Konstitutionsutskottet
delade regeringens bedömning.
45
Såsom anges i utredningsdirekti-
ven har det dock efter ikraftträdandet av personuppgiftslagen vidtagits flera åtgärder i syfte att åstadkomma en mer missbruksinriktad regleringsmodell.
Det enda mer konkreta utkast till en missbruksmodell för regleringen som framkommit är det som Justitiedepartementet presenterade hösten 2000 och som också omnämns i utredningsdirektiven .
46
Utkastet innehåller ett konkret förslag till ändring av EG-direktivet som innebär att en ny artikel av följande lydelse skall införas i EGdirektivet:
”1. På automatisk behandling av personuppgifter i form av ljud- och bilduppgifter och i text skall, när materialet inte har strukturerats så att sökning av personuppgifter underlättas, bara tillämpas artikel 4, 9 och 22–24.
47
2. Medlemsstaterna skall föreskriva att sådan behandling som avses i punkt 1 och som innebär spridning av personuppgifter till skada för den registrerade inte är tillåten. Detta skall dock inte gälla om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att personuppgifterna sprids.”
På Justitiedepartementets hemsida på Internet har förslaget sammanfattats enligt följande:
”Behandling av personuppgifter som inte har strukturerats för att underlätta sökning av personuppgifter, t.ex. vid ord- och textbehandling
44
45
KU 1997/98:18 s. 13 f.
46
Utkastet finns som bilaga till Ds 2001:27, som också innehåller en sammanställning av
allmänhetens synpunkter på utkastet. – IT-kommissionens rättsliga observatorium har också gjort ett arbete om utformningen av en missbruksmodell som redovisats i en skrivelse till regeringen 1999-02-24, dnr ITK98/3 (se det IT-rättsliga observatoriets rapport 8/98).
47
De angivna artiklarna rör det territoriella tillämpningsområdet, undantag med hänsyn till
yttrandefriheten och rättslig prövning och sanktioner.
och användning av Internet och e-post, undantas från bestämmelserna om själva hanteringen av personuppgifter.
Sådan behandling är förbjuden bara om spridning av personuppgifterna är till skada för den registrerade. Spridningen skall dock alltid vara tillåten, om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att personuppgifterna sprids.
Bara behandling av personuppgifter i regelrätta databaser eller andra uppgiftssamlingar som strukturerats för att underlätta sökning av personuppgifter, t.ex. myndigheters, försäkringsbolags och bankers register med personuppgifter, omfattas alltså av bestämmelser om själva hanteringen av personuppgifter.”
Det som enligt förslaget skall undantas från hanteringsreglerna i EG-direktivet är således ljud- och bilduppgifter och löpande text när materialet inte har strukturerats så att sökning av personuppgifter underlättas.
Utredningen anser att det är ändamålsenligt att behandling av sådant ostrukturerat material undantas från hanteringsreglerna i personuppgiftslagen. De dataskyddsprinciper som ligger bakom dessa hanteringsregler utarbetades i början på 1980-talet innan den datoriserade informationstekniken blivit en vardagsteknik, som snart sagt varje arbetstagare hanterar dagligen, och börjat användas för kommunikation och spridning av information i världsomfattande nätverk såsom Internet.
48
Att problemen med att tillämpa
hanteringsreglerna på en vardagsteknik med nya användningsområden verkar ha uppmärksammats först i Sverige kan hänga samman med Sveriges position som ett föregångsland inom informationstekniken och att Sverige var bland de allra första staterna att genomföra EG-direktivet.
De generella dataskyddsprinciperna är i och för sig enligt utredningens mening i stort sett adekvata och relevanta även för behandling av personuppgifter i ostrukturerat material. Det ligger exempelvis ett värde i att personuppgifter som behandlas är riktiga och relevanta och att den registrerade är informerad om behandlingen även när den avser ostrukturerat material. I de allra flesta fall leder också en tillämpning av hanteringsreglerna till slutsatsen att behandlingen av personuppgifter i ostrukturerat material är tillåten och kan utföras.
48
Jämför härtill vad som sägs i avsnitt 3.2 och, i fråga om dataskyddsprinciper, avsnitt 4.
Men reglerna är ändå inte anpassade för den i dag utbredda användningen av datoriserad informationsteknik för ostrukturerad vardagshantering och kommunikation. Det är nämligen enligt utredningens mening inte rimligt att man skall behöva tillämpa sju eller åtta hanteringsregler för att kunna konstatera att en vardaglig behandling av personuppgifter i ostrukturerat material är tillåten. Hanteringsreglerna framstår som alltför omfattande, komplicerade och byråkratiska när det gäller vardaglig, ostrukturerad behandling av personuppgifter som normalt är helt harmlös. Hanteringsreglerna tillför inte integritetsskyddet mycket i dessa fall, i vart fall inte i jämförelse med den byråkrati och kostnad som skulle uppkomma om reglerna i praktiken tillämpades fullt ut.
Det är enligt utredningens mening inte realistiskt att tro att hanteringsreglerna i någon större utsträckning i praktiken används vid vardaglig, ostrukturerad hantering av personuppgifter. I och med att reglerna i dessa fall upplevs som byråkratiska, komplicerade och inte omedelbart kopplade till integritetsskyddet och därför inte tillämpas, riskerar man att de grundläggande och viktiga dataskyddsprinciperna råkar i vanrykte och inte tillämpas ens vid sådan strukturerad behandling av personuppgifter där de är oundgängliga för integritetsskyddet. Därför skulle integritetsskyddet i praktiken stärkas om man undantar behandling av ostrukturerade personuppgifter från hanteringsreglerna och i stället tillskapar enklare regler som direkt tar sikte på skydd mot missbruk av personuppgifter.
Utredningen anser mot den redovisade bakgrunden och utredningsdirektiven att den bör inleda sin översyn av personuppgiftslagen med att göra en förnyad analys av om och i vilken utsträckning det med hänsyn till EG-direktivet och andra omständigheter är möjligt att från hanteringsreglerna i personuppgiftslagen undanta behandling av personuppgifter i material som inte har strukturerats så att sökning efter eller sammanställning av personuppgifter underlättas, t.ex. löpande text och ljud- och bildupp tagningar
49
. Kan ett sådant undantag göras, får det undersökas vilka närmare bestämmelser som i stället är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten. I det sammanhanget får beaktas bl.a. de generella reg-
49
Här och i det följande används löpande text och ljud- och bildupptagningar som exempel
på material som normalt inte har strukturerats för att underlätta sökning efter och sammanställning av personuppgifter. Det bör dock påpekas att även löpande text och ljud och bild givetvis kan struktureras på detta sätt. Och har så skett, är materialet naturligtvis inte längre ostrukturerat.
ler till skydd för den personliga integriteten som redan finns. Det gäller här att skapa ett kompletterande skydd mot otillbörligt intrång i den personliga integriteten.
Ett sådant generellt undantag för behandling av personuppgifter i ostrukturerat material finns således inte i dag i personuppgiftslagen. Utredningen har inte heller funnit något motsvarande undantag i andra medlemsstaters genomförandelagstiftning, jämför dock vad som sägs i avsnitt 7.3.2 om Frankrikes avsikter.
Utredningen anser alltså att det är strukturen på materialet som bör utgöra kriteriet för om hanteringsreglerna eller regler som bara förhindrar missbruk skall tillämpas. Här bör avslutningsvis noteras att utredningen i och för sig övervägt också andra möjliga avgränsningskriterier än materialets struktur, t.ex. syftet med behandlingen, arten av personuppgifter, vem som behandlar uppgifterna, vem personuppgifterna avser osv. Som kommer att framgå i det följande är inte användningen av materialets struktur som kriterium utan svårigheter och definitionsproblem. Varje avgränsningskriterium har emellertid inneboende svårigheter och kan vara mer eller mindre ändamålsenligt. En avgränsning utifrån syftet med behandlingen innebär t.ex. bl.a. den svårigheten att syftet oftast inte syns utåt. Utredningen har funnit att det valda kriteriet (materialets struktur) är det mest ändamålsenliga, vilket naturligtvis är av största vikt, och att definitionsproblemen och andra svårigheter med det kriteriet kan bemästras.
7.3. EG-direktivet
7.3.1. Undantag enligt artikel 3.2 för sådant som faller utanför gemenskapsrätten och för rent privat behandling
Enligt artikel 3.2 första strecksatsen i EG-direktivet gäller inte EGdirektivet för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Enligt andra strecksatsen i artikeln gäller inte EG-direktivet för sådan behandling av personuppgifter av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Bestämmelserna i artikeln berörs närmare i avsnitt 8.2.
Enligt utredningens mening står det ganska klart att de nu nämnda undantagen inte kan användas för att generellt undanta behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar. Viss sådan behandling kan visserligen utföras av en fysisk person för rent privat bruk, men något generellt undantag finns det knappast stöd för. Undantaget för rent privat behandling i EG-direktivet har för övrigt redan tagits in i 6 § personuppgiftslagen.
7.3.2. Undantag enligt artikel 9 för journalistiska ändamål eller konstnärligt eller litterärt skapande
Enligt artikel 9 i EG-direktivet skall medlemsstaterna besluta om undantag och avvikelser från de flesta av bestämmelserna i EGdirektivet för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Sådana undantag och avvikelser får dock beslutas bara om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.
50
Av det protokoll som fördes inom rådet när den gemensamma ståndpunkten om EG-direktivet antogs (i fortsättningen kallat mötesprotokollet
51
; se bilaga 4) framgår det att Frankrike förklarat att
man kommer att använda sig av de undantag som föreskrivs i artikel 9 för all den verksamhet inom den audiovisuella sektorn som omfattas av EG-direktivet.
Mot bakgrund av Frankrikes förklaring skulle man kunna överväga att stödja ett generellt undantag för behandling av personuppgifter i ostrukturerat material på artikel 9. Enligt utredningens mening förefaller det dock högst osäkert om undantagsmöjligheterna enligt artikel 9 kan användas för ett så generellt undantag. Undantagsmöjligheten enligt artikel 9 i EG-direktivet har för övrigt redan utnyttjats fullt ut i 7 § personuppgiftslagen.
50
Artikel 9 har berörts utförligt i t.ex. SOU 1997:39 s. 123 f. och 221 ff., SOU 1997:49 s.
241 ff. och SOU 2001:28 s. 259 ff.
51
Dokument 4730/95 ECO 20 av den 8 februari 1995.
7.3.3. Undantag enligt artikel 13 med hänsyn till skyddet av fri- och rättigheter
I artikel 13.1 i EG-direktivet finns det bestämmelser om att medlemsstaterna genom lagstiftning får begränsa omfattningen av vissa skyldigheter och rättigheter som följer av EG-direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs.
- de grundläggande kraven på behandlingen av personuppgifter
(artikel 6.1, som motsvaras av 9 § personuppgiftslagen)
- skyldigheten att informera den registrerade (artikel 10 och 11.1, som motsvaras av 23–25 §§personuppgiftslagen)
- rätten att på begäran få tillgång till uppgifterna och rättelse (artikel 12, som motsvaras av 26 och 28 §§ samt 29 § andra stycket personuppgiftslagen)
- reglerna om ett offentligt register över anmälda behandlingar och skyldigheten att hålla information om andra behandlingar tillgänglig (artikel 21, som motsvaras av 42 § personuppgiftslagen och 7 § personuppgiftsförordningen)
En sådan begränsning måste vara en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för
brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlems-
stat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om
den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,
g) skydd av den registrerades eller andras fri- och rättigheter.
Av mötesprotokollet (bilaga 4) framgår att rådet och kommissionen anser att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i artikel 13.1 g.
Bestämmelserna i artikel 13.1 berörs närmare i avsnitt 9.2.
Artikel 13.1 innebär således att undantag från vissa bestämmelser i EG-direktivet kan göras om det är en nödvändig åtgärd med hänsyn till vissa intressen. Det enda intresse som kan vara aktuellt när man överväger ett generellt undantag för behandling av personuppgifter i ostrukturerat material är det som avser skyddet av den registrerades eller andras fri- och rättigheter (punkt g).
Frågan är då om det kan anses vara en sådan fri- och rättighet som avses i artikel 13.1 g att få hantera ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar utan att begränsas av de hanteringsregler som avses i artikel 13.1.
När materialet skall distribueras till andra kan det vara fråga om ett sådant utnyttjande av yttrandefriheten som varje medborgare är tillförsäkrad skydd för enligt 2 kap. 1 § första stycket 1 regeringsformen, dvs. en frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor. Yttrandefriheten är onekligen en fri- och rättighet som är fastslagen också i bl.a. artikel 10.1 i Europakonventionen. Regeringen och Lagrådet har emellertid ansett att det är osäkert om yttrandefriheten omfattas av de fri- och rättigheter som avses i artikel 13.1 g, eftersom det finns ett särskilt undantag för yttrandefriheten i artikel 9.
52
Utredningen anser dock att det förhållandet att yttrandefri-
heten nämns i artikel 9 inte kan anses innebära att just den väletablerade fri- och rättigheten inte skulle omfattas av uttrycket fri- och rättigheter i artikel 13. Enligt ordalydelsen omfattar artikel 9 bara undantag för behandling av personuppgifter ”som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande”, vilket verkar vara mera begränsat än en frihet att ”meddela upplysningar samt uttrycka tankar, åsikter och känslor” eller – såsom anges i artikel 10.1 Europakonventionen – en ”frihet att ta emot och sprida uppgifter och tankar”.
Även när materialet inte skall distribueras till andra utan bara användas internt hos den personuppgiftsansvarige kan det vara fråga om ett utnyttjande av en fri- och rättighet i den mening som avses i artikel 13.1 g. Det kan nämligen vid inhämtande av uppgifter vara fråga om ett sådant utnyttjande av informationsfriheten som varje medborgare är tillförsäkrad skydd för enligt 2 kap. 1 § första stycket 2 regeringsformen, dvs. en frihet att inhämta och mottaga upplysningar samt att i övrigt taga del av andras yttranden. Enligt utredningens mening kan till och med det rent interna upprättandet
52
Prop. 1997/98:44 s. 49 och 236. Se också SOU 2001:28 s. 273.
och användandet av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar hos en personuppgiftsansvarig – t.ex. såsom minnesanteckningar – anses vara en fri- och rättighet. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred har exempelvis vid införandet av personuppgiftslagen ansetts som en sådan fri- och rättighet som avses i artikel 13.1 g.
53
I samband med antagandet av EG-direktivet förklarade rådet och kommissionen som nämnts att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i artikel 13.1 g. Det är för det första inte säkert att man alls kan tillmäta sådana förklaringar någon rättslig status och betydelse vid utrönandet av den rätta innebörden av en bestämmelse i ett EG-direktiv.
54
För det andra rör hanteringen av
ostrukturerat material inte bara behandling av personuppgifter utan rätten till sådan hantering är generell och avser all slags information. Att fri- och rättigheter som kan involvera behandling av personuppgifter avses i artikel 13.1 g är uppenbart; annars skulle ju bestämmelsen aldrig kunna tillämpas.
Utredningen anser alltså sammanfattningsvis att det bör vara möjligt att hävda att hanteringen av ostrukturerat material t.ex. i form av text och ljud- och bildupptagningar i och för sig är en sådan fri- och rättighet som avses i artikel 13.1 g och som kan berättiga medlemsstaterna att göra nödvändiga begränsningar av vissa bestämmelser i direktivet. Den slutsatsen framstår som än mer befogad när det gäller att bara göra begränsningar för sådan hantering av ostrukturerat material som inte innefattar ett missbruk av personuppgifter. Det bör betonas att varje begränsning som görs måste vara nödvändig med hänsyn till skyddet av den aktuella fri- och rättigheten. Det kan sägas vara fråga om en intresseavvägning där de båda fri- och rättigheterna – rätten till integritetsskydd och rätten att för t.ex. yttrandefrihets- och informationsfrihetsändamål få hantera ostrukturerat material – vägs mot varandra och där bara sådana begränsningar görs som är nödvändiga för att uppnå en balans mellan de motstående fri- och rättigheterna.
53
54
Jämför t.ex. mål C-292/89, Antonissen (1991 ECR I-2867, svenska specialutgåvan vol. XI
s. 55) och mål C-329/95, VAG Sverige (REG 1997 s. I-2675)
7.3.4. Intresseavvägning enligt artikel 7 f
I artikel 7 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, räknas det upp i vilka fall personuppgifter får behandlas. Kan en tilltänkt behandling inte hänföras under något av de uppräknade fallen, får den inte genomföras. Det fall som kan vara aktuellt när man överväger att generellt tillåta behandling av personuppgifter i ostrukturerat material är det som finns i artikel 7 f.
Av artikel 7 f framgår att medlemsstaterna skall föreskriva att personuppgifter får behandlas om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den personuppgiftsansvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter. I ingresspunkt 30 framhålls det att medlemsstaterna – för att garantera en jämvikt mellan berörda intressen och för att samtidigt säkerställa en effektiv konkurrens – får närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som utövas av företag och andra organ i deras löpande verksamhet. Staterna får även närmare ange på vilka villkor personuppgifter får vidarebefordras till tredje man i marknadsföringssyfte. Detta gäller oavsett om vidarebefordrandet sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, t.ex. av politisk karaktär. En förutsättning är dock att de regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att uppgifter som rör honom eller henne behandlas.
Artikel 7 f i EG-direktivet har införts i 10 § f personuppgiftslagen som stadgar att personuppgifter får behandlas om behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Som framgår av utredningsdirektiven är det enligt EG-direktivet tillåtet för medlemsstaterna att närmare precisera hur den angivna intresseavvägningen utfaller i olika fall.
Enligt utredningens mening står det klart att det är möjligt att med stöd av bestämmelsen om en intresseavvägning i artikel 7 f i EG-direktivet införa en särskild bestämmelse som tillåter sådan behandling av personuppgifter i ostrukturerat material som inte
innefattar ett missbruk av personuppgifterna. Det framgår egentligen redan av vad som sagts i närmast föregående avsnitt. Ett utnyttjande av rätten att för t.ex. yttrandefrihets- och informationsfrihetsändamål få hantera ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar utgör givetvis ett berättigat intresse, och det intresset får anses överväga de registrerades intresse av integritetsskydd så länge hanteringen inte innefattar ett missbruk av personuppgifter.
Enligt artikel 14 a i EG-direktivet skall medlemsstaterna tillförsäkra den registrerade rätten att åtminstone i bl.a. det fall som avses i artikel 7 f när som helst av avgörande och berättigade skäl som rör hans eller hennes personliga situation motsätta sig behandling av uppgifter som rör honom eller henne, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den personuppgiftsansvarige inte längre avse dessa uppgifter.
Det har ansetts möjligt att med stöd av artikel 14 a i EGdirektivet införa en uttrycklig bestämmelse i personuppgiftslagen om att, såvitt nu är aktuellt, den registrerade inte har rätt att motsätta sig behandling av personuppgifter – utom behandling för ändamål som rör direkt marknadsföring – som är tillåten enligt lagen (12 § andra stycket).
55
7.3.5. Undantag för uppgifter som avses i artikel 8
I artikel 8 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, finns det tillkommande begränsningar för behandlingen av vissa särskilda kategorier av personuppgifter. Avser en viss behandling sådana särskilda kategorier av personuppgifter måste således villkoren enligt såväl artikel 7 som artikel 8 vara uppfyllda för att behandlingen skall få genomföras.
I artikel 8.1 i EG-direktivet föreskrivs det att medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
56
I artikel 8.2 och 8.3 anges i vilka fall sådana s.k. känsliga
personuppgifter får behandlas trots det principiella förbudet enligt
55
56
I den svenska, den franska och den danska språkversionen anges hälsa
och sexualliv, me-
dan det i den engelska och tyska språkversionen talas om hälsa
eller sexualliv.
artikel 8.1. Enligt artikel 8.4 får medlemsstaterna – under förutsättning av lämpliga skyddsåtg ärder
57
– av hänsyn till ett viktigt allmänt
intresse antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet mot att behandla känsliga personuppgifter. Sådana undantag skall enligt artikel 8.6 anmälas till kommissionen. Bestämmelsen i artikel 8.1 i EG-direktivet har tagits in i 13 § personuppgiftslagen.
I ingresspunkt 34 anges följande. När det av hänsyn till viktiga allmänna intressen är nödvändigt måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på vissa områden. Som exempel på områden och fall där avvikelser kan ske nämns folkhälsa, socialskydd, särskilt för att säkerställa kvalitet och lönsamhet i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Det betonas att det dock åligger medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.
I ingresspunkt 35 klargörs att myndigheters behandling av personuppgifter för officiellt erkända religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga allmänna intressen. Ingresspunkt 36 behandlar det fallet att de politiska partierna i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattning i samband med att allmänna val hålls. Om det är nödvändigt för att det demokratiska systemet skall fungera, får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen under förutsättning att lämpliga garantier föreskrivs. Av kommissionens förklaring till det andra direktivförslaget
58
(i
fortsättningen kommissionens förklaring) framgår att undantag bör göras för internationella människorättsorganisationer som behöver känsliga personuppgifter för sitt arbete, förutsatt att dessa kan erbjuda lämpliga skyddsåtgärder.
59
I artikel 8 i EG-direktivet finns det också bestämmelser om andra kategorier av uppgifter än s.k. känsliga personuppgifter, nämli-
57
Något olika uttryckssätt används i de skilda språkversionerna: ”suitable safeguards”,
“garanties appropriées”, ”angemessener Garantien“ och ”tilstraekkelige garantier”.
58
Dokument COM(92) 422 final – SYN 287. Dokumentet finns intaget som bilaga till
59
SOU 1993:10 Bilagor s. 178.
gen uppgifter om lagöverträdelser m.m. och nationella identifikationsnummer.
Enligt artikel 8.5 gäller att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Medlemsstaterna får alltså i sin lagstiftning tillåta att enskilda, utan att det sker under kontroll av en myndighet, behandlar uppgifter om lagöverträdelser m.m. under förutsättning att lagstiftningen innehåller lämpliga och specifika skyddsåtgärder. Behandling av uppgifter om lagöverträdelser som har tillåtits på detta sätt torde medlemsstaterna ha att anmäla till kommissionen enligt artikel 8.6. I 21 § personuppgiftslagen har det intagits ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden och bemyndiganden att medge undantag från det förbudet.
Enligt artikel 8.7 skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Det måste alltså finnas villkor för behandling av sådana nummer, men det materiella innehållet i villkoren får medlemsstaterna själva bestämma. I 22 § personuppgiftslagen har det angetts att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.
Bestämmelserna i artikel 8.5 och 8.7 om uppgifter om lagöverträdelser m.m. respektive identifikationsnummer utgör inget hinder mot att generellt tillåta behandling av personuppgifter i ostrukturerat material. För att sådan behandling av uppgifter om lagöverträdelser m.m. skall få utföras av enskilda utan myndighetskontroll krävs det dock att det finns lämpliga och specifika skyddsåtgärder i lagstiftningen. En sådan skyddsåtgärd kan enligt utredningens mening vara att bara tillåta sådan behandling av personuppgifter om lagöverträdelser m.m. som inte innefattar ett missbruk av personuppgifterna.
Från förbudet enligt artikel 8.1 mot behandling av känsliga personuppgifter får undantag enligt artikel 8.4 göras av hänsyn till ett viktigt allmänt intresse. Frågan är om hantering av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar
kan anses vara ett sådant viktigt allmänt intresse. Utredningen har i avsnitt 7.3.3 utvecklat hur denna hantering, som kan ha betydelse för bl.a. utnyttjandet av yttrande- och informationsfriheten, kan anses vara en fri- och rättighet. Att fri- och rättigheter kan utövas i samhället är naturligtvis ett allmänt intresse och dessutom ett viktigt sådant. Utredningen anser därför att det kan hävdas att ett undantag från förbudet mot behandling av känsliga personuppgifter för behandling av sådana personuppgifter i ostrukturerat material kan stödjas på undantagsmöjligheten i artikel 8.4 för viktiga allmänna intressen. Ett sådant undantag förutsätter emellertid lämpliga skyddsåtgärder. En sådan skyddsåtgärd kan enligt utredningens mening vara att bara tillåta sådan behandling av känsliga personuppgifter som inte innefattar ett missbruk av personuppgifterna.
7.3.6. Undantag från förbudet mot överföring av personuppgifter i artikel 25
I artikel 25 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, finns det tillkommande begränsningar för sådan behandling av personuppgifter som innebär en överföring av personuppgifterna till tredje land, dvs. en stat som inte är med i EU eller EES. Artikel 26 innehåller bestämmelser om undantag från artikel 25. Avser en viss behandling en sådan överföring måste således villkoren enligt såväl artikel 7 – och i förekommande fall även artikel 8 – som artikel 25 och 26 vara uppfyllda för att överföringen skall få genomföras.
Enligt artikel 25.1 i EG-direktivet skall medlemsstaterna föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall enligt artikel 25.2 ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där. Bestämmelserna i artikel 25.1 och 2 i EG-direktivet har tagits in i 33 § personuppgiftslagen.
I artikel 26.1 anges det i vilka fall medlemsstaterna får föreskriva att överföring till tredje land som inte har en adekvat skyddsnivå är tillåten. I artikel 26.1 d anges att sådan överföring får ske om ”överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk”. Den bestämmelsen har ansetts innebära bl.a. att det är tillåtet att i författning ange när överföring är tillåten därför att den är nödvändig med hänsyn till viktiga allmänna intressen. I ingresspunkt 58 anges som exempel på viktiga allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tullmyndigheter eller socialförsäkringsmyndigheter.
Det har i Sverige tidigare ansetts att ett offentliggörande av personuppgifter på en webbplats som är allmänt tillgänglig på Internet innebär att personuppgifterna blir tillgängliga i hela världen och därmed kan anses överförda till alla länder.
60
EG-domstolen i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01) slagit fast att det inte är fråga om någon överföring av uppgifter till tredje land i EG-direktivets mening när en person, som befinner sig i en medlemsstat, lägger ut personuppgifter på en hemsida på Internet som är lagrad hos en fysisk eller juridisk person, som har den webbplats där man kan komma åt sidan och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive person er i tredje land.
61
Det innebär
att i vart fall vissa förfaranden för Internetpublicering inte hindras av just bestämmelserna om överföring av personuppgifter till tredje land.
När ett förfarande innebär en överföring av personuppgifter till tredje land i EG-direktivets mening blir tolkningen av begreppet adekvat skyddsnivå av betydelse. Personuppgifter får nämligen som sagt alltid överföras till tredje land som säkerställer en adekvat skyddsnivå. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med överföringen. Att en överföring innebär ett utnyttjande av en grundläggande fri- och rättighet, kan hävdas vara ett förhållande att beakta vid bedömningen av om skyddsnivån i ett tredje land är adekvat. Det har ansetts att det som i EG-direktivet kallas
60
Prop. 1999/2000:11 s. 15 f. och 27.
61
Enligt förarbetena är det samma överföringar som enligt EG-direktivet som avses i 33 §
personuppgiftslagen, se prop. 1997/98:44 s. 137. Därför får EG-domstolens uttolkning av begreppet överföring också omedelbart genomslag i svensk rätt.
adekvat skyddsnivå är ett uttryck för att omständigheterna kring överföringen sammantagna skall vara sådana att personuppgifter har ett tillräckligt skydd och att det kan finnas en adekvat skyddsnivå i ett tredje land trots en total avsaknad av skyddsregler.
62
Mot denna bakgrund skulle det måhända kunna hävdas att en sådan överföring av personuppgifter i ostrukturerat material, t.ex. i form av löpande text och ljud- och bildupptagningar, som inte innefattar ett missbruk av personuppgifterna innebär en överföring av uppgifterna bara till tredje land med adekvat skyddsnivå (därför att någon särskild skyddsnivå inte krävs i det tredje landet med hänsyn till omständigheterna vid överföringen).
Det är emellertid osäkert om man alls kan resonera på det sättet. Därför finns det anledning att undersöka om det är möjligt enligt artikel 26.1 d att i författning direkt ange att överföring av personuppgifter i ostrukturerat material är tillåten därför att överföringen är nödvändig med hänsyn till viktiga allmänna intressen. På motsvarande sätt som i fråga om undantagsmöjligheten enligt artikel 8.4 (se avsni tt 7.3.5) anse r utredningen att det bör vara möjligt att stödja en sådan författningsbestämmelse på artikel 26.1 d.
7.3.7. Undantag från anmälningsskyldighet enligt artikel 18
Enligt artikel 18.1 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, skall medlemsstaterna föreskriva att den personuppgiftsansvarige före genomförandet av en behandling eller en serie behandlingar som helt eller delvis genomförs på automatisk väg och som har samma eller flera närbesläktade ändamål skall underrätta tillsynsmyndigheten. I artikel 18.2–4 anges vilka möjligheter till undantag från den anmälningsplikten som finns. Av artikel 18.2 första strecksatsen framgår att undantag får göras på följande villkor: Om medlemsstaten för de typer av behandling, i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks, anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur länge uppgifterna skall bevaras.
62
Bestämmelsen om en principiell anmälningsskyldighet i artikel 18.1 i EG-direktivet har tagits in i 36 § första stycket personuppgiftslagen. Ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten har tagits in i tredje stycket i den paragrafen. Genom 4 § personuppgiftsförordningen har regeringen utnyttjat undantagsmöjligheten för att föreskriva att anmälningsskyldigheten inte gäller för behandling av personuppgifter i löpande text. Utredningen anser att ett motsvarande undantag bör kunna föreskrivas för all behandling av personuppgifter i ostrukturerat material.
7.3.8. Sammanfattning
Utredningen har således funnit att det bör vara möjligt enligt EGdirektivet att göra undantag från de flesta materiella bestämmelserna i EG-direktivet för sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.
Den slutsatsen grundas främst på bedömningen att hantering av sådant ostrukturerat material utgör ett utnyttjande av en sådan fri- och rättighet – yttrande- eller informationsfriheten – som avses i artikel 13.1 g och att det är ett viktigt allmänt intresse i den mening som avses i artikel 8.4 och 26.1 d att detta utnyttjande av fri- och rättigheter inte hindras i samhället.
Utredningen inser att den bedömningen – och vissa anslutande bedömningar avseende t.ex. beskaffenheten av skyddsåtgärder – inte är självklar och kan sättas i fråga. Utredningen anser trots detta att det med hänsyn till vikten av att underlätta harmlös hantering av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar på de skäl som redovisats faktiskt är möjligt och befogat att göra en sådan bedömning att gälla till dess motsatsen eventuellt slås fast av EG-domstolen.
Utredningen har således gjort en annan bedömning än regering och riksdag tidigare gjort. Det har skett efter en förnyad analys av innebörden av EG-direktivet. Den analysen har genomförts i belysning av den utveckling som skett sedan personuppgiftslagen trädde i kraft. Härvid har utredningen som en bakgrund beaktat bl.a. hur EG-direktivet genomförts i andra länder, argumentationen
i samband med de rättsfall som finns angående EG-direktivet, diskussioner med EG-kommissionen och andra medlemsstater, bl.a. i den s.k. artikel 31-kommittén, och utvecklingen av de svenska grundlagarna. Utredaren har bl.a. redogjort för huvuddragen i förslaget vid ett möte med företrädare för EG-kommissionen. EGkommissionen har senare i sin rapport om genomförandet av EGdirektivet
63
också – under rubriken Behovet av en rimlig och flexi-
bel tolkning – uttryckligen berört de svenska ansträngningarna enligt följande:
”Enligt artikel 5 i direktivet ska medlemsstaterna inom de begränsningar som bestämmelserna i kapitel II (artiklarna 6–21) innebär, precisera på vilka villkor behandling av personuppgifter är tillåten. I detta avseende uppmärksammar kommissionen den oro som Sverige uttryckte inom ramen för den pågående översynen av landets lagstiftning när det gäller tillämpningen av dataskyddsprinciper på löpande text eller ljud- eller bilduppgifter. Kommissionen anser att förenklade villkor för databehandling då det inte är troligt att sådan behandling skapar någon inte avsevärd risk för den enskildes rättigheter bättre kan uppnås genom att göra bruk av det handlingsutrymme som direktivet ger, i synnerhet de möjligheter som ges i artiklarna 7 f, 9 och 13.”
Också EG-domstolens dom i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01) ger stöd för att EGdirektivet kan tolkas med en viss flexibilitet, särskilt när det gäller skyddet för grundläggande fri- och rättigheter. EG-domstolen uttalade i domen bl.a. följande:
”83 Vad beträffar själva direktivet 95/46 är bestämmelserna i det med nödvändighet relativt allmänna med hänsyn till att de skall tillämpas på ett stort antal mycket olikartade situationer. I motsats till vad [konfirmandläraren] har anfört är det således med rätta som detta direktiv innehåller regler som karaktäriseras av en viss tänjbarhet och som det i direktivet i fråga i många fall överlåts till medlemsstaterna att fastställa detaljerna eller att välja bland de möjligheter som finns.
84 Det är riktigt att medlemsstaterna i många avseenden har ett betydande handlingsutrymme när de skall införliva direktiv 95/46. Det finns dock ingenting som medför att bestämmelserna i detta direktiv brister i förutsebarhet eller att bestämmelserna som sådana strider mot de allmänna gemenskapsrättsliga principerna, särskilt inte mot de
63
KOM(2003) 265 slutlig.
grundläggande rättigheter som skyddas genom gemenskapens rättsordning.
85 Det är snarare på det stadium när de bestämmelser genom vilka direktiv 95/46 har införlivats tillämpas i enskilda fall som en rättvis avvägning mellan de rättigheter och intressen som är i fråga skall göras. 86 I detta sammanhang har de grundläggande rättigheterna en särskild betydelse, såsom visas av målet vid den nationella domstolen, där det sammanfattningsvis måste göras en avvägning mellan å ena sidan [konfirmandlärarens] yttrandefrihet i sitt arbete som handledare för konfirmander samt friheten att utöva verksamhet som bidrar till det religiösa livet, och å andra sidan skyddet av privatlivet för de personer om vilka [konfirmandläraren] har lagt ut uppgifter på sin webbplats på Internet. 87 Följaktligen ankommer det på myndigheterna och domstolarna i medlemsstaten inte bara att tolka sin nationella rätt på ett sätt som står i överensstämmelse med direktiv 95/46, utan även att se till att inte grunda sig på en tolkning av detta direktiv som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer, såsom bland annat proportionalitetsprincipen.”
Av domen framgår också att man vid tolkningen av bestämmelserna i EG-direktivet kan ta hänsyn till nya användningsområden för informationsteknik och till att tekniken fått en utbredd användning för att se till att bestämmelserna inte får oönskade konsekvenser. I fråga Internetanvändning uttalade domstolen bl.a. följande:
”58 De uppgifter som finns på Internet kan nästan när som helst konsulteras av ett obegränsat antal personer vilka befinner sig på en mängd olika ställen. Att dessa uppgifter är av allestädes närvarande karaktär framgår bland annat av det förhållandet att de tekniska medel som används inom ramen för Internet är relativt enkla och blir billigare och billigare.
59 Förutsättningarna för att använda Internet, så som de har blivit för enskilda som [konfirmandläraren] under 1990-talet, innebär att den som upprättar en hemsida som skall läggas ut på Internet överför de uppgifter som denna sida består i till den som tillhandahåller honom servertjänster. […] […] 68 Med hänsyn dels till det stadium på vilket Internets utveckling befann sig vid den tidpunkt då direktiv 95/46 utarbetades, dels till att det inte i kapitel IV i direktivet föreligger några kriterier som är tilllämpliga på Internetanvändning kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta in-
skrivning av en person i [konfirmandlärarens] situation av uppgifter på en hemsida på Internet omfattas av begreppet överföring av uppgifter till tredje land, även om dessa på detta sätt blir åtkomliga för sådana personer i tredje land som har de tekniska möjligheterna att få tillgång till hemsidan.
69 Om artikel 25 i direktiv 95/46 tolkas på så sätt att det föreligger en ’överföring av … uppgifter till tredje land’ varje gång personuppgifter läggs ut på en hemsida på Internet skulle denna överföring med nödvändighet vara en överföring till tredje länder där det finns teknisk möjlighet att få tillgång till Internet. Specialbestämmelserna i kapitel IV i det nämnda direktivet skulle då med nödvändighet, vad gäller transaktioner på Internet, bli ett generellt tillämpligt system. När kommissionen med tillämpning av artikel 25.4 i direktiv 95/46 konstaterade att det fanns ett enda tredje land som inte säkerställer en adekvat skyddsnivå skulle medlemsstaterna nämligen vara skyldiga att hindra att personuppgifter över huvud taget lades ut på Internet. 70 Vid sådant förhållande kan den slutsatsen dras att artikel 25 i direktiv 95/46 skall tolkas så, att sådana transaktioner som dem som [konfirmandläraren] har genomfört inte i sig utgör en ’överföring av … uppgifter till tredje land’.”
Det går inte att peka på någon enskild omständighet som medfört den ändrade bedömningen utan det är snarare fråga om en samlad bedömning som föranlett de slutsatser i enskildheter som redovisats i det föregående.
De materiella hanteringsbestämmelser i EG-direktivet som det inte är möjligt att göra undantag från eller motsvarande är följande:
- Bestämmelserna om automatiserade beslut i artikel 15 (som motsvaras av 29 § personuppgiftslagen)
- Bestämmelserna om ”sekretess” och säkerhet vid behandlingen i artikel 16 och 17 (som motsvaras av 30 och 31 §§personuppgiftslagen)
- Bestämmelserna om rättslig prövning, ansvar och sanktioner i artikel 22–24 (som motsvaras av 48 och 49 §§personuppgiftslagen)
- Bestämmelserna om tillsynsmyndighetens befogenheter avseende behandlingen i artikel 28 (som motsvaras av 32 och 43–47 §§personuppgiftslagen)
Det är inte heller möjligt att avvika från bestämmelserna i artikel 2– 4 om definitioner av grundläggande begrepp och tillämpningsområdet för EG-direktivet (som motsvaras av 3–6 §§personuppgiftslagen).
Enligt utredningens mening innebär det ingen direkt nackdel att de angivna bestämmelserna i förekommande fall tillämpas på behandling av personuppgifter i ostrukturerat material.
Bestämmelsen om automatiserade beslut torde det knappast bli aktuellt att tillämpa på annat än personuppgifter i strukturerat material.
Bestämmelsen om ”sekretess” innebär i stort sett bara att den som för en personuppgiftsansvarigs räkning behandlar personuppgifter bara får göra det enligt instruktioner från denne.
Bestämmelsen om säkerhet innebär att lämpliga åtgärder skall vidtas för att förhindra t.ex. oavsedd förstöring, förvanskning och spridning av personuppgifter, men vid bedömningen av vilka åtgärder som behöver vidtas för att åstadkomma en lämplig säkerhetsnivå kan man ta hänsyn till bl.a. de risker som är förknippade med behandlingen. När personuppgifter behandlas i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar torde det därför normalt inte krävas några extraordinära säkerhetsåtgärder utan det kan ofta räcka med de åtgärder som var och en brukar vidta för att skydda sin information. När särskilt känslig information behandlas i strukturerat eller ostrukturerat material, måste givetvis adekvata säkerhetsåtgärder vidtas.
Bestämmelserna om rättslig prövning, ansvar och sanktioner torde bara ha aktualitet – och då vara relevanta och befogade – när behandlingen har inneburit ett missbruk av personuppgifterna.
Inte heller bestämmelserna om att en oberoende myndighet skall ha tillsyn över och vissa befogenheter avseende behandlingen torde i praktiken ha särskilt stor betydelse.
7.4. Europarådets dataskyddskonvention
Europarådets dataskyddskonvention har presenterats i avsnitt 4.2.2 och bilaga 5. Enligt artikel 9 i konventionen får avvikelser göras från de viktigaste materiella bestämmelserna i konventionen. Sådana avvikelser skall finnas i lag och vara nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerade eller andra personers fri- och rättigheter. Det är dock inte tillåtet att göra avvikelser från bestämmelserna om säkerhet i artikel 7 i konventionen som innebär att lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter som lagras i automatiserade register (på engelska ”automated data files”).
På motsvarande sätt som i fråga om EG-direktivet – se särskilt avsnitt 7.3.3 – anser utred ningen att det bör vara möjligt att genom lag göra avvikelser från konventionens materiella bestämmelser, utom bestämmelsen om säkerhet, för sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.
7.5. Europakonventionen
Enligt artikel 8.1 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv. Åtnjutande av denna rättighet får enligt artikel 8.2 inskränkas med stöd av lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till bl.a. andra personers fri- och rättigheter. Europakonventionen har berörts i avsnitt 4.2.1.
På motsvarande sätt som i fråga om EG-direktivet – se särskilt avsnitt 7.3.3 – anser utred ningen att det bör vara möjligt att genom en lagbestämmelse inskränka rätten till respekt för privat- och familjelivet när det gäller sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.
7.6 2 kap. 3 § regeringsformen
Enligt 2 kap. 3 § andra stycket regeringsformen skall varje medborgare, i den utsträckning som närmare anges i lag, skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling.
Datalagskommittén ansåg att den grundlagsbestämmelsen kan sägas kräva att det skall finnas en lagstiftning baserad på en hanteringsmodell, innefattande skydd mot integritetskränkningar genom att personuppgifter registreras oavsett om de i någon mening missbrukas eller inte, se avsnit t 7.2.
64
64
Enligt utredningens mening kan grundlagsbestämmelsen inte anses hindra en lagregel om att sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna är tillåten. Genom en sådan lagregel, som i praktiken förbjuder missbruk av personuppgifter, får ju den enskilde det avsedda skyddet mot integritetskränkningar.
7.7. Överväganden och förslag
Utredningens förslag i sammanfattning: På behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter skall hanteringsreglerna i 9, 10, 13, 21, 23, 24, 28, 33 och 42 §§personuppgiftslagen inte tillämpas. Sådan behandling får bara utföras om den inte innebär ett otillbörligt intrång i den personliga integriteten.
7.7.1. Inledning
Utredningen anser således att det med hänsyn till EG-direktivet, andra internationella åtaganden och den svenska grundlagen bör vara möjligt att göra undantag från vissa bestämmelser i personuppgiftslagen för behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar. Utredningen föreslår att ett sådant undantag görs och berör i detta avsnitt hur undantaget närmare bör utformas och vilka bestämmelser om skydd mot missbruk av personuppgifterna som bör krävas med anledning av undantaget.
7.7.2. Vilka behandlingar bör undantas?
Utredningens förslag: Behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter undantas.
Inledning
Det är vid behandling av personuppgifter i personuppgiftsanknutna registerstrukturer där man enkelt kan söka efter och sammanställa personuppgifter som de hanteringsregler för personuppgiftsskyddet som finns i personuppgiftslagen har ett särskilt berättigande på grund av de integritetsrisker som normalt är förknippade med sådan behandling. När personuppgifterna inte ingår i en personuppgiftsanknuten registerstruktur utan finns i ostrukturerad form i t.ex. löpande text och ljud- och bildupptagningar, är det i stället texten, ljudet eller bilden som är det centrala, och det är också då som informations- och yttrandefrihetsaspekterna gör sig särskilt gällande. Även behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar kan givetvis i ett enskilt fall innebära ett otillbörligt integritetsintrång eller medföra risk för ett sådant intrång. Vid behandling av personuppgifter som inte finns i en tydligt personuppgiftsanknuten registerstruktur framstår emellertid hanteringsreglerna i personuppgiftslagen som alltför omfattande och byråkratiska med hänsyn bl.a. till att integritetsriskerna normalt är mindre vid behandlingen och till de informations- och yttrandefrihetsintressen som finns. Vid sådan, typiskt sett mindre riskfylld behandling bör därför hanteringsreglerna kunna ersättas med bestämmelser som bara förbjuder missbruk av personuppgifterna.
Det är således vid behandling av personuppgifter som inte ingår i en tydligt personuppgiftsanknuten registerstruktur som man bör kunna ersätta hanteringsreglerna med regler som bara förbjuder missbruk.
Svårigheterna med en avgränsning
Utredningen har prövat olika vägar att avgränsa vad som bör vara undantaget från hanteringsreglerna. Eftersom det är strukturering-
en av materialet med avseende på personuppgifter som kan innebära särskilda integritetsrisker, har utredningen funnit det ändamålsenligt att knyta avgränsningen till just materialets struktur.
65
Ut-
redningen är dock medveten om att det är problematiskt att göra så. Det visar redan de tillämpningsproblem som uppkom särskilt på senare år med det registerbegrepp som användes i datalagen.
66
Pro-
blemen hänger mycket samman med den tekniska utvecklingen och datorteknikens inneboende egenskaper. Allt som finns i digital form i t.ex. datorer och skall användas måste i någon mening vara strukturerat. Och utvecklingen går emot att struktureringen omfattar allt mer och blir mer automatiserad och avancerad. Funktioner som automatiskt indexerar varje teckensträng i ordbehandlingsdokument är t.ex. redan standard.
Den tekniska utvecklingen på området medför att varje avgränsning som görs får ses som ett provisorium som måste bli föremål för dels anpassning i rättstillämpningen, dels översyn efter ett tag. Vad man kan göra är att utforma en teknikneutral men beskrivande lagtext och samtidigt – mot bakgrund av de tekniska tillämpningar som är mera allmänt förekommande i dag – ange utgångspunkter för bedömningen och exempel. Sedan får det ankomma på rättstillämpningen att bedöma nya eller mera speciella tillämpningar. Och efter ett tag måste lagregeln och rättstillämpningen ses över mot bakgrund av den tekniska utvecklingen.
Det bör hållas i minnet att eventuella svårigheter att i gränsfall bedöma om hanteringsreglerna skall tillämpas eller inte måste jämföras med de problem det innebär att tillämpa hanteringsreglerna i personuppgiftslagen på ostrukturerat material. Enligt utredningens mening är de sistnämnda svårigheterna i allmänhet mer besvärande än de förstnämnda. Skulle någon vara av motsatt uppfattning, innebär dock utredningens förslag att han eller hon kan fortsätta att tillämpa hanteringsreglerna. Har hanteringsreglerna faktiskt följts, kan det nämligen enligt utredningens förslag inte vara fråga om ett missbruk av personuppgif terna, se vidare avsnitt 7.7.4. Den som är osäker på hur en viss behandling skall bedömas kan alltså välja att följa hanteringsreglerna för att därmed uppfylla det som krävs enligt både dessa regler och de föreslagna reglerna. Utredningens förslag innebär således bara en möjlighet till lättnader vid behandling av personuppgifter i ostrukturerat material för den som vill. Det är
65
Jämför också vad som sägs avslutningsvis i avsnitt 7.2.
66
Det bör redan här betonas att utredningens förslag inte utgår från det registerbegrepp
som fanns i datalagen.
också rimligt att den som vill utnyttja en regel om undantag från de normala hanteringsreglerna sätter sig närmare in i förutsättningarna för att regeln skall kunna tillämpas. Det får inte heller glömmas bort att regeln om undantag från hanteringsreglerna faktiskt har ett tydligt kärnområde – när ett material är helt ostrukturerat – som är enkelt att tillämpa i praktiken i de allra flesta fall.
Utgångspunkter och riktlinjer för avgränsningen
När det gäller utformningen av avgränsningen av vad som bör vara undantaget från respektive omfattas av hanteringsreglerna har utredningen haft följande utgångspunkter och riktlinjer.
Avgränsningen bör som nämnts anknyta till materialets struktur. Behandling av personuppgifter som ingår i en struktur, t.ex. ett regelrätt personregister eller en databas, bör omfattas av hanteringsreglerna, medan behandling av övriga personuppgifter undantas. Dock bör inte varje strukturering av ett material med personuppgifter innebära att hanteringsreglerna skall tillämpas på behandlingen av personuppgifterna i materialet. Det bör krävas att det finns en tydlig personuppgiftsanknuten struktur för att hanteringsreglerna skall tillämpas.
En generell strukturering av ett material bör alltså inte medföra att hanteringsreglerna skall tillämpas. Enbart det förhållandet att alla teckensträngar i t.ex. ordbehandlingsdokument på en eller flera hårddiskar har indexerats eller enkelt kan indexeras bör exempelvis inte medföra att hanteringsreglerna blir tillämpliga. Funktioner för automatisk sådan allmän indexering är nämligen som nämnts redan standard. Ett annat exempel är s.k. sökmotorer på Internet där teckensträngar m.m. i material som finns tillgängligt på Internet indexeras. Indexering som tar sikte på just personuppgifter, dvs. en märkning av att vissa uppgifter är just personuppgifter, t.ex. ett personnamn eller ett personnummer, innebär dock att en personuppgiftsanknuten struktur skapats. Då har man ju skapat en registerstruktur avseende, inte alla teckensträngar eller vilka teckensträngar som helst utan, just personuppgifter. Med generell strukturering menar utredningen alltså att ett material har strukturerats, t.ex. genom indexering, med avseende på flera olika slags uppgifter utan att just personuppgifter har markerats som sådana.
En mer utvecklad form av strukturering är verksamhetsanknuten strukturering. Ett typexempel är de dokument- och ärendehanteringssystem som används av t.ex. företag och myndigheter. I dessa
system används oftast inte bara en generell struktur med indexering av det material som ingår i strukturen utan det utmärkande är att det beträffande åtminstone en del av de uppgifter som ingår i strukturen har markerats vad uppgifterna avser, t.ex. ärendenummer, kundnummer, adress, produkt, kontaktperson, författare av ett dokument osv. Typexempel på sådan strukturering är den som förekommer i register och databaser där det finns fält där olika kategorier av uppgifter fylls i.
För att hanteringsreglerna skall tillämpas bör det krävas att struktureringen är personuppgiftsanknuten. Det är fråga om en personuppgiftsanknuten strukturering om materialet, t.ex. det som ingår i ett dokument- och ärendehanteringssystem, har strukturerats för att underlätta sökning efter och sammanställning av just personuppgifter. Det är fallet om det i ett register eller en databas finns fält där just personuppgifter har fyllts i, exempelvis fält för namn, personnummer, avsändare, handläggare, anhörig osv. Med personuppgiftsanknuten strukturering menar utredningen alltså att ett material har strukturerats så att just personuppgifter har markerats som sådana; dessutom kan flera andra slags uppgifter i materialet ha markerats.
Även i system för strukturering som inte är särskilt inriktade på att hantera information om personer – exempelvis datoriserade system för hantering av tillverkningsprocesser eller för hantering av försäljning till företagskunder – finns det som regel åtminstone någon kategori av uppgifter som särskilt markerats som just personuppgifter, t.ex. fält i en databas för handläggare, författare av ett dokument, kontaktperson vid ett företag och vem som ändrat en viss uppgift i systemet. I en myndighets diarium över allmänna handlingar skall det t.ex. anges från vem handlingen har kommit in eller till vem den har expedierats.
67
Och i datoriserade dokument-
hanteringssystem torde det också vara vanligt med särskilda fält för t.ex. ingivare, mottagare och författare. Därmed finns det också en personuppgiftsanknuten struktur även om systemet inte är särskilt inriktat på att hantera information om personer.
I sådana system för strukturering som inte är särskilt inriktade på att hantera information om personer utgör personuppgifterna ofta biinformation även om uppgifterna i och för sig har strukturerats på ett sådant sätt att det finns en personuppgiftsanknuten struktur. De strukturerade personuppgifterna utgör i dessa fall inte
67
15 kap. 2 § första stycket 3 sekretesslagen (1980:100), jämför SOU 2002:97.
huvudföremålet för systemet eller behandlingen av uppgifterna i systemet, men det är möjligt att använda strukturen också för att söka fram och sammanställa just personuppgifter. Det kan t.ex. gälla inte särskilt kvalificerade sökningar efter de ärenden som en person handlägger, de dokument som sänts till respektive mottagits från en person eller de företag som en person är kontaktperson för. Men det kan också gälla mer kvalificerade sökningar och sammanställningar med sikte på enskilda personer där flera olika slags uppgifter kombineras, t.ex. sammanställningar av inte bara de ärenden en person handlägger utan också hans eller hennes genomsnittliga handläggningstid. Ett annat exempel är när det i ett system för säljstöd vid försäljning uteslutande till juridiska personer finns uppgifter om kontaktpersoner hos företagen som omfattar inte bara sedvanliga kontaktuppgifter (funktion, adress, minnesanteckningar från kontakttillfällen osv.) utan även uppgifter om kontaktpersonerna som inte har direkt samband med huvudföremålet för systemet, t.ex. uppgifter om anhöriga och fritidsintressen.
System för registrering av enskilda personers användning av tjänster eller liknande har som regel en personuppgiftsanknuten strukturering. Det rör sig här om olika former av loggar och elektroniska spår vid användning av tjänster och liknande, t.ex. en loggfil med uppgifter om vilka webbplatser enskilda användare vid ett företag besökt eller vilka meddelanden de sänt eller mottagit eller registrering av vilka personer som med hjälp av inpasseringskort har öppnat en dörr.
En avgränsning som enbart tar hänsyn till om struktureringen av ett material är personuppgiftsanknuten eller inte är förhållandevis enkel att använda. Utredningen anser emellertid att bara en sådan avgränsning inte är tillräcklig, eftersom den skulle medföra att alltför mycket av harmlös eller inte personuppgiftsinriktad behandling skulle omfattas av hanteringsreglerna till förfång för informations- och yttrandefriheten.
Utredningen anser därför att inte varje personuppgiftsanknuten strukturering av ett material bör innebära att hanteringsreglerna skall tillämpas på behandlingen av personuppgifter i materialet. Det bör krävas att den personuppgiftsanknutna struktureringen av materialet har uppnått en viss nivå eller kvalitet för att hanteringsreglerna skall tillämpas, dvs. att materialet har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Och det är här som avgränsningssvårigheterna gör sig särskilt gällande. Särskilt i denna del får man lita till utvecklingen i rättstillämpningen och återkommande översyn. Det är med hänsyn
till den tekniska utvecklingen och det förhållandet att datortekniken kommer till allmän användning på alltfler områden svårt att uttömmande ange fasta hållpunkter för vilken nivå eller kvalitet på den personuppgiftsanknutna struktureringen som bör krävas för att hanteringsreglerna skall tillämpas. Vad utredningen kan göra är att mot bakgrund av dagens situation ange vissa utgångspunkter och exempel. Avsikten är att det som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter skall vara undantaget från hanteringsreglerna.
Det är främst ett par olika typer av personuppgiftsanknuten strukturering som utredningen anser inte bör medföra att hanteringsreglerna skall tillämpas. Den första gäller banal personuppgiftsanknuten strukturering. Den andra gäller utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad.
Med banal personuppgiftsanknuten strukturering avser utredningen sådana situationer där datorteknikens fördelar i fråga om strukturering i förhållande till manuell hantering egentligen inte använts. I dessa fall gör sig också informations- och yttrandefrihetsintressena särskilt gällande. Det kan t.ex. handla om en lista med personuppgifter – t.ex. avseende Nobelpristagare eller världsrekordhållare – som skrivits in i bokstavsordning efter efternamn i ett ordbehandlingsdokument eller på en webbsida. Har personuppgifterna inte strukturerats på annat sätt än att de registrerats så att de står i en viss ordning (eventuellt under olika rubriker) är det fråga om en banal personuppgiftsanknuten strukturering som bör vara undantagen från hanteringsreglerna. Vad som nu sagts gäller naturligtvis inte om listan med personuppgifter producerats med hjälp av en databas eller något annat system för strukturering av personuppgifter. I sådant fall skall de regler tillämpas på produktionen av listan som är tillämpliga på behandlingen av personuppgifter i det material som ingår i systemet för strukturering av personuppgifter (databasen).
I fråga om sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad kan följande sägas.
Det handlar i denna situation om sedvanligt utnyttjande av vardagsfunktioner där det med hänsyn till informations- och yttrandefrihetsintressena inte är rimligt att hanteringsreglerna skall tillämpas. Dessa fall ligger nära den banala personuppgiftsanknutna
struktureringen som tidigare berörts. Utredningen har i detta hänseende mot bakgrund av dagens situation identifierat två situationer av personuppgiftsanknuten strukturering som inte bör medföra att hanteringsreglerna skall tillämpas.
Den första situationen gäller sedvanlig användning av datorns filsystem. Det är inte ovanligt att en användare eller organisation systematiskt namnger filer och mappar eller kataloger i datorns filsystem med hjälp av personuppgifter. Det kan t.ex. handla om en mapp med ett personnamn som innehåller filer med korrespondens i datumordning med den aktuella personen eller att filer som berör en person namnges efter dennes namn. I sådana fall har man skapat ett system för personuppgiftsanknuten strukturering (som måhända är vad utredningen tidigare kallat banal) som dock inte bör medföra att hanteringsreglerna skall tillämpas på personuppgifterna i materialet, eftersom det skulle få oönskade konsekvenser för informations- och yttrandefriheten. Vad som nu sagts gäller dock inte om filerna (oavsett hur de namngetts) i sig ingår i ett mer kvalificerat system för personuppgiftsanknuten strukturering, t.ex. ett kvalificerat dokument- eller ärendehanteringssystem; det avgörande är då vilka regler som är tillämpliga på behandlingen av personuppgifter i det systemet.
Den andra situationen gäller sedvanlig användning av datorstödd kommunikation, där det också finns en tydlig koppling till informations- och yttrandefrihetsintressena. Vid datorstödd kommunikation är det oftast på grund av teknikens inneboende egenskaper nödvändigt att registrera uppgifter om såväl mottagare som avsändare, annars kan kommunikationen inte förmedlas. Dessa uppgifter utgör för det mesta personuppgifter som automatiskt hamnar i en personuppgiftsanknuten struktur som gör det lätt för användaren att t.ex. söka fram meddelanden till eller från en användare. Ett exempel utgör e-postprogram. Genom ett musklick kan man som regel få fram de meddelanden som sänts till eller mottagits från en viss person (eller i vart fall dennes e-postadress, vilken uppgift normalt utgör en personuppgift). En enskild medarbetares egen sedvanliga användning av t.ex. e-postprogram för sin kommunikation bör dock inte medföra att hanteringsreglerna skall tillämpas. Vad som nu sagts gäller inte om meddelandena ingår i ett mer kvalificerat system för personuppgiftsanknuten strukturering, t.ex. ett dokument- eller ärendehanteringssystem; det avgörande är då vilka regler som är tillämpliga på behandlingen av personuppgifter i det systemet. Man kan utgå från att vid marknadsföring ingår personuppgifterna i praktiken alltid i ett sådant system som medför att
hanteringsreglerna skall tillämpas på den behandlingen.
68
Det bör
också framhållas att de loggfiler med uppgifter om medarbetarnas kommunikation som en organisation kan spara inte avses med det som nu sagts. Avsikten är att undanta medarbetarnas egen sedvanliga användning av datorstödd kommunikation, inte att undanta organisationens registrering av medarbetarnas kommunikation.
Frågan om vilka situationer i övrigt som kan anses avse sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad på ett sådant sätt att hanteringsreglerna – av hänsyn till informations- och yttrandefrihetsintressena – inte skall tillämpas får överlämnas till rättstillämpningen.
Det är således bara behandling av personuppgifter i ett material som har en personuppgiftsanknuten strukturering som når upp till en viss nivå eller kvalitet som bör omfattas av hanteringsreglerna. Om materialet som sådant (hela samlingen av uppgifter) har strukturerats så att hanteringsreglerna är tillämpliga, skall hanteringsreglerna tillämpas vid behandling av alla personuppgifter – strukturerade och ostrukturerade – som finns i materialet oberoende av att vissa personuppgifter i materialet inte har strukturerats. Personuppgifterna kan nämligen finnas t.ex. i ordbehandlingsdokument, i inskannade dokument och i ljud- och bildupptagningar som i och för sig kan vara ostrukturerade men som ingår i den strukturerade samlingen av uppgifter, t.ex. ett ärendehanteringssystem. Det är själva samlingen av uppgifter (t.ex. ärendehanteringssystemet) som skall vara strukturerad på visst sätt, inte varje personuppgift eller handling som ingår i samlingen. I ett försäkringsbolags ärendehanteringssystem avseende enskilda personers försäkringar kan det t.ex. ingå ordbehandlingsdokument eller e-post med korrespondens med den försäkrade eller annan och inskannade läkarintyg m.m., och genom en enkel sökning på den försäkrades namn kan alla dessa dokument och andra personuppgifter som strukturerats sammanställas. För tydlighets skull bör det nämnas att hanteringsreglerna i detta fall naturligtvis bör tillämpas vid behandling av alla personuppgifter oavsett vilken person – den försäkrade, läkaren, försäkringshandläggaren osv. – uppgifterna rör.
När det gäller att avgöra vad som ingår i det strukturerade materialet (samlingen av uppgifter) får man använda ett naturligt betrak-
68
Särskilt vid direkt marknadsföring med hjälp av e-post kan också andra regler vara till-
lämpliga, jämför t.ex. prop. 2003/04:43 och SOU 2002:109 om genomförandet av det s.k. kommunikationsdataskyddsdirektivet 2002/58/EG.
telsesätt. Eftersom det krävs att materialet har strukturerats, ligger det i sakens natur att strukturen har sina gränser, dvs. att materialet utgörs av en på något sätt avgränsad mängd uppgifter (de uppgifter som med hjälp av strukturen kan hänföras till varandra). Och eftersom det krävs att struktureringen är personuppgiftsanknuten, ingår helt enkelt alla de uppgifter som kan hänföras till de strukturerade personuppgifterna. Det får överlämnas till rättstillämpningen att med ledning av ett naturligt betraktelsesätt från fall till fall bedöma vilka uppgifter som kan hänföras till de strukturerade personuppgifterna.
Som en sammanfattning av det som berörts i detta underavsnitt kan följande sägas.
Det är bara behandling av personuppgifter i ett material som har en personuppgiftsanknuten strukturering som bör omfattas av hanteringsreglerna. En struktur är personuppgiftsanknuten om materialet har strukturerats så att just personuppgifter har markerats som sådana.
För att hanteringsreglerna skall tillämpas bör det vidare krävas att den personuppgiftsanknutna struktureringen av materialet har uppnått en viss nivå eller kvalitet. Samlingen av personuppgifter skall nämligen ha strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter.
En banal personuppgiftsanknuten strukturering där personuppgifterna inte har strukturerats på annat sätt än att de registrerats så att de står i en viss ordning (t.ex. en lista med namn i bokstavsordning som skrivits in i ett ordbehandlingsdokument eller på en webbsida) når inte upp till den nivå som krävs.
Inte heller sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad når upp till den nivå som krävs. Det gäller t.ex. sedvanlig användning av datorns filsystem för att namnge filer och mappar eller kataloger och sedvanlig användning av datorstödd kommunikation såsom e-post.
Om ett material således har en personuppgiftsanknuten strukturering som når upp till en viss nivå eller kvalitet, bör hanteringsreglerna tillämpas vid behandling av alla personuppgifter som finns i materialet oberoende av att vissa personuppgifter i materialet inte har strukturerats (t.ex. personuppgifter i inskannade dokument i ett ärendehanteringssystem). I materialet ingår alla de uppgifter som kan hänföras till de strukturerade personuppgifterna.
Utredningens förslag innebär i korthet att hanteringsreglerna i personuppgiftslagen inte skall tillämpas på sådan vardaglig hanter-
ing som produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte skall infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem.
Den som i sin dator vill hantera personuppgifter i löpande text, t.ex. enkla meddelanden eller kortare och längre texter, eller i ljud och bild eller i e-post behöver således normalt inte bry sig om hanteringsreglerna i personuppgiftslagen. Det är bara om han eller hon vill infoga materialet i någon form av databas som det behövs ytterligare överväganden. Har databasen en personuppgiftsanknuten struktur, där just personuppgifter har markerats som sådana, måste hanteringsreglerna tillämpas.
Utformningen av lagtexten
Utredningen har prövat olika sätt att utforma den lagtext som bäst uttrycker det som angetts i närmast föregående underavsnitt. Utredningen har sammanfattningsvis funnit att det lämpligaste är att föreslå en lagtext om att från hanteringsreglerna undantas ”behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter”.
Utredningen har bl.a. övervägt att utgå från den definition av register som i praktiken redan finns i 5 § andra stycket personuppgiftslagen och som avser manuell (icke automatiserad) behandling av personuppgifter. Undantaget från hanteringsreglerna skulle t.ex. kunna omfatta behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Den definitionen härrör emellertid från EGdirektivet. Det innebär att det ytterst är EG-domstolen som bestämmer vad definitionen innebär. Utredningen anser att det är olämpligt att i ett läge där vi själva får välja använda en definition som vi inte kan råda över. Det är bättre och ger oss i Sverige mera frihet om vi väljer att ha en egen, inhemsk definition. Härtill kommer att definitionen i EG-direktivet inte kan anses helt otvetydig, jämför om rättspraxis kring definitione n avsnitt 5.2.
I fråga om manuella register och definitionen i 5 § andra stycket personuppgiftslagen bör här vidare nämnas att personuppgifter
som finns i en sådan samling som avses i 5 § andra stycket alltid får anses ingå i en sådan samling som avses i den definition som utredningen föreslår. Det innebär att det undantag som utredningen föreslår bara har betydelse för automatiserad behandling av personuppgifter (eftersom manuell behandling av personuppgifter över huvud taget omfattas av lagen bara om uppgifterna ingår i ett register i enlighet med 5 § andra stycket).
Hanteringsreglerna i personuppgiftslagen omfattar hela kedjan av behandlingar av en viss personuppgift från det att uppgiften samlas in till dess den utplånas. Det är anledningen till att undantaget föreslås gälla för behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Om det finns flera avsikter med en enda insamling eller annan behandling av personuppgifter, skall lagens hanteringsregler naturligtvis tillämpas på den behandling av personuppgifter som inte är undantagen.
Av vad som anförts i avs nitt 7.3.8 framgår att det inte är möjligt att göra något undantag från bestämmelserna i artikel 7 i EGdirektivet om när behandling av personuppgifter är tillåten. Däremot är det enligt utredningens mening möjligt att med stöd av bestämmelsen om en intresseavvägning i artikel 7 f införa en bestämmelse i personuppgiftslagen som uttryckligen tillåter behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter i de fall behandlingen inte utgör ett missbruk av personuppgifterna. Utredningen har därför utformat förslaget till undantagsbestämmelse på det nämnda sättet. Därmed framgår också att den registrerade enligt 12 § andra stycket personuppgiftslagen inte har rätt att motsätta sig sådan behandling som är tillåten.
Särskilda undantag för information, debatt och opinionsbildning behövs inte
Enligt utredningsdirektiven skall utredningen särskilt analysera om det är lämpligt med vissa undantag för information, debatt och opinionsbildning. Utredningen anser mot bakgrund av det allmängiltiga undantag avseende personuppgifter som inte ingår i personregister som således föreslås och den tolkning av artikel 7 i EGdirektivet och 7 § personuppgiftslagen som Högsta domstolen
gjort i rättsf allet NJA 2001 s. 409 (se avsnitt 5.2.1) att det inte är nödvändigt med uttryckliga bestämmelser om att behandling av personuppgifter för just ändamålen information, debatt och opinionsbildning är tillåten. Den uttolkning som antyds i utredningsdirektiven av bestämmelsen om en intresseavvägning i 10 § f personuppgiftslagen – att personuppgifter får behandlas om det är nödvändigt för information och debatt eller opinionsbildning, om det inte finns risk för otillbörligt intrång i den personliga integriteten eller om det finns ett allmänintresse som överväger integritetsintrånget – är för övrigt enligt utredningens mening så självklar att någon uttrycklig bestämmelse inte bör vara nödvändig.
Särskilt om sökning efter personuppgifter i ostrukturerat material
Många har, bl.a. vid Justitiedepartementets offentliga utvärdering
69
,
pekat på att det med dagens och framtidens informationsteknik kan vara enkelt att även i ostrukturerat material söka efter och ställa samman personuppgifter. Det är en riktig iakttagelse. En utvecklingslinje är som redan nämnts att struktureringen omfattar allt mer och blir mer automatiserad. En annan, parallell utvecklingslinje är emellertid att verktygen för att få fram relevant information ur ett ostrukturerat material blir allt bättre och allmänt använda.
Att det kan vara förhållandevis enkelt att söka efter personuppgifter i ostrukturerat material innebär i sig en integritetsrisk. Det är emellertid enligt utredningens mening inte något bärkraftigt argument mot att undanta all behandling av personuppgifter i ostrukturerat material. Argumentet träffar nämligen inte sådan behandling avseende ostrukturerat material som faktiskt inte avser sökning efter eller sammanställning av personuppgifter. Vad man kan överväga är att ha särskilda restriktioner för behandling som avser sökning efter eller sammanställning av personuppgifter som finns i ostrukturerat material.
Sökning efter just personuppgifter även i ostrukturerat material innebär typiskt sett sådana särskilda integritetsrisker som skulle kunna mötas med sådana hanteringsregler som finns i personuppgiftslagen. En möjlighet vore därför att inte undanta just sådan behandling från hanteringsreglerna. Det skulle emellertid vara onödigt komplicerat och i vissa helt harmlösa fall obefogat att helt plötsligt vid en sökning tillämpa alla hanteringsregler på redan in-
69
samlat eller producerat ostrukturerat material med personuppgifter.
En annan möjlighet vore att föreskriva att sökning efter eller sammanställning av personuppgifter som finns i ostrukturerat material är tillåten bara i vissa befogade fall t.ex. efter en intresseavvägning exempelvis motsvarande den som finns i 10 § f personuppgiftslagen.
Utredningen har prövat dessa möjligheter, men funnit dels att en sådan reglering riskerar att bli onödigt krånglig och svår att få genomslag för i praktiken, dels att de regler som föreslås till skydd mot missbruk (se avsnitt 7.7.4) bör vara tillräckliga för att skydda mot obefogade integritetskränkningar till följd av sökningen efter och sammanställning av personuppgifte r.
70
70
Av förslaget i avsnitt 15.2 framgår att bestämmelserna i personuppgiftslagen inte skall
tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att söka efter, sammanställa och lämna ut personuppgifter.
7.7.3. Vilka bestämmelser i personuppgiftslagen bör undantaget omfatta?
Utredningens förslag: Undantag görs från bestämmelserna i personuppgiftslagen om
a) grundläggande krav på behandlingen av personuppgifter (9 §)
b) när behandling av personuppgifter är tillåten (10 §)
c) förbud mot behandling av känsliga personuppgifter (13 §)
d) förbud för andra än myndigheter att behandla personuppgifter
om lagöverträdelser m.m. (21 §)
e) information till den registrerade i samband med att personupp-
gifter samlas in (23 och 24 §§)
f) rättelse (28 §)
g) förbud mot överföring av personuppgifter till tredje land (33 §)
h) upplysningar till allmänheten om behandlingar som inte anmälts
till tillsynsmyndigheten (42 §) Utredningens bedömning: Den registrerade skall på begäran ha rätt att få ett s.k. registerutdrag med bl.a. de personuppgifter som behandlas (26 §). Personnummer och samordningsnummer bör få behandlas utan samtycke bara när det är klart motiverat med hänsyn till något beaktansvärt skäl (22 §).
I avsnitt 7.3 har det angetts i vilken utsträckning det enligt utredningens mening är möjligt att göra undantag eller motsvarande från hanteringsreglerna i EG-direktivet. Utredningen anser att undantagsmöjligheterna bör utnyttjas i så stor utsträckning som möjligt för att underlätta harmlös hantering av personuppgifter i ostrukturerat material.
De bestämmelser i personuppgiftslagen som man med hänsyn till EG-direktivet kan överväga att göra undantag från är enligt utredningens mening följande:
a) 9 § om grundläggande krav på behandlingen av personuppgifter
b) 13 § om förbud mot behandling av känsliga personuppgifter
c) 21 § om förbud för andra än myndigheter att behandla person-
uppgifter om lagöverträdelser m.m.
d) 22 § om restriktioner för behandling av uppgifter om person-
nummer och samordningsnummer
e) 23 och 24 §§ om information till den registrerade i samband
med att personuppgifter samlas in
f) 26 § om information som skall lämnas efter ansökan (s.k. regis-
terutdrag)
g) 28 § om rättelse
h) 33 § om förbud mot överföring av personuppgifter till tredje
land
i) 42 § om upplysningar till allmänheten om behandlingar som inte
anmälts till tillsynsmyndigheten
Punkterna a–c, e och h i uppräkningen ovan (avseende 9, 13, 21, 23, 24 och 33 §§personuppgiftslagen) avser helt klart sådana hanteringsregler som undantaget bör omfatta. Det är fråga om regler som den personuppgiftsansvarige på eget initiativ har att iaktta och uppfylla och som anger när och hur personuppgifter får behandlas.
Reglerna i punkterna f, g och i i uppräkningen ovan (avseende 26, 28 och 42 §§personuppgiftslagen) är av en något annan natur. Det är nämligen fråga om regler som den personuppgiftsansvarige bara behöver beakta när någon begär det i ett enskilt fall. Reglerna är således i allmänhet inte lika betungande för den personuppgiftsansvarige, eftersom han eller hon inte behöver beakta dem vid den dagliga hanteringen av ostrukturerat material utan bara när någon begär det. Det bör därför särskilt övervägas om dessa regler bör omfattas av undantaget.
Vad först gäller skyldigheten enligt 26 § personuppgiftslagen att efter ansökan lämna ett s.k. registerutdrag kan följande sägas.
Rätten till registerutdrag kan sägas ha dels en kontrollfunktion, dels en funktion som självständig rättighet.
Genom rätten till registerutdrag har den registrerade en möjlighet att själv kontrollera att behandlingen av hans eller hennes uppgifter är lagenlig och att, om så inte skulle vara fallet, utnyttja sina övriga rättigheter för att få till stånd rättelse. Om nu viss behandling skall vara undantagen från de flesta ”vanliga” regler, skulle man kunna sätta i fråga om inte rätten till registerutdrag också är överflödig. Det finns ju då inte särskilt många regler att kontrollera och rättigheter att bevaka. Men så länge regler till skydd mot missbruk skall gälla, fyller rätten till registerutdrag en kontrollfunktion. Utan den rätten skulle det vara svårare för den registrerade att kunna konstatera om missbruk förekommit och avgöra om åtgärder bör vidtas med anledning av ett missbruk. Möjligheten att vända sig till Datainspektionen, som i sin tillsynsfunktion har rätt att få ta del av de behandlade personuppgifterna, kan inte helt ersätta en egen rätt för den registrerade att få ta del av sina uppgifter.
Rätten att få ta del av de uppgifter om en själv som någon annan behandlar har också ett självständigt värde för den registrerade även när det gäller ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar. Genom den rätten kan den registrerade
få reda på hur han eller hon återspeglas i de uppgifter som finns registrerade. Därigenom kan den registrerade också framställa invändningar om det som registrerats inte stämmer överens med den egna självbilden. Det kan t.ex. gälla vilka uppgifter som legat till grund för ett beslut som påverkar den registrerade. Enligt Europadomstolen ingår i rätten till skydd för privatlivet enligt artikel 8 i Europakonventionen en positiv skyldighet att i vissa fall ge den registrerade tillgång till sina egna uppgifter.
71
Både Europarådets da-
taskyddskonvention och OECD:s riktlinjer innehåller vidare bestämmelser om rätt till tillgång till sina uppgifter, trots att dessa instrument inte egentligen innehåller materiella regler om när behandling av personuppgifter är tillåten eller förbjuden.
Rätten att få ta del av sina egna uppgifter framstår således som grundläggande och av väsentlig och självständig betydelse för den registrerade. Den rätten är internationellt erkänd och har funnits i den svenska datalagen sedan 1973. Frågan är då närmast vilka beaktansvärda motstående intressen som kan tala för en inskränkning av den rätten i fråga om personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar.
Den personuppgiftsansvariges intresse av att få ha ofärdiga alster och minnesanteckningar i fred och av sekretess har redan i dag beaktats genom bestämmelserna i 26 § tredje stycket och 27 § personuppgiftslagen. Det ytterligare intresse för den personuppgiftsansvarige som kan vara värt att beakta är att det är betungande att på begäran söka fram personuppgifter i material som inte har strukturerats för att underlätta sökning efter eller sammanställning av just personuppgifter. Såsom framgår av avsnitt 11 föreslår utr edningen i den delen dock att registerutdrag inte skall behöva lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Utredningen anser att denna bestämmelse, som får särskild betydelse vid ostrukturerat material, innebär att den personuppgiftsansvariges intressen i nu berört hänseende beaktas i tillräcklig grad. Utredningen kommer därför fram till att något undantag inte bör göras från bestämmelsen i 26 § om registerutdrag.
Vad därefter gäller skyldigheten enligt 42 § personuppgiftslagen att på begäran lämna upplysningar till allmänheten om behandlingar anser utredningen att den skyldigheten inte har sådan praktisk betydelse för de registrerade som uppväger besväret för den person-
71
Se t.ex. Europadomstolens dom den 7 juli 1989 i målet Gaskin ./. Förenade kungariket
och dom den 24 september 2002 i målet M.G. ./. Förenade kungariket.
uppgiftsansvarige att lämna upplysningarna. Ett undantag bör således göras från bestämmelsen i 42 §.
I fråga om bestämmelsen i 28 § personuppgiftslagen om rättelse kan det naturligtvis vara ett väsentligt intresse för den registrerade att t.ex. felaktiga personuppgifter även i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar på begäran korrigeras. Att den personuppgiftsansvarige fortsätter att behandla direkt felaktiga personuppgifter trots att den registrerade begärt rättelse får dock i regel betraktas som ett otillbörligt integritetsintrång som bör vara förbjudet enligt huvudregeln såsom ett missbruk av personuppgifterna. Bestämmelsen i 28 § är dessutom formulerad på ett sådant sätt att den inte utan vidare kan användas i fråga om behandling som är undantagen från de grundläggande kraven i 9 §. Det skulle alltså vara nödvändigt att införa en särskild bestämmelse rörande rättelse för behandling av personuppgifter i ostrukturerat material. Utredningen anser mot bakgrund av de bestämmelser till skydd mot missbruk som bör finnas (se avsnitt 7.7.4) att un dantag bör kunna göras också från bestämmelsen om rättelse i 28 §.
Det är i och för sig tillåtet enligt EG-direktivet att bestämma att personnummer generellt får behandlas i ostrukturerat material t.ex. i form av löpande text och ljud och bild. Utredningen anser emellertid att det inte är lämpligt. Den nuvarande regeln i 22 § personuppgiftslagen om att personnummer och samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till något beaktansvärt skäl får nämligen anses befogad även vid behandling av ostrukturerat material. Därför bör det inte göras något undantag från 22 § personuppgiftslagen.
Som framgått av avsnitt 7.7.2 har u ndantagsbestämmelsen utformats så att den uttryckligen tillåter behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter, om behandlingen inte innebär ett otillbörligt intrång i den personliga integriteten. Undantagsbestämmelsen utgör därför i sig en uttolkning av bestämmelsen om intresseavvägning i artikel 7 f i EGdirektivet och 10 § f personuppgiftslagen. Därmed bör även 10 § personuppgiftslagen tas med bland de bestämmelser som inte skall tillämpas.
I enlighet med vad som anges i avsnitt 7.3.7 bör det vidare i för ordning göras ett undantag från skyldigheten enligt 36 § personuppgiftslagen att göra anmälan till Datainspektionen.
7.7.4. Vilka bestämmelser behövs till skydd mot missbruk?
Utredningens förslag: Behandlingen får bara utföras om den inte innebär ett otillbörligt intrång i den personliga integriteten.
Den föreslagna bestämmelsen som tillåter behandling av alla slags personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar och undantar behandlingen från hanteringsreglerna i personuppgiftslagen måste rimligen förknippas med bestämmelser till skydd mot sådant missbruk av personuppgifterna som innefattar ett otillbörligt integritetsintrång.
Ett par sådana skyddsregler har redan berörts. För det första omfattar undantaget bara material som inte har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. För det andra har den registrerade rätt att på begäran få ett s.k. registerutdrag med de personuppgifter som behandlas.
Det allra bästa vore givetvis att i lagen ha en tydlig och uttömmande uppräkning av alla de fall av användning av personuppgifter som utgör ett missbruk av uppgifterna. Utredningen har försökt att åstadkomma en sådan uppräkning. Det har emellertid visat sig att det finns svårigheter med ett sådant angreppssätt.
För det första är det svårt att på förhand komma på alla de fall som rimligen bör betecknas som ett missbruk. Det beror på att fantasin inte räcker till för att överblicka ens alla de fall av missbruk som kan vara aktuella i dag. Än mindre är det möjligt att i dag överblicka vad vi i samhället kan komma att anse vara ett missbruk i framtiden eller vilka möjligheter framtida teknik eller andra förhållanden kan medföra. Med en uttömmande uppräkning riskerar man alltså att skyddet mot missbruk inte blir heltäckande.
Samtidigt finns det en risk för att man i uppräkningen tar med fall som normalt måste betecknas som ett missbruk, men som i det enskilda fallet kan utgöra en befogad användning av personuppgifterna. Det finns alltså också en risk för att man förbjuder ”för mycket”, t.ex. för att man i dag inte har fantasi nog att inse när det kan vara befogat att använda personuppgifter.
Nu antydda svårigheter skulle i och för sig kunna bemästras genom att man gör uppräkningen av missbruksfall vag och försedd med bestämmelser om intresseavvägning eller andra ”generalklausuler”. Men då har man ju inte vunnit särskilt mycket med att ha en uppräkning.
Ett alternativ till att ha uppräkningen i lagen skulle kunna vara att ha den i en förordning som regeringen utfärdar eller i myndig-
hetsföreskrifter. Sådana normer av lägre rang är nämligen betydligt enklare att ändra allteftersom förhållandena kräver det än en lag. Inte heller det alternativet förefaller emellertid särskilt praktiskt. Den som hanterar ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar skulle exempelvis i sådant fall behöva hålla sig uppdaterad om en ständigt skiftande regelmassa. Härtill kommer att det är möjligt för t.ex. Datainspektionen att ge ut oförbindande allmänna råd eller annan vägledning om tillämpningen av en mera allmänt hållen bestämmelse i lag.
Utredningen har därför kommit fram till att det trots allt är bäst att i personuppgiftslagen ha en relativt allmänt hållen bestämmelse om vad som utgör missbruk, som mot bakgrund av förarbetsuttalanden får uttolkas i rättspraxis och genom oförbindande vägledning från t.ex. Datainspektionen. Därmed kan den nödvändiga flexibiliteten och anpassningen efter skiftande förhållanden uppnås samtidigt som regelanvändaren har en grundläggande norm i lagtexten att hålla sig till.
Man måste i sammanhanget också hålla i minnet att vad som undantas från hanteringsreglerna i personuppgiftslagen till stora delar är sådant som mycket väl kan göras på ett sätt som inte alls omfattas av den lagen. Löpande text och ljud- och bildupptagningar som inte strukturerats har ju sedan lång tid tillbaka hanterats med sådan analog teknik som inte torde omfattas av begreppet automatiserad i personuppgif tslagen
72
och som inte alls omfattades av 1973 års da-
talag. Hanteringen av sådant material med digital teknik, tillsammans med utvecklingen inom datakommunikationstekniken, har dock väsentligt underlättat möjligheterna för i princip envar att sprida materialet, såväl till en obegränsad krets (genom publicering) som till enstaka mottagare.
Med hjälp av digital teknik och öppna, internationella datakommunikationsnätverk, såsom Internet, kan i dag var och en till nästan ingen kostnad alls göra material tillgängligt i hela världen. Det står klart att denna utveckling medför såväl fördelar för varje medborgares rätt till yttrande- och informationsfrihet, som risker för missbruk av personuppgifter och andra integritetsintrång. Avvägningen mellan fördelarna och integritetsriskerna får dock sägas ha redan preliminärt gjorts i och med införandet från och med den 1 januari 2003 av möjligheten för i princip envar att få grundlagsskydd för spridningen av uppgifter via internationella datakommu-
72
Se närmare Sören Öman & Hans-Olof Lindblom, Personuppgiftslagen – En kommentar,
andra upplagan 2001, s. 70 f.
nikationsnätverk.
73
Personuppgiftslagen skall nämligen inte tilläm-
pas på det som är grundlagsskyddat, jämför 7 § första stycket personuppgiftslagen. Här gäller i stället den s.k. brottskatalogen över tryckfrihetsbrott, vilken bara i begränsad utsträckning – t.ex. vid rent förtal och förolämpningar – skyddar den personliga integriteten. Riksdagen har emellertid av regeringen beställt en analys av om det frivilliga grundlagsskyddet kan komma i konflikt med bestämmelserna med syfte att skydda den personliga integriteten och, om så behövs, förslag till ändrad lagstiftning.
74
Analysen skall göras av
Tryck- och yttrandefrihetsberedningen (Ju 2003:04).
75
spridning av material med digital teknik och integritetsskyddet kommer alltså att analyseras i särskild ordning.
När det sedan gäller sådan automatiserad behandling av personuppgifter som faktiskt inte utnyttjar den digitala teknikens särskilda möjligheter till strukturering och spridning, måste man fråga sig varför den behandlingen skulle behöva omgärdas av integritetsskyddande bestämmelser i större utsträckning än andra behandlingsformer såsom rent manuell behandling eller muntlig spridning av uppgifter. För den registrerade är det givetvis ofta ovidkommande om en integritetskränkning uppkommit genom automatiserad behandling eller genom andra förfaranden såsom muntligt skvaller. När den automatiserade behandlingens särskilda möjligheter i förhållande till andra behandlingsformer faktiskt inte utnyttjas, finns det därför enligt utredningens mening sällan anledning att ha särskilda skyddsregler utan det allmängiltiga skyddet mot integritetskränkning bör vara tillräckligt. Regeringen avser, såsom framgår av utredningsdirektiven, att tillsätta en särskild kommitté med uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället.
76
Det nu sagda talar också för att man i personuppgiftslagen tills vidare kan nöja sig med en grundläggande, relativt allmänt hållen bestämmelse till skydd mot missbruk.
Det förefaller rimligt, och kanske också ofrånkomligt, att en relativt allmänt hållen bestämmelse bygger på en intresseavvägning, där den registrerades integritetsintresse får vägas mot andra, motstående intressen. En sådan intresseavvägning brukar traditionellt
73
Se 1 kap. 9 § yttrandefrihetsgrundlagen, prop. 2001/02:74, KU 2001/02:21, KU
2002/03:8 och SFS 2002:909.
74
KU 2001/02:21 s. 32 och rskr. 2001/02:233.
75
Dir. 2003:58. Jämför också Ds 2003:25 om självsanering av Internet.
76
Jämför också studien Skyddet för enskilda personers privatliv, Ds 1994:51, och Jan Free-
se, Rapport om skyddet för enskilda personers privatliv – ett mer samlat grepp?, 1995.
uttryckas genom ett förbud mot åtgärder som innebär ett otillbörligt intrång i den personliga integriteten. Utredningen anser att det är lämpligt att använda den formuleringen. Vad gäller den avsedda innebörden av begreppet otillbörligt intrång i den personliga integriteten kan, mot bakgrund av ovanstående överväganden, följande sägas till ledning för tillämpningen.
Först bör framhållas att utredningen i fråga om begreppet otillbörligt intrång i den personliga integriteten inte direkt hänfört sig till motsvarande begrepp i datalagen. Det beror bl.a. på att begreppet i datalagen hade betydelse bara beträffande hantering av personuppgifter i register, medan den regel utredningen föreslår bara har betydelse när personuppgifterna inte finns i ett register.
Om behandlingen faktiskt följer bestämmelserna om grundläggande krav i 9 § och om när behandling av personuppgifter är tillåten i 10 § personuppgiftslagen, trots att dessa bestämmelser i och för sig inte är tillämpliga på behandlingen, torde det knappast komma i fråga att anse att behandlingen innebär ett otillbörligt intrång i den personliga integriteten. Det gäller även om känsliga personuppgifter används. Över huvud taget bör graden av känslighet hos de personuppgifter som behandlas vara bara en faktor bland flera som bör beaktas vid en samlad bedömning. Det viktiga är ofta i vilket sammanhang och för vilka syften personuppgifterna behandlas samt vad behandlingen kan leda till.
Om uppgifter samlas in eller annars behandlas med syfte att förfölja eller skandalisera en person, får behandlingen givetvis anses innebära ett otillbörligt intrång i den personliga integriteten. Det kan exempelvis gälla publicering på Internet av bilder på en f.d. pojk- eller flickvän i eller utan baddräkt eller av rent personliga detaljer om dennes beteende.
Redan det förhållandet att en personuppgiftsansvarig samlar en stor mängd uppgifter om en person utan något godtagbart ändamål måste oftast ses som ett otillbörligt intrång i den personliga integriteten. Ett exempel kan vara en hyresvärd som närmast av nyfikenhet samlar bilder på och anteckningar i löpande text om iakttagelser av en hyresgäst.
Att den personuppgiftsansvarige använder personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som underlag för att fatta beslut som berör den registrerade kan inte i sig anses som ett otillbörligt intrång i den personliga integriteten. Den registrerade har alltid möjlighet att begära ett registerutdrag. Därmed kan den registrerade få reda på
vilka uppgifter som legat till grund för beslutet och framföra eventuella invändningar.
Ofta får det anses vara ett otillbörligt intrång i den personliga integriteten om den personuppgiftsansvarige medvetet behandlar personuppgifter som är klart felaktiga eller missvisande.
Vad som hittills sagts har främst tagit sikte på intern hantering av personuppgifter hos den personuppgiftsansvarige. Också vid spridning av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar behövs det ett skydd mot missbruk. De redan berörda riktlinjerna i fråga om intern hantering ger dock ett gott skydd även mot spridning. Dessa ger exempelvis skydd mot spridning utan godtagbart skäl av en stor mängd uppgifter om en person och mot medveten spridning av uppgifter som är klart felaktiga eller missvisande. Vad som därutöver skulle kunna behövas är främst ett skydd mot spridning av förtroliga eller djupt personliga uppgifter och spridning av uppgifter som innebär ett angrepp på någons heder och ära.
I fråga om angrepp på annans heder och ära finns det redan allmängiltiga regler om förtal och förolämpning. Förtal innebär enligt 5 kap. 1 § första stycket brottsbalken att utpeka någon som brottslig eller klandervärd i sitt levnadssätt eller annars lämna uppgift som är ägnad att utsätta denne för andras missaktning. Enligt andra stycket i samma paragraf skall det dock inte dömas för förtal, om den som lämnat uppgifterna var skyldig att uttala sig eller det annars med hänsyn till omständigheterna var försvarligt att lämna denna uppgift i saken och han eller hon dessutom visar att uppgiften var sann eller att han eller hon hade skälig grund för den. Förolämpning innebär enligt 5 kap. 3 § brottsbalken att smäda annan genom kränkande tillmäle eller beskyllning eller genom annat skymfligt beteende mot denne.
En spridning av personuppgifter som innebär förtal eller förolämpning utgör givetvis ett otillbörligt intrång i den personliga integriteten. Utredningen anser att det inte beträffande just automatiserad behandling av ostrukturerat material behövs särskilda regler till skydd mot angrepp på annans heder och ära.
Beträffande spridning av förtroliga eller djupt personliga uppgifter finns det redan författningsbestämmelser och etiska regler eller motsvarande som föreskriver tystnadsplikt. Dessa regler kan sägas ge uttryck för vilka förhållanden som bör hemlighållas. Något helt allmänt skydd mot spridning – genom automatiserad behandling eller på annat sätt – av uppgifter om personliga förhållanden, som inte innebär förtal, finns inte utan här råder det öppenhet, yttran-
de- och informationsfrihet. En spridning av personuppgifter som innebär brott mot författningsbestämmelser och etiska regler eller motsvarande som föreskriver tystnadsplikt utgör givetvis ett otillbörligt intrång i den personliga integriteten. Utredningen anser att det inte beträffande just automatiserad behandling av ostrukturerat material behövs särskilda regler till skydd mot sådan spridning av förtroliga eller djupt personliga uppgifter som inte innebär förtal.
De riktlinjer som nu getts kan sammanfattas i följande kortfattade punktuppställning:
- Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering
- Samla inte utan godtagbara skäl en stor mängd uppgifter om en person
- Rätta personuppgifter som visar sig vara felaktiga eller missvisande
- Förtala eller förolämpa inte någon annan
- Bryt inte mot tystnadsplikt
Det är således i praktiken fråga om några ganska enkla och självklara handlingsregler, varav flera redan följer av annan lagstiftning. Enligt utredningens mening kommer den föreslagna ordningen att underlätta tillämpningen hos både personuppgiftsansvariga och Datainspektionen.
7.7.5. Tillsyn och sanktioner
Utredningens bedömning: Det behövs inga nya bestämmelser om tillsyn och sanktioner.
Utredningen föreslår således en ny bestämmelse i personuppgiftslagen om att viss behandling av personuppgifter får utföras bara om behandlingen inte innebär ett otillbörligt intrång i den personliga integriteten.
Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen
77
och har vissa befogenheter enligt 32 och 43–47 §§ i den lagen.
Enligt utredningens mening bör Datainspektionen, liksom i dag, ha tillsyn över och befogenheter beträffande sådan behandling som omfattas av den föreslagna bestämmelsen.
77
2 § personuppgiftsförordningen (1998:1191).
Den normala sanktionen vid brott mot personuppgiftslagen är skadestånd till den registrerade enligt 48 § i lagen. Utredningen anser att även brott mot den föreslagna bestämmelsen bör vara förknippat med sådant skadestånd.
Vissa förfaranden i strid med personuppgiftslagen är straffbelagda enligt 49 § i den lagen. Utredningen anser att det inte är nödvändigt att straffbelägga brott mot den föreslagna bestämmelsen. Skadestånd bör nämligen vara tillräckligt.
8. Sådant som inte omfattas av EG-direktivet
8.1. Utredningsdirektiven
Enligt utredningsdirektiven skall utredningen särskilt se över möjligheten till undantag för sådan behandling av personuppgifter inom den privata sfären som – till sin natur – faller utanför gemenskapsrätten och därmed inte omfattas av EG-direktivet.
8.2. EG-direktivet
8.2.1. Sådant som faller utanför gemenskapsrätten
Enligt artikel 3.2 första strecksatsen i EG-direktivet gäller inte EGdirektivet för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Som exempel anges sådan verksamhet som avses i avdelning V och VI i Fördraget om Europeiska unionen.
78
Det anges vidare att EG-
direktivet inte under några omständigheter omfattar behandlingar som rör
a) allmän säkerhet,
b) försvar,
Dessa avdelningar i fördraget innehåller bestämmelser om en gemensam utrikes- och
säkerhetspolitik respektive bestämmelser om polissamarbete och straffrättsligt samarbete, dvs. det samarbete som äger rum inom vad som vanligen kallas för andra och tredje pelaren.
c) statens säkerhet (inbegripet statens ekonomiska välstånd när be-
handlingen har samband med frågor om statens säkerhet) och
d) statens verksamhet på straffrättens område.
I ingresspunkt 13 används ett något annorlunda uttryckssätt. Där talas det om att sådan verksamhet som avses i de angivna avdelningarna i Unionsfördraget och som rör allmän säkerhet osv. inte faller inom tillämpningsområdet för gemenskapsrätten. Det påpekas i den nämnda ingresspunkten också att detta gäller med förbehåll för medlemsstaternas skyldigheter enligt artiklarna 56.2, 57 eller 100a
79
i Fördraget om upprättandet av Europeiska gemenska-
pen.
I ingresspunkt 16 pekas det särskilt på att behandling av ljud- och bilduppgifter, t.ex. i samband med videoövervakning, inte omfattas av EG-direktivet om behandlingen utförs för att tillgodose den allmänna säkerheten, försvaret, statens säkerhet eller någon annan statens verksamhet på straffrättens område.
I kommissionens förklaring
80
anges säkerhetstjänst
81
som exem-
pel på en aktivitet som faller utanför tillämpningsområdet.
EG-domstolen har i två domar uttalat sig om tolkningen av artikel 3.2 första strecksatsen i EG-direktivet. I det första målet om förhandsavgörande av frågor som österrikiska domstolar ställt (dom den 20 maj 2003 i mål C-465-00 och C-138/01 och 139/01) om den österrikiska revisionsrättens (Rechnungshof) verksamhet med att samla in och offentliggöra uppgift om namn och lön för högavlönade anställda vid vissa myndigheter m.m. uttalade domstolen följande:
”39 Domstolen erinrar om att direktiv 95/46, som har antagits med stöd av artikel 100a i fördraget, syftar till att genom tillnärmning av nationella bestämmelser om skyddet av fysiska personer i samband med behandlingen av personuppgifter säkerställa det fria flödet av dessa uppgifter mellan medlemsstaterna. I artikel 1.2 i direktivet, vari föremålet för direktivet i fråga anges, stadgas nämligen att medlemsstaterna varken får begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med skyddet av fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
79
Nuvarande artikel 46.2, 47 och 95.
80
SOU 1993:10 Bilagor s. 172.
81
På engelska ”secret services”.
40 Eftersom alla personuppgifter kan cirkulera mellan medlemsstaterna krävs enligt direktiv 95/46 i princip att reglerna om skydd för sådana uppgifter vid all sådan behandling av dessa som avses i artikel 3 i direktivet i fråga iakttas. 41 Domstolen vill tillägga att det inte utgör någon förutsättning för att använda artikel 100a i fördraget som rättslig grund att det föreligger något faktiskt samband med den fria rörligheten mellan medlemsstaterna i varje situation som avses med den rättsakt som har en sådan grund. Såsom domstolen redan har konstaterat (se dom av den 5 oktober 2000 i mål C-376/98, Tyskland mot parlamentet och rådet, REG 2000, s. I-8419, punkt 85, och av den 10 december 2002 i mål C-491/01, British American Tobacco (Investments) och Imperial Tobacco, REG 2002, s. I-0000, punkt 60) är det för att artikel 100a i fördraget skall kunna användas som rättslig grund avgörande att den rättsakt som antas med denna grund faktiskt syftar till att förbättra möjligheterna att upprätta den inre marknaden och få den att fungera. I förevarande fall har denna grundläggande egenskap emellertid aldrig bestritts inför domstolen beträffande bestämmelserna i direktiv 95/46, särskilt inte vad gäller de bestämmelser som har fått de nationella domstolarna att ifrågasätta huruvida den ifrågavarande nationella lagstiftningen är förenlig med gemenskapsrätten. 42 Vid sådant förhållande beror inte tillämpligheten av direktiv 95/46 på huruvida det i de konkreta situationer som är i fråga i målen vid de nationella domstolarna finns ett tillräckligt samband med utövandet av de grundläggande friheter som garanteras i fördraget och, särskilt, i de nämnda målen med den fria rörligheten för arbetstagare. Motsatt tolkning skulle nämligen innebära en risk för att gränserna för det nämnda direktivets tillämpningsområde skulle bli synnerligen osäkra och vaga, vilket skulle motverka direktivets huvudsakliga syfte, vilket är tillnärmning av bestämmelser i medlemsstaternas lagar och andra författningar i syfte att undanröja de hinder för att den inre marknaden skall fungera som följer just av att det föreligger skillnader mellan de olika nationella lagstiftningarna. 43 Därutöver bekräftas det genom ordalydelsen i artikel 3.1 i direktiv 95/46 att direktivet i fråga är tillämpligt på situationer där det inte finns något direkt samband med utövandet av de grundläggande fria rörligheter som garanteras i fördraget. I den nämnda bestämmelsen ges en mycket vid definition av direktivets tillämpningsområde genom att det inte görs till någon förutsättning för tillämpning av skyddsreglerna att behandlingen skall ha ett faktiskt samband med den fria rörligheten mellan medlemsstaterna. Samma bekräftelse återfinns i de undantag som anges i artikel 3.2 i direktivet, särskilt de som avser sådan behandling av personuppgifter som utgör ett led i … sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen el-
ler som sker som ett led i verksamhet av rent privat natur eller som har samband med [en fysisk persons] hushåll. Dessa undantag skulle nämligen i vart fall inte ha denna ordalydelse om det nämnda direktivet endast var tillämpligt på situationer där det föreligger ett tillräckligt samband med utövandet av de fria rörligheterna.
44 Detsamma kan påpekas beträffande de undantag som anges i artikel 8.2 i direktiv 95/46, vilka avser behandling av särskilda kategorier av uppgifter, bland annat dem som föreskrivs i artikel 8.2 d, som avser behandling som utförs hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte. 45 Det skall slutligen understrykas att den behandling av personuppgifter som är i fråga i målen vid de nationella domstolarna inte omfattas av det undantag som avses i artikel 3.2 första strecksatsen i direktiv 95/46. Denna behandling sker nämligen inte som ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen. Inte heller är det fråga om en behandling som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. 46 De syften som anges i artiklarna 7 c och e och 13 e och f i direktiv 95/46 vittnar under alla omständigheter om att direktivet är ämnat att omfatta sådan behandling av uppgifter som den som är i fråga i målen vid de nationella domstolarna. 47 Domstolen finner således att direktiv 95/46 är tillämpligt på sådan behandling av personuppgifter som föreskrivs i sådana bestämmelser som dem som är i fråga i målen vid den nationella domstolen.”
I det andra målet – EG-domstolens dom den 6 november 2003 i det s.k. konfirmandlärarmålet (mål C-101/01) – kom domstolen till slutsatsen att omnämnandet av olika personer på en hemsida på Internet inte omfattas av något av de undantag som nämns i artikel 3.2 i EG-direktivet. I sin motivering uttalade domstolen:
”37 I artikel 3.2 i direktiv 95/46 återfinns två undantag från direktivets tillämpningsområde.
38 Det första undantaget avser sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.
39 Då [konfirmandlärarens] i målet vid den nationella domstolen aktuella verksamhet väsentligen inte är ekonomisk, utan ideell och religiös, finns det anledning att pröva huruvida denna verksamhet utgör sådan behandling av personuppgifter "som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten" i den mening som avses i artikel 3.2 första strecksatsen i direktiv 95/46. 40 Domstolen har i fråga om direktiv 95/46, som har utfärdats med stöd av artikel 100a i fördraget, redan fastställt att det inte utgör någon förutsättning för att använda denna rättsliga grund att det föreligger något faktiskt samband med den fria rörligheten mellan medlemsstaterna i varje situation som avses med den rättsakt som har en sådan grund (se dom av den 20 maj 2003 i de förenade målen C-465/00, C-138/01 och C-139/01, Österreichischer Rundfunk m.fl., REG 2003, s. I-0000, och där angiven rättspraxis). 41 Motsatt tolkning skulle innebära en risk för att gränserna för det nämnda direktivets tillämpningsområde skulle bli synnerligen osäkra och vaga, vilket skulle motverka direktivets huvudsakliga syfte, vilket är tillnärmning av bestämmelser i medlemsstaternas lagar och andra författningar i syfte att undanröja de hinder för att den inre marknaden skall fungera som följer just av att det föreligger skillnader mellan de olika nationella lagstiftningarna (domen i de ovan nämnda förenade målen Österreichischer Rundfunk m.fl., punkt 42). 42 Under dessa omständigheter är det inte lämpligt att tolka uttrycket ”verksamhet som inte omfattas av gemenskapsrätten” så, att det har en sådan räckvidd att det från fall till fall måste kontrolleras huruvida den specifika verksamhet som är i fråga direkt påverkar den fria rörligheten mellan medlemsstaterna. 43 Den verksamhet som nämns såsom exempel i artikel 3.2 första strecksatsen i direktiv 95/46 (det vill säga sådan verksamhet som avses i avdelningarna V och VI i fördraget om Europeiska unionen och behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område) är i samtliga fall statens eller statliga myndigheters verksamhet och har ingenting att göra med enskildas verksamhetsområden. 44 Domstolen finner således att de verksamheter som nämns såsom exempel vi artikel 3.2 första strecksatsen i direktiv 95/46 är avsedda att definiera räckvidden av det där föreskrivna undantaget, varför detta undantag endast är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori (”ejusdem generis”). 45 Sådan ideell eller religiös verksamhet som den som [konfirmandläraren] utövar kan emellertid inte likställas med den verksamhet som nämns i artikel 3.2 första strecksatsen i direktiv 95/46 och omfattas således inte av detta undantag.”
8.2.2. Rent privat behandling
Enligt artikel 3.2 andra strecksatsen i EG-direktivet gäller inte EGdirektivet för sådan behandling av personuppgifter av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll
82
.
Av mötesprotokollet (bilaga 4) framgår att rådet och kommissionen anser att det inte är tillåtet att med hänvisning till den bestämmelsen undanta behandling av personuppgifter som utförs av en enskild person när dessa uppgifter förmedlas inte bara till en eller flera personer utan till ett obestämt antal personer.
I ingresspunkt 12 framhålls att en fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk
83
, såsom korrespondens eller förandet av adressregister, inte
omfattas av EG-direktivet.
I kommissionens förklaring ges som exempel förandet av en elektronisk dagbok.
84
Generaladvokaten har i sitt förslag till avgörande det s.k. konfirmandlärarmålet (EG-domstolens mål C-101/01) ansett att endast verksamheter såsom korrespondens eller förande av adressregister, som omnämns som exempel i ingresspunkt 12, dvs. verksamheter som är uppenbart privata och av förtrolig karaktär och är avsedda att begränsas till de berördas personliga sfär eller den sfär som har samband med deras hushåll, omfattas av undantaget. EGdomstolen gjorde motsvarande bedömning som generaladvokaten och uttalade i sin dom den 6 november 2003 att undantaget för rent privat behandling skall ”tolkas så, att det endast avser sådan verksamhet som utgör en del av enskildas privat- eller familjeliv, vilket uppenbart inte är fallet i fråga om sådan behandling av personuppgifter som består i att de offentliggörs på Internet för att dessa uppgifter skall bli tillgängliga för ett obestämt antal personer”.
82
På engelska ”a purely personal or household activity”, på franska ”d’activités exclusive-
ment personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten”.
83
På engelska ”activities which are exclusively personal or domestic”, på franska ”d’activités
exclusivement personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten”.
84
SOU 1993:10 Bilagor s. 172.
8.3. Europarådets dataskyddskonvention
Europarådets dataskyddskonvention har presenterats i avsnitt 4.2.2 och bilaga 5. Konventionen gäller i princip för all automatisk behandling av personuppgifter, och det finns i konventionen inte något generellt undantag för sådant som faller utanför gemenskapsrätten. Enligt artikel 3 i konventionen kan dock en konventionsstat deklarera att den inte kommer att tillämpa konventionen för vissa kategorier av automatiserade personregister.
8.4. Personuppgiftslagen
8.4.1. Personuppgiftslagen är generellt tillämplig
Personuppgiftslagen innehåller inte något generellt undantag för sådant som faller utanför gemenskapsrätten. Personuppgiftslagen är alltså i och för sig generellt tillämplig. Däremot gäller särregler i andra författningar framför bestämmelserna i personuppgiftslagen (2 §). I denna del gjorde regeringen följande överväganden (prop. 1997/98:44 s. 40 f.):
”Den nuvarande datalagen är i princip generellt tillämplig på all automatisk databehandling av personregister, men i den utsträckning ett personregister är reglerat i en annan författning är det undantaget Datainspektionens tillståndsprövning och föreskriftsrätt.
EG-direktivet gäller däremot inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av EGrätten, t.ex. statens verksamhet på straffrättens område eller som rör allmän säkerhet eller försvar.
Det innebär att det står Sverige fritt att begränsa den nya lagens tilllämpningsområde till sådana verksamheter som omfattas av EG-rätten. Detta skulle emellertid strida mot vad som tillämpats under lång tid i Sverige, nämligen ett system som utgår från en generell lag kompletterad med särregler i s.k. registerförfattningar för viktigare eller känsligare register.
Registerförfattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Samtidigt står det klart att det är nödvändigt med särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. beträffande polisens verksamhet. Frågan är därför om det redan i
den nya lagen skall göras undantag för vissa verksamheter eller om nödvändiga särregler för dessa verksamheter liksom hittills skall ges i särskilda författningar som får gälla framför den nya lagen. […]
Vi anser att det traditionella svenska systemet med särregler i särskilda författningar är att föredra framför generella undantag från den nya lagen. Det är i stort sett bara verksamhet inom den offentliga sektorn som med hänsyn till EG-direktivet skulle kunna undantas från den nya lagen. Inom den sektorn förekommer det t.ex. ofta stora mängder känsliga uppgifter och uppgifter som har hämtats in med stöd av straffsanktionerad uppgiftsplikt. Därför är det särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verksamhet. Om viss offentlig verksamhet skulle generellt undantas från lagen, finns det risk för att viss behandling inom den sektorn inte kommer att omfattas av någon lagstiftning med motsvarande syfte som den nya lagen. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som den nya lagen ger, garanteras däremot att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning. Målet har också varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11). Det finns inte anledning att nu avvika från det målet.
Den nya lagen bör således vara generellt tillämplig och omfatta även sådan verksamhet som faller utanför EG-rätten samtidigt som avvikande bestämmelser i lag eller förordning skall gälla framför den nya lagen. Detta innebär också att den nya lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar.”
De flesta remissinstanserna hade godtagit förslaget eller lämnat det utan erinran. Riksåklagaren hade dock föreslagit att statens verksamhet på det straffrättsliga området skulle undantas från personuppgiftslagen.
8.4.2. Undantaget för privat behandling av personuppgifter
Enligt 6 § personuppgiftslagen gäller lagen inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur. Regeringen ansåg att möjligheten enligt EG-direktivet att undanta rent privat användning av personuppgifter borde utnyttjas fullt ut. Avsikten är att paragrafen skall
ha samma innebörd som artikel 3.2 andra strecksatsen i EGdirektivet.
85
8.5. Genomförandet i andra länder
I Sverige har EG-direktivet således genomförts genom en generellt tillämplig lag, medan särregler för bl.a. sådant som faller utanför gemenskapsrätten finns i särlagstiftning som tar över de generella bestämmelserna i personuppgiftslagen. Ett sådant förfaringssätt förefaller vara det normala också i andra medlemsstater (och i Norge), även om det inte är ovanligt att den generella genomförandelagstiftningen innehåller en hel del undantag – eller bemyndiganden att medge undantag – för bl.a. sådant som faller utanför gemenskapsrätten. Utredningen har inte funnit någon genomförandelagstiftning som innehåller ett generellt undantag för allt sådant som faller utanför gemenskapsrätten.
86
Undantaget i EG-direktivet för rent privat behandling synes däremot normalt ha intagits i medlemsstaternas generella genomförandelagstiftning. I Norge har det ansetts att undantaget omfattar privata hemsidor på Internet med information av privat och personlig karaktär.
87
8.6. Överväganden
Utredningens bedömning: Det undantag för rent privat behandling av personuppgifter som är tillåtet enligt EG-direktivet har redan utnyttjats fullt ut. Det finns inte skäl för att göra undantag från personuppgiftslagen för sådant som faller utanför gemenskapsrätten.
Enligt utredningsdirektiven skall utredningen särskilt se över möjligheten till undantag för sådan behandling av personuppgifter inom den privata sfären som – till sin natur – faller utanför gemenskapsrätten och därmed inte omfattas av EG-direktivet. I EGdirektivet finns det två bestämmelser om vad som faller utanför
85
Prop. 1997/98:44 s. 53 f. och 118.
86
I den tyska genomförandelagstiftningen – Bundesdatenschutzgesetz – finns det dock
direkta hänvisningar till sådant som faller eller inte faller utanför gemenskapsrätten.
87
Ot prp nr 92 (1998-99) s. 105.
EG-direktivet som kan ha betydelse i det sammanhanget. Enligt dessa gäller EG-direktivet inte för dels (1) sådan behandling av personuppgifter av en fysisk person som (utgör) ett led i verksamhet av rent privat natur eller som har samband med hans hushåll, dels (2) sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten.
I personuppgiftslagen har den första bestämmelsen (om rent privat behandling) redan genomförts fullt ut (6 §), medan den andra bestämmelsen (om det som inte omfattas av gemenskapsrätten) inte genomförts. Det undantag för rent privat behandling av personuppgifter som är tillåtet att göra enligt EG-direktivet (artikel 3.2 andra strecksatsen) har redan utnyttjats fullt ut i personuppgiftslagen. Den rent privata behandling som avses i bestämmelsen omfattas således inte av personuppgiftslagen (eller EG-direktivet) oavsett om behandlingen utgör ett led i en verksamhet som omfattas av gemenskapsrätten eller inte. Något mer att göra i formellt hänseende i den delen för att undanta det som faller inom den privata sfären finns alltså inte. Utredningen anser vidare att det inte finns tillräcklig anledning att – i syfte att förtydliga – ändra eller komplettera lagtexten i 6 § personuppgiftslagen (se också det som sägs i avsnitt 14.2.3).
Vad som kan anses vara verksamhet av rent privat natur har varit föremål för olika uppfattningar. Enligt en uppfattning kan det inte vara fråga om privat behandling när uppgifterna sprids till ett obestämt antal personer, t.ex. via en hemsida på Internet. Som redovisats i avsnit t 8.2.2 har det varit t.ex. rådets och kommissionens uppfattning, och synsättet har återspeglats även i avgöranden i svensk domstol (se avsni tt 5.2.1). Enligt en anna n uppfattning är det uppgifternas karaktär, eller möjligen syftet med deras användning, som är avgörande. Det skulle då principiellt sakna betydelse hur och till vilka uppgifterna sprids. Ett sådant synsätt tycks ha anammats i Norge (se avsnit t 8.5). E G-domstolens dom den 6 november 2003 i det s.k. konfirmandlärarmålet har numera visat att det förstnämnda synsättet är det riktiga (se avsnit t 8.2.2).
Tankegången i utredningsdirektiven verkar vara att det kan finnas sådan behandling av personuppgifter inom den privata sfären som inte faller utanför EG-direktivet på grund av bestämmelsen om rent privat behandling, men som faller utanför EG-direktivet på grund av bestämmelsen om det som inte omfattas av gemenskapsrätten.
Artikel 3.2 första strecksatsen i EG-direktivet har följande lydelse:
”Detta direktiv gäller inte för sådan behandling av personuppgifter som – utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område”
Den naturliga läsningen är att all behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten är undantagen från EG-direktivet. EG-domstolen har emellertid i domen den 6 november 2003 i det s.k. konfirmandlärarmålet kommit fram till att de verksamheter som nämns såsom exempel i artikel 3.2 första strecksatsen i EG-direktivet är avsedda att definiera räckvidden av det där föreskrivna undantaget (punkt 44). Domstolens slutsats blev därför att undantaget bara är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori. EG-direktivet kan alltså vara tillämpligt på en behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, nämligen om verksamheten inte är sådan som avses i avdelning V och VI i Unionsfördraget och om behandlingen inte heller rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.
I artikel 3.2 första strecksatsen i EG-direktivet nämns som exempel två olika kategorier: ”Verksamhetsfallet” (behandling av personuppgifter som utgör ett led i en verksamhet som avses i avdelning V och VI i Unionsfördraget) och ”behandlingsfallet” (behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område). ”Verksamhetsfallet” avser sådant som definitionsmässigt inte utgör gemenskapsrätt, nämligen det samarbete mellan medlemsstaterna av i grunden mellanstatlig karaktär som äger rum inom vad som vanligen kallas för andra och tredje pelaren. Man kan då, mot bakgrund av det uttryckssätt som valts i ingresspunkt 13 (s e avsnitt 8.2.1), fråga sig om den behandling som avses i ”behandlingsfallet” är undantagen bara om den utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten; en behandling som rör t.ex. allmän säkerhet kan ju mycket väl utgöra ett led i en verksamhet som faller
under den första pelaren, t.ex. i samband med tillämpningen av reglerna om personers fria rörlighet. EG-domstolens uttalanden i domen den 20 maj 2003 (punkt 45) i målen från österrikiska domstolar (mål C-465/00 och C-138/01 och 139/01) ger dock ett klart stöd för att den behandling som avses i ”behandlingsfallet” är undantagen oavsett om den utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Domstolen uttalade nämligen först att den i målen aktuella verksamheten inte skedde som ett led i en verksamhet som inte omfattas av gemenskapsrätten. Sedan konstaterade domstolen att det inte heller var fråga om en behandling som rör allmän säkerhet osv.
88
Den naturliga läsningen av bestämmelsen
är vidare enligt utredningens mening att den behandling som avses i ”behandlingsfallet” är undantagen oavsett om den utgör ett led i en verksamhet som avses i avdelning V och VI i Unionsfördraget; det anges ju uttryckligen i artikeln att EG-direktivet inte under några omständigheter gäller för sådana behandlingar som avses i ”behandlingsfallet”.
EG-direktivet gäller alltså inte för behandling av personuppgifter som antingen
a) utgör ett led i den verksamhet som avses i avdelning V och VI i
Unionsfördraget, eller
b) rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens
ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.
När det gäller den nu i första hand aktuella frågan om i vilken utsträckning behandling av personuppgifter inom den privata sfären kan anses falla utanför EG-direktivet har EG-domstolen i domen den 6 november 2003 i det s.k. konfirmandlärarmålet (punkt 43) konstaterat att den verksamhet som avses i såväl ”verksamhetsfallet” som ”behandlingsfallet” inte har någonting med enskildas verksamhetsområden att göra utan i samtliga fall är statens eller statliga myndigheters verksamhet (se direkt citat i avsnitt 8.2.1).
Undantaget i artikel 3.2 första strecksatsen i EG-direktivet gäller alltså bara behandling av personuppgifter som antingen utgör ett led i en verksamhet som avses i avdelning V och VI i Unionsfördraget eller rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband
88
Punkt 45. Se direkt citat ur domen i avsnitt 8.2.1.
med frågor om statens säkerhet) och statens verksamhet på straffrättens område, vilken behandling inte har någonting med enskildas verksamhetsområden att göra.
Mot den bakgrunden förefaller det uteslutet att någon behandling av personuppgifter inom den privata sfären skulle kunna falla utanför EG-direktivet på grund av bestämmelsen i artikel 3.2 första strecksatsen, såsom EG-domstolen uppfattat den bestämmelsen. Utredningens slutsats är att det inte finns något utrymme enligt EG-direktivet för att göra ett undantag för behandling av personuppgifter inom den privata sfären utöver det som redan finns i 6 § personuppgiftslagen.
När det sedan gäller den mer vittsyftande frågan om något annat, som faller under undantaget i artikel 3.2 första strecksatsen i EGdirektivet om det som inte omfattas av gemenskapsrätten, bör helt eller delvis undantas från tillämpningsområdet för personuppgiftslagen kan följande sägas.
Vid införandet av personuppgiftslagen ansågs det att det traditionella svenska systemet med en generell skyddslagstiftning och nödvändiga särregler och undantag i särskilda författningar var att föredra framför undantag i den generella lagstiftningen (personuppgiftslagen). Utredningen anser att de skäl som anfördes för den bedömningen – se av snitt 8.4.1 – alltjämt har bärkraft. Härtill kommer att ett sådant system verkar vara det som åtminstone i princip använts vid genomförandet av EG-direktivet i många andra medlemsstater. Ett stort arbete har också lagts ned efter personuppgiftslagen på att utarbeta särskilda registerförfattningar.
Härtill kommer att det är svårt att på något mer konkret sätt ange vad som vid en given tidpunkt faller utanför gemenskapsrätten och att gränserna för gemenskapsrätten är föränderliga. Eftersom EG-direktivet i sig självt är en del av gemenskapsrätten, kan det definitionsmässigt bara reglera sådant som omfattas av gemenskapsrätten. Men EG-domstolens hittillsvarande rättspraxis om tolkningen av EG-direktivet visar det är svårt att finna någon hållpunkt för att avskära något från EG-direktivets tillämpningsområde. I de två mål som prövats av EG-domstolen kom generaladvokaten i sina förslag till avgöranden till slutsatsen att de i målen aktuella förfarandena inte omfattades av EG-direktivet, men EGdomstolen gjorde motsatt bedömning.
Utredningens slutsats är därför att det inte finns skäl att göra något undantag från personuppgiftslagen för sådant som avses i artikel 3.2 första strecksatsen.
9. Undantag enligt artikel 13
9.1. Utredningsdirektiven
Enligt utredningsdirektiven skall utredningen överväga om de undantagsmöjligheter för bl.a. säkerhet och brottsundersökning m.m. som finns enligt artikel 13 i EG-direktivet bör tas in direkt i personuppgiftslagen.
9.2. EG-direktivet
I artikel 13.1 i EG-direktivet finns det bestämmelser om att medlemsstaterna genom lagstiftning får begränsa omfattningen av vissa skyldigheter och rättigheter som följer av EG-direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs.
- de grundläggande kraven på behandlingen av personuppgifter
(artikel 6.1, som motsvaras av 9 § personuppgiftslagen)
- skyldigheten att informera den registrerade (artikel 10 och 11.1, som motsvaras av 23–25 §§personuppgiftslagen)
- rätten att på begäran få tillgång till uppgifterna och rättelse (artikel 12, som motsvaras av 26 och 28 §§ samt 29 § andra stycket personuppgiftslagen)
- reglerna om ett offentligt register över anmälda behandlingar och skyldigheten att hålla information om andra behandlingar tillgänglig (artikel 21, som motsvaras av 42 § personuppgiftslagen och 7 § personuppgiftsförordningen)
En sådan begränsning måste vara en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för
brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlems-
stat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om
den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,
g) skydd av den registrerades eller andras fri- och rättigheter.
En del av de intressen som sålunda nämns i artikeln torde avse sådan verksamhet som faller utanför gemenskapsrätten och därmed inte omfattas av EG-direktivet (jämfö r avsnitt 8). Personuppgifter som behandlas i verksamheter som omfattas av gemenskapsrätten och därmed av EG-direktivet kan dock t.ex. behöva lämnas ut för att användas i verksamhet som faller utanför gemenskapsrätten. Artikel 13.1 ger i detta fall stöd för att begränsa användningen av vissa bestämmelser i EG-direktivet för de verksamheter som i och för sig omfattas av EG-direktivet i syfte att underlätta för verksamhet som inte omfattas av gemenskapsrätten.
Av mötesprotokollet (bilaga 4) framgår att rådet och kommissionen anser att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i artikel 13.1 g.
I ingresspunkt 44 framhålls att medlemsstaterna för att uppfylla vissa av målsättningarna kan tvingas att avvika från vissa bestämmelser i direktivet på grund av bestämmelser i gemenskapsrätten. Som exempel på en begränsning med hänsyn till intresset hos den registrerade eller andras fri- och rättigheter (punkt g ovan) anges i ingresspunkt 42 att det kan beslutas att den registrerade har rätt att få tillgång till uppgifter av medicinsk art bara genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården.
I kommissionens förklaring
89
anges bestämmelser om övervak-
ning av banker och om penningtvätt som exempel på fall då medlemsstaterna på grund av gemenskapsrätten kan vara tvungna att föreskriva begränsningar. Begreppet statens säkerhet omfattar skydd
89
SOU 1993:10 Bilagor s. 183 f.
av den nationella suveräniteten mot såväl interna som externa hot. Bestämmelsen om ekonomiska eller finansiella intressen hänför sig till alla åtgärder inom den ekonomiska politiken och åtgärder för att finansiera medlemsstaternas eller Europeiska unionens politik, såsom kontroll vid valutaväxling, kontroll av utrikeshandel och uppbörd av skatt. När det gäller skyddet av fri- och rättigheter talas det om företagshemligheter, reglerna om den sekretess under vilken advokater och utövare av sjukvård arbetar, rätten att förbereda sig inför en rättegång samt mänskliga rättigheter. Det talas vidare om begränsningar av rätten till tillgång till uppgifter som människorättsorganisationer innehar i de fall där en obegränsad tillgång skulle kunna utsätta andra för fara – t.ex. de personer som i förtroende har lämnat uppgifterna – eller riskera de överordnade intressen som finns hos sådana organisationer.
Regeringen och Lagrådet har ansett att det är osäkert om yttrandefriheten omfattas av de fri- och rättigheter som avses i artikel 13.1 g, eftersom det finns ett särskilt undantag för yttrandefriheten i artikel 9.
90
Regeringen har vidare ansett att rätten för var och en att med stöd av den grundlagsfästa offentlighetsprincipen få ta del av allmänna handlingar som inte är sekretessbelagda är en sådan rättighet som kan göra det befogat med undantag enligt artikel 13.1 g.
91
9.3. Europarådets dataskyddskonvention
Europarådets dataskyddskonvention har presenterats i avsnitt 4.2.2 och bilaga 5. Enligt artikel 9 i konventionen får avvikelser göras från vissa viktiga bestämmelser i konventionen. För sådana avvikelser krävs dock
- att avvikelserna har stöd i nationell lagstiftning, och
- att de utgör en nödvändig åtgärd i ett demokratiskt samhälle för att
- skydda statens säkerhet, allmän säkerhet, statens monetära intressen, eller
- undertrycka brottsliga åtgärder, eller
90
Prop. 1997/98:44 s. 49 och 236. Se också SOU 2001:28 s. 273.
91
- skydda den registrerade eller andra personers fri- och rättigheter.
92
Vissa avvikelser får också göras i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.
9.4. Personuppgiftslagen
Något generellt undantag som motsvarar det som är tillåtet att göra enligt artikel 13 i EG-direktivet har inte tagits in i personuppgiftslagen, och frågan om att ta in ett sådant undantag har inte heller diskuterats i förarbetena. Däremot har artikel 13 åberopats som grund för att ta in ett par specifika undantag eller motsvarande i lagen. Det gäller dels definitionen av blockering, dels undantag från skyldigheten att lämna registrerade information.
Enligt artikel 12 b i EG-direktivet skall den registrerade i vissa fall ha rätt att få uppgifter blockerade. Blockering har ansetts innebära att de blockerade uppgifterna inte skall lämnas ut till tredje man. Genom definitionen av begreppet blockering i 3 § personuppgiftslagen har det i praktiken införts ett undantag för sådant utlämnande av blockerade uppgifter som sker med stöd av offentlighetsprincipen i 2 kap. tryckfrihetsförordningen. Som stöd för detta undantag har artikel 13.1 g åberopats.
93
Enligt artikel 12 a i EG-direktivet skall en registrerad ha rätt att få begriplig information om vilka uppgifter som behandlas (ett s.k. registerutdrag). Enligt 26 § tredje stycket personuppgiftslagen gäller dock undantag för personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred kan nämligen enligt regeringen anses som en sådan fri- och rättighet som enligt artikel 13.1 i EG-direktivet berättigar till en begränsning av informationsskyldighet en.
94
92
På engelska ”Derogation from the provisions of Articles 5, 6 and 8 of this convention
shall be allowed when such derogation is provided for by the law of the Party and constitutes a necessary measure in a democratic society in the interest of: a. protecting State security, public safety, the monetary interests of the State or the suppression of criminal offences; b. protecting the data subject or the rights and freedoms of others.”
93
94
Enligt artikel 10 och 11 i EG-direktivet skall viss information också lämnas självmant till de registrerade. Enligt 27 § personuppgiftslagen gäller dock vissa undantag från den informationsskyldigheten och från rätten till registerutdrag vid sekretess och tystnadsplikt, varvid anmärkts att undantag får göras enligt artikel 13 i EGdirektivet med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter.
95
Undantag gäller i den utsträckning det är sär-
skilt föreskrivet att uppgifter inte får lämnas ut till den registrerade. Därvid får en personuppgiftsansvarig som inte är myndighet i motsvarande fall som avses i sekretesslagen (1980:100) vägra lämna ut uppgifter till den registrerade.
9.5. Genomförandet i andra länder
Det vanliga verkar vara att medlemsstaterna i sin genomförandelagstiftning har tagit in bestämmelser om undantag från informationsskyldighet som mer eller mindre motsvarar de fall som räknas upp i artikel 13 i EG-direktivet. Ibland krävs det – såsom i Grekland och Portugal – att den personuppgiftsansvarige har ett tillstånd från dataskyddsmyndigheten för att låta bli att lämna information. Det är mera ovanligt att ett generellt undantag från de grundläggande kraven för behandling av personuppgifter eller rättelseskyldigheten har gjorts i genomförandelagstiftningen för de fall som räknas upp i artikel 13. Storbritannien och Nederländerna verkar ha ganska generella undantag.
9.6. Överväganden och förslag
Utredningens förslag: Regeringen och den myndighet som regeringen bestämmer bemyndigas att meddela föreskrifter eller beslut i enskilda fall om sådana undantag som är tillåtna enligt artikel 13.1 i EG-direktivet.
Artikel 13.1 i EG-direktivet ger i stora drag möjlighet till undantag från vissa bestämmelser när det är nödvändigt med hänsyn till fullgörandet av viktiga samhälls- eller myndighetsfunktioner (punkt a– f). Dessutom finns det enligt artikel 13.1 möjlighet att göra undan-
95
tag enligt en mycket generell bestämmelse om skyddet av fri- och rättigheter (punkt g).
Enligt utredningens mening är bestämmelserna om undantag från viktiga integritetsskyddsregler i artikel 13.1 alltför generella och vaga för att lämpligen kunna direkt tas in i personuppgiftslagen. Att låta alla personuppgiftsansvariga med ledning av bara de generella bestämmelserna i artikel 13.1 själva bedöma om det är befogat med ett undantag i ett konkret fall, skulle kunna leda till rättsosäkerhet och risk för integritetskränkningar. Det skulle å andra sidan också kunna leda till att personuppgiftsansvariga, t.ex. av rädsla för att göra fel, inte utnyttjar de generella undantagsbestämmelserna i tillräcklig utsträckning för att viktiga samhälls- och myndighetsfunktioner och skyddet för fri- och rättigheter skall fungera tillfredsställande. Det är därför bättre för både integritetsskyddet och skyddet av de intressen som avses i artikel 13.1 med mera preciserade regler än att låta personuppgiftsansvariga själva på ett riktigt sätt försöka tillämpa de generella regler som finns i den artikeln.
Om det verkligen är nödvändigt för att viktiga samhälls- och myndighetsfunktioner skall fungera eller för skyddet för fri- och rättigheter att vissa regler i personuppgiftslagen inte tillämpas, bör det vidare normalt inte vara upp till varje personuppgiftsansvarig att bedöma om så skall ske. Utredningen anser därför att sådana undantag som är tillåtna enligt artikel 13.1 normalt bör utformas som skyldigheter för personuppgiftsansvariga och inte som regler som bara ger denne möjlighet att, om han eller hon så skulle önska, göra undantag. Att i någon större utsträckning ta in bestämmelser i personuppgiftslagen om sådana skyldigheter, som grundar sig på andra intressen än integritetsskyddet, skulle strida mot systematiken i och syftet med personuppgiftslagen. Syftet med den lagen är ju att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §).
I särlagstiftning med bestämmelser som avviker från personuppgiftslagen (se 2 §) kan det alltid på speciella områden tas in preciserade bestämmelser med undantag som baserar sig på artikel 13.1. Det kan t.ex. gälla bestämmelser om uppgiftsskyldighet till myndigheter som skall gälla oavsett vilket ändamål den personuppgiftsansvarige ursprungligen bestämt för sin behandling av personuppgifterna och oavsett den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen.
De samhälls- och myndighetsfunktioner som avses i artikel 13.1 är normalt författningsreglerade, och även beträffande skyddet av
fri- och rättigheter finns det ofta lagstiftning. Utredningen anser att det är bäst att mer konkreta bestämmelser som grundar sig på möjligheterna till undantag enligt artikel 13.1 tas in i sådana författningar. Det ger den bästa garantin för en välgrundad och rimlig avvägning i den aktuella situationen mellan integritetsskyddet och andra intressen. Det framstår också som ogörligt att inom utredningens ram framleta och analysera alla konkreta intressen och situationer som gör det befogat med särregler som grundar sig på artikel 13.1.
Utredningen anser således att den nuvarande lagstiftningssystematiken – där undantagsbestämmelser som stöder sig på artikel 13.1 normalt finns inte i personuppgiftslagen utan i särlagstiftning med avvikande bestämmelser – är ändamålsenlig och bör bestå.
Vad som kan behövas i personuppgiftslagen är däremot ett slags säkerhetsventil som t.ex. i brådskande fall ger möjlighet att tillskapa befogade undantag baserade på artikel 13.1. Det kan nämligen hända att det upptäcks fall, som är svåra att överblicka på förhand, där det är befogat att personuppgiftsansvariga får göra undantag i en viss situation eller där någon personuppgiftsansvarig upptäcker att det i ett enskilt fall behövs ett undantag för att t.ex. skydda någons fri- och rättigheter. För dessa fall kan det behövas en möjlighet enligt personuppgiftslagen att tillåta undantag, t.ex. i avvaktan på att särlagstiftning hinner utarbetas eller ändras. Utredningen föreslår därför att regeringen uttryckligen bemyndigas att meddela generella föreskrifter eller beslut i enskilda fall om sådana undantag som är tillåtna enligt artikel 13.1 i EG-direktivet. Bemyndigandet bör också omfatta en möjlighet för regeringen att genom vidare delegation bestämma att en myndighet – utredningen tänker här i första hand på Datainspektionen – får meddela sådana föreskrifter och beslut, varvid det givetvis bör övervägas om sådan vidare delegation till myndighet är lämplig.
Kravet enligt Europakonventionen, Europarådets dataskyddskonvention och EG-direktivet på lagstiftning för avvikelser får anses uppfyllt genom det föreslagna bemyndigandet, även om det är fråga om just ett lagfäst bemyndigande som ger regeringen eller underlydande myndighet möjlighet att inom vissa ramar meddela föreskrifter och beslut i enskilda fall om undantag.
Frågan om det med hänsyn till regeringsformen är möjligt att ge sådana normgivningsbemyndiganden för regeringen och underlydande myndigheter på personuppgiftslagens område har varit om-
diskuterad.
96
Såväl regeringen som riksdagen har dock – till skillnad
från Lagrådet – ansett att bestämmelserna i personuppgiftslagen är sådana i grunden offentligrättsliga föreskrifter som gör det möjligt med normgivningsbemyndiganden, och regeringsformen har till och med ändrats i enlighet med den bedömningen. Utredningen ser inte anledning att göra någon annan bedömning, utan finner att även det föreslagna, ytterligare bemyndigandet i personuppgiftslagen är förenligt med regeringsformen.
96
Se prop. 1997/98:44 s. 58 ff. och 237 ff. samt KU 1997/98:18 s. 41 ff.
10. Enskildas behandling av personuppgifter om lagöverträdelser
10.1. Utredningsdirektiven
Enligt utredningsdirektiven skall utredningen analysera om möjligheten enligt artikel 8.5 i EG-direktivet att tillåta att andra än myndigheter behandlar personuppgifter om lagöverträdelser m.m. bör utnyttjas genom uttryckliga bestämmelser direkt i personuppgiftslagen. Utredningen skall särskilt överväga om den registrerades samtycke bör göra behandling av personuppgifter om lagöverträdelser m.m. tillåten. Därvid skall utredningen beakta behovet av skydd för den registrerade i de fall där den enskilde kan befinna sig i ett underläge såsom bl.a. vid upptagande av kredit och sökande av anställning.
10.2. EG-direktivet
I artikel 8.5 i EG-direktivet finns det särskilda regler rörande behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder. Behandling av personuppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de avvikelser som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet. Det är tillåtet för medlemsstaterna att föreskriva att
uppgifter som rör ”administrativa sanktioner” eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.
De nationella bestämmelser som medlemsstaterna beslutar enligt artikel 8.5 i EG-direktivet torde – enligt artikel 8.6 – behöva anmälas till kommissionen.
Det har ansetts att artikel 8.5 i EG-direktivet innebär att det får finnas nationella bestämmelser som tillåter enskilda att utan myndighetskontroll behandla personuppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder (så länge det inte är fråga om ett fullständigt register över brottmålsdomar) under förutsättning att det också finns bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Även när det finns nationella bestämmelser som tillåter enskilda att behandla personuppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder, måste behandlingen följa övriga bestämmelser i EG-direktivet, t.ex. om när behandling av personuppgifter över huvud taget är tillåten (artikel 7) och om när personuppgifter får överföras till tredje land (artikel 25 och 26).
10.3. Andra internationella regler
10.3.1. Europarådets dataskyddskonvention
Europarådets dataskyddskonvention har presenterats i avsnit t 4.2.2 och bilaga 5. Enligt artikel 6 i konventionen får personuppgifter som hänför sig till att någon dömts för brott
97
inte undergå auto-
matisk databehandling, såvida inte nationell lag ger ett ändamålsenligt skyd d
98
.
97
På engelska ”personal data relating to criminal convictions”. I förklaringen till rekom-
mendationen (Explanatory Memorandum) anges (punkt 47): ”By ‘criminal convictions’ in the sense of this article should be understood: convictions based on criminal law and in the framework of a criminal procedure.”
98
På engelska ”unless domestic law provides appropriate safeguards”.
10.3.2. Europarådets rekommendationer
Till Europarådets dataskyddskonvention anknyter en rad oförbindande rekommendationer. Ett par av dessa berör särskilt behandling av personuppgifter om att någon dömts för brott.
I Europarådets rekommendation R (90) 19 om behandling av personuppgifter för betalning
99
finns det en bestämmelse (punkt
3.8) om att behandling av personuppgifter som hänför sig till att någon dömts för brott bara får ske när uppgifterna är av sådan natur att de är klart befogade att använda för att avgöra om individen är lämplig för att motta eller fortsätta att använda ett betalningsmedel och under förutsättning att individen har lämnat sitt uttryckliga och informerade samtycke eller att behandlingen sker i enlighet med skyddsåtgärder som är föreskrivna i nationell lag.
100
I Europarådets rekommendation R (89) 2 om skydd för personuppgifter som används för ändamål som rör anställning
101
finns det
en bestämmelse (punkt 10.1) om att sådana personuppgifter bara bör samlas in och lagras i särskilda fall inom de gränser som sätts av nationell lag och i enlighet med de ändamålsenliga skyddsåtgärder som finns i den lagstiftningen. Saknas sådana skyddsåtgärder, bör sådana uppgifter bara samlas in och lagras med arbetstagarnas uttryckliga och informerade samtycke.
102
10.3.3. ILO:s riktlinjer
I Internationella arbetsorganisationens (ILO:s) oförbindande riktlinjer 1996 om skydd för arbetares personuppgifter finns det en bestämmelse (punkt 6.5) om att en arbetsgivare inte bör samla in personuppgifter om att en arbetare dömts för brott. Under excep-
99
Recommendation No. R (90) 19 on the protection of personal data used for payment and
other related operations.
100
På engelska ”The processing of personal data relating to the criminal convictions of an
individual should only be carried out where the data are of such a nature that they are clearly justified for determining the suitability of that individual for receipt or continued use of a means of payment, and provided the individual has given his express and informed consent or the processing is in accordance with safeguards laid down by domestic law.”
101
Recommendation R (89) 2 on the protection of personal data used for employment pur-
poses.
102
På engelska ”Personal data relating to […] criminal convictions […], should only be
collected and stored in particular cases within the limits laid down by domestic law and in accordance with appropriate safeguards provided therein. In the absence of such safeguards, such data should only be collected and stored with the express and informed consent of the employees.”
tionella omständigheter får en arbetsgivare dock samla in sådana uppgifter, om uppgifterna är direkt relevanta för ett beslut som rör anställning och i enlighet med nationell lagstiftnin g.
103
10.4. Det svenska genomförandet
10.4.1. Personuppgiftslagen
I 21 § första stycket personuppgiftslagen har det tagits in ett principiellt förbud för andra än myndighet er
104
att behandla personupp-
gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (i det följande personuppgifter om lagöverträdelser). Från det förbudet för enskilda, dvs. andra än myndigheter, kan enligt andra och tredje styckena i paragrafen göras undantag genom antingen generella föreskrifter eller beslut i enskilda fall, beslutade av regeringen eller, efter vidare delegation, av myndighet.
Förbudet kan däremot inte upphävas med den registrerades samtycke. Ett samtycke till en viss behandling eller till och med ett samtycke till att för visst ändamål behandla just personuppgifter om lagöverträdelser berättigar således inte enskilda att behandla sådana personuppgifter.
Att behandla personuppgifter i strid med 21 § personuppgiftslagen är straffbart, se 49 § första stycke t b
105
, och kan föranleda ska-
deståndsansvar, se 48 §, och ingripanden från Datainspektionen.
I förarbetena
106
anfördes att personuppgifter om lagöverträdelser
otvivelaktigt är av så känslig natur att vem som helst inte bör få hantera uppgifterna hur som helst. Det stod dock klart att myndigheter ofta behöver hantera just sådana uppgifter för att kunna fullgöra de samhällsuppdrag som lagts på dem. I vilken utsträckning myndigheter får hantera sådana uppgifter framgår av de föreskrifter
103
På engelska ”In exceptional circumstances, an employer may collect [such data], if the
data are directly relevant to an employment decision and in conformity with national Legislation.” Jämför också punkt 6.8 om möjligheten för arbetaren att lämna felaktiga eller ofullständiga svar på frågor om bl.a. brottmålsdomar.
104
Uttrycket ”myndighet” är avsett att ha samma innebörd som motsvarande uttryck i arti-
kel 8.5 första stycket i EG-direktivet, se prop. 1997/98:44 s. 129.
105
I Helsingborgs tingsrätts dom 2001-01-31 I mål nr B 3915-00 har en person dömts till
dagsböter för bl.a. detta, se avsnitt 5.2.1.
106
som reglerar respektive myndighets verksamhet. Det ansågs därför ändamålsenligt att i personuppgiftslagen ta in en grundläggande bestämmelse om att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser. Eftersom det kan finnas fall där det är befogat att enskilda behandlar sådana uppgifter, kompletterades bestämmelsen med ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från förbudet och medge dispens i enskilda fall. Det antecknades därvid att Datalagskommittén som exempel på fall där det kan vara befogat med undantag nämnt den behandling av uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem kan behöva utföra för att vårda och behandla den dömde på ett effektivt sätt och viss registrering för försäkringsbolagens kravhantering.
107
Riksdagen har behandlat en motion med förslag om att personuppgifter om lagöverträdelser skall få behandlas om kravet på samtycke är uppfyllt.
108
I motionen påtalades att den som dömts för
brott och anser sig oskyldigt dömd inte hade någon möjlighet att lägga fram sin sak för offentligheten via Internet. Med anledning av motionen anförde konstitutionsutskottet följande:
109
”Utskottet vill framhålla att i den rätt till skydd för privatlivet som direktivet särskilt tar sikte på ingår en allmän rätt att lämnas i fred när det gäller den privata sfären (jfr SOU 1993:40, del B s. 58). Med en sådan utgångspunkt för direktivets tillämpningsområde får det enligt utskottets mening anses främmande att direktivet samtidigt skulle syfta till att reglera den enskildes rätt att behandla uppgifter om sig själv. Om direktivet hade ett sådant syfte, skulle det vidare innebära en inskränkning i andra grundläggande fri- och rättigheter som det […] avser att skydda. Utskottet vill därutöver framhålla att begreppen ’den registeransvarige’, ’den registrerade’ respektive ’tredje man’ i direktivets bestämmelser, samt motsvarande begrepp i personuppgiftslagen, uppenbarligen tar sikte på skilda objekt.
Mot bakgrund av det anförda uppfattar utskottet gällande rätt så att frånvaron av en samtyckesbestämmelse i 21 § personuppgiftslagen inte förhindrar en enskild att behandla sådana uppgifter som avses i lagrummet och som utgör uppgifter om den enskilde själv. Någon lagändring behövs därför inte. Motionen avstyrks.”
107
108
Motion 2000/01:K270.
109
KU 2000/01:19 s. 16.
Frågan om människorättsorganisationers behandling av personuppgifter om lagöverträdelser har berörts i en skriftlig fråga i riksdagen.
110
Jämför i fråga om försvarares behandling av personuppgif-
ter om lagöverträdelser vid tillgång till digitala förundersökningar Lars Heuman i JT 2002-03 s. 735–739 och JT 2003-04 s. 246–250 samt det beslut från Datainspektionen som refereras i avsnitt 10.4.2.
10.4.2. Datainspektionens undantagsmöjligheter
Enligt 9 § personuppgiftsförordningen har regeringen bemyndigat Datainspektionen att meddela dels föreskrifter om undantag från förbudet i 21 § personuppgiftslagen, dels beslut i enskilda fall om sådana undantag.
Datainspektionen har med stöd av bemyndigandet meddelat en generell föreskrift (DIFS 1998:3) om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. Inspektionen har därvid föreskrivit att personuppgifter om lagöverträdelser utan hinder av förbudet i 21 § personuppgiftslagen får behandlas om
a) behandlingen är nödvändig för att fullgöra en föreskrift på soci-
altjänstområdet (se numera 7 § lagen [2001:454] om behandling av personuppgifter inom socialtjänsten, som berörs i avsnitt 10.4.3),
b) behandlingen avser uppgift i anteckningar som förs i fristående
skolors elevvårdande verksamhet eller i motsvarande verksamhet hos enskilda anordnare av högskoleutbildning,
c) behandlingen är nödvändig för kontroll av att jävssituation inte
föreligger i advokatverksamhet eller annan juridisk verksamhet,
d) behandlingen avser endast enstaka uppgift som är nödvändig för
att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i ett enskilt fall, eller
e) behandlingen avser endast enstaka uppgift som är nödvändig för
att anmälningsskyldighet enligt lag skall kunna fullgöras.
Datainspektionen har hittills inte beslutat om undantag i något enskilt fall. En ansökan om undantag har inkommit, men avvisats (beslut 2003-05-12 i dnr 757-2003).
111
Ett par offentliga försvarare i ett
110
Fråga 2001/02:316.
111
Se om beslutet Lars Heuman i JT 2003-04 s. 246–250.
omfattande brottmål, där åklagaren bl.a. åberopat 114 vittnesförhör, ansökte om undantag för att få tillgång till förundersökningen i målet i digital form. Datainspektionen hänvisade i beslutet till undantaget när behandlingen avser endast enstaka uppgift som är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i ett enskilt fall och angav:
”Syftet med undantaget […] är att göra det möjligt för bl.a. advokater att behandla personuppgifter om klienter som exempelvis är misstänkta för brott. Nödvändiga behandlingar av personuppgifter som exempelvis rör försvaret av klienten vid misstanke om brott omfattas av undantaget. Är det nödvändigt för försvaret av klienten är det även tillåtet att behandla uppgifter om eventuella medåtalade.
Er behandling av brottsuppgifter som har betydelse för att utföra ert uppdrag omfattas av undantaget […] och är därmed tillåten. Huruvida personuppgifterna som behandlas samlas in från diskett, cd-romskiva eller från papper saknar betydelse vid tillämpningen av denna undantagsbestämmelse. En förutsättning för att behandlingen skall vara laglig är emellertid att endast nödvändiga och relevanta uppgifter samlas in t.ex. från en cd-romskiva som innehåller förundersökningen.
Med hänsyn till ovanstående anser Datainspektionen att det inte behövs något särskilt beslut om undantag från 21 § PuL. Ansökan skall därför avvisas.”
Enligt 6 § kreditupplysningslagen (1973:1173) får personuppgifter om lagöverträdelser inte utan medgivande av Datainspektionen behandlas i kreditupplysningsverksamhet. Ett sådant medgivande får lämnas endast om det finns synnerliga skäl.
112
Datainspektionen
har hittills inte lämnat något medgivande enligt den bestämmelsen.
10.4.3. Andra författningar
Om det i en lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, skall de bestämmelserna gälla (2 § personuppgiftslagen). Det kan således finnas bestämmelser i andra författningar som tar över förbudet i 21 § personuppgiftslagen och tillåter att enskilda behandlar personuppgifter om lagöverträdelser.
Bestämmelsen i 6 § kreditupplysningslagen (1973:1173) har redan nämnts i närmast föregående avsnitt. Bulvanutredningen har
112
föreslagit att kreditupplysningsföretag skall ges möjlighet att förmedla uppgifter om lagakraftvunna domar och godkända strafförelägganden avseende ekonomisk brottslighet.
113
Enligt 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten får socialtjänsten behandla personuppgifter om lagöverträdelser om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.
114
Med socialtjänsten avses därvid
(se 2 § i lagen):
1. verksamhet enligt lagstiftningen om socialtjänst och den särskil-
da lagstiftningen om vård utan samtycke av unga eller av missbrukare,
2. verksamhet som i annat fall enligt lag handhas av socialnämnd,
3. verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,
4. verksamhet hos kommunal invandrarbyrå,
5. verksamhet enligt lagstiftningen om stöd och service till vissa
funktionshindrade,
6. handläggning av ärenden om bistånd som lämnas av socialnämnd
enligt lagstiftning om mottagande av asylsökande m.fl.,
7. handläggning av ärenden om introduktionsersättning för flyk-
tingar och vissa andra utlänningar,
8. handläggning av ärenden om tillstånd till parkering för rörelse-
hindrade,
9. tillsyn, uppföljning, utvärdering, kvalitetssäkring och administra-
tion av verksamhet som avses i 1–8.
Viss sådan verksamhet kan bedrivas av enskilda.
Enligt lagen (1999:163) om penningtvättsregister får bankföretag m.fl. föra s.k. penningtvättsregister med sådana uppgifter om omständigheter som kan tyda på penningtvätt som lämnats till polisen enligt lagen (1993:768) om åtgärder mot penningtvätt .
115
Sådana
företag får också föra register med sådana uppgifter som lämnats till polisen om omständigheter som kan tyda på att en transaktion avser tillgångar som är föremål för brott enligt lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, m.m.
116
113
SOU 1998:47, jämför prop. 2000/01:50 s. 24.
114
115
116
Vissa enskilda arbetsgivare har i viss utsträckning enligt särskilda bestämmelser möjlighet
117
eller skyldighet
118
att kontrollera ett ut-
drag ur belastningsregistret före anställning eller annat anlitande inom vissa verksamheter. Dessa bestämmelser synes emellertid inte ge de enskilda arbetsgivarna möjlighet att behandla de erhållna personuppgifterna om lagöverträdelser på ett sätt som omfattas av personuppgiftslagen.
Integritetsutredningen har föreslagit att enskilda arbetsgivare skall få behandla personuppgifter om lagöverträdelser avseende arbetstagare och arbetssökande, om behandlingen är nödvändig för att bedöma arbetstagarens eller arbetssökandens tillförlitlighet med hänsyn till säkerheten för det allmänna eller för arbetsgivarens verksamhet. Den föreslagna bestämmelsen utgör emellertid inte något avsteg från 21 § personuppgiftslagen utan tar sikte på sådan manuell dokumenterad behandling av personuppgifter som inte omfattas av personuppgiftslagen.
119
10.5. Genomförandet i andra länder
I Danmark, Finland, Norge, Storbritannien, Grekland och Nederländerna kan den registrerades uttryckliga samtycke göra det tillåtet att behandla personuppgifter om lagöverträdelser. I Grekland krävs dessutom ett tillstånd av tillsynsmyndigheten och att samtycket är skriftligt. Också i Italien och Portugal krävs det tillstånd av tillsynsmyndigheten för att enskilda skall få behandla sådana uppgifter utan stöd i särskild lagstiftning.
I Danmark och Österrike finns det bestämmelser om att enskilda kan få behandla personuppgifter om lagöverträdelser efter en intresseavvägning. I Portugal kan tillstånd till sådan behandling lämnas av tillsynsmyndigheten efter en intresseavvägning.
I Danmark, Finland, Norge, Storbritannien, Nederländerna och Grekland får enskilda behandla personuppgifter om lagöverträdelser under samma förutsättningar som känsliga personuppgifter. I Nederländerna får en personuppgiftsansvarig vidare behandla personuppgifter om lagöverträdelser för att bedöma en ansökan från
117
Se 10 § lagen (1998:620) om belastningsregister och 21 § förordningen (1999:1134) om
belastningsregister.
118
Se lagen (2000:873) om registerkontroll av personal inom förskoleverksamhet, skola och
skolbarnomsorg.
119
SOU 2002:18, särskilt s. 203 ff.
den registrerade och för att skydda sina intressen om det finns anledning att anta att ett brott kan komma att begås mot den personuppgiftsansvarige eller sådana personer som arbetar för denne. I Belgien får personuppgifter om lagöverträdelser behandlas av enskilda bl.a. om det är nödvändigt för att uppfylla mål som har lagts fast i lagstiftning eller för att hantera egna rättsprocesser. I Belgien får vidare juridiska rådgivare behandla personuppgifter om lagöverträdelser om det är nödvändigt för att skydda deras klienters intressen.
10.6. Överväganden
Utredningens bedömning: Några bestämmelser om undantag från förbudet för enskilda att behandla personuppgifter om lagöverträdelser bör inte föras in direkt i personuppgiftslagen, utan de möjligheter till undantag genom generella föreskrifter i andra författningar och genom beslut i enskilda fall som redan finns är tillräckliga.
Personuppgifter om lagöverträdelser upplevs av många människor som känsliga. Många skäms över och vill för omvärlden hemlighålla att de någon gång i livet t.ex. gjort sig skyldiga till brott, suttit i fängelse eller tvångsomhändertagits för missbruk. Sådana uppgifter om en person kan vidare påverka utomståendes uppfattning om personen. För rehabiliteringen av brottslingar är det viktigt att den som sonat sitt brott kan leva i samhället utan det stigma som uppgiften om den tidigare brottsligheten kan utgöra.
Det finns alltså goda skäl för en restriktiv reglering av när personuppgifter om lagöverträdelser får registreras och lagras. Samtidigt måste man komma ihåg att en lagstiftning som personuppgiftslagen har sina begränsningar. Personuppgiftslagen gäller i princip bara om man registrerar – eller avser att registrera – personuppgifter i datorformat eller i regelrätta manuella personregister. En tillämpning av lagen kan t.ex. förhindra att personuppgifter om lagöverträdelser på ett obefogat sätt lagras för framtida användning eller sprids med hjälp av datorer på Internet. Men i t.ex. många avtalssituationer kan personuppgiftslagen med sitt ändå begränsade tillämpningsområde inte ge ett fullgott skydd. Det beror på att den tilltänkta avtalsmotparten – den som överväger att anställa, lämna ett lån, hyra ut bostad, bil eller videofilm etc. – i dessa fall i praktiken inte behöver registrera någon
ken inte behöver registrera någon personuppgift om lagöverträdelser för att kunna sortera bort oönskade kontrahenter. Det räcker att den tilltänkta avtalsmotparten vid referenstagning får höra om uppgifterna eller att sökanden på begäran visar upp ett utdrag ur belastningsregistret eller lämnar upplysningar.
För att åstadkomma ett fullgott skydd och en rimlig avvägning mellan de intressen som gör sig gällande torde det krävas en särskild reglering för de olika avtalssituationerna och liknande. Något sådant ligger inte inom ramen för utredningsuppdraget. Vid kreditupplysning har behandling av personuppgifter om lagöverträdelser särreglerats, och en reglering för anställda och i anställningssituationer har relativt nyligen föreslagits.
Personuppgiftslagen ger i dag uttryck för en synnerligen restriktiv hållning när det gäller enskildas behandling av personuppgifter om lagöverträdelser. Sådan behandling är i princip förbjuden. Att enskilda kan ha legitima behov av att behandla personuppgifter om lagöverträdelser står dock klart. Redan i dag finns det, på grund av lämnade bemyndiganden, möjlighet för regeringen och Datainspektionen att utan egentliga begränsningar tillåta enskilda att behandla personuppgifter om lagöverträdelser. Det kan ske genom såväl generella föreskrifter som beslut i enskilda fall som hastigt uppkommer.
Utredningen har enligt utredningsdirektiven att överväga om det i personuppgiftslagen bör tas in bestämmelser som direkt tillåter enskilda att behandla personuppgifter om lagöverträdelser. Därvid skall utredningen särskilt överväga om den registrerades samtycke bör göra sådan behandling tillåten. Frågan är alltså om det finns behov av materiella föreskrifter om enskildas behandling av personuppgifter om lagöverträdelser i personuppgiftslagen eller om de vida möjligheter till normgivning på lägre nivå som redan finns är tillräckliga.
Utredningen har redan varit inne på att ett fullgott skydd och en rimlig intresseavvägning för speciellt känsliga situationer kräver särregler med ett vidare tillämpningsområde än personuppgiftslagen. Att ändå utforma och ta in speciella bestämmelser om olika sådana situationer i personuppgiftslagen framstår inte som ändamålsenligt eller ens möjligt att göra inom utredningens ram. I den utsträckning det skulle komma upp ett legitimt behov för enskilda att behandla personuppgifter om lagöverträdelser i en viss situation kan, i avvaktan på en mer vittsyftande författningsreglering av situationen, frågan lösas genom de möjligheter till normgivning som redan finns enligt personuppgiftslagen.
Frågan är då närmast om det finns behov av och är lämpligt med bestämmelser i personuppgiftslagen för mer generella fall, t.ex. vid samtycke eller när det, rent generellt, är viktigt att kontrollera en persons pålitlighet eller vandel. I det sammanhanget finns det anledning att erinra om utredningens förslag i avsnitt 7.7 som innebär att behandling av personuppgifter, innefattande personuppgifter om lagöverträdelser, som finns i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar tillåts så länge behandlingen inte innefattar ett missbruk av uppgifterna.
Det första man måste fråga sig är vilket behov för enskilda att behandla personuppgifter om lagöverträdelser som har visat sig sedan personuppgiftslagen trädde i kraft.
I svaren på Justitiedepartementets enkät för offentliga utvärdering har frågan om behandling av personuppgifter om lagöverträdelser fått förhållandevis lite uppmärksamhet, och några direkta önskemål om ytterligare regler som tillåter sådan behandling verkar inte ha fört s fram.
120
Som framgått av avsnitt 10.4 finns det redan en hel del föreskrifter som tillåter enskilda att behandla personuppgifter om lagöverträdelser. Såvitt utredningen känner till har det – med ett undantag, se avsnitt 10.4.2 – inte förekommit några ansökningar, som vidhållits, till regeringen eller Datainspektionen om ytterligare undantag från förbudet i 21 § personuppgiftslagen genom generella föreskrifter eller beslut i enskilda fall.
Såvitt framkommit har hittills bara ett par personer dömts för bl.a. brott mot 21 § personuppgiftslagen (se avsnitt 5.2.1). Den ene hade på Internet namngett personer som påstods ha gjort sig skyldiga till våld täkt.
121
Den andre dömdes av en tingsrätt för att han
hade registrerat känsliga personuppgifter och uppgifter om domar i brottmål om över ettusen personer med syfte att kartlägga politiska motståndare och att på något sätt sprida uppgifter om dem och därmed möjliggöra angrepp på dem; efter överklagande ogillade dock hovrätten det åtalet.
122
Att tillåta sådant genom särskilda före-
skrifter torde knappast vara aktuellt.
Vid genomförandet av EG-direktivet i andra länder har man gjort på olika sätt. Det finns exempel på länder som, liksom Sverige, nöjt sig med möjligheten att genom särskilda föreskrifter och myndighetsbeslut tillåta enskilda att behandla personuppgifter om
120
Ds 2001:27 s. 53 ff.
121
Helsingborgs tingsrätts dom 2001-01-31 i mål nr B 3915-00.
122
Hovrättens över Skåne och Blekinge dom 2003-11-11 i mål nr B 3113-02.
lagöverträdelser. Men det finns också exempel på länder som i den generella genomförandelagstiftningen tagit in bestämmelser om i vilka fall sådan behandling får ske, t.ex. i de fall känsliga personuppgifter får behandlas.
Utredningens slutsats mot denna bakgrund – särskilt avsaknaden av framförda önskemål om ytterligare konkreta undantag – är att det inte verkar finnas något uttalat behov av andra undantag från förbudet i 21 § personuppgiftslagen än de som redan finns på annat håll än i personuppgiftslagen och det som följer av den bestämmelse om behandling av personuppgifter som finns i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som föreslås i avsnit t 7.7. Datainspektionens föreskrift, kompletterad med några lagregler i särskilda registerförfattningar, verkar ha täckt in de behov av undantag som finns för närvarande. Och skulle det uppkomma nya behov, finns det som sagt redan goda möjligheter att, efter överväganden om den aktuella situation som uppkommit, medge ytterligare undantag när det är befogat.
Vad särskilt gäller samtycke som grund för behandling av personuppgifter om lagöverträdelser kan härutöver följande sägas.
Inte i någon föreskrift om undantag från förbudet i 21 § personuppgiftslagen som finns i dag har den registrerades samtycke tillmätts någon betydelse.
När frågan om samtycke varit uppe i riksdagen har det gällt den speciella situationen att någon velat behandla personuppgifter om sina egna lagöverträdelser, något som ansetts vara möjligt redan i dag.
Frågan om arbetsgivares dokumenterade behandling av personuppgifter om lagöverträdelser om arbetssökande och arbetstagare har relativt nyligen utretts, varvid det inte fördes fram något förslag om att samtycke bör utgöra en grund för behandlingen.
En del länder godtar samtycke som grund för behandling av personuppgifter om lagöverträdelser, medan andra länder inte gör det.
Anledning till att den registrerades samtycke inte berättigar enskilda att behandla personuppgifter om lagöverträdelser i Sverige och på olika håll utomlands är förmodligen att det ansetts befogat att statsmakterna fastställer när sådan behandling skall få ske. Bakgrunden till det ställningstagandet är i sin tur troligen att frågan om samtycke ansetts vara särskilt svår att hantera i fråga om personuppgifter om lagöverträdelser, särskilt i avtalssituationer där samtycke skulle kunna ställas upp som förutsättning för sådant som den enskilde är mer eller mindre beroende av, t.ex. anställning, penninglån och hyra av olika saker och nyttigheter. Att låta sam-
tycke berättiga behandlingen skulle i sådana situationer onekligen sätta press på den enskilde på ett sätt som förmodligen inte bör godtas i alla fall. Det står vidare inte helt klart vad som krävs för att ett samtycke på det sätt som krävs enligt definitionen i 3 § personuppgiftslagen skall anses vara frivilligt.
123
Utredningen delar den bedömning som hittills gjorts i Sverige och på flera håll utomlands i frågan om den registrerades samtycke generellt sett bör berättiga till behandling av personuppgifter om lagöverträdelser. Det är alltså inte lämpligt att i personuppgiftslagen ta in en generell bestämmelse om att enskilda får behandla sådana personuppgifter bara för att den registrerade lämnat sitt samtycke till det. Frågan om och när samtycke bör berättiga sådan behandling bör i stället bedömas för de olika konkreta situationer som i framtiden kan uppkomma antingen inom ramen för de möjligheter till normgivning som redan finns enligt personuppgiftslagen eller inom ramen för lagstiftningsinitiativ för den aktuella situationen.
Utredningen anser mot den redovisade bakgrunden sammanfattningsvis att det inte i dag finns behov av – eller är lämpligt – att i personuppgiftslagen föra in något undantag från förbudet i 21 § som inte redan finns enligt andra föreskrifter. Det gäller också ett undantag om den enskildes samtycke till behandlingen.
Utredningen kan slutligen inte se någon direkt fördel med att ta in de föreskrifter om undantag som redan finns direkt i personuppgiftslagen. Det viktiga är att personuppgifter om lagöverträdelser kan behandlas i de fall det är befogat, inte att bestämmelserna om detta finns i just personuppgiftslagen. I Datainspektionens föreskrift finns de undantag samlade som inte har direkt koppling till en särskild registerförfattning. Regleringssättet får anses redan uppfylla rimliga krav på tydlighet och överskådlighet.
123
Jämför SOU 1997:39 s. 342. Eftersom det står medlemsstaterna fritt att tillåta enskilda
att behandla personuppgifter om lagöverträdelser under de förutsättningar som anses befogade, är det dock i och för sig inte helt nödvändigt att för sådan behandling kräva just ett sådant samtycke som avses med den nuvarande definitionen i EG-direktivet och personuppgiftslagen.
tegritetsskyddet att uttryckligen i personuppgiftslagen ange att skyldigheten att lämna registerutdrag inte gäller i den utsträckning det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna utdrag. Frågan är om ett sådant uttryckligt undantag är förenligt med EG-direktivet.
Det kan för det första konstateras att det inte i artikel 12 i EGdirektivet finns någon sådan möjlighet till undantag. En motsvarande undantagsmöjlighet finns dock i fråga om skyldigheten enligt artikel 11 i EG-direktivet att självmant lämna information i samband med att personuppgifter samlas in från någon annan källa än den registrerade själv. Däremot är det enligt artikel 13.1 g i EGdirektivet tillåtet att begränsa omfattningen av rätten till registerutdrag enligt artikel 12 under förutsättning att en sådan begränsning är en nödvändig åtgärd med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter.
Det kan vidare konstateras att många medlemsstater vid genomförandet av EG-direktivet på olika sätt har gjort en rad undantag eller begränsningar i skyldigheten att lämna registerutdrag (se avsnit t 11.5). Såvitt u tredningen kan förstå måste en hel del av dessa undantag och begränsningar grunda sig på bestämmelsen i artikel 13.1 g i EG-direktivet om skydd för andras fri- och rättigheter.
Slutligen kan det konstateras att regeringen, genom en ändring i arkivförordningen, för personuppgifter i arkivmaterial hos arkivmyndigheter redan infört ett sådant uttryckligt undantag som nu diskuteras (se avsnitt 11.4.2). Såvitt utr edningen kan förstå grundar sig det undantaget på bestämmelsen i artikel 13.1 g i EG-direktivet om skydd för andras fri- och rättigheter. Ändringen skulle i så fall också tyda på att det ansetts att även staten och dess myndigheter kan ha sådana fri- och rättigheter som avses i den nämnda artikeln.
Mot den bakgrunden anser utredningen att det med fog kan göras gällande att det är en sådan fri- och rättighet som avses i artikel 13.1 g i EG-direktivet att slippa göra en oproportionerligt stor arbetsinsats. Det bör därför vara möjligt att införa ett uttryckligt undantag från registerutdragsskyldigheten för sådant som visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Vad det föreslagna undantaget närmare innebär berörs i författningskommentaren.
12. Avkriminalisering
12.1. Utredningsdirektiven
Enligt utredningsdirektiven skall utredningen analysera vilka regler som bör gälla vid brott mot personuppgiftslagen för straffansvar i subjektivt hänseende – dvs. om oaktsamhet av normalgraden som i dag räcker för straffansvar bör ersättas med ett krav på grov oaktsamhet eller uppsåt – samt om någon förseelse mot personuppgiftslagen helt bör avkriminaliseras, såsom t.ex. vissa överföringar av personuppgifter till tredje land.
12.2. EG-direktivet
Enligt artikel 24 i EG-direktivet skall medlemsstaterna anta lämpliga bestämmelser för att säkerställa att EG-direktivet genomförs fullständigt. Staterna skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som har antagits till följd av EG-direktivet.
EG-domstolen har i sin motivering i domen den 6 november 2003 i det s.k. konfirmandlärarmålet (mål C-101/01) betonat att sanktionsåtgärder alltid måste stå i överensstämmelse med proportionalitetsprincipen och att det i enlighet med den principen ankommer på de nationella domstolarna att beakta alla omständigheter, bl.a. under hur lång tid överträdelsen av reglerna har pågått och hur viktigt det är för de berörda att de uppgifter som har spritts skyddas.
12.3. Europarådets dataskyddskonvention
Europarådets dataskyddskonvention har presenterats i avsnit t 4.2.2 och bilaga 5. Enligt artikel 10 i konventionen åtar sig konventionsstaterna att införa lämpliga sanktioner och påföljder för brott mot de nationella föreskrifter som genomför de grundläggande dataskydd sprinciperna i konventionen.
139
12.4. Personuppgiftslagen
Enligt 45 § personuppgiftslagen kan Datainspektionen ingripa med vitesföreläggande vid olaglig behandling av personuppgifter. En behandling av personuppgifter i strid med personuppgiftslagen medför också i princip skyldighet att betala s.k. ideellt skadestånd till den registrerade för den kränkning som skett.
Datalagskommittén ansåg mot bakgrund av dessa sanktionsmöjligheter att det inte behövdes några särskilda bestämmelser om straff i lagen med hänsyn till EG-direktivet. Kommittén föreslog att bara uppsåtligt eller oaktsamt lämnande av osann uppgift skulle vara straffbart, eftersom det ansågs svårt att stävja sådant på annat sätt än med ett ganska rejält straff.
140
Regeringen ansåg att sanktionerna vite och skadestånd fick anses effektiva och i stort sett tillräckliga. Regeringen kom dock fram till att även vissa andra uppsåtliga eller oaktsamma förfaranden än lämnande av osann uppgift borde kriminaliseras. Underlåtenhet att göra anmälan till tillsynsmyndigheten kriminaliserades, eftersom det ansågs svårt att stävja sådan underlåtenhet med andra medel än ett straffhot. Även olaglig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser kriminaliserades. Dessutom kriminaliserades olaglig överföring av personuppgifter till tredje land, bl.a. eftersom förfarandet innebär att personuppgifterna i praktiken försvinner utom räckhåll för svenska skyddsåtgärder.
Svenska bankföreningen hade i sitt remissyttrande föreslagit att bara sådan oaktsamhet som är grov skall bestraffas. Regeringen ansåg dock att det förslaget inte borde följas, eftersom vikten av att vara noggrann med de uppgifter som lämnas och med att följa bl.a.
139
På engelska ”Each Party undertakes to establish appropriate sanctions and remedies for
violations of provisions of domestic law giving effect to the basic principles for data protection set out in this chapter.”
140
reglerna om när känsliga personuppgifter får behandlas inskärps på ett ändamålsenligt sätt genom att det för straffansvar räcker med oaktsamhet.
141
I personuppgiftslagen infördes i 49 § en bestämmelse om straff för den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som
föreskrivs i lagen, i anmälan till tillsynsmyndigheten enligt 36 §, eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §, b) behandlar känsliga personuppgifter eller personuppgifter om lagöverträdelser i strid med 13–21 §§,
c) för över personuppgifter till tredje land i strid med 33–35 §§, el-
ler
d) låter bli att göra anmälan till tillsynsmyndigheten enligt 36 § för-
sta stycket eller enligt föreskrifter meddelade med stöd av 41 §.
Straffskalan är böter eller fängelse i högst sex månader eller, om brottet är grovt, fängelse i högst två år. Den som överträtt ett vitesföreläggande skall dock inte dömas till ansvar för en gärning som omfattas av vitesföreläggandet.
I samband med att bestämmelserna om överföring av personuppgifter till tredje land lättades upp avkriminaliserades gärningar som är ringa genom att det föreskrevs att det i ringa fall inte skall dömas till ansvar. Regeringen noterade att det finns överträdelser av personuppgiftslagens straffbestämmelse som i det enskilda fallet inte framstår som särskilt straffvärda och att det ibland kan vara svårt för den personuppgiftsansvarige att på förhand avgöra om en överföring till tredje land är tillåten eller inte enligt de nya bestämmelserna. Det kunde förutses att det kommer att finnas situationer där det visar sig att den personuppgiftsansvarige gjort en felaktig bedömning men överträdelsen av överföringsförbudet inte är särskilt klandervärd. Det ansågs angeläget att motverka sådana negativa konsekvenser.
142
Vad som är ringa fall får bedömas med hänsyn
till samtliga omständigheter i det enskilda fallet. Alla faktorer som uppgifternas art och vilken integritetskränkning eller risk för integritetskränkning som behandlingen orsakat skall vägas in vid bedömningen av om en överträdelse är att betrakta som ringa.
143
141
142
143
I de brottmål om personuppgiftslagen som utredningen fått kännedom om – se av snitt 5.2.1 – har det varit fråga om uppsåtliga brott. I ett fall om åtal mot en person för det att han på sin hemsida på Internet påstått att fem namngivna personer gjort sig skyldiga till våldtäkt och därigenom olovligen dels behandlat personuppgifter om lagöverträdelser som innefattar brott, dels fört över personuppgifterna till tredje land invände den tilltalade att han begått brottet av oaktsamhet.
144
Helsingborgs tingsrätt uttalade i den de-
len följande:
”[Den tilltalade] måste uppenbarligen ha varit medveten om att han lagt in personuppgifterna och brottspåståendet på sina hemsidor. Han måste också ha insett att uppgifterna blev tillgängliga i hela världen när han lade ut dem på Internet. Vad han däremot måhända inte kände till var att det var förbjudet enligt personuppgiftslagen att göra detta. Detta förhållande medför dock inte att [den tilltalade] skall anses ha begått brottet av oaktsamhet. Han har nämligen varit skyldig att ta reda på gällande regler på området innan han lade ut några uppgifter på Internet. Tingsrätten anser därför att [den tilltalade] har begått brottet uppsåtligen.”
12.5. Förhållandena i andra länder
Samtliga medlemsstater i EU som genomfört EG-direktivet – och Norge – verkar ha straffrättsliga sanktioner för olika brott mot genomförandelagstiftningen. I Tyskland och Österrike, liksom i vissa fall i Portugal, verkar det krävas uppsåt för straffbarhet. I Finland och Norge krävs det att brottet begåtts uppsåtligen eller av grov oaktsamhet. I Grekland, Italien, Nederländerna och Portugal finns det föreskrifter om viss strafflindring när brott begåtts utan uppsåt.
144
Helsingborgs tingsrätts dom 2001-01-31 i mål nr B 3915-00.
12.6. Överväganden och förslag
Utredningens förslag: Bara uppsåtliga och grovt oaktsamma förfaranden skall vara straffbara.
Utredningens bedömning: Det finns inte anledning att i övrigt avkriminalisera.
12.6.1. Avkriminalisering av någon typ av förseelse
Vad först gäller frågan om någon i dag straffbar förseelse mot personuppgiftslagen bör helt avkriminaliseras måste man hålla i minnet att det bara är få olagliga förfarande som gjorts straffbara. Att någon far med osanning eller struntar i att anmäla sin behandling är svårt att komma till rätta med utan straffhot, punkterna a och d i 49 §. I övrigt har bara förfaranden som innebär att känsliga personuppgifter eller personuppgifter om lagöverträdelser behandlas olagligt eller att personuppgifter på ett olagligt sätt i praktiken görs oåtkomliga för svenska skyddsåtgärder (genom att exporteras till tredje land med undermålig skyddsnivå) gjorts straffbara, punkterna b och c i 49 §. Utredningen anser att det är befogat att bestraffa sådana förfaranden som nu nämnts. Det gäller särskilt mot bakgrund av att ringa fall är straffria, vilket gör att eventuella orimliga konsekvenser av straffbarheten kan undvikas. Utredningen föreslår således inte att någon typ av förseelse helt avkriminaliseras.
12.6.2. Bara uppsåtliga och grovt oaktsamma förfaranden bör vara straffbara
Vad härefter gäller frågan om bara uppsåtliga och grovt oaktsamma förfaranden skall vara straffbara gör utredningen följande överväganden.
Vid införandet av personuppgiftslagen ansågs det att vikten av att följa reglerna inskärptes på ett ändamålsenligt sätt genom att det för straffansvar räcker med oaktsamhet (av normalgraden) .
145
Senare har emellertid ett undantag införts för ringa fall av överträdelser, främst för fall där den personuppgiftsansvarige gjort en felaktig bedömning men överträdelsen inte är särskilt klandervärd.
146
I
145
146
de särskilda registerförfattningar som införts efter personuppgiftslagen har det normalt inte heller tagits in några särskilda bestämmelser om st raff.
147
Synen på behovet av straffbestämmelser verkar
således ha mildrats sedan personuppgiftslagen infördes.
I stor utsträckning bör regeln om att ringa fall är straffria vara tillräcklig för att undvika oskäliga resultat vid mindre klandervärda felbedömningar och när den tilltalade inte haft uppsåt. Vad som är ringa fall skall bedömas med hänsyn till samtliga omständigheter i det enskilda fallet.
148
Det är alltså möjligt att ta hänsyn till vilken
grad av oaktsamhet den tilltalade visat. Även en överträdelse som begåtts uppsåtligen kan vara ett ringa fall. När det gäller sådan olaglig behandling av personuppgifter som är straffbar (punkterna b och c i 49 §) torde överträdelsen för det mesta ha begåtts uppsåtligen och inte av oaktsamhet. Det torde nämligen ofta stå klart att den tilltalade varit fullt medveten om den behandling som skett och således utfört behandlingen uppsåtligen, jämför det som citerats ur domen från Helsingborgs tingsrätt i avsnitt 12.4. I mindre klan dervärda sådana fall, skulle således inte en avkriminalisering av oaktsamma överträdelser leda till straffrihet utan här får man ta till regeln om ringa fall för att undvika oskäliga resultat.
Det finns dock situationer som regeln om ringa fall inte verkar kunna omfatta men där man ändå kan överväga straffrihet. Det gäller främst det fallet att en oaktsamhet av normalgraden har lett till en förhållandevis stor skada eller en kännbar integritetskränkning eller en påtaglig risk för det. Då kan det med hänsyn till gärningens konsekvenser vara svårt att med fog påstå att det är fråga om ett ringa fall. Även i de situationer där någon av oaktsamhet lämnat osanna uppgifter eller låtit bli att göra en anmälan (punkterna a och d i 49 §) verkar regeln om ringa fall passa mindre väl.
Att göra oaktsamma förfaranden av normalgraden straffria verkar således ha en viss betydelse vid sidan av regeln om att ringa fall är straffria. Frågan är då om det finns några bärande skäl emot en sådan avkriminalisering, som får anses ligga i linje med hur synen på behovet av straff utvecklats efter införandet av personuppgiftslagen. Utredningen anser att så inte är fallet. Om de registrerades integritet kränks eller om de annars lider skada, kan de få skadestånd av den personuppgiftsansvarige även om den tilltalade överträtt personuppgiftslagen av oaktsamhet. Det får anses tillräckligt för att inskärpa vikten av att reglerna om behandling av personupp-
147
Se prop. 2001/02:144 s. 45 f. med vidare hänvisningar.
148
gifter följs (jämför punkterna b och c i 49 §). I och med att grovt oaktsamma förfaranden fortfarande skall vara straffbara, kan man vidare komma åt de fall där den tilltalade visat uppenbar nonchalans för bestämmelserna om att riktiga uppgifter skall lämnas och att anmälan skall göras (jämför punkterna a och d i 49 §). Det får anses tillräckligt.
Utredningen föreslår således att bara uppsåtliga och grovt oaktsamma förfaranden skall vara straffbara.
Det är bl.a. straffbestämmelserna som ger reglerna i personuppgiftslagen dess karaktär av offentligrättsliga föreskrifter. Att reglerna har den karaktären har betydelse bl.a. för möjligheten att ge normgivningsbemyndiganden för regeringen och underlydande myndigheter på personuppgiftslagens område.
149
Utredningen an-
ser att den begränsade avkriminalisering som nu föreslås inte är av sådan art eller omfattning att den skulle kunna ha betydelse för frågan om bestämmelserna i personuppgiftslagen är sådana i grunden offentligrättsliga föreskrifter som gör det möjligt med normgivningsbemyndiganden.
Avslutningsvis bör betonas att straffet, såsom EG-domstolen antytt, alltid måste bestämmas så att det står i proportion till förseelsen i det aktuella fallet. De svenska straffbestämmelserna, i personuppgiftslagen och annorstädes, torde redan bygga på ett sådant synsätt eller åtminstone inte hindra domstolarna från att tillämpa en sådan proportionalitetsprincip. De problem som kan vara förknippade med att i en svensk straffrättslig miljö tillämpa en EGrättslig proportionalitetsprincip torde vara allmängiltiga och inte direkt knutna till straffbestämmelsen i personuppgiftslagen.
149
Se prop. 1997/98:44 s. 58 ff. och 237 ff. samt KU 1997/98:18 s. 41 ff.
13. Överklagande av myndighetsbeslut
13.1. Utredningsdirektiven
Enligt utredningsdirektiven skall utredningen överväga hur det i personuppgiftslagen bör införas ett förtydligande av hur beslut av myndighet enligt lagen kan överklagas, såsom bl.a. beslut om rättelse och avslag på ansökan om information.
Uppdraget omfattar, såsom utredningen uppfattat det, inte frågan om hur Datainspektionens beslut i egenskap av tillsynsmyndighet överklagas utan bara frågan om hur andra myndighetsbeslut enligt personuppgiftslagen skall kunna överklagas. Utredningsuppdraget omfattar vidare inte frågan om det är lämpligt att sådana myndighetsbeslut kan överklagas utan uppdraget är begränsat till att överväga hur en sådan möjlighet till överklagande skall framgå av personuppgiftslagen.
13.2. EG-direktivet och andra internationella regler
Det finns inget i EG-direktivet som kräver att myndighetsbeslut – andra än tillsynsmyndighetens
– om sådant som regleras i EG-
direktivet skall kunna överklagas. Däremot krävs det enligt artikel 22 i EG-direktivet att medlemsstaterna föreskriver att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på behandlingen av personuppgifterna. Den rätten skall inte på-
Se artikel 28.3 andra stycket i EG-direktivet.
verka möjligheten att utnyttja administrativa förfaranden som kan användas innan ett ärende anhängiggörs hos en rättslig instans.
Inte heller Europarådets dataskyddskonvention kräver en möjlighet till överklagande.
13.3. Datalagen
13.3.1. Avslag på begäran om registerutdrag
I datalagen fanns det i 25 § tredje stycket en bestämmelse om att om en registeransvarig myndighet avslog en begäran om ett s.k. registerutdrag, skulle avslagsbeslutet överklagas på samma sätt som ett beslut av myndigheten att avslå en begäran om utlämnande av allmän handling. Med myndighet skulle därvid jämställas andra organ i den utsträckning som anges i 1 kap.8 och 9 §§sekretesslagen (1980:100), dvs. i huvudsak kommunala företag och andra privaträttsliga subjekt med anknytning till det allmänna, t.ex. genom att verksamheten innebär myndighetsutövning.
Den angivna bestämmelsen om överklagande av beslut om avslag på begäran om registerutdrag infördes genom en ändring i datalagen 1992. Det noterades därvid att registrerade som söker information om sig själva inom den offentliga sektorn kan välja mellan att åberopa bestämmelserna om registerutdrag och bestämmelserna om allmänna handlingar samt att det ofta inte klart framgår på vilken laggrund en framställning bygger. Vidare noterades att en myndighets beslut att avslå en begäran om registerutdrag fick överklagas enligt allmänna regler om överklagande av en myndighets beslut, vilket innebar att det tillämpades bl.a. skilda instansordningar för beslut av statliga och kommunala myndigheter. Ändringen genomfördes för att få enhetliga regler om överklagande av myndighets beslut att avslå en begäran om registerutdrag.
151
Några andra särskilda bestämmelser om överklagande av andra myndighetsbeslut än Datainspektionens fanns inte i datalagen.
151
13.3.2. Hur avslag på begäran om allmän handling överklagas
Bestämmelsen om överklagande i datalagen hänvisade alltså till bestämmelserna om överklagande av myndighetsbeslut om att avslå en begäran om utlämnande av allmän handling.
Bestämmelser om hur beslut om avslag på begäran om utlämnande av allmän handling överklagas finns i 2 kap. 15 § tryckfrihetsförordningen, 15 kap. 7 § sekretesslagen
152
och 4 § och 7 § för-
sta stycket lagen (1989:186) om överklagande av administrativa beslut av riksdagsförvaltningen och riksdagens myndigheter. Enligt dessa bestämmelser gäller följande om överklagande av beslut om avslag på begäran om utlämnande av allmän handling.
Huvudregeln är att beslut av myndighet eller sådant organ som avses i 1 kap.8 och 9 §§sekretesslagen överklagas hos kammarrätt. Det krävs inte något prövningstillstånd för att kammarrätten skall pröva överklagandet. Kammarrättens avgörande kan överklagas till slutinstansen Regeringsrätten. För att Regeringsrätten skall pröva överklagandet krävs prövningstillstånd.
I fråga om en del avslagsbeslut som fattats av vissa domstolar gäller särskilda regler. Om det är en kammarrätt som fattat avslagsbeslutet, överklagas det till Regeringsrätten. Det krävs i detta fall inte något prövningstillstånd för att Regeringsrätten skall pröva överklagandet. Om en tingsrätt har fattat ett avslagsbeslut som rör handling i domstolens rättskipande eller rättsvårdande verksamhet, överklagas det hos hovrätt, vars avgörande kan – efter överklagande och prövningstillstånd – överprövas av Högsta domstolen. Om en hovrätt fattat avslagsbeslutet, överklagas det hos Högsta domstolen, varvid det inte krävs något prövningstillstånd.
Beslut av Högsta domstolen och Regeringsrätten får inte överklagas.
Ett beslut av ett statsråd överklagas till regeringen. Beslut av riksdagen, regeringen och Justitieombudsmannen får inte överklagas.
152
Offentlighets- och sekretesskommittén ser över bestämmelserna i sekretesslagen, se dir.
1998:32, och har kommit med förslag till ändringar i 15 kap. sekretesslagen, se SOU 2002:97.
13.4. Personuppgiftslagen
Bestämmelsen i datalagen om överklagande av myndighets beslut om avslag på begäran om registerutdrag fördes inte över till personuppgiftslagen. I personuppgiftslagen finns det i dag bara bestämmelser om hur tillsynsmyndighetens beslut överklagas (51 §). Frågan om hur andra myndighetsbeslut om sådant som regleras i lagen kan överklagas berördes inte särs kilt i förarbetena till lagen.
153
Av personuppgiftslagen följer dock att en registrerad har andra möjligheter än överklagande att använda om han eller hon anser att en myndighet inte har tillämpat lagen på ett riktigt sätt. Den registrerade kan för det första anmäla förhållandet till tillsynsmyndigheten, som kan utnyttja sina befogenheter för att åstadkomma rättelse (se 43–47 §§). För det andra kan den registrerade vid varje brott mot personuppgiftslagen genast väcka talan mot den personuppgiftsansvarige vid allmän domstol och yrka bl.a. ideellt skadestånd enligt 48 §. Även en fastställelse- och i vissa fall fullgörelsetalan kan vara aktuell.
13.5. Den allmänna bestämmelsen om överklagande i förvaltningslagen
I 22 § förvaltningslagen (1986:223) finns det en allmän bestämmelse om att ett beslut får överklagas av den som beslutet angår, om det har gått honom eller henne emot och beslutet kan överklagas. Den 1 oktober 1998, dvs. en knapp månad innan personuppgiftslagen trädde i kraft, infördes det i 22 a § förvaltningslagen en allmän bestämmelse om att beslut överklagas hos allmän förvaltningsdomstol, dvs. länsrätt, och att det vid överklagande till kammarrätt av länsrättens avgörande krävs prövningstillstånd. Den bestämmelsen gäller dock inte beslut i administrativa ärenden. Ett överklagande skall ske skriftligen genom en skrivelse som lämnas in till den beslutande myndigheten inom tre veckor från den dag klaganden fick del av beslutet (23 § förvaltningslagen).
Dessa bestämmelser gäller för förvaltningsmyndigheternas handläggning av ärenden och domstolarnas handläggning av förvaltningsärenden (1 § förvaltningslagen). Bestämmelserna gäller dock
153
Jämför dock i fråga om forskningsetiska kommittéers beslut prop. 1997/98:44 s. 72 f.
inte om beslutet i stället kan överklagas till länsrätt för laglighetsprövning enligt 10 kap. kommunallagen (1991:900).
Av 35 § verksförordningen (1995:1322) följer att huvudregeln är att ett beslut av en myndighet under regeringen som inte kan överklagas till länsrätt enligt 22 a § förvaltningslagen i stället får överklagas hos regeringen.
Bestämmelserna om överklagande i förvaltningslagen gäller bara om inte något annat föreskrivits i lag eller förordning, t.ex. genom föreskrifter om en annan instansordning eller ett överklagandeförbud. Även efter införandet år 1998 av den allmänna regeln om överklagande till länsrätt är avsikten att särskilda regler om överklagande skall finnas i annan förvaltningsrättslig lagstiftning.
154
Vad som hittills sagts har i huvudsak gällt frågan om hur ett beslut överklagas om det kan överklagas. En annan, minst lika viktig fråga är om ett beslut över huvud taget kan överklagas. I den delen anges följande i propositionen med förslag till ändringen 1998 i förvaltningslagen:
155
”I 22 § förvaltningslagen (1986:223) anges att ett beslut får överklagas av den som beslutet angår, om det gått honom emot och beslutet kan överklagas. Förvaltningslagen ger emellertid, bortsett från vissa beslut som meddelas under handläggning, inget svar på frågan om vilka beslut som kan överklagas. Överklagbarheten regleras i stället i viss mån genom bestämmelser i specialförfattningar och myndighetsinstruktioner. Dessa bestämmelser kompletteras av allmänna principer som har utbildats i praxis.
I svensk förvaltningsrätt anses den oskrivna huvudregeln gälla, att statliga myndigheters beslut kan överklagas även om bestämmelser om överklagande saknas. Om det för kommunala beslut saknas specialbestämmelser om överklagande kan besluten i vissa fall bli föremål för laglighetsprövning enligt kommunallagen (1991:900) eller kyrkolagen (1992:300). För att förvaltningsbeslut som meddelas av organ som står utanför den statliga och kommunala organisationen skall kunna överklagas krävs däremot uttryckligt författningsstöd.
[…] […] Överklagbarheten är […] begränsad till följd av de allmänna principer som har utbildats i praxis. Bland dessa principer kan nämnas följande. En förutsättning för att ett beslut skall kunna överklagas är att beslutet har karaktären av ett skriftligt uttalande. En myndighets faktiska handlande eller underlåtenhet att handla kan inte överklagas. En
154
155
annan förutsättning för överklagbarhet är att beslutet har någon inte alltför obetydlig verkan för parter eller andra. En myndighets förslag eller yttrande till en annan myndighet, som har att besluta i saken, är normalt inte heller överklagbart. Beslut som rör myndigheternas interna förhållanden kan som huvudregel inte överklagas. Ett principbeslut, som är avsett att vara vägledande i kommande enskilda fall, är som regel inte heller överklagbart. Samma sak gäller för förhandsbesked som inte är bindande. Normbeslut får däremot i princip överklagas i samma utsträckning som beslut i enskilda fall. Beslut under beredningen av ett ärende är som regel inte överklagbara annat än i samband med att det slutliga avgörandet i ärendet överklagas. Beslut på verkställighetsstadiet kan i allmänhet inte heller överklagas. Normalt saknas också möjlighet att klaga över motiveringen till ett beslut.”
Slutsatsen av det sagda är att åtminstone vissa beslut av en myndighet enligt personuppgiftslagen i dag torde kunna överklagas enligt de allmänna bestämmelser som nu nämnts. Utredningen har dock inte kännedom om något fall där sådant överklagande skett. Det bör påpekas att ett överklagande inte inskränker den registrerades möjligheter att väcka talan om saken vid allmän domstol eller att påtala missförhållanden för Datainspektionen, eller för den delen inspektionens möjligheter att ingripa med stöd av personuppgiftslagen.
13.6. Särskilda registerlagar
Bilden är splittrad när det gäller bestämmelser om överklagande i särskilda registerförfattningar, som meddelats genom lag och som gäller myndigheters behandling av personuppgifter.
Några bestämmelser om överklagande finns inte i vissa lagar som utfärdats kort efter personuppgiftslagen. Det gäller t.ex. följande lagar:
- Lagen (1998:527) om det statliga personadressregistret
- Lagen (1998:543) om hälsodataregister
- Lagen (1998:544) om vårdregister
- Lagen (1998:620) om belastningsregister
- Lagen (1998:621) om misstankeregister
- Polisdatalagen (1998:622)
- Lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga
I senare utfärdade eller ändrade lagar brukar det dock finnas bestämmelser om överklagande av vissa beslut. Undantag utgör följande lagar:
- Vapenlagen (1996:97) som i fråga om vapenregister som förs av polisen ändrats genom SFS 1999:74 och som inte innehåller någon särskild bestämmelse om överklagande av beslut om behandling av personuppgifter.
- Lagen (1999:889) om registrering av krigsskada på egendom, som bara innehåller bestämmelser om rätt att överklaga beslut om att vägra registrering.
- Lagen (2000:537) om märkning och registrering av hundar, som såvitt nu är aktuellt bara innehåller bestämmelser om att beslut om registrering får överklagas.
- Lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument, som reglerar ett insynsregister och som innehåller bara en erinran om bestämmelsen i 22 a § förvaltningslagen.
- Alkohollagen (1994:1738) som i fråga om registerföring ändrats genom SFS 2001:414, men som inte innehåller någon särskild bestämmelse om överklagande av beslut om behandling av personuppgifter.
Lagen (2000:224) om fastighetsregister och lagen (2003:528) om företagsinteckning
156
, som reglerar s.k. publicitetsregister där regi-
streringen innebär rättsverkningar, innehåller speciella bestämmelser om överklagande.
157
I lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar infördes det en bestämmelse (17 §) om att skattemyndighets beslut om rättelse får överklagas hos allmän förvaltningsdomstol och att prövningstillstånd krävs vid överklagande till kammarrätt. I förarbetena anfördes följande:
158
”Utredningen har föreslagit att en bestämmelse om överklagande av sådana beslut som fattas av skattemyndigheten i den brottsbekämpande verksamheten och som direkt berör den enskilde skall tas in i lagen. Det gäller framför allt beslut om rättelse av oriktiga uppgifter, om in-
156
Se tidigare lagen (1984:649) om företagshypotek.
157
Se också förslagen i prop. 2003/04:27 till ändringar i lagen (1955:227) om inskrivning av
rätt till luftfartyg.
158
formation om pågående behandlingar och att avslå en enskilds begäran om att få ut de uppgifter om honom som behandlas.
Regeringen delar utredningens bedömning att skattemyndighetens beslut angående behandling av personuppgifter och som direkt berör den enskilde skall kunna överklagas. Den föreslagna lagen innehåller dock till skillnad mot utredningens förslag endast de särbestämmelser som är motiverade för skattemyndigheternas brottsutredande verksamhet och hänvisar därutöver till personuppgiftslagen […]. Endast i fråga om rättelse av oriktiga uppgifter föreslås bestämmelser i lagen.
Beslut om rättelse skall givetvis kunna överklagas. Regeringen föreslår därför att det skall införas en rätt att överklaga sådana beslut till allmän förvaltningsdomstol. För överklagande till kammarrätt skall krävas prövningstillstånd.
För övriga beslut som rör behandlingen av personuppgifter gäller personuppgiftslagens regler. Någon särskild bestämmelse om hur beslut av en myndighet som är personuppgiftsansvarig skall överklagas finns inte i personuppgiftslagen. När det gäller beslut om att avslå en enskilds begäran om att få ut uppgifter finns dock, som Kammarrätten i Göteborg påtalat, bestämmelser om överklagande i sekretesslagen. Härutöver finns bestämmelser om överklagande av skattemyndighetens beslut, i de fall det saknas andra regler om överklagande, i förordningen (1990:1293) med instruktion för skatteförvaltningen.”
Även i lagen (1999:353) om rättspsykiatriskt forskningsregister intogs det en bestämmelse om överklagande (16 §). Här angavs dock att beslut om såväl registerutdrag som rättelse får överklagas hos allmän förvaltningsdomstol (och att prövningstillstånd krävs vid överklagande till kammarrätt). I författningskommentaren till bestämmelsen angavs:
159
”De flesta beslut som fattas av Rättsmedicinalverket och som gäller behandling av personuppgifter enligt denna lag är interna eller administrativa.
Enskilda berörs dock direkt av beslut om information som skall lämnas efter ansökan enligt 26 § personuppgiftslagen (vad som enligt äldre terminologi kallats registerutdrag) och om rättelse enligt 28 § samma lag. Besluten är av det slaget att de bör få överklagas. Genom denna bestämmelse föreskrivs att talan mot sådana beslut får föras hos allmän förvaltningsdomstol, dvs. hos länsrätt i första instans. Prövningstillstånd krävs vid överklagande till kammarrätten.”
159
Prop. 1998/99:72 s. 71, jämför s. 61.
Frågan om bestämmelser om överklagande togs särskilt upp av Lagrådet i ett lagstiftningsärende om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. I lagförslaget i lagrådsremissen hade bara tagits med en bestämmelse om att Tullverkets beslut om rättelse enligt 9 § i den föreslagna lagen fick överklagas (och att prövningstillstånd krävs vid överklagande till kammarrätt). Lagrådet yttrade följande:
160
”I 9 § finns emellertid inte några bestämmelser om meddelande av dylika beslut. Där finns däremot en hänvisning av vilken framgår att personuppgiftslagens (PUL:s) bestämmelser om rättelse och skadestånd är tillämpliga. Effekten blir att överklagandebestämmelsen och de på besluten tillämpliga bestämmelserna kommer att finnas i olika lagar, den förstnämnda bestämmelsen i den nu föreslagna lagen och de sistnämnda bestämmelserna i PUL.
Orsaken till den uppkomna situationen är att PUL saknar en överklagandebestämmelse beträffande rättelsebesluten. Tanken har antagligen varit att den som är missnöjd med ett beslut skall anmäla detta hos tillsynsmyndigheten (Datainspektionen) genom anförande av formlösa klagomål. Inspektionens beslut kan sedan vara överklagbart enligt 51 § PUL. Genom tillkomsten av 22 a § förvaltningslagen har enskild dock erbjudits möjligheten att överklaga rättelsebesluten direkt hos allmän förvaltningsdomstol.
Den föreslagna överklagandebestämmelsen skulle komma att omfatta endast rättelsebeslut. En annan närstående kategori beslut som också meddelas enligt PUL är beslut om begärd information. Enligt Lagrådets mening bör överklagandebestämmelsen också omfatta dessa beslut. Visserligen saknar lagen en uttrycklig hänvisning till PUL beträffande informationsbesluten, men detta kan inte vara någon avgörande skillnad eftersom PUL i vilket fall som helst är tillämplig på båda slagen av beslut. Lagrådet anser att första meningen bör formuleras om och förslagsvis ges följande lydelse: ’Tullverkets beslut om rättelse och information i fråga om personuppgifter i verkets brottsbekämpande verksamhet får överklagas hos allmän förvaltningsdomstol.’ […]
Huruvida ytterligare beslut skall vara överklagbara bör övervägas i det fortsatta lagstiftningsarbetet. Det är exempelvis tvivelaktigt om sådana beslut [om automatiserad behandling för underrättelseverksamhet] som avses i 19 § skall gå att överklaga. Om resultatet skulle bli att inga andra beslut än rättelse- och informationsbeslut skall kunna överklagas, bör i paragrafen tas in en uttrycklig bestämmelse om att andra beslut beträffande ifrågavarande personuppgifter inte får överklagas.
160
Det är inte något tillfredsställande förhållande att bestämmelser om överklagande av beslut finns i en lag och bestämmelser om beslutens meddelande i en annan. Lagrådet anser att regeringen snarast bör överväga möjligheten att i PUL införa överklagandebestämmelser i fråga om myndigheters rättelse- och informationsbeslut på personuppgiftsområdet.”
Regeringen följde Lagrådets förslag till formulering. När det gällde frågan om andra beslut än om rättelse och information skulle kunna överklagas, ansåg regeringen att sådana övriga beslut som fattas enligt den föreslagna lagen var av antingen administrativ eller intern art. Enligt regeringen kan därför dessa beslut enligt allmänna regler inte överklagas. Bestämmelsen om överklagande försågs med ett fullföljdsförbud avseende andra beslut än beslut om rättelse och beslut om information som tagits med stöd av lagen.
161
I lagen (2001:99) om den officiella statistiken togs det in en allmän bestämmelse om att beslut enligt lagen, förutom vissa, särskilt angivna beslut, får överklagas hos allmän förvaltningsdomstol.
162
I lagstiftningen om behandling av personuppgifter inom skatt, tull och exekution intogs bestämmelser om att myndighetsbeslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol (och att prövningstillstånd krävs vid överklagande till kammarrätt). Vidare föreskrevs att andra beslut inte får överklagas. I förarbetena anfördes bl.a. följande:
163
”Regeringen delar utredningens bedömning att beslut angående behandling av personuppgifter som direkt berör den enskilde skall kunna överklagas. Myndigheters beslut att avslå en ansökan om information om pågående behandlingar kan avse rätten att få besked i fråga om personuppgifter behandlas eller inte samt rätten att få skriftlig information om personuppgifter som behandlas. Överklagande bör vara möjligt i bägge fallen. Besluten bör överklagas till allmän förvaltningsdomstol och det bör krävas prövningstillstånd för överklagande till kammarrätten.
Myndigheterna fattar i sin verksamhet även andra beslut som rör behandlingen av personuppgifter. Dessa beslut är emellertid interna eller administrativa. Administrativa beslut fattas t.ex. vid inrättande av alla
161
Prop. 2000/01:54 s. 49. Se 24 § lagen (2001:85) om behandling av personuppgifter i Tull-
verkets brottsbekämpande verksamhet.
162
Prop. 2000/01:27 s. 63 f. och 97.
163
Prop. 2000/01:33 s. 109, jämför s. 348.
typer av register. Dessa beslut berör inte den enskilde direkt. Regeringen anser i likhet med utredningen att interna och administrativa beslut inte bör kunna överklagas.”
En motsvarande bestämmelse som i lagstiftningen om behandling av personuppgifter inom skatt, tull och exekution infördes genom en ändring (SFS 2001:413) i socialförsäkringsregisterlagen (1997:934) (21 b §).
Också i lagstiftningsärendet om behandling av personuppgifter inom socialtjänsten togs i lagrådsremissen upp ett förslag till en motsvarande bestämmelse. Även denna gång hade dock Lagrådet synpunkter på lydelsen av bestämmelsen och anförde följande:
164
”Beträffande överklagande inom socialtjänsten av beslut om information som skall lämnas efter ansökan torde avsikten vara att det skall vara fråga om avslag på en ansökan om information enligt 26 § personuppgiftslagen. Detta skulle framgå bättre om första stycket gavs följande lydelse.
’Beslut inom socialtjänsten om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.’
Lagrådet vill anmärka att ’andra beslut enligt denna lag’ inte torde vara avsett att omfatta beslut om skadestånd som grundas på 9 §.”
Regeringen följde Lagrådets förslag.
I lagen (2001:617) om behandling av personuppgifter inom kriminalvården intogs emellertid en bestämmelse om överklagande som är utformad lite annorlunda (12 §). I bestämmelsen anges bara att en myndighets beslut om rättelse och om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol (och att prövningstillstånd krävs vid överklagande till kammarrätt). I bestämmelsen talas det således inte om avslag på ansökan om information och det anges inte heller att andra beslut inte får överklagas.
I lagen (2001:558) om vägtrafikregister intogs en motsvarande bestämmelse (34 §). Bestämmelsen utformades även denna gång efter förslag från Lagrådet. I lagrådsremissen hade inte beslut om rättelse nämnts i bestämmelsen. Lagrådet noterade att det i förslag till andra lagar om behandling av personuppgifter vanligtvis anges
164
att rättelsebeslut skall överklagas i samma ordning som informationsbeslut. Lagrådet upprepade vidare sin rekommendation till regeringen att överväga möjligheten att införa överklagandebestämmelser i personuppgiftslagen.
165
Lagrådet har även senare åter-
kommit till den rekommendationen.
166
I lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten togs det dock in en bestämmelse (18 §) som motsvarar den som finns i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och som således talar om, förutom beslut om rättelse, beslut om avslag på ansökan om information och som anger att andra beslut enligt lagen inte får överklagas. I förarbetena angavs följande.
167
”De beslut som fattas rörande personuppgifter som direkt berör den enskilde skall kunna överklagas. Sådana beslut är i allmänhet en myndighets beslut att avslå en ansökan om information enligt 26 § personuppgiftslagen. Även beslut om rättelse bör kunna överklagas.
Med hänsyn till att det rör sig om beslut i rättsfrågor snarare än i materiella frågor är det enligt regeringens bedömning lämpligt att besluten överklagas direkt till domstol. Det är också önskvärt att besluten överklagas på samma sätt oavsett vilken myndighet som fattat beslutet. Besluten bör därför överklagas till allmän förvaltningsdomstol och det bör krävas prövningstillstånd för ett överklagande till kammarrätten.
Övriga beslut berör inte den enskilde direkt och bör därför inte kunna överklagas.”
Av lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (6 kap. 7 §) framgår att beslut om rättelse och om avslag på ansökan om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol (och att prövningstillstånd krävs vid överklagande till kammarrätt). Någon bestämmelse om att andra beslut angående behandling av personuppgifter inte får överklagas finns dock inte i den lagen. Motsvarande bestämmelser om överklagande har införts genom en ändring (SFS 2002:614) i skogsvårdslagen (1979:429) (40 §).
I lagen (2003:113) om elcertifikat finns det bestämmelser om att avslag på ansökan om information enligt 26 § personuppgiftslagen
165
166
Prop. 2002/03:40 s. 241, jämför s. 132.
167
får överklagas hos allmän förvaltningsdomstol och att prövningstillstånd krävs vid överklagande till kammarrätten (8 kap. 2 §).
168
Polisdatautredningen har föreslagit en bestämmelse i en ny polisdatalag om att myndighetsbeslut om rättelse och om information överklagas till kammarrätt.
169
I lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration finns det en bestämmelse om att en myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen överklagas hos allmän förvaltningsdomstol och att prövningstillstånd krävs vid överklagande till kammarrätten (33 §). Andra beslut får inte överklagas .
170
Utlänningsdatautredningen har i fråga om vissa myndigheters behandling av personuppgifter enligt utlännings- och medborgarskapslagstiftningen föreslagit motsvarande överklagandebestämmelser.
171
Särskilda bestämmelser om överklagande har också föreslagits av Domstolsdatautredningen för domstolarnas behandling av personuppgifter i den rättsskipande och rättsvårdande verksamhete n.
172
Utredningen föreslår att beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen skall få överklagas enligt följande. Beslut av tingsrätter, hovrätter och länsrätter skall överklagas hos kammarrätt. Beslut av kammarrätter skall överklagas hos Regeringsrätten. Beslut av Högsta domstolen och Regeringsrätten skall inte få överklagas. Beslut av hyres- och arrendenämnder skall överklagas hos allmän förvaltningsdomstol och prövningstillstånd skall krävas vid överklagande till kammarrätt.
Tullbrottsdatautredningen har i fråga om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet föreslagit en bestämmelse om att Tullverkets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol och att prövningstillstånd krävs vid överklagande till kammarrätten. Andra beslut skall enligt förslaget inte få överklagas.
173
Underrättelsedatautredningen har i
fråga om försvarsunderrättelseverksamhet och säkerhetstjänst föreslagit motsvarande överklagandebestämmelser.
174
Också Färd-
168
169
170
171
172
173
174
tjänstutredningen har föreslagit motsvarande överklagandebestämmelser i fråga om myndighetsbeslut.
175
13.7. Överväganden och förslag
Utredningens förslag: En myndighets beslut om information (registerutdrag) enligt 26 §, om rättelse och underrättelse till tredje man om rättelseåtgärder enligt 28 §, om information om automatiserade beslut enligt 29 § andra stycket och om allmänna upplysningar om pågående behandlingar enligt 42 § får överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. Andra beslut av myndighet enligt personuppgiftslagen får inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. Bestämmelserna om överklagande gäller dock inte beslut av riksdagen och regeringen. I fråga om överklagande av beslut av allmän domstol och allmän förvaltningsdomstol finns särskilda föreskrifter.
Utredningens bedömning: Särskilda bestämmelser om hur beslut av domstolar överklagas bör tas in i de registerlagar som skall reglera domstolarnas behandling av personuppgifter.
13.7.1. Myndighetsbeslut som bör få överklagas
Utredningen har att föreslå hur myndighetsbeslut enligt personuppgiftslagen skall kunna överklagas. Den första frågan att ta ställning till är vilka myndighetsbeslut enligt personuppgiftslagen som bör få överklagas.
I samband med utformningen av särskilda registerlagar efter ikraftträdandet av personuppgiftslagen har ofta den bedömningen gjorts att myndighetsbeslut som direkt berör den enskilde skall kunna överklagas, medan myndighetsbeslut som ansetts som interna eller administrativa – t.ex. beslut om att inrätta ett register – och således inte direkt berör den enskilde inte bör kunna överklagas. En tillämpning av dessa principer har lett till att det införts bestämmelser som ofta anger att beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen (s.k. registerutdrag) får överklagas och som ibland dessutom anger att andra beslut inte får överklagas. (Se avsnitt 13.6.) Vad som nu anget ts får sägas utgö-
175
ra huvudprinciper, även om bilden är splittrad i fråga om existensen och utformningen av bestämmelser om överklagande i särskilda registerlagar.
Utredningen ställer sig bakom principen att myndighetsbeslut som direkt berör den enskilde skall kunna överklagas och att andra myndighetsbeslut, som kan betecknas som interna eller administrativa, inte bör få överklagas. Utredningen har med den utgångspunkten gått igenom bestämmelserna i personuppgiftslagen för att finna de bestämmelser enligt vilka myndigheter kan fatta beslut som direkt berör den enskilde. Utredningen har därvid funnit att följande myndighetsbeslut enligt bestämmelser i personuppgiftslagen direkt berör den enskilde på ett sådant sätt att de bör få överklagas:
a) beslut om information (registerutdrag) enligt 26 §
b) beslut om rättelse och underrättelse till tredje man om rättelse-
åtgärder enligt 28 §
c) beslut om information om automatiserade beslut enligt 29 § and-
ra stycket
d) beslut om allmänna upplysningar om pågående behandlingar en-
ligt 42 §
Det bör således införas en uttrycklig bestämmelse i personuppgiftslagen om att dessa myndighetsbeslut får överklagas.
En myndighets beslut om att betala ut skadestånd för behandling av personuppgifter i strid med personuppgiftslagen eller om att avslå en framställning om det bör enligt utredningens mening inte i och för sig få överklagas, eftersom den enskilde i sådana fall alltid har möjlighet att väcka talan om saken vid allmän domstol. Övriga myndighetsbeslut enligt personuppgiftslagen är enligt utredningens mening interna eller administrativa på ett sådant sätt att besluten inte direkt berör den enskilde och därmed inte kan – eller i vart fall inte bör kunna – överklagas. Det bör därför också tas in en uttrycklig bestämmelse i personuppgiftslagen om att andra beslut av en myndighet enligt lagen inte får överklagas.
13.7.2. Instansordningen
Nästa fråga utredningen som har att ta ställning till är hur de överklagbara myndighetsbesluten skall få överklagas.
I samband med utformningen av särskilda registerlagar som antagits efter ikraftträdandet av personuppgiftslagen har regelmässigt
den bedömningen gjorts att myndighetsbesluten skall överklagas hos allmän förvaltningsdomstol, dvs. länsrätt, och att prövningstillstånd skall krävas vid överklagande till kammarrätt (se avsnitt 13.6).
Utredningen delar i princip den bedömningen. I nya bestämmelser om överklagande har man – till skillnad från 1973 års datalag – inte anknutit till ordningen för överklagande av beslut att avslå en begäran om utlämnande av allmän handling, enligt vilken ordning huvudprincipen är att besluten överklagas till kammarrätt. Utredningen anser inte heller att det finns någon anledning att anknyta till den ordningen. Det innebär bl.a. att beslut av sådana formellt privaträttsliga organ som avses i 1 kap.8 och 9 §§sekretesslagen (1980:100) och som har allmänna handlingar inte bör jämställas med myndighetsbeslut.
Utredningen föreslår alltså en bestämmelse i personuppgiftslagen om att överklagbara beslut av myndighet får överklagas hos allmän förvaltningsdomstol, dvs. länsrätt, och att det krävs prövningstillstånd vid överklagande till kammarrätten.
Utredningen anser att den bestämmelsen som regel bör vara lämplig vid beslut av alla myndigheter, inklusive myndigheter som lyder under riksdagen, utom allmänna förvaltningsdomstolar och, kanske, allmänna domstolar. Det kan dock inte uteslutas att det för vissa beslut av vissa myndigheter kan krävas en annan ordning för överklagande eller ett förbud mot överklagande. För sådana fall bör en avvikande ordning lämpligen komma till stånd genom särskilda bestämmelser i en annan lag som helt eller delvis tar över den generella bestämmelsen om överklagande i personuppgiftslagen, se 2 § om personuppgiftslagens subsidiära karaktär. Utredningen anser att det uttryckligen bör anges att den föreslagna ordningen inte gäller beslut av riksdagen och regeringen.
När det gäller domstolarna, i vart fall de allmänna förvaltningsdomstolarna, står det dock klart att det krävs en annan bestämmelse om överklagande än den föreslagna. En länsrätts beslut kan inte gärna få överklagas hos samma länsrätt, och en kammarrätts eller Regeringsrättens beslut kan inte gärna överklagas hos en länsrätt vars avgörande efter överklagande kan komma under kammarrättens bedömning och, efter ytterligare överklagande, under Regeringsrättens bedömning. Även beträffande beslut av allmän domstol kan det finnas anledning att göra särskilda överväganden om ordningen för överklagande.
Sådana frågor som nu nämnts övervägs redan inom Regeringskansliet med anledning av Domstolsdatautredningens förslag
(SOU 2001:100). Domstolsdatautredningens förslag omfattar dock bara domstolarnas behandling av personuppgifter i den rättsskipande och rättsvårdande verksamheten. Utredningen utgår emellertid från att den särskilda ordning för överklagande av domstolars beslut i den verksamheten som kan komma att beslutas förmodligen är lämplig också för överklagande av domstolars beslut i den övriga verksamheten. Rimligen bör de överväganden som görs beträffande den rättsskipande och rättsvårdande verksamheten ha motsvarande giltighet för den övriga verksamheten, i vart fall såvitt gäller synpunkten att en domstols beslut inte i något fall bör överprövas av domstolen själv.
Utredningen anser mot den bakgrunden att det inte finns anledning att föregripa de överväganden som görs med anledning av Domstolsdatautredningens förslag genom att lämna ett eget förslag om hur beslut av domstolar bör få överklagas. Enligt utredningens mening kan de särskilda bestämmelser om överklagande som är nödvändiga för domstolarnas beslut enligt personuppgiftslagen lämpligen tas in i de lagar om domstolarnas behandling av personuppgifter som för närvarande förbereds. Sådana särbestämmelser i annan lag tar som sagt över den generella bestämmelsen om överklagande i personuppgiftslagen (2 §).
Som Lagrådet anfört är det generellt sett inte något tillfredsställande förhållande att bestämmelser om överklagande av beslut finns i en lag och bestämmelser om beslutens medd elande i en annan.
176
Utredningen anser emellertid att det förhållandet kan accepteras på det speciella och begränsade område som överklagande av domstols beslut utgör. För tydlighets skull bör det uttryckligen anges i personuppgiftslagen att det i fråga om överklagande av beslut av allmän domstol och allmän förvaltningsdomstol finns särskilda föreskrifter.
13.7.3. Andra möjligheter för den registrerade
Det förhållandet att enligt den föreslagna bestämmelsen myndighetsbeslut enligt personuppgiftslagen får eller inte får överklagas hos allmän förvaltningsdomstol avskär inte den registrerade från möjligheten att när som helst utnyttja andra rättigheter som kan stå honom eller henne till buds.
176
Se bl.a. prop. 2000/01:543 s. 77 f.
Den registrerade kan således hos myndigheten, eller annat behörigt organ, kräva skadestånd med anledning av en olaglig behandling av en myndighet. Det förhållandet att myndighetens beslut om skadestånd inte får överklagas avskär inte den registrerade från möjligheten att väcka talan om skadestånd vid allmän domstol. Inte heller en fastställelse- eller fullgörelsetalan vid allmän domstol hindras av förbudet mot överklagande av vissa myndighetsbeslut.
Så snart en myndighet behandlat personuppgifter i strid med personuppgiftslagen uppkommer en principiell rätt till skadestånd för de registrerade som drabbats (se 48 §). Skadeståndsskyldigheten inträder oberoende av om myndigheten fattat något formellt beslut och oberoende av om ett beslut överklagats av den registrerade. Även om ett myndighetsbeslut ändras efter överklagande, kan den registrerade ha rätt till skadestånd. Om en myndighet t.ex. i strid med personuppgiftslagen avslår en ansökan om registerutdrag och således inte lämnar sådant utdrag inom föreskriven tid, har skadeståndsskyldighet inträtt trots att beslutet ändras efter överklagande och ett korrekt registerutdrag lämnas (för sent).
Den registrerade kan således i flera fall i princip parallellt föra talan i både allmän förvaltningsdomstol (om ändring av ett myndighetsbeslut genom överklagande) och allmän domstol (om t.ex. skadestånd genom ansökan om stämning) om vad som i realiteten är samma sak, t.ex. frågan om det varit förenligt med personuppgiftslagen att utelämna vissa uppgifter i ett registerutdrag. Den registrerade kan dessutom påtala saken för Datainspektionen som oberoende av processerna kan agera och t.ex. utnyttja sina befogenheter. I vissa fall kan Datainspektionens beslut överklagas hos allmän förvaltningsdomstol (i en tredje process).
Det är uppenbart att de olika möjligheter som finns att parallellt få rättslig prövning av vad som i praktiken är samma sak innebär risk för kostnader och olägenheter som inte står i rimlig proportion till vad som står att vinna i processerna. Det är i sig ett skäl för att överväga om det verkligen är nödvändigt med (också) en möjlighet för enskilda att överklaga myndighetsbeslut. Sådana överväganden ingår emellertid inte i utredningsuppdraget, som innebär att utredningen har att föreslå hur myndighetsbeslut kan överklagas.
Utredningen har därför övervägt om det finns andra vägar att minska riskerna för oproportionerliga kostnader och olägenheter. Motsvarande frågeställningar uppkommer t.ex. vid tillämpningen av antidiskrimineringslagstiftning.
När en myndighet fattat ett beslut om tillsättning av en anställning som påstås vara lagstridigt på grund av diskriminering finns
både en möjlighet att överklaga tillsättningsbeslutet i administrativ ordning och en möjlighet att väcka talan om skadestånd vid allmän domstol eller Arbetsdomstolen enligt antidiskrimineringslagstiftningen med anledning av beslutet. Det hade förekommit att parallella processer förts och att en sökande dels efter överklagande fått anställningen, dels dessutom fått skadestånd på grund av det undanröjda, diskriminerande beslutet i lägre instans. I samband med en lagrådsremiss om en ny jämställdhetslag föreslog regeringen ett förbud mot överklagande av tillsättningsbeslut när det för den arbetssökande redan väckts en skadeståndstalan i fråga om tillsättningsbeslutet; om arbetssökanden hade överklagat tillsättningsbeslutet innan skadeståndstalan väckts, skulle överklagandet anses ha förfallit i och med skadeståndstalan. Lagrådet ansåg emellertid att en mindre ingripande ordning var att föredra, nämligen att ett överklagande av tillsättningsbeslutet hindrar (inte väckande men väl) prövning av en skadeståndstalan med anledning av beslutet. Regeringen ansåg – slutligen – att det knappast kunde komma i fråga att avskaffa vare sig möjligheten att överklaga eller möjligheten att föra en skadeståndstalan och följde Lagrådets förslag.
177
diskrimineringslagstiftningen finns nu oftast bestämmelser om att talan om skadestånd med anledning av ett beslut om tillsättning som har meddelats av en arbetsgivare med offentlig ställning inte får prövas innan anställningsbeslutet har vunnit laga kraft.
178
Det anförda visar enligt utredningens mening att det är mindre lämpligt att, när den enskilde valt en viss överprövningsmöjlighet (överklagande eller talan vid allmän domstol), helt avskära hans eller hennes tillgång till andra överprövningsmöjligheter. Den mindre ingripande åtgärd man kan tänka sig är att förhindra parallella processer genom att föreskriva att, när den enskilde valt en viss överprövningsmöjlighet, skall förfarandena enligt andra överprövningsmöjligheter avvakta utgången av den första processen. Utredningen anser emellertid att sådana föreskrifter vore av mindre värde eftersom de i sig inte förhindrar flera processer om i praktiken samma sak utan bara att processerna pågår samtidigt.
177
Se prop. 1990/91:113 s. 92 f., 121 f. och 185 f. och jämför SOU 1990:41 s. 343 ff.
178
Se 57 § jämställdhetslagen (1991:433), 39 § lagen (1999:130) om åtgärder mot etnisk
diskriminering i arbetslivet, 27 § lagen (1999:132) om förbud mot diskriminering i arbetslivet av personer med funktionshinder och 26 § lagen (1999:133) om förbud mot diskriminering i arbetslivet på grund av sexuell läggning samt vissa av lagförslagen i SOU 2002:43, jämför prop. 2002/03:65. Jämför dock lagen (2001:1286) om likabehandling av studenter i högskolan som inte innehåller någon motsvarande regel.
Utredningen har sammanfattningsvis inte funnit någon lämplig väg att komma till rätta med den risk för olägenheter som finns med de olika överprövningsmöjligheter som står till buds. Utredningen föreslår alltså inte något i den delen.
Såvitt utredningen känner till har det dock inte med den nuvarande ordningen faktiskt uppkommit några olägenheter. Om det skulle uppkomma sådana olägenheter i praktiken, kan det finnas anledning att ånyo se över vilka överprövningsmöjligheter som bör finnas och hur de bör kunna användas.
14. Särskilt om EG-domstolens dom i konfirmandlärarmålet
14.1. Inledning
EG-domstolens förhandsavgörande i det svenska s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01) har kortfattat presenterats i avsnit t 5.5.2 och berörs också, s åvitt gäller allmänna slutsatser om en flexibel tolkning av EG-direktivet, i avsnitt 7.3.8. Utred ningen har fått förlängd utredningstid för att kunna analysera och i förekommande fall ta hänsyn till domen.
179
Utred-
ningen har därför ansett det motiverat att i ett särskilt avsnitt redovisa sina överväganden i fråga om domen bör föranleda några förtydliganden i personuppgiftslagen.
I avsnitt 8 an alyseras om bl.a. domen i konfirmandlärarmålet ger tillräcklig vägledning för att precisera vad som faller utanför gemenskapsrätten. I övrigt berör domen
a) vad som är en ”behandling av personuppgifter som helt eller
delvis företas på automatisk väg” (artikel 3.1 i EG-direktivet och 5 § första stycket personuppgiftslagen),
b) vad som utgör en känslig personuppgift (artikel 8.1 i EG-
direktivet och 13 § personuppgiftslagen),
c) undantaget för rent privat behandling (artikel 3.2 andra streck-
satsen i EG-direktivet och 6 § personuppgiftslagen),
d) vad som utgör en överföring av personuppgifter till tredje land
(artikel 25.1 i EG-direktivet och 33 § första stycket personuppgiftslagen),
e) förhållandet till andra fri- och rättigheter än rätten till skydd för
privatlivet, t.ex. yttrandefriheten, och
179
Dir. 2003:53 och 2003:164.
f) den nationella lagstiftningen om personuppgifter.
Det bör inledningsvis slås fast att i de delar domen berör särskilda artiklar i EG-direktivet (punkterna a–d ovan) som genomförts genom personuppgiftslagen har det i de svenska förarbetena uttryckligen angetts att den svenska lagen i aktuella delar skall ha samma innebörd som EG-direktivet. Av förarbetena framgår att man låtit personuppgiftslagen i stort sett följa EG-direktivets text, eftersom det är EG-domstolen som sist och slutligen har att tolka de begrepp och uttryck so m EG-direktivet innehåller.
180
Det är, såsom
också angetts i förarbetena, EG-domstolen som är exklusivt behörig att göra auktoritativa uttalanden om innebörden av EGdirektivet, och svenska domstolar har att vid tillämpning av lagtext som införts till genomförande av ett EG-direktiv att tolka lagen i överensstämmelse med EG-direktivet.
EG-domstolens dom om tolkningen får alltså ett direkt genomslag vid svenska domstolars tillämpning av personuppgiftslagen. I formell mening är det därför inte nödvändigt att med anledning av EG-domstolens dom ändra den svenska lagtexten. Vad som diskuteras i detta avsnitt är om det ändå är lämpligt att mot bakgrund av EG-domstolens dom ändra personuppgiftslagen i syfte att förtydliga lagtexten.
14.2. Överväganden
Utredningens bedömning: EG-domstolens dom i det s.k. konfirmandlärarmålet föranleder inga förslag till ändringar i personuppgiftslagen.
14.2.1. Behandling av personuppgifter
EG-domstolen har slagit fast följande: ”Omnämnandet av olika personer – med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en hemsida på Internet utgör en ’behandling av personuppgifter som helt eller delvis företas på automatisk väg’, i den mening som avses i artikel 3.1 i [EG-direktivet].”
180
I domstolens motivering anges följande:
”24 Begreppet personuppgifter, som används i artikel 3.1 i direktivet, innefattar i enlighet med definitionen i artikel 2 1 i direktivet i fråga ’varje upplysning som avser en identifierad eller identifierbar fysisk person’. Detta begrepp omfattar absolut en persons namn tillsammans med dennes telefonnummer eller med uppgifter om vederbörandes arbetsförhållanden eller fritidsintressen.
25 Vad gäller begreppet ’behandling’ av sådana uppgifter, som används i artikel 3.1 i direktiv 95/46, innefattar detta enligt definitionen i artikel 2 b i direktivet i fråga ’varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte’. I den sistnämnda bestämmelsen anges flera exempel på sådana åtgärder, bland annat utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter. Följaktligen skall åtgärden att på en hemsida på Internet lägga ut sådana personuppgifter anses utgöra sådan behandling. 26 Det skall även avgöras huruvida denna behandling ’helt eller delvis företas på automatisk väg’. I detta hänseende noterar domstolen att åtgärden att lägga ut uppgifter på en hemsida på Internet enligt de tekniska dataprocesser som tillämpas för närvarande innebär att ladda ner denna sida på en server samt de åtgärder som är nödvändiga för att göra denna sida tillgänglig för personer som har kopplat upp sig på Internet. Dessa transaktioner görs åtminstone delvis på automatisk väg.”
Enligt utredningens mening är det som EG-domstolen slagit fast så självklart och redan så klart uttryckt i personuppgiftslagen (5 § första stycket och definitionerna av behandling och personuppgift i 3 §) att något förtydligande inte behövs. Av förarbetena framgår att den svenska lagtexten i aktuella delar är avsedd att ha samma innebörd som bestämmelserna i EG-direktivet.
181
14.2.2. Känsliga personuppgifter som rör hälsa
EG-domstolen har slagit fast följande: ”En uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör en personuppgift om hälsa, i den mening som avses i artikel 8.1 i [EGdirektivet].”
I domstolens motivering anges följande: ”Med hänsyn till syftet med detta direktiv skall uttrycket ’uppgifter som rör hälsa’, vilket
181
Prop. 1997/98:44 s. 117 och 118.
används i artikel 8.1 i [EG-direktivet], ges en vid tolkning och anses omfatta uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa.”
I 13 § andra stycket personuppgiftslagen talas det om ”sådana personuppgifter som rör hälsa”, och i förarbetena anges att lagtexten är avsedd att ha samma innebörd som artikel 8.1 i EGdirektivet.
182
Enligt utredningens mening ger lagtexten på ett till-
räckligt tydligt sätt uttryck för den vida tolkning som EGdomstolen anbefallt. Att i lagtexten tala om t.ex. ”personuppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa” skulle enligt utredningens mening bara i onödan tynga lagtexten.
14.2.3. Undantaget för rent privat behandling
EG-domstolen har slagit fast att omnämnandet av olika personer – med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en hemsida på Internet inte omfattas av undantaget för privat behandling i artikel 3.2 i EG-direktivet.
I domstolens motivering anges följande: ”Vad gäller det undantag som föreskrivs i artikel 3.2 andra strecksatsen i [EG-direktivet] nämns i tolfte skälet i [EG-direktivet] korrespondens eller förande av adressregister såsom exempel på en fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk. – Detta undantag skall således tolkas så, att det endast avser sådan verksamhet som utgör en del av enskildas privat- eller familjeliv, vilket uppenbart inte är fallet i fråga om sådan behandling av personuppgifter som består i att de offentliggörs på Internet för att dessa uppgifter skall bli tillgängliga för ett obestämt antal personer.”
Av 6 § personuppgiftslagen framgår att lagen inte gäller för ”sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur”, och i förarbetena anges att lagtexten är avsedd att ha samma innebörd som artikel 3.2 andra strecksatsen i EG-d irektivet.
183
Vad man enligt utredningens
mening kan överväga att klargöra i lagtexten är att detta inte gäller ”om behandlingen innebär att personuppgifterna offentliggörs på
182
183
Internet för ett obestämt antal personer”. Utredningen anser emellertid att det – genom den befintliga hänvisningen till verksamhet av ”rent privat natur” – redan tillräckligt tydligt framgår av lagtexten att sådant offentliggörande inte omfattas av undantaget (se också avsnitt 8.6).
14.2.4. Överföring av personuppgifter till tredje land
EG-domstolen har slagit fast följande: ”Det föreligger inte någon ’överföring av … uppgifter till tredje land’ i den mening som avses i artikel 25 i [EG-direktivet] när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida på Internet som är lagrad hos en fysisk eller juridisk person som har den webbplats där sidan kan konsulteras och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.”
184
I domstolens motivering anges följande:
”56 Varken i artikel 25 i direktiv 95/46 eller i någon annan bestämmelse i direktivet i fråga, särskilt inte i artikel 2 i detta, definieras begreppet överföring till tredje land.
57 För att avgöra huruvida det utgör en ’överföring’ av personuppgifter till tredje land i den mening som avses i artikel 25 i direktiv 95/46 att lägga ut personuppgifter på en hemsida på Internet redan av den anledningen att detta gör uppgifterna åtkomliga för personer som befinner sig i tredje land är det nödvändigt att beakta dels de sålunda genomförda transaktionernas tekniska natur, dels systematiken i kapitel IV i det nämnda direktivet, där artikel 25 i detta återfinns. 58 De uppgifter som finns på Internet kan nästan när som helst konsulteras av ett obegränsat antal personer vilka befinner sig på en mängd olika ställen. Att dessa uppgifter är av allestädes närvarande karaktär framgår bland annat av det förhållandet att de tekniska medel som används inom ramen för Internet är relativt enkla och blir billigare och billigare.
184
På engelska lyder domslutet enligt följande: ”There is no transfer [of data] to a third
country within the meaning of Article 25 of Directive 95/46 where an individual in a Member State loads personal data onto an internet page which is stored on an internet site on which the page can be consulted and which is hosted by a natural or legal person who is established in that State or in another Member State, thereby making those data accessible to anyone who connects to the internet, including people in a third country.”
59 Förutsättningarna för att använda Internet, så som de har blivit för enskilda som [konfirmandläraren] under 1990-talet, innebär att den som upprättar en hemsida som skall läggas ut på Internet överför de uppgifter som denna sida består i till den som tillhandahåller honom servertjänster. Denne sköter den datorinfrastruktur som krävs för att säkerställa att dessa uppgifter lagras och att för att den server på vilken webbplatsen är utlagd ansluts till Internet. Detta möjliggör att dessa uppgifter senare kan sändas till alla som har kopplat upp sig på Internet och bett att få del av dem. De datorer som utgör denna datorinfrastruktur kan ligga i ett eller flera andra länder än det där den som tillhandahåller servertjänster befinner sig, och gör det till och med ofta, utan att de som erhåller servertjänster känner till detta eller rimligen kan känna till det. 60 Av handlingarna i målet framgår att en Internetanvändare inte bara måste koppla upp sig på de hemsidor på Internet där [konfirmandläraren] hade lagt ut uppgifter om sina kollegor för att få del av dessa uppgifter. För att kunna få del av dem måste han även personligen vidta de åtgärder som krävs för att kunna läsa dessa hemsidor. Med andra ord innehöll [konfirmandlärarens] hemsidor på Internet inte de tekniska mekanismer som skulle ha gjort det möjligt att automatiskt skicka dessa uppgifter till personer som inte avsiktligen hade försökt få tillgång till dessa sidor. 61 Härav följer att personuppgifter som under sådana omständigheter som de i förevarande mål kommer till en dator som tillhör en person som befinner sig i ett tredje land från en person som har laddat ned dem från en hemsida på Internet inte har överförts direkt mellan två personer, utan genom den persons datorinfrastruktur som tillhandahåller den server där sidan är lagrad. 62 I detta sammanhang är det nödvändigt att pröva huruvida gemenskapslagstiftaren hade avsikten att för tillämpningen av kapitel IV i direktiv 95/46 låta begreppet ’[ö]verföring av … uppgifter till tredje land’, i den mening som avses i artikel 25, omfatta sådana transaktioner som de som [konfirmandläraren] har genomfört. Det bör understrykas att den hänskjutande domstolens femte fråga endast avser dessa transaktioner, och inte de transaktioner som genomförts av dem som tillhandahåller servertjänsten. 63 Genom kapitel IV i direktiv 95/46, vari artikel 25 ingår, införs en speciell ordning, som innehåller speciella bestämmelser vilka syftar till att säkerställa att medlemsstaterna har kontroll över överföringen av personuppgifter till tredje land. Genom detta kapitel införs ett system som kompletterar det allmänna system som införts genom kapitel II i det nämnda direktivet, vilket kapitel avser frågan när personuppgifter får behandlas.
64 Syftet med kapitel IV definieras i femtiosjätte till sextionde skälet i direktiv 95/46, vari bland annat anges att det skydd som genom detta direktiv tillförsäkras personer inom gemenskapen visserligen inte hindrar att personuppgifter överförs till sådana tredje länder som garanterar en adekvat skyddsnivå, men att frågan om skyddsnivåns adekvans skall bedömas med hänsyn till alla de omständigheter som har samband med en överföring eller en grupp av överföringar. Om ett tredje land inte garanterar en adekvat skyddsnivå skall överföring av personuppgifter till det landet förbjudas. 65 I artikel 25 i direktiv 95/46 uppställs en rad skyldigheter för medlemsstaterna och kommissionen vilka syftar till att kontrollera överföringen av personuppgifter till tredje länder med beaktande av den skyddsnivå som sådana uppgifter ges i vart och ett av dessa länder. 66 I artikel 25.4 i direktiv 95/46 föreskrivs närmare bestämt att medlemsstaterna, när kommissionen finner att ett tredje land inte erbjuder en adekvat skyddsnivå, skall vidta de åtgärder som är nödvändiga för att hindra överföring av personuppgifter till ifrågavarande tredje land. 67 Kapitel IV i direktiv 95/46 innehåller inga bestämmelser om Internetanvändning. I detta kapitel anges inte vilka kriterierna är för att avgöra huruvida man vid bedömningen av de transaktioner som har genomförts av den mellanhand som har tillhandahållit servertjänster skall lägga till grund den ort där tjänsteleverantören är etablerad, den ort där hans företag har sitt säte eller den ort där de datorer befinner sig vilka utgör tjänsteleverantörens datorinfrastruktur. 68 Med hänsyn dels till det stadium på vilket Internets utveckling befann sig vid den tidpunkt då direktiv 95/46 utarbetades, dels till att det inte i kapitel IV i direktivet föreligger några kriterier som är tilllämpliga på Internetanvändning kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta inskrivning av en person i [konfirmandlärarens] situation av uppgifter på en hemsida på Internet omfattas av begreppet överföring av uppgifter till tredje land, även om dessa på detta sätt blir åtkomliga för sådana personer i tredje land som har de tekniska möjligheterna att få tillgång till hemsidan. 69 Om artikel 25 i direktiv 95/46 tolkas på så sätt att det föreligger en ’överföring av … uppgifter till tredje land’ varje gång personuppgifter läggs ut på en hemsida på Internet skulle denna överföring med nödvändighet vara en överföring till tredje länder där det finns teknisk möjlighet att få tillgång till Internet. Specialbestämmelserna i kapitel IV i det nämnda direktivet skulle då med nödvändighet, vad gäller transaktioner på Internet, bli ett generellt tillämpligt system. När kommissionen med tillämpning av artikel 25.4 i direktiv 95/46 konstaterade att det fanns ett enda tredje land som inte säkerställer en adekvat skyddsnivå
skulle medlemsstaterna nämligen vara skyldiga att hindra att personuppgifter över huvud taget lades ut på Internet.
70 Vid sådant förhållande kan den slutsatsen dras att artikel 25 i direktiv 95/46 skall tolkas så, att sådana transaktioner som dem som [konfirmandläraren] har genomfört inte i sig utgör en ’överföring av … uppgifter till tredje land’. Det är således inte nödvändigt att utreda huruvida en person från ett tredje land har haft tillgång till den berörda hemsidan på Internet eller huruvida denne tjänsteleverantörs server rent fysiskt befinner sig i ett tredje land. 71 Den femte frågan skall således besvaras så, att det inte föreligger någon ’överföring av … uppgifter till tredje land’ i den mening som avses i artikel 25 i direktiv 95/46 när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida som är lagrad hos den som tillhandahåller honom servertjänster, vilken är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.”
Det är svårt att av EG-domstolens svar dra några generella slutsatser som lämpar sig att transformera till svensk lagtext. Svaret måste för det första ses mot bakgrund av frågorna och omständigheterna i målet, sådana EG-domstolen uppfattade dem. För det andra understryker EG-domstolen själv att frågan i målet är begränsad och inte berör den som tillhandahåller en servertjänst (punkt 62).
I svaret talas det om ”en person” – på engelska ”an individual”, en individ – som lägger ut personuppgifter på en hemsida på Internet som är lagrad hos ”en fysisk eller juridisk person” (”a natural or legal person” på engelska). Man kan fråga sig om ordvalet är avsett att markera en begränsning av svarets räckvidd. Domstolen har i sitt svar formellt inte uttalat sig om den situationen att en personuppgiftsansvarig (”registeransvarig” enligt terminologin i EGdirektivet), eller ens en juridisk person eller ett företag, lägger ut eller låter lägga ut personuppgifter på Internet. Också det förhållandet att EG-domstolen i svaret talar om att personen ”befinner sig” i en medlemsstat, i stället för att använda det vedertagna uttrycket ”etablerad”, kan tala för att svaret är avsett att ha en begränsad räckvidd.
Svaret gäller vidare bara den situationen att en individ lägger ut personuppgifter på en hemsida som är lagrad hos någon annan som har den webbplats där sidan kan konsulteras. EG-domstolen har således inte uttalat sig om det fallet att en person själv har en webbplats ansluten till Internet. Svaret är vidare begränsat till det fallet att den fysiska eller juridiska person som har webbplatsen är
etablerad i en medlemsstat. Däremot har det enligt domstolens motivering inte någon betydelse var servern med webbplatsen finns. Av domstolens svar, inklusive motiveringen, kan man således dra den slutsatsen att det finns förfaranden som inte utgör överföring till tredje land i EG-direktivets mening trots att personuppgifter läggs ut på en server som finns i tredje land.
Domstolens svar är alltså i formell mening begränsat till en viss situation. Å andra sidan är de huvudargument som domstolen verkar ha anfört som motivering för svaret av allmängiltig natur – gemenskapslagstiftarens avsikt mot bakgrund av att aktuell del i EGdirektivet inte innehåller Internetanpassade bestämmelser och att Internet inte var fullt utvecklat då EG-direktivet utarbetades (punkt 68 i domen) och att en tillämpning av överföringsbegreppet på Internetpublicering skulle kunna leda till den orimliga konsekvensen att inte en enda personuppgift kan läggas ut på Internet (punkt 69 i domen). Trots att argumenten verkar ha giltighet för varje form av åtgärd som leder till Internetpublicering, har EGdomstolen på det sätt som beskrivits valt att uttrycka sig på ett sätt som antyder att svaret har en begränsad räckvidd.
Tar man fasta på de argument som EG-domstolen för fram, finns det anledning att anta att EG-domstolen i kommande mål med användning av samma argument kan komma att finna att även andra förfaranden som leder till Internetpublicering inte utgör en överföring av uppgifter till tredje land i EG-direktivets mening. Argumenten är nämligen så allmängiltiga att de bör kunna användas på motsvarande sätt även i andra fall.
Utredningens sammanfattande bedömning är ändå att EGdomstolens svar inte ger tillräcklig vägledning för att i dagsläget förtydliga lagtexten i personuppgiftslagen. I förarbetena till 33 § personuppgiftslagen har det uttryckligen angetts att de överföringar som avses i paragrafen är desamma som avses i artikel 25.1 i EGdirektivet.
185
Domstolens svar visar visserligen att vissa förfaranden
som syftar till att lägga ut personuppgifter på Internet inte utgör överföring av uppgifterna till tredje land. Men det går inte att med ledning av domstolens svar utforma en generell regel om dessa förfaranden. Och det förefaller för vågat att med ledning av bara domstolens huvudargument i motiveringen nu ändra lagtexten så att det framgår att inte någon Internetpublicering omfattas av begreppet överföring.
185
Utredningen vill tillägga att EG-domstolens svar, som visar att inte varje åtgärd som leder till Internetpublicering utgör en överföring av uppgifter till tredje land i EG-direktivets mening, kan göra det befogat att se över annan lagstiftning än personuppgiftslagen. När man velat i författningstext uttrycka att viss Internetpublicering är tillåten har man nämligen ofta talat om överföring av uppgifter. Mot bakgrund av EG-domstolens svar förefaller det lämpligt att överväga om författningstexten inte i stället borde exempelvis direkt slå fast att under vissa förutsättningar får personuppgifter publiceras öppet på Internet och andra allmänna kommunikationsnätverk. Utredningen tänker här bl.a. på bestämmelserna i 12 § personuppgiftsförordningen (1998:1191), 9 § förordningen (1995:1386) med instruktion för Patent- och registreringsverket, 23 § rättsinformationsförordningen (1999:175), 8 § andra stycket förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och 1 § förordningen (2002:61) om behandling av personuppgifter i verksamhet med val.
Utredningen vill slutligen peka på att, eftersom det nu fastslagits att inte varje åtgärd som leder till Internetpublicering utgör en överföring av uppgifter till tredje land i EG-direktivets och personuppgiftslagens mening, det i förarbetena finns flera uttalanden av bl.a. regeringen, Lagrådet och konstitutionsutskottet som uppenbarligen bygger på delvis felaktiga förutsättningar, nämligen att varje åtgärd som leder till öppen publicering av uppgifter på Internet innebär att dessa förs över till tredje land.
186
Det är emellertid
svårt att göra något åt i efterhand.
14.2.5. Förhållandet till andra fri- och rättigheter
EG-domstolen har slagit fast följande: ”Bestämmelserna i [EGdirektivet] utgör inte i sig en begränsning som står i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom Europeiska unionen och som har en motsvarighet i bland annat artikel 10 i [Europakonventionen]. Det ankommer på de nationella myndigheter och domstolar som skall tilllämpa de nationella bestämmelser genom vilka [EG-direktivet] har införlivats att garantera en rättvis balans mellan de rättigheter och
186
Se t.ex. prop. 1999/2000:11 och KU 1998/99:15 och 1999/2000:7.
skyldigheter som är i fråga, inklusive de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.”
I domstolens motivering anges följande:
”79 Av sjunde skälet i direktiv 95/46 följer att skillnaderna mellan de nationella lagar och andra författningar som är tillämpliga på behandling av personuppgifter kan inverka allvarligt på upprättandet av den inre marknaden och hur denna fungerar. Enligt tredje skälet i samma direktiv skall ändamålet för harmoniseringen av dessa nationella bestämmelser inte bara vara ett fritt flöde av dessa uppgifter mellan medlemsstaterna, utan även att skydda personers grundläggande rättigheter. Dessa målsättningar kan givetvis komma i konflikt med varandra.
80 Å ena sidan kommer den ekonomiska och sociala integration som är en följd av upprättandet av den inre marknaden och dennas funktion med nödvändighet att leda till en betydande ökning av flödet av personuppgifter mellan samtliga aktörer på de ekonomiska och samhälleliga områdena, oavsett om det är fråga om företag eller medlemsstaternas myndigheter. De nämnda aktörerna behöver i viss mån ha tillgång till personuppgifter för att genomföra sina transaktioner eller för att utföra sina arbetsuppgifter inom det område utan inre gränser som den inre marknaden innebär. 81 Å andra sidan begär de personer som berörs av behandlingen av personuppgifter med rätta att dessa uppgifter skall skyddas effektivt. 82 De mekanismer som gör det möjligt att göra en avvägning mellan dessa olika rättigheter och intressen är för det första inskrivna i direktiv 95/46 självt, i den del i direktivet föreskrivs regler som avgör i vilka situationer och i vilken mån det är tillåtet att behandla personuppgifter och vilket skydd som skall föreskrivas, och följer för det andra av att medlemsstaterna har antagit nationella bestämmelser vilka säkerställer att detta direktiv genomförs och av de nationella myndigheternas eventuella tillämpning av dessa regler. 83 Vad beträffar själva direktivet 95/46 är bestämmelserna i det med nödvändighet relativt allmänna med hänsyn till att de skall tillämpas på ett stort antal mycket olikartade situationer. I motsats till vad [konfirmandläraren] har anfört är det således med rätta som detta direktiv innehåller regler som karaktäriseras av en viss tänjbarhet och som det i direktivet i fråga i många fall överlåts till medlemsstaterna att fastställa detaljerna eller att välja bland de möjligheter som finns. 84 Det är riktigt att medlemsstaterna i många avseenden har ett betydande handlingsutrymme när de skall införliva direktiv 95/46. Det finns dock ingenting som medför att bestämmelserna i detta direktiv brister i förutsebarhet eller att bestämmelserna som sådana strider mot de allmänna gemenskapsrättsliga principerna, särskilt inte mot de
grundläggande rättigheter som skyddas genom gemenskapens rättsordning.
85 Det är snarare på det stadium när de bestämmelser genom vilka direktiv 95/46 har införlivats tillämpas i enskilda fall som en rättvis avvägning mellan de rättigheter och intressen som är i fråga skall göras. 86 I detta sammanhang har de grundläggande rättigheterna en särskild betydelse, såsom visas av målet vid den nationella domstolen, där det sammanfattningsvis måste göras en avvägning mellan å ena sidan [konfirmandlärarens] yttrandefrihet i sitt arbete som handledare för konfirmander samt friheten att utöva verksamhet som bidrar till det religiösa livet, och å andra sidan skyddet av privatlivet för de personer om vilka [konfirmandläraren] har lagt ut uppgifter på sin webbplats på Internet. 87 Följaktligen ankommer det på myndigheterna och domstolarna i medlemsstaten inte bara att tolka sin nationella rätt på ett sätt som står i överensstämmelse med direktiv 95/46, utan även att se till att inte grunda sig på en tolkning av detta direktiv som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer, såsom bland annat proportionalitetsprincipen. 88 Visserligen kräver skyddet av privatlivet att effektiva sanktionsåtgärder tillämpas gentemot personer som behandlar personuppgifter på ett sätt som inte överensstämmer med direktiv 95/46, men sådana sanktionsåtgärder måste alltid stå i överensstämmelse med proportionalitetsprincipen. Detta gäller i desto högre grad som det är uppenbart att tillämpningsområdet för direktiv 95/46 är mycket vidsträckt och att skyldigheterna för personer som behandlar personuppgifter är många och betydande. 89 I enlighet med proportionalitetsprincipen ankommer det på den hänskjutande domstolen att beakta alla omständigheterna i det mål som är anhängigt vid den, bland annat under hur lång tid överträdelsen av de regler genom vilka direktiv 95/46 har pågått samt hur viktigt det är för de berörda att de uppgifter som har spritts skyddas.”
I EG-domstolens svar och i motiveringen för det betonas att det ankommer på nationella myndigheter och domstolar att vid tilllämpningen av de nationella bestämmelser som genomför EGdirektivet garantera en rättvis balans mellan olika rättigheter och skyldigheter. Det tyder på att EG-domstolen anser att det är i rättstillämpningen i det enskilda fallet – och inte vid genomförandet av EG-direktivet – som den angivna balansen skall beaktas och garanteras. Bestämmelserna i EG-direktivet, som skall genomföras, strider ju enligt EG-domstolen inte i sig mot några fri- och rättig-
heter. Motsvarande resonemang kan föras i fråga om den proportionalitetsprincip som EG-domstolen talar om i sin motivering.
Vad man mot bakgrund av EG-domstolens svar kan överväga är att i personuppgiftslagen på något sätt markera att en avvägning mellan olika rättigheter och skyldigheter skall ske i rättstillämpningen. I den danska genomförandelagstiftningen finns det t.ex. en bestämmelse om att lagen inte skall tillämpas om det skulle stå i strid med informations- och yttrandefriheten, jämför artikel 10 i Europakonventionen.
187
En markering i lagtexten skulle dock inte ge personuppgiftsansvariga och registrerade mycket vägledning. Härtill kommer att Europakonventionen redan gäller som svensk lag (SFS 1994:1219), att det redan i personuppgiftslagen finns förtydliganden om lagens förhållande till vissa grundlagsfästa rättigheter och skyldigheter (7 § första stycket och 8 § första stycket) och att det, såvitt utredningen känner till, inte i annan svensk lag finns någon motsvarande markering. Högsta domstolen har också vid sin tillämpning av personuppgiftslagen tillmätt bestämmelserna i Europakonventionen en betydande vikt (se NJA 2001 s. 409, citerad i av snitt 5.2.1). Utredningen har därför kommit fram till att det inte behövs något (ytterligare) förtydligande i personuppgiftslagen. I fråga om proportionalitet vid utdömandet av sanktioner kan också hänvisas till avsnitt 12 o m avkriminalisering.
14.2.6. Den nationella lagstiftningen om personuppgifter
EG-domstolen har slagit fast följande: ”De åtgärder som medlemsstaterna vidtar för att säkerställa skyddet av personuppgifter skall stå i överensstämmelse med såväl bestämmelserna i [EG-direktivet] som med dess målsättning att upprätthålla en balans mellan det fria flödet av personuppgifter och skyddet för privatlivet. Däremot hindrar ingenting att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i [EG-direktivet] har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.”
I domstolens motivering anges följande:
187
§ 2 stk 2. lov nr. 429 af 31.5.2000 om behandling af personoplysninger.
”95 Såsom följer av bland annat åttonde skälet i direktiv 95/46 syftar direktivet i fråga till att göra skyddsnivån när det gäller personers fri- och rättigheter med avseende på behandlingen av personuppgifter likvärdig i alla medlemsstater. I tionde skälet tilläggs att tillnärmningen av de nationella lagstiftningar som är tillämpliga på området inte får medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen.
96 Harmoniseringen av de nämnda nationella lagstiftningarna inskränker sig således inte till en minimiharmonisering, utan leder till en i princip fullständig harmonisering. Det är i detta perspektiv som direktiv 95/46 avser att säkerställa det fria flödet av personuppgifter och att samtidigt garantera en hög skyddsnivå för rättigheter och intressen för de personer som dessa uppgifter avser. 97 Det är riktigt att medlemsstaterna i direktiv 95/46 tillerkänns ett handlingsutrymme på vissa områden och att de enligt direktivet får bibehålla eller införa särregleringar för specifika situationer. Ett stort antal av bestämmelserna i direktivet vittnar om detta. Sådana möjligheter skall dock användas på det sätt som föreskrivs i direktiv 95/46 och i enlighet med syftet med detta direktiv, nämligen att bibehålla en balans mellan det fria flödet av personuppgifter och skyddet för privatlivet. 98 Däremot hindrar ingenting att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i direktiv 95/46 har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta."
Enligt utredningens mening är EG-domstolens svar inte av sådan natur att det kan eller bör föranleda några ändringar i personuppgiftslagen. Frågan om sådant som faller utanför gemenskapsrätten bör undantas från personuppgiftslagen berörs i avs nitt 8.
15. Offentlighetsprincipen och sekretesslagen
15.1. Inledning
Enligt utredningsdirektiven skall utredningen överväga behovet av en ändring i bestämmelsen i 7 kap. 16 § sekretesslagen – som anger att sekretess gäller för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen – i syfte att förtydliga bestämmelsens innebörd. Bestämmelsen ändrades vid personuppgiftslagens tillkomst, varvid uttalades att ändringarna endast utgjorde följdändringar i syfte att samordna bestämmelsen med bestämmelserna i personuppgiftslagen. Det anmärks i utredningsdirektiven att bestämmelsen dock har fått ett vidare tillämpningsområde än tidigare och att bestämmelsen har medfört viss osäkerhet vid rättstillämpningen.
Enligt 8 § första stycket personuppgiftslagen skall lagen inte tilllämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Bestämmelserna i sekretesslagen begränsar allmänhetens rätt att på begäran få del av allmänna handlingar med stöd av offentlighetsprincipen, 2 kap. 2 § tryckfrihetsförordningen.
188
Genom
hänvisningen i 7 kap. 16 § sekretesslagen till personuppgiftslagen har det uppkommit viss osäkerhet om den senare lagens förhållande till offentlighetsprincipen. Emellertid finns det redan i själva definitionen av vad som utgör en allmän handling, som allmänheten har rätt att ta del av, i 2 kap. 3 § tredje stycket tryckfrihetsförordningen en hänvisning till lag som begränsar myndighets befogenhet
188
Bestämmelserna i sekretesslagen har också ett vidare syfte och begränsar även utlämnan-
de av uppgifter i andra fall än som avses med offentlighetsprincipen, t.ex. när en myndighet eller en tjänsteman utan begäran skulle vilja lämna ut uppgifter.
att göra tillgänglig en sammanställning från datalagrat material som innehåller personuppgifter, varmed enligt förarbetena avses bl.a. personuppgiftslagen. Sådana lagfästa begränsningar skall nämligen – i enlighet med den verkan definitionsregeln har – respekteras även när någon begär att få ta del av allmänna handlingar med stöd av offentlighetsprincipen. Även definitionen av vad som är en allmän handling kan därmed leda till osäkerhet om personuppgiftslagens förhållande till offentlighetsprincipen.
Utredningen har därför ansett att den bör se vad som kan göras för att förtydliga personuppgiftslagens förhållande till såväl offentlighetsprincipen som 7 kap. 16 § sekretesslagen. Utredningen vill betona att det inte handlar om att göra någon inskränkning i offentlighetsprincipen eller att annars utöka sekretessen. Av förarbetena till personuppgiftslagen framgår otvetydigt att avsikten varit att ge den grundlagsfästa offentlighetsprincipen företräde framför bestämmelserna i personuppgiftslagen
189
, och konstitutionsutskot-
tet har även senare uttalat bl.a. att ändringen i sekretesslagen inte innebar att det gjordes någon inskränkning av offentlighetsprincipen
190
. Detta ä r naturligtvis också utredningens utgångspunkt. Vad det handlar om är snarast att se om det går att förtydliga regelverket så att det inte i praktiken genom otydlighet och svårtillgänglighet leder till oavsedda inskränkningar av offentlighetsprincipen i myndigheternas tillämpning. Avslutningsvis bör nämnas att Offentlighets- och sekretesskommittén i anslutning till ett förslag om en ny sekretesslag har lämnat förslag till ett tillägg i 2 § personuppgiftslagen. Enligt det föreslagna tillägget hindrar inte bestämmelserna i personuppgiftslagen att visst lämnande av personuppgifter sker mellan myndigheter och inom en myndighet, om uppgiftslämnandet sker i överensstämmelse med den föresl agna, nya sekretesslagen.
191
189
SOU 1997:39 s. 194 och 213–220, prop. 1997/98:44 s. 43–48 och KU 1997/98:18 s. 15–
29.
190
KU 1999/2000:7 s. 14.
191
SOU 2003:99 s. 223–228, 230–237, och 470 f.
15.2. Offentlighetsprincipen
15.2.1. Personuppgiftslagen
Av förarbetena till personuppgiftslagen framgår det som nämnts att avsikten varit att ge den grundlagsfästa offentlighetsprincipen företräde framför bestämmelserna i personuppgiftslagen.
Första stycket i 8 § personuppgiftslagen lyder:
”Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.”
I författningskommentaren anges kortfattat att bestämmelsen ”innehåller i syfte att förtydliga en upplysning om att lagen inte tilllämpas om det skulle strida mot en myndighets skyldigheter enligt 2 kap. tryckfrihetsförordningen”.
192
Det ansågs att det ”i klargö-
rande syfte” borde tas in en bestämmelse som uttryckligen anger det förhållandet att bestämmelser i grundlag alltid tar över bestämmelser i vanlig lag.
193
Såsom framgår av förarbetena är bestämmelsen i 8 § första stycket personuppgiftslagen inte avsedd att ha någon materiell innebörd utan bara att erinra om att grundlagsbestämmelser gäller före personuppgiftslagen.
194
Bestämmelserna i 8 § personuppgiftslagen handlar om hantering av allmänna handlingar. I andra stycket finns det främst bestämmelser rörande arkivering. Det är dock i bestämmelserna bara myndighets hantering av allmänna handlingar som uttryckligen nämns. Även andra organ än myndigheter kan dock ha allmänna handlingar och skyldigheter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen. Det framgår av bl.a. 2 kap. 17 § tryckfrihetsförordningen och 1 kap.8 och 9 §§sekretesslagen.
192
193
194
För en annan tolkning se SOU 2001:3 s. 149.
15.2.2. Tryckfrihetsförordningen
Offentlighetsprincipen i 2 kap. tryckfrihetsförordningen ger envar rätt att ta del av allmänna handlingar hos myndigheter (1 §). Det finns också en rätt att på begäran skyndsamt få en papperskopia eller avskrift av handlingen eller, när det finns en lagfäst skyldighet för myndigheten, en kopia i datorformat (13 §). Myndigheten får efterforska vem den sökande är och vilket syfte han eller hon har med sin begäran bara i den utsträckning det behövs för att myndigheten skall kunna pröva om det finns något hinder mot att handlingen lämnas ut, t.ex. i form av sekretess (14 § tredje stycket).
Med handling förstås en framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas bara med ett tekniskt hjälpmedel. En handling är allmän och därmed omfattad av offentlighetsprincipen om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. (3 § första stycket.)
Kravet på att handlingen skall förvaras hos myndigheten har en speciell innebörd i fråga om datorlagrat material som kan uppfattas bara med ett tekniskt hjälpmedel. Sådant material anses förvarat hos myndigheten bara om det är tillgängligt för myndigheten med ett tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att materialet kan läsas, avlyssnas eller annars uppfattas. När det gäller en viss sammanställning av uppgifter ur datorlagrat material (upptagning för automatiserad behandling), är en sådan sammanställning att anse som förvarad hos myndigheten bara om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. En uttrycklig regel om detta har tagits in i 2 kap. 3 § andra stycket tryckfrihetsförordningen från och med den 1 januari 2003. Det hittills sagda innebär i princip att en myndighet måste använda alla sina tekniska hjälpmedel för att, med rutinbetonade åtgärder, göra och lämna ut en sådan sammanställning av sina datorlagrade uppgifter som sökanden begär. Skyldigheten är alltså inte begränsad t.ex. till sådana sammanställningar som myndigheten normalt gör eller själv skulle ha nytta av.
En sådan sammanställning skall dock inte anses förvarad hos myndigheten ”om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig” (3 § tredje stycket). Före den 1 januari 2003 gällde den regeln bara ”upptagning som ingår i personregister, om myndigheten enligt lag eller förordning eller särskilt
beslut som grundar sig på lag, saknar befogenhet att göra överföringen”.
Det är den sistnämnda regeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen som kan vålla tveksamhet i förhållande till personuppgiftslagen. Den hänvisar alltså till lag eller förordning som begränsar myndigheters befogenhet att göra sammanställningar av personuppgifter tillgängliga. I författningskommentaren anges:
195
”Med lag eller förordning åsyftas i första hand s.k. registerlagar eller registerförordningar som meddelas för olika myndigheters behandling av personuppgifter. I viss mån torde det även av personuppgiftslagen kunna följa att en myndighet är förhindrad att göra vissa sammanställningar av personuppgifter. Som
Kammarrätten i Stockholm påpekat om-
fattar hänvisningen till lag också personuppgiftslagen på samma sätt som hänvisningen i dag omfattar datalagen.”
Offentlighets- och sekretesskommittén ansåg däremot – med hänvisning till utformningen av 8 § första stycket personuppgiftslagen – att i den mån det av personuppgiftslagen följer att en myndighet saknar befogenhet att göra vissa sökningar eller annars ta ut viss information från sitt datalagrade material, kan detta inte slå igenom när det gäller myndigheternas skyldigheter enligt 2 kap. tryckfrihetsförordni ngen.
196
Genom vad som angetts i författningskom-
mentaren i propositionen får det dock anses klarlagt att ett sådant synsätt inte är riktigt, utan att avsikten är att de begränsningar av myndigheters befogenhet att göra sammanställningar som följer av personuppgiftslagen faktiskt skall få genomslag i fråga om offentlighetsprincipen.
195
196
15.2.3. Överväganden och förslag
Utredningens förslag: De generella bestämmelserna i personuppgiftslagen skall inte inskränka myndigheternas skyldighet enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen att på begäran söka efter, sammanställa och lämna ut personuppgifter.
Även andra organ än myndigheter som har skyldigheter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen skall omfattas av bestämmelserna i 8 § personuppgiftslagen om förhållandet till offentlighetsprincipen.
Det är när man försöker avgöra vilka begränsningar – med genomslag i fråga om offentlighetsprincipen – som följer av personuppgiftslagen som svårigheter uppkommer. Vilka bestämmelser i personuppgiftslagen kan medföra att en myndighet saknar befogenhet att göra en viss sammanställning tillgänglig när en sökande begär att myndigheten skall göra sammanställningen? Här skall lämnas några exempel på svårigheterna.
Den personuppgiftsansvariga myndigheten är enligt 9 § första stycket d personuppgiftslagen skyldig att se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). Myndigheten har ofta samlat in personuppgifterna för något specifikt myndighetsändamål, t.ex. för att bestämma en viss förmån, såsom bostadsbidrag, eller en viss skyldighet, såsom skattskyldighet. Det är ofta redan finalitetsprincipen som medför att myndigheten inte för vilka ändamål som helst kan söka efter, samköra eller annars sammanställa personuppgifter, eftersom myndigheten vid alla sådana behandlingar av personuppgifter måste hålla sig inom ramen för de ursprungliga ändamålen. Men hur är det om någon begär att myndigheten skall göra en viss sammanställning av personuppgifter? Är det då ”offentlighetsprincipändamålet” eller det faktiska ändamål som sökanden har (t.ex. ren nyfikenhet eller direkt marknadsföring) som skall jämföras med det ursprungligen bestämda ”myndighetsändamålet”? Regeringen har visserligen deklarerat att en myndighets utlämnande av personuppgifter med stöd av offentlighetsprincipen inte kan anses vara oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in.
197
om en eventuell rättslig begränsning av befogenheten att samman-
197
Prop. 1997/98:44 s. 44. Jämför också SOU 2003:99 s. 231–235 för en synnerligen liberal
tolkning av finalitetsprincipen vid utlämnanden av personuppgifter mellan myndigheter.
ställa uppgifter för ett nytt ändamål inför ett utlämnande, en begränsning som i förekommande fall är avsedd att inskränka offentlighetsprincipen.
Av 10 § personuppgiftslagen framgår att personuppgifter utom vid samtycke får behandlas bara när det är nödvändigt i de fall som räknas upp i paragrafen, bl.a. för att fullgöra en rättslig skyldighet. En sammanställning av datorlagrade personuppgifter som utförs på begäran av en sökande är en sådan behandling som måste kunna hänföras till något av de fall som anges i den paragrafen. Till vilket fall skall en sammanställning som en myndighet gör på begäran av en sökande hänföras? I 13 § personuppgiftslagen finns det vidare ett förbud mot att behandla s.k. känsliga personuppgifter. De undantag från det förbudet som finns i 15–19 §§personuppgiftslagen kan inte grunda befogenhet för en myndighet att på en sökandes begäran göra en sammanställning med känsliga personuppgifter. Innebär det att en sammanställning med känsliga personuppgifter, t.ex. en lista över fackliga företrädare vid myndigheten, inte får göras när en sökande begär det?
Det anförda visar enligt utredningens mening på en del av de svårigheter och oklarheter som uppkommer om man försöker tillämpa den generellt utformade personuppgiftslagen för att avgöra vilka sammanställningar av personuppgifter som en myndighet får göra därför att en sökande ber om det. Bakgrunden till svårigheterna är bl.a. att man vid utarbetandet av personuppgiftslagen utgick från att bestämmelserna i 2 kap. tryckfrihetsförordningen ålägger myndigheterna skyldigheter som går före personuppgiftslagen (och bl.a. utgör stöd för att behandla t.ex. känsliga personuppgifter), medan bestämmelsen i 2 kap. 3 § tredje stycket tryckfrihetsförordningen utgår från att personuppgiftslagen kan inskränka skyldigheterna.
Tanken verkar ha varit att det finns sammanställningsförfaranden som en myndighet aldrig får genomföra enligt personuppgiftslagen och att samma begränsningar därför skall gälla även när en sökande begär sammanställningen. Personuppgiftslagen innehåller emellertid – till skillnad från många särskilda registerförfattningar – inte några absoluta förbud mot att på visst sätt eller i viss form sammanställa personuppgifter. Lagen innehåller t.ex. inget absolut förbud mot att använda vissa sökbegrepp eller att samköra olika uppgiftssamlingar. Om ett visst sådant förfarande är tillåtet eller inte enligt personuppgiftslagen, beror ofta ytterst på vilket ändamålet är med behandlingen. Myndigheten får t.ex. inte själv för ändamålet ren nyfikenhet söka igenom de personuppgifter man förvarar, eftersom det skulle strida mot de bestämda ändamål för
rar, eftersom det skulle strida mot de bestämda ändamål för vilka personuppgifterna samlats in. Men har myndigheten ett annat, berättigat ändamål med sökningen – t.ex. det ursprungliga ändamål för vilket uppgifterna samlades in – kan den mycket väl få genomföras enligt personuppgiftslagen. Det torde till och med vara så att om det enligt personuppgiftslagen väl är tillåtet för en myndighet att inrätta och föra ett register för något visst myndighetsändamål, så får myndigheten enligt personuppgiftslagen i princip utföra alla de sökningar efter och sammanställningar av personuppgifter i det registret som är nödvändiga för att uppfylla ändamålet. En annan sak är att det enligt den särskilda registerförfattning som reglerar registerföringen kan finnas s.k. sökbegränsningar och andra konkreta regler som inskränker myndighetens rätt att göra sammanställningar och att dessa konkreta begränsningar gäller även när en sökande begär att en viss sammanställning skall göras. Det bör här tilläggas att det, såvitt utredningen känner till, aldrig ens har hävdats att de regler om ändamålsbestämning som sedan lång tid tillbaka brukar finnas i särskilda registerförfattningar i sig skulle inskränka myndigheters skyldigheter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen att sammanställa personuppgifter.
Enligt utredningens mening går det inte att på något förnuftigt sätt tillämpa de generella, normalt ändamålsberoende bestämmelserna i personuppgiftslagen för att avgöra vilka sammanställningsförfaranden en myndighet skall vara förhindrad att genomföra på begäran av en sökande.
Det är möjligt att man genom olika mer eller mindre välgrundade tolkningsoperationer kan komma fram till att det alltid är tillåtet enligt personuppgiftslagen att göra en sammanställning som en sökande begär.
198
Men i sådant fall har ju hänvisningen i 2 kap. 3 §
tredje stycket tryckfrihetsförordningen till personuppgiftslagen inte någon reell innebörd.
Det andra alternativet vore att konstatera att det varierar beroende på sökandens begäran om det enligt personuppgiftslagen är tillåtet eller inte för myndigheten att göra som sökanden begär. Här kan man tänka sig att tillåtligheten är beroende av t.ex. vilket ändamål sökanden har med sin begäran eller vilket slags uppgifter – t.ex. känsliga personuppgifter eller personnummer – sammanställningen skulle beröra. Men en sådan tillämpning skulle strida mot
198
Man skulle givetvis teoretiskt också kunna komma fram till att en sådan sammanställning
aldrig fick göras, men det skulle utgöra en sådan häpnadsväckande inskränkning av offentlighetsprincipen att den tolkningen måste avvisas.
den s.k. likställighetsprincipen. Den principen innebär att allmänheten med stöd av offentlighetsprincipen skall ha tillgång till datorlagrad information i samma utsträckning som denna är tillgänglig för myndigheten. Principen har åberopats vid införandet av såväl den ursprungliga som den ändrade lydelsen av nuvarande 2 kap. 3 § tredje stycket tryckfrihetsförordningen.
199
Myndigheten som har
lagrat uppgifterna i enlighet med personuppgiftslagen för något visst ändamål får ju enligt den lagen i princip använda alla slags uppgifter och alla sök- och sammanställningsförfaranden som är nödvändiga för att uppfylla det ändamålet (och som inte är förbjudna enligt någon särskild registerförfattning).
Utredningens slutsats av det anförda är att personuppgiftslagen inte bör vara en sådan lag som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. Det bör åstadkommas genom att det i 8 § första stycket personuppgiftslagen uttryckligen anges att lagen inte innebär en sådan begränsning av en myndighets befogenhet att göra en sammanställning tillgänglig som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen.
Det är således utredningens mening att de inskränkningar i möjligheterna att göra sammanställningar som bör gälla för myndigheternas egen hantering och därmed få genomslag även för allmänhetens tillgång till informationen liksom hittills bör framgå i första hand av särskilda registerförfattningar med konkreta bestämmelser om begränsning av de sökbegrepp som får användas och liknande. Dessutom kan det givetvis liksom hittills vara aktuellt med sekretessbestämmelser som begränsar allmänhetens tillgång till sådan information som myndigheten har tillgång till för egen del. I avsnit t 15.3 går utredningen in på sekretessbestämmelsen i 7 kap. 16 § sekretesslagen, som hänvisar till personuppgiftslagen.
Först finns det emellertid anledning att ta upp ett par andra frågor om hur bestämmelserna i personuppgiftslagen förhåller sig till offentlighetsprincipen.
Enligt 8 § första stycket personuppgiftslagen skall lagen inte tilllämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut person-
199
Prop. 1975/76:160 s. 88: Föredragande departementschefen förordade ”att den allmänna
tillgången till ADB-lagrade persondata hos handläggande myndighet begränsas i samma omfattning som myndighetens rättsliga befogenhet att för egen del överföra data till läsbar form”. Prop. 2001/02:70 s. 23: ”Syftet med denna bestämmelse är att allmänheten inte med stöd av offentlighetsprincipen skall kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är förhindrad att ta fram i sin egen verksamhet.”
uppgifter. Av 2 kap. 3 § andra stycket tryckfrihetsförordningen följer emellertid att en myndighet i viss utsträckning är skyldig att när någon begär det med åberopande av offentlighetsprincipen söka fram och sammanställa uppgifter från datorlagrat material för att lämna ut dem. Det som krävs för att uppfylla grundlagsenliga skyldigheter skall givetvis få ske oberoende av bestämmelserna i personuppgiftslagen. En sammanställning av personuppgifter förutsätter så gott som alltid en föregående sökning efter sådana uppgifter. Utredningen anser att regleringen blir tydligare och mer heltäckande om, förutom skyldigheten att lämna ut personuppgifter, de grundlagsenliga skyldigheterna att söka efter och sammanställa personuppgifter uttryckligen nämns i 8 § första stycket personuppgiftslagen.
Den andra frågan gäller det förhållandet att i 8 § personuppgiftslagen nämns bara myndigheter, trots att även andra organ enligt särskilda föreskrifter kan ha allmänna handlingar och skyldigheter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen.
Enligt utredningens mening blir regleringen tydligast om alla organ som har att tillämpa offentlighetsprincipen omfattas av undantagen i 8 § personuppgiftslagen när de hanterar allmänna handlingar. Utredningen kan inte heller se annat än att de skäl som åberopats för att undantagen för myndigheter i 8 § personuppgiftslagen är förenliga med EG-dire ktivet
200
har samma giltighet även för and-
ra organ som har att tillämpa grundlagsreglerna om offentlighetsprincipen. Utredningen föreslår därför en uttrycklig bestämmelse om att sådana andra organ skall jämställas med myndigheter vid tillämpningen av 8 § personuppgiftslagen.
15.3. Bestämmelsen i 7 kap. 16 § sekretesslagen
15.3.1. Bakgrund
Redan i samband med att 1973 års datalag infördes togs det i föregångaren till sekretesslagen (1980:100) – 13 § andra stycket lagen (1937:249) om inskränkningar i rätten att utbekomma allmänna
200
Se prop. 1997/98:44 s. 43 ff.
handlingar – in en bestämmelse om att en personuppgift som ingick i ett sådant personregister som avsågs i datalagen inte fick lämnas ut om det fanns anledning att anta att uppgiften skulle användas för automatisk databehandling i strid med datalagen. Fanns det anledning att anta att en sådan personuppgift skulle användas för automatisk databehandling i utlandet, fick uppgiften lämnas ut bara efter medgivande av Datainspektionen. Motsvarande förbud mot utlämnande togs också in i datalagen.
Datalagen gällde bara för regelrätta datoriserade personregister, och det krävdes ursprungligen ett tillstånd från Datainspektionen eller särskilt författningsstöd för att få inrätta och föra ett personregister. I förarbetena konstaterades det att ett syfte med lagstiftningen var att skapa kontroll över möjligheterna att genom inhämtande av uppgifter från befintliga register bygga upp nya register som används för andra ändamål än de ursprungliga registren. Till största delen kunde sådana förfaranden kontrolleras genom tillståndsprövningen, men det kunde inte uteslutas att tillståndssystemet kunde kringgås, bl.a. genom att personregister inrättades utomlands. Därför borde möjligheterna att lämna ut personuppgifter från personregister inskränkas. Departementschefen konstaterade dock att inskränkningen knappast skulle medföra något effektivt skydd mot att personregister upprättas obehörigen.
201
Syftet med regeln var alltså att förhindra att personregister inrättades i strid med datalagen eller utomlands där datalagen inte gällde. Det skulle förhindras genom förbudet mot att lämna ut uppgifter från ett befintligt personregister om det fanns anledning att anta något sådant.
I författningskommentaren konstaterades det att det i många fall skulle bli svårt för den registeransvarige att avgöra om det fanns risk för att en uppgift som begärs utlämnad skulle användas på ett otillbörligt sätt. Sedan uttalades följande:
202
”Anledning till försiktighet torde i första hand föreligga, om den registeransvarige får en begäran om massuppgifter eller selekterade uppgifter. En sådan begäran bör alltid utgöra anledning för den registeransvarige att närmare utreda hur det är avsett att uppgifterna skall användas. Först om den som begär utlämnandet anger en godtagbar förklaring härom bör uppgifterna lämnas ut.”
201
202
När sekretesslagen infördes togs bestämmelsen i sak oförändrad in i 7 kap. 16 §.
203
I samband med att Sverige anslöt sig till Europarå-
dets dataskyddskonvention (se avsnit t 4.2.2) inför des i bestämmelsen om utlandsutlämnande en regel om att sekretess inte gällde om personuppgiften skulle användas för automatisk databehandling enbart i en stat som anslutit sig till ko nventionen.
204
Det gjordes
därvid inte någon ändring i bestämmelsen om sekretess när det fanns anledning att anta att uppgiften skulle användas för automatisk databehandling i strid med datalagen. Eftersom datalagen bara gällde i Sverige, verkar det ha inneburit att någon egentlig prövning av vad som kunde ske efter utlämnandet med personuppgiften i en (annan) konventionsstat (än Sverige) inte behövde göras.
I samband med att personuppgiftslagen infördes ändrades bestämmelsen i 7 kap. 16 § sekretesslagen enligt följande.
Äldre lydelse Ny lydelse Sekretess gäller för personuppgift i personregister som avses i datalagen (1973:289), om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen.
Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204).
203
Prop. 1979/80:2 Del A s. 212 f.
204
Prop. 1981/82:189 s. 40 ff. och 62 f.
Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlandet och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på Datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgiften skall användas för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.
I förarbetena framställdes ändringarna i första stycket som formella följdändringar som innebar att sekretessbestämmelsen samordnades med de nya bestämmelserna i personuppgiftslagen.
205
I fråga om upphävandet av andra stycket om utlandsutlämnande anfördes följande i förarbetena:
206
”I personuppgiftslagen finns det i 33–35 §§ bestämmelser om förutsättningarna för överföring av personuppgifter till tredje land som gäller även för myndigheter. Redan första stycket i denna paragraf medför att sekretess gäller om ett utlämnande av personuppgifter till tredje land skulle stå i strid med de nämnda bestämmelserna i personuppgiftslagen. Andra stycket i paragrafen behövs således inte längre.”
Det uttalandet är emellertid svårt att förstå.
Det är uppenbart att man enligt första stycket inte skall pröva om myndighetens utlämnande står i strid med dataskyddslagstiftningen utan att det som skall prövas är om det finns anledning att anta att personuppgiften efter ett utlämnande kommer att behandlas av mottagaren i strid med den lagstiftningen. Det framgår tydligt av lagstiftningens förhistoria. Första stycket (dvs. det som blev
205
Prop. 1997/98:44 s. 113 och 147.
206
kvar av paragrafen efter ändringen) berör därför inte i sig det fallet att myndighetens utlämnande står i strid med bestämmelserna i personuppgiftslagen om överföring av personuppgifter till tredje land
207
. Däremot kan det givetvis gälla sekretess för personuppgifterna därför att myndigheten kan anta att den som begärt att få ut uppgifterna kommer att – efter myndighetsutlämnandet – överföra dem till tredje land i strid med 33–35 §§personuppgiftslagen.
208
Det är i och för sig riktigt att bestämmelserna i personuppgiftslagen om bl.a. överföring av personuppgifter till tredje land gäller även för myndigheter och kan förhindra dessa att på eget initiativ göra både det ena och det andra med personuppgifter. Men när det finns en skyldighet för myndigheten att efter begäran lämna ut en personuppgift enligt bestämmelserna om offentlighetsprincipen i 2 kap. tryckfrihetsförordningen, gäller denna skyldighet före bestämmelserna i personuppgiftslagen.
209
Och det är just för att in-
skränka det uppgiftsutlämnande som annars kan ske med stöd av offentlighetsprincipen som det behövs en bestämmelse i sekretesslagen.
I förarbetena till ändringen skedde det således en sammanblandning av frågan om det är den behandling som myndighetens utlämnande innebär eller den behandling som kan antas ske efter ett utlämnande som skall jämföras med bestämmelserna i personuppgiftslagen. Det i sig är ägnat att leda till oklarheter. Även ordalydelsen av bestämmelsen (”ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen”) kan leda till tveksamhet om det är myndighetsutlämnandet eller den efterföljande behandlingen som avses. Att det är sökandens efterföljande behandling som avses när personuppgiftslagen gäller för sökanden får dock anses fastslaget genom den rättspraxis som kommit efter ändringen (jämför avsnit t 5.2.2). Hur 7 kap. 16 § sekretesslagen i ändrad lydelse skall tillämpas vid sådant utlämnande till tredje land som kan ske enligt offentlighetsprincipen är, såvitt känt, inte prövat ännu.
207
Med tredje land avses enligt 3 § personuppgiftslagen en stat som inte ingår i Europeiska
unionen (EU) eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES).
208
Detta förutsätter att personuppgiftslagen är tillämplig på mottagarens behandling, av
personuppgifterna dvs. att denne är etablerad i Sverige enligt 4 § personuppgiftslagen. Jämför SOU 2003:34 s. 212.
209
Utredningen har utgått från att det enligt 2 kap. tryckfrihetsförordningen finns en skyl-
dighet för myndighet att på begäran lämna ut personuppgifter även till någon i utlandet.
Ändringen och införandet av personuppgiftslagen har, såsom Offentlighets- och sekretesskommittén noterat
210
, inneburit att
7 kap. 16 § sekretesslagen fått ett vidare tillämpningsområde och att sekretessprövningen blivit mer komplicerad. Bestämmelsen måste numera beaktas av myndigheten vid alla utlämnanden av personuppgifter, oavsett om uppgiften hos myndigheten finns i ett personregister, på ett papper, i ett ordbehandlingsdokument i dator eller bara i en tjänstemans huvud, och oavsett i vilken form – på papper, i datorformat eller muntligt – utlämnandet sker samt oavsett om sökanden avser att ha personuppgiften i ett datoriserat personregister eller behandla den på något annat sätt som omfattas av personuppgiftslagen. Sekretessprövningen kan vidare inte längre i praktiken inskränkas till att kontrollera att sökanden har tillstånd från Datainspektionen eller är undantagen från tillståndskrav. Prövningen måste i stället avse om sökanden kommer att hålla sig till alla de bestämmelser som finns i personuppgiftslagen.
Offentlighets- och sekretesskommittén noterade att det hade kommit ett allt mer ökande antal mål i förvaltningsdomstolarna om tillämpningen av 7 kap. 16 § sekretesslagen och konstaterade efter en granskning av de avgöranden som dittills kommit att myndigheterna vid tillämpningen av bestämmelsen varit restriktiva med utlämnanden av personuppgifter.
211
Offentlighets- och sekretesskommittén har nyligen föreslagit en ny sekretesslag och att bestämmelsen i 7 kap. 16 § i den nuvarande lagen skall med bara språkliga ändringar föras över till den nya lagen.
212
210
SOU 2001:3 s. 190 ff. och 212 ff.
211
212
15.3.2. Överväganden och förslag
Utredningens förslag: Sekretess skall gälla för en personuppgift, om det finns skäl att anta att uppgiften efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen eller om myndighetens utlämnande av uppgiften står i strid med bestämmelsen om överföring till tredje land i 33 § personuppgiftslagen. Att myndighetens utlämnande står i strid med bestämmelsen om överföring till tredje land i 33 § personuppgiftslagen skall dock inte medföra sekretess för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information.
Inledning
Det är utredningens uppfattning att det inledningsvis funnits en viss osäkerhet hos myndigheterna om tillämpningen av 7 kap. 16 § sekretesslagen och att det har lett till att de ibland varit väl restriktiva med utlämnande av personuppgifter. I dag är emellertid läget ett annat.
De fall där myndigheterna inledningsvis vägrade utlämnande har nu överprövats i domstol, och det finns i dag en hel del vägledande rättspraxis, bl.a. tre avgöranden från högsta instans. Det är som framgår av redogörelsen för rätts praxis i avsnitt 5.2.2 bara i n ågra få fall som utlämnande slutligen vägrats med hänvisning till sekretess enligt 7 kap. 16 § sekretesslagen.
213
Det finns nu också en del skrivet om tillämpningen av 7 kap. 16 § sekretesslagen som ka n ge vägledning.
214
Att det i dag finns mera vägledning och inget som tyder på att myndigheterna skulle tillämpa bestämmelsen ”fel” eller så att offentligheten inskränks mer än avsett utgör givetvis inga giltiga argument mot att förtydliga bestämmelsen. Enligt utredningens mening finns det tvärtom anledning att göra vad man kan för att förtydliga bestämmelsen, som blir aktuell vid alla utlämnanden av personuppgifter.
213
Kammarrättens i Jönköping dom 1999-11-16 i mål nr 3865-1999, som får anses överspe-
lad efter RÅ 2001 ref. 68, Kammarrättens i Sundsvall dom 2000-06-14 i mål nr 1443-2000 och dom 2001-10-22 i mål nr 2670-2001.
214
Se, förutom SOU 2001:3 s. 190 ff. och 212 ff., Sören Öman & Hans-Olof Lindblom,
Personuppgiftslagen – En kommentar, andra upplagan 2001, s. 327–336. Även Statstjänstemannaförbundets debattbok ”7:16 – och andra hot mot öppenheten” bör nämnas.
Det som enligt utredningens mening främst behöver förtydligas är i vilken utsträckning det är myndighetens utlämnande av personuppgifter respektive sökandens efterföljande behandling av dem som skall bedömas i förhållande till personuppgiftslagen.
Sekretess när sökanden kan antas bryta mot personuppgiftslagen
Att sekretess, liksom hittills, alltid bör gälla om det kan antas att sökandens efterföljande behandling kommer att innebära ett brott mot personuppgiftslagen står klart. En myndighet skall inte lämna ut personuppgifter om det på goda grunder kan misstänkas att mottagaren kommer att använda dem på ett enligt personuppgiftslagen olagligt sätt. Det är en självklar princip. Den kan man knappast klara sig utan om man vill undvika orimliga konsekvenser av vår principiella handlingsoffentlighet, i detta fall att en myndighet mer eller mindre medvetet skulle tvingas att medverka till ett lagbrott.
Det bör dock markeras tydligare i lagtexten att det är sökandens efterföljande behandling som skall bedömas i förhållande till personuppgiftslagen och inte den behandling som myndighetens utlämnande utgör. Det bör ske genom att det föreskrivs sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen.
Sekretess gäller således bara om det kan antas en efterföljande behandling som är olaglig enligt personuppgiftslagen. Bestämmelsen i 7 kap. 16 § sekretesslagen skall alltså inte försvåra utfåendet av allmänna handlingar med personuppgifter för den som inte kommer att behandla personuppgifterna på ett sätt som omfattas av personuppgiftslagen eller som tänker följa den lagen vid behandlingen. Privatpersoner som vill behandla de utlämnade personuppgifterna i dator som ett led i en verksamhet av rent privat natur (vilken behandling inte omfattas av personuppgiftslagen, se 6 §) är ett exempel. Den som vill göra något journalistiskt med personuppgifterna är ett annat exempel (se 7 § personuppgiftslagen).
En i praktiken väsentlig fråga vid tillämpningen av offentlighetsprincipen är när en sekretessbestämmelse medför att en myndighet får efterforska vad den som vill ha en allmän handling skall göra med uppgifterna i den. Enligt 2 kap. 14 § tredje stycket tryckfrihetsförordningen får myndigheten nämligen efterforska vem den sökande är och vilket syfte han eller hon har med sin begäran bara i den utsträckning det behövs för att myndigheten skall kunna pröva
om det finns något hinder mot att handlingen lämnas ut, t.ex. i form av sekretess.
Ofta kan utformningen av det s.k. skaderekvisit som finns i den aktuella sekretessbestämmelsen ha stor betydelse för frågan om när en myndighet får börja efterforska. I förarbetena till sekretesslagen anges följande allmänna principer i fråga om skaderekvisit och myndigheters efterforskningar.
215
”I departementsförslaget finns endast två typer av skaderekvisit, ett rakt som innebär presumtion för offentlighet och ett omvänt som innebär presumtion för sekretess. Det raka skaderekvisitet innebär att sekretess föreligger, om det kan antas att viss angiven skada uppkommer om uppgiften röjs. Det omvända rekvisitet innebär att sekretess gäller, om det inte står klart att uppgiften kan röjas utan skada.
Det raka skaderekvisitet innebär att tillämparen kan göra sin bedömning inom ganska vida ramar. Avsikten är att skadebedömningen i dessa fall i huvudsak skall kunna göras med utgångspunkt i själva uppgiften. Det innebär att frågan huruvida sekretess gäller eller inte i första hand inte behöver knytas till en skadebedömning i det enskilda fallet. Avgörande bör i stället vara om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som skall skyddas genom bestämmelsen. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös, skall den alltså normalt falla utanför sekretessen. Som exempel på uppgifter av detta slag kan nämnas utlännings adress eller civilstånd. Skulle uppgiften å andra sidan vara av sådant slag att den lätt kan komma att missbrukas, […] skall den enligt min mening i de flesta fall anses vara omfattad av sekretess. Sammanfattningsvis anser vi att avgörande betydelse som regel bör tillmätas arten av den uppgift som efterfrågas. Härigenom vinner man den fördelen att man sällan behöver frångå den till offentlighetsprincipen hörande grundsatsen att den som begär en uppgift hos myndighet inte skall behöva legitimera sig och tala om varför han vill ta del av viss uppgift.
[K]onstruktionen med skaderekvisit [innebär emellertid] att frågan om vem som begär en uppgift eller ändamålet med begäran kan få betydelse när sekretessfrågan skall avgöras. Om det t.ex. i ett särskilt fall framgår att den som begär ut en uppgift om utlännings adress kan antas använda denna uppgift för att utsätta vederbörande för trakasserier, skall uppgiften just i den situationen anses vara omfattad av sekretess. Avsikten är emellertid inte att tjänstemannen normalt skall försöka utröna om omständigheter av nu nämnt slag föreligger i ett visst utläm-
215
Prop. 1979/80:2 Del A s. 80 f.
nandefall. En sådan åtgärd bör enligt min mening förekomma endast om det finns särskild anledning till det, t.ex. om en tjänsteman har fått veta att man från visst håll samlar in uppgifter av det aktuella slaget i illegitimt syfte. […]
De uttalanden som jag nu har gjort om skadebedömningen vid utlämnandet av en särskild uppgift har i stort sett sin giltighet också i fråga om massuttag. Situationen är emellertid här i viss mån en annan så till vida att den berörde tjänstemannen av naturliga skäl inte kan bilda sig en uppfattning om den särskilda skaderisk som kan vara förbunden med en enskild uppgift. Å andra sidan har han emellertid alltid kännedom om beställarens identitet och oftast också om dennes avsikt med uppgifterna. Dessa kunskaper i förening med en bedömning av den skaderisk som typiskt sett är förbunden med uppgifter av det slag som avses med beställningen bör enligt min mening i de allra flesta fall ge fullt tillräckligt underlag för bedömningen av om sekretessregleringen skall anses hindra ett utlämnande eller inte.”
Vid rakt skaderekvisit skall således normalt sekretessfrågan bedömas med utgångspunkt i själva den uppgift som begärs utlämnad och inte vad som kan tänkas ske i det enskilda fallet efter ett utlämnande. Bara om det finns särskild anledning till det, får myndigheten normalt börja efterforska.
Bestämmelsen i 7 kap. 16 § sekretesslagen innehåller ett rakt skaderekvisit (”om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen”), men det är lite speciellt i förhållande till de flesta andra sådana rekvisit i sekretesslagen. Av den ursprungliga författningskommentaren till den bestämmelsen framgår nämligen att i första hand en begäran om massuppgifter eller selekterade uppgifter alltid bör utgöra anledning för myndigheten att närmare utreda hur det är avsett att uppgifterna skall användas och att det är först om sökanden anger en godtagbar förklaring härom som uppgifterna bör lämnas ut.
216
Om
massuppgifter eller selekterade uppgifter begärs utlämnade och sökanden inte besvarar en förfrågan om den tilltänkta användningen av uppgifterna, finns det således enligt förarbetena anledning att anta en olaglig behandling och vägra utlämnande på grund av sekretess.
Arten av den uppgift som begärs utlämnad verkar, såvitt framgår av författningskommentaren, inte på det sätt som är normalt vid tillämpningen av sekretesslagen ha direkt betydelse (annat än att
216
Prop. 1973:33 s. 140, citerat ovan i avsnitt 15.3.1.
det naturligtvis måste vara fråga om en personuppgift) för prövningen av skaderekvisitet och för frågan om när myndigheten får börja efterforska vad sökanden skall använda uppgifterna till. Det är i och för sig naturligt, eftersom varje slag av personuppgift kan behandlas i strid med lagstiftningen till skydd för personuppgifter. Det avgörande för om en efterforskning bör göras verkar i stället, såvitt framgår av författningskommentaren, i första hand vara om det på grund av någon omständighet kring sökandens begäran (massuppgifter eller selekterade uppgifter) kan antas att sökanden kommer att hantera uppgifterna på ett sätt som omfattas av den lagstiftningen (företrädesvis med hjälp av dator).
Att skaderekvisitet i 7 kap. 16 § sekretesslagen och förutsättningarna för när myndigheten får börja efterforska således skall tillämpas på ett i förhållande till övriga sekretessregler speciellt sätt bör enligt utredningens mening markeras på något sätt i lagtexten. Därmed bör tillämpningen av bestämmelsen underlättas. Det klargörs då också att myndigheten inte får börja ställa frågor om den tilltänkta användningen bara för att en personuppgift begärs utlämnad.
Det bör därför föreskrivas att sekretess gäller för personuppgift, om det finns skäl att anta att uppgiften efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen.
Myndigheten får således efterforska den tilltänkta användningen bara om det på grund av någon konkret omständighet, t.ex. att uppgifter om en massa människor begärs utlämnade, finns skäl att anta en efterföljande behandling som i och för sig omfattas av personuppgiftslagen. Om sökanden då inte besvarar myndighetens frågor, finns det, i enlighet med författningskommentaren, skäl att anta en olaglig behandling och vägra utlämnande på grund av sekretess. Det finns däremot inte någon skyldighet att besvara myndighetens frågor.
Det bör här noteras att det framgår av 2 kap. 14 § tredje stycket tryckfrihetsförordningen och ligger i sakens natur att myndigheten inte får ställa mer inträngande eller fler frågor än som behövs för att göra en bedömning enligt den aktuella sekretessbestämmelsen. Det innebär i detta sammanhang att myndigheten – i de fall användningen alls får efterforskas – inledningsvis bara bör fråga om sökanden över huvud taget avser att behandla den begärda personuppgiften på ett sätt som omfattas av 5 § personuppgiftslagen, dvs. automatiserat med hjälp av dator eller i ett regelrätt manuellt personregister. Först om så är fallet, finns det anledning för myndigheten att ställa flera frågor om den tilltänkta behandlingen, bl.a. för
att ta reda på om behandlingen är helt eller delvis undantagen från personuppgiftslagen.
Om sökanden väl lämnar en redogörelse för sin tilltänkta behandling, uppkommer frågan om när den redogörelsen skall godtas. Av förarbetena till personuppgiftslagen framgår att en invändning om att en behandling avser sådant som är undantaget enligt 7 § personuppgiftslagen (om undantag med hänsyn till tryck- och yttrandefriheten) får godtas, om det inte av omständigheterna framgår att invändningen är så osannolik att den kan lämnas utan avseende .
217
Detsamma får enligt utredningens mening antas gälla en invändning om att en behandling avser sådant som är undantaget enligt 6 § personuppgiftslagen om undantag för privat behandling av personuppgifter. Dessa principer, som innebär att det är bara i rena undantagsfall som man inte bör lita på de invändningar och den redogörelse som lämnas, bör naturligtvis tillämpas också vid en sekretessprövning enligt 7 kap. 16 § sekretesslagen.
Om myndigheten fått en redogörelse från sökanden, som i enlighet med det nyss sagda inte kan lämnas utan avseende, får myndigheten göra en bedömning av om den uppgivna behandlingen omfattas av personuppgiftslagen och, om så är fallet, om den behandlingen strider mot personuppgiftslagen.
Sekretess när myndighetens utlandsutlämnande strider mot personuppgiftslagen
Nästa fråga är om och i vilken utsträckning det förhållandet att själva utlämnandet från myndigheten av en personuppgift i sig skulle innebära ett brott mot personuppgiftslagen skall medföra sekretess. Det bör här för det första betonas att den frågan bara har betydelse när det gäller myndighetens skyldighet att enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen lämna ut personuppgifter. Finns det ingen sådan skyldighet, får den personuppgiftsansvariga myndigheten ju nämligen – oberoende av sekretessbestämmelserna – inte bryta mot personuppgiftslagen (eller för den delen någon annan lag). Myndigheter får t.ex. inte självmant lägga ut personuppgifter öppet på Internet utan att följa bestämmelserna i personuppgiftslagen.
217
Prop. 1997/98:44 s. 119. Se också Kammarrättens i Göteborg dom 2003-02-14 i mål nr
6296-2002.
Det har ända sedan datalagen infördes funnits en bestämmelse om sekretess när personuppgifter lämnas utomlands, där den svenska dataskyddslagstiftningen inte kan få genomslag. När 7 kap. 16 § sekretesslagen ändrades i samband med att personuppgiftslagen trädde i kraft var avsikten också att det skall gälla sekretess om ett utlämnande av personuppgifter till tredje land skulle stå i strid med bestämmelserna i personuppgiftslagen om överföring av personuppgifter till tredje land.
218
Även utredningen anser att det är
befogat att behålla en bestämmelse om sekretess i samband med överföring av personuppgifter till tredje land.
Sekretessbestämmelsen om utlandsutlämnande bör, liksom hittills, ha samma materiella innehåll som bestämmelserna i dataskyddslagstiftningen om utlandsutlämnande. Sekretessbestämmelsen bör således föreskriva sekretess för personuppgift, om myndighetens utlämnande av uppgiften står i strid med bestämmelsen om förbud mot överföring av personuppgifter till tredje land i 33 § personuppgiftslagen. Är utlämnandet tillåtet enligt t.ex. 34 § personuppgiftslagen, som innehåller undantag från det principiella förbudet mot överföring av personuppgifter till tredje land utan adekvat skyddsnivå, eller enligt bestämmelser eller beslut som innebär avvikelser från 33 § personuppgiftslagen, står utlämnandet naturligtvis inte i strid med den sistnämnda bestämmelsen.
Vid avgörandet av om myndighetens utlämnande står i strid med 33 § personuppgiftslagen skall man dock givetvis bortse från bestämmelsen i 8 § första stycket personuppgiftslagen om att bestämmelserna i lagen inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Det är bestämmelsen i 7 kap. 16 § sekretesslagen, med sin hänvisning till viss bestämmelse i personuppgiftslagen, och inte personuppgiftslagen i sig som inskränker myndighetens skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. Utredningen har övervägt att i syfte att förtydliga i 8 § personuppgiftslagen ta in en hänvisning till sekretesslagen, men funnit att förhållandet är så självklart att en sådan hänvisning inte är nödvändig.
Att det är bara utlämnanden som står i strid med 33 § personuppgiftslagen som avses i sekretessbestämmelsen innebär att bestämmelsen bara omfattar personuppgifter som myndigheten behandlar på ett sätt som omfattas av personuppgiftslagen. Bestäm-
218
Prop. 1997/98:44 s. 147, citerat ovan.
melsen omfattar således inte t.ex. en personuppgift som bara finns i ett enstaka pappersdokument eller i en tjänstemans huvud.
Enligt artikel 26.1 f i EG-direktivet finns det en skyldighet för medlemsstaterna att föreskriva att överföring av personuppgifter till ett tredje land utan adekvat skyddsnivå får ske om ”överföringen görs från ett offentligt register som enligt lagar eller andra författningar är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda fallet”.
219
Någon motsvarande bestämmelse finns dock inte i personuppgiftslagen, och frågan om införandet av en sådan verkar inte ha uppmärksammats i förarbetena till personuppgiftslagen. Den outtalade avsikten verkar ha varit att de författningar som reglerar avsedda offentliga register skall innehålla nödvändiga föreskrifter om överföring till tredje land.
220
Så är dock som regel inte fallet i de
registerförfattningar som utfärdats eller ändrats efter personuppgiftslagen.
221
Mot den bakgrunden anser utredningen att det är befogat och, med hänsyn till EG-direktivet, nödvändigt att föreskriva undantag från sekretessbestämmelsen i fråga om uppgifter i sådana register som avses i artikel 26.1 f i EG-direktivet. Det undantaget medför i praktiken att personuppgifter i sådana register får lämnas till utlandet, om det finns en skyldighet för myndigheten att göra det enligt bestämmelserna om offentlighetsprincipen i 2 kap. tryckfrihetsförordningen (och, givetvis, om inte någon annan sekretessbestämmelse hindrar det).
Om myndigheten i andra fall vill föra över personuppgifter i sådana register till tredje land, t.ex. genom att göra registret öppet tillgängligt via Internet, måste myndigheten således tillämpa bestämmelserna i personuppgiftslagen. Det medför i sin tur att t.ex.
219
I ingresspunkt 58 i EG-direktivet tilläggs följande: Undantag från överföringsförbudet
skall medges ”om överföringen utförs med utgångspunkt i ett register som upprättats genom lagstiftning och som är avsett att vara tillgängligt för allmänheten eller för personer som har ett berättigat intresse. En sådan överföring bör inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse skall överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.”
220
Se svar på skriftlig fråga i riksdagen 1998/99:5, där dåvarande justitieministern Laila Frei-
valds anger att frågan om utlandsöverföring skall tillåtas från olika offentliga register får avgöras i samband med att de särskilda registerförfattningar som finns för offentliga register successivt gås igenom.
221
Se t.ex. lagen (2000:224) om fastighetsregister och lagen (2001:558) om vägtrafikregister.
frågor om att göra myndighetsregister öppet tillgängliga via Internet i tillämpliga fall får regleras genom särskilda bestämmelser med eventuella avvikelser från personuppgiftslagen. Utredningen anser att det i princip är lämpligt och befogat att i varje särskilt fall överväga om och i vilken utsträckning ett myndighetsregister bör göras öppet tillgängligt via Internet. Det är anledning till att utredningen inte i stället föreslår att katalogen i 34 § personuppgiftslagen med undantag från överföringsförbudet skall kompletteras med ett undantag för personuppgifter i offentliga register.
När det gäller den närmare utformningen av undantagsbestämmelsen skulle man kunna tänka sig att, t.ex. i en bilaga till sekretesslagen eller i sekretessförordningen (1980:657), ha en lista över de register som omfattas av bestämmelsen i EG-direktivet. Utredningen har emellertid kommit fram till att det bör räcka med en generellt utformad bestämmelse om att sekretessen inte gäller för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information. I samband med införande eller översyn av författningsbestämmelser om särskilda register bör det tillses att det i tillämpliga fall finns tillräckligt tydliga bestämmelser om att registret är avsett att ge allmänheten information. I avvaktan på att en sådan precisering sker bör det utan större olägenhet vara tillräckligt att med nedanstående vägledning överlämna frågan åt rättstillämpningen.
Med undantagsbestämmelsen avses detsamma som enligt artikel 26.1 f i EG-direktivet. Uttrycket allmänt register, som återfinns i 2 kap. 3 § första st ycket regeringsformen
222
skillnad använts i stället för uttrycket offentligt register som används i EG-direktivet. Med register avses enligt artikel 2 c i EGdirektivet ”varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”, jämför 5 § andra stycket personuppgiftslagen. Eftersom det enligt undantagsbestämmelsen krävs att registret enligt lag eller förordning skall vara avsett att ge allmänheten information, torde registerbegreppet i sig sällan vålla några tolkningssvårigheter för tillämparen.
Av de ändamålsbestämmelser som normalt finns i särskilda registerförfattningar torde regelmässigt framgå om ett register är avsett att ge allmänheten information. I många av författningarna om s.k.
222
Enligt Gustaf Petrén & Hans Ragnemalm, Sveriges Grundlagar, 1980, s. 51 är allmänna
register sådana register som upprättas och förs av offentlig myndighet.
publicitetsregister som finns över olika slags egendom eller rättigheter (fastigheter, bilar, fartyg, bolag, varumärken etc.) eller behörigheter (t.ex. försäkringsmäklare) eller egenskaper (t.ex. personer med viss insyn i näringsverksamhet, s.k. insiders) finns det ändamålsbestämmelser om att det aktuella registret skall ge offentlighet åt uppgifter eller tillhandahålla uppgifter för allmänheten. Någon gång kan det också av en bestämmelse indirekt framgå att ett register är avsett att bl.a. ge allmänheten information. Så får t.ex. anses vara fallet med de s.k. diarieregister över allmänna handlingar som myndigheter skall föra i enlighet med 15 kap.1 och 2 §§sekretesslagen.
223
Av15 kap. 2 § andra stycket sekretesslagen framgår det
nämligen att registreringen skall ordnas på visst sätt så att registret skall kunna företes för allmänheten. Det bör i sammanhanget ånyo påpekas att den föreslagna ändringen i sekretesslagen i praktiken inte berör möjligheterna för myndigheter att frivilligt göra t.ex. diarier öppet tillgängliga via Internet; tillåtligheten av sådant bedöms i stället i praktiken enligt personuppgiftslagen och särskilda författningar med avvikelser från den lagen.
Utlämnande av uppgifter för direkt marknadsföring som den enskilde motsatt sig
Enligt utredningens mening finns det bara ett ytterligare fall där det finns anledning att överväga sekretess därför att myndighetens utlämnande av personuppgifter i sig står i strid med bestämmelser i personuppgiftslagen. Det gäller utlämnande av en personuppgift när det kan antas att sökanden skall använda uppgiften för direkt marknadsföring.
Enligt 11 § personuppgiftslagen gäller att personuppgifter inte får behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Anmälan måste ske hos den personuppgiftsansvarige eller på annat sätt som denne anvisat, t.ex. till ett s.k. reservationsregister.
224
Bestämmelsen medför t.ex. att en privat personuppgiftsansvarig som vill lämna ut sitt kundregister till annan för att denne skall an-
223
Offentlighets- och sekretesskommittén ser över bestämmelserna i sekretesslagen, se dir.
1998:32, och har kommit med förslag till ändringar i 15 kap. sekretesslagen, se SOU 2002:97.
224
Se prop. 1997/98:44 s. 66 och jämför prop. 1999/2000:40 s. 14.
vända uppgifterna för direkt marknadsföring under alla förhållanden först måste rensa registret från uppgifter om sådana personer som hos honom eller henne (eller till något anvisat reservationsregister) motsatt sig direkt marknadsföring. Den som vet att uppgifter om honom eller henne finns registrerade hos en privat personuppgiftsansvarig kan alltså genom en anmälan till denne förhindra att de registrerade uppgifterna används för direkt marknadsföring (av den personuppgiftsansvarige eller någon annan till vilken denne skulle vilja lämna ut uppgifterna). Den registrerade behöver alltså inte vända sig med sin anmälan till alla potentiella marknadsförare som förr eller senare kan tänkas få uppgifterna från den personuppgiftsansvarige.
När det gäller personuppgiftsansvariga myndigheter är läget i dag emellertid ett annat. Den registrerade kan visserligen vända sig till myndigheten med en anmälan och därigenom förhindra att myndigheten själv använder hans eller hennes uppgifter för direkt marknadsföring (vilket i och för sig inte sker så ofta). En sådan anmälan förhindrar också att myndigheten utan att vara skyldig därtill enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen lämnar ut uppgifterna till någon annan som myndigheten vet kommer att använda uppgifterna för direkt marknadsföring. Det följer av att 11 § personuppgiftslagen är tillämplig på myndighetens utlämnande i detta fall när utlämnandet inte görs till följd av den grundlagsfästa offentlighetsprincipen. Men en anmälan till en myndighet hindrar i dag inte i sig automatiskt att myndigheten enligt 2 kap. tryckfrihetsförordningen lämnar ut uppgifterna, trots att myndigheten kan anta att uppgifterna kommer att användas av mottagaren för direkt marknadsföring. Det beror på att offentlighetsprincipen tar över personuppgiftslagen (se 8 § första stycket) och att det inte gäller sekretess enligt 7 kap. 16 § sekretesslagen bara för att myndighetens utlämnande skulle stå i strid med 11 § personuppgiftslagen.
Att den enskilde hos myndigheten har motsatt sig att hans eller hennes uppgifter används för direkt marknadsföring hindrar alltså inte i sig automatiskt att myndigheten enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen lämnar ut uppgifterna för användning för just det ändamålet.
Därför har utredningen övervägt om det bör föreskrivas sekretess för personuppgifter om det kan antas att myndighetens utlämnande av uppgiften står i strid med 11 § personuppgiftslagen. Sekretessen skulle alltså gälla när den registrerade hos myndigheten har motsatt sig direkt marknadsföring och det kan antas att den som
vill ha ut uppgiften skall använda den för det ändamålet. Utredningen har den uppfattningen att en sådan sekretessregel i och för sig är befogad och knappast kontroversiell.
Utredningen anser emellertid att man generellt sett bör vara restriktiv med nya sekretessbestämmelser, och något uppdrag att utvidga sekretessen har inte utredningen. Utredningen lämnar därför inte något förslag till utvidgad sekretess i den delen. Den slutsatsen har starkt påverkats av att utredningen funnit att de materiella reglerna om när man får vidta direkt marknadsföring och de generella s.k. reservationsregister som nu finns får anse ge ett tillräckligt skydd för den som vill motsätta sig sådan marknadsföring. Den bedömningen grundar sig på följande resonemang.
Numera finns det generella reservationsregister (spärregister) – NIX adressat för marknadsföring per post och NIX-Telefon för telefonmarknadsföring – dit enskilda som inte önskar direkt marknadsföring enkelt och kostnadsfritt kan anmäla sig. Alla näringsidkare som avser att genomföra marknadsföring kan mot avgift få tillgång till registren för att undvika att rikta marknadsföring mot personer som registrerat sig.
Som redan nämnts bör sekretess gälla om det kan antas att en personuppgift efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen. Behandling för direkt marknadsföring är som regel, förutom vid samtycke, bara tillåten efter en intresseavvägning enligt 10 § f personuppgiftslagen. Frågan är i vilken utsträckning myndigheten vid intresseavvägningen bör beakta om den som vill ha ut uppgifterna för direkt marknadsföring kommer att konsultera de generella reservationsregister som finns och inte rikta marknadsföring mot personer som registrerat sig där. Följande är därvid att beakta.
I de två fall från Regeringsrätten som rört direkt marknadsföring har den enskildes rätt att motsätta sig att personuppgifterna används för direkt marknadsföring särskilt betonats vid intresseavvägningen.
225
I den branschöverenskommelse om direkt marknadsföring som Datainspektionen granskat anges bl.a. följande:
”För att tillmötesgå privatpersoners önskan att slippa direktmarknadsföring från företag, organisationer och liknande som de inte har någon anknytning till finns för vissa typer av adressuppgifter centrala allmänt
225
RÅ 2001 ref. 60 och RÅ 2002 ref. 54, se avsnitt 5.2.2. Se också SOU 1997:39 s. 362 f.
tillgängliga spärregister dit de kan anmäla sig. Då adressuppgifter samlas in från annan källa än den registrerade och då anknytning saknas mellan denne och den marknadsförare som planerar en direktmarknadsföringskontakt (prospect), skall den personuppgiftsansvarige som lämnar ut uppgifterna eller mottagaren av dessa tillse att uppgifterna i enlighet med god branschsed kontrolleras mot aktuellt sådant spärregister.”
Enligt branschöverenskommelsen krävs det alltså att den som från en myndighet får ut uppgifter för direkt marknadsföring konsulterar de generella spärregistren och, som det får förstås, respekterar spärrarna.
I 13 b § tredje stycket marknadsföringslagen (1995:450) har det vidare införts en bestämmelse om att en näringsidkare som använder e-post vid icke begärd marknadsföring till fysiska personer skall respektera och regelbundet kontrollera register där personer som inte önskar få sådan marknadsföring med e-post kan registrera sig.
226
Något sådant register avseende e-post finns dock såvitt känt
inte i Sverige.
227
Bakgrunden är bl.a. att branschen avvaktat anta-
gandet och genomförandet av ett nytt EG-direktiv om dataskydd vid telekommunikation. Det s.k. kommunikationsdataskyddsdirektivet har numera antagits.
228
Det nya direktivet, som skulle ha
varit genomfört senast den 31 oktober 2003, föreskriver i princip samtycke för direkt marknadsföring med e-post, fax eller automatiska uppringningsutrustningar (artikel 13), vilket verkar göra det mindre aktuellt och nödvändigt med ett reservationsregister över personer som motsätter sig direkt marknadsföring med e-post. Genomförandet av det nya direktivet i Sverige pågår för närvarande.
229
Mot den bakgrunden är det utredningens uppfattning att det åtminstone numera, för att intresseavvägningen skall utfalla till förmån för direkt marknadsföring och uppgifterna således lämnas ut,
226
Bestämmelsen genomför artikel 7.2 i E-handelsdirektivet, Europaparlamentets och rådets
direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1), se prop. 2001/02:150, LU 2001/02:29 och Ds 2001:13.
227
Jämför Konsumentverkets rapport 2000:21 Spärregister för e-postreklam, där den be-
dömningen gjordes att det vid tidpunkten för rapporten inte var möjligt att inrätta ett effektivt spärregister.
228
Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling
av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).
229
Se prop. 2003/04:43 och SOU 2002:109.
krävs att den som vill ha ut uppgifterna kommer att konsultera de generella reservationsregister som finns och inte rikta marknadsföring mot personer som registrerat sig där. Därmed skulle det alltså finnas fullgoda möjligheter för personer som vill undvika marknadsföring att uppnå det syftet även i fråga om uppgifter som finns hos myndigheter.
Den inkonsekvens som ligger i att den som motsatt sig direkt marknadsföring hos en myndighet men inte till de generella reservationsregistren skulle kunna bli utsatt för marknadsföring på grund av uppgifter som av myndigheten lämnats ut enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen bör kunna accepteras. I många fall kan det vara naturligt att den myndighet som får en anmälan om att en enskild motsätter sig direkt marknadsföring, såsom en serviceåtgärd, upplyser den enskilde om möjligheten att anmäla sig också till de generella reservationsregistren.
Det är inte heller uteslutet att man vid intresseavvägningen enligt 10 § f personuppgiftslagen i samband med en prövning enligt 7 kap. 16 § sekretesslagen kan ta hänsyn till att vissa registrerade hos myndigheten motsatt sig direkt marknadsföring och anse att sekretess därför gäller för just deras uppgifter eftersom deras intressen överväger marknadsförarens.
230
Det som talar emot en sådan till-
lämpning är främst att intresseavvägningen då skulle göras på ett alldeles speciellt sätt vid utlämnanden som sker enligt offentlighetsprincipen. Vid utlämnanden som inte sker med stöd av offentlighetsprincipen uppkommer nämligen inte frågan. Ett motsättande av direkt marknadsföring utgör då ett absolut hinder mot behandling (t.ex. utlämnande) för sådant ändamål enligt 11 § personuppgiftslagen, varför det beträffande den som motsatt sig direkt marknadsföring aldrig kan bli aktuellt med någon intresseavvägning enligt 10 § f personuppgiftslagen. Frågan får överlämnas till rättstillämpningen.
230
Jämför Ds 2002:60 s. 228 f.
16. Ikraftträdande, övergångsbestämmelser och följdändringar
Utredningen har inte funnit anledning att ange något exakt datum när de föreslagna lagändringarna bör träda i kraft. Det tidigaste datumet för ikraftträdande torde i praktiken vara den 1 juli 2005.
I fråga om övergångsbestämmelser har utredningen gjort följande överväganden.
Enligt förslagen i fråga om behandling av personuppgifter som inte ingår i register (avsn itt 7) un dantas viss behandling från vissa bestämmelser i personuppgiftslagen. För behandlingsåtgärder som vidtagits med sådana personuppgifter före ikraftträdandet har således äldre föreskrifter gällt. Om en fråga om skadeståndsansvar med anledning av sådana behandlingsåtgärder kommer upp först efter ikraftträdandet, skall naturligtvis åtgärderna bedömas efter de föreskrifter som gällde när de vidtogs. Det har inte ansetts nödvändigt med en särskild övergångsbestämmelse om detta. I fråga om straffansvar ställer sig saken annorlunda, se nedan om 5 § lagen (1964:163) om införande av brottsbalken.
För förslagen om registerutdrag (avs nitt 11) har det inte anse tts nödvändigt med någon övergångsbestämmelse. Den personuppgiftsansvarige som efter ikraftträdandet lämnar ett registerutdrag skall tillämpa de nya föreskrifterna, oavsett när ansökan om registerutdraget gjordes.
För den avkriminalisering som föreslås (avsnit t 12) beh övs inte någon särskild övergångsbestämmelse. I 5 § lagen (1964:163) om införande av brottsbalken finns det allmänna bestämmelser om vilken lag som skall tillämpas i fråga om straffansvar när det skett lagändringar efter det att en gärning begicks.
I fråga om förslagen om överklagande av myndighetsbeslut (avsnit t 13) bö r det i enlighet med allmänna principer uttryckligen
föreskrivas att de nya bestämmelserna inte skall tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.
Förslagen som rör offentlighetsprincipen och sekretesslagen (avsnit t 15) be höver inte förses med några övergångsbestämmelser. Utlämnande av uppgifter och allmänna handlingar som sker efter ikraftträdandet måste följa de nya föreskrifterna, oavsett när begäran om att få ta del av uppgifterna eller handlingarna gjordes.
I fråga om följdändringar med anledning av de föreslagna lagändringarna vill utredningen anföra följande.
Utredningens förslag i fråga om personuppgifter i löpande text (avsnit t 7) och om överklagande av myndighetsbeslut (avsnit t 13) torde innebära att det är lämpligt att se över och eventuellt anpassa de särskilda registerförfattningar som innehåller bestämmelser om löpande text och om överklagande. Jämför också vad som sägs i avsnitt 14.2.4 om viss översyn med anledning av EG-domstolens dom i det s.k. konfirmandlärarmålet.
Också personuppgiftsförordningen innehåller bestämmelser om löpande text (4 och 8 §§) som kan behöva ses över.
Utredningens förslag i fråga om registerutdrag (avs nitt 11) t orde innebära att bestämmelsen i 7 a § arkivförordningen (1991:446) om registerutdrag bör ses över.
17. Konsekvenserna av förslagen
Om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för det allmänna eller för enskilda, skall dessa beräknas och redovisas. Även de samhällsekonomiska konsekvenser i övrigt som förslagen kan innebära, skall redovisas. Om förslagen har betydelse för den kommunala självstyrelsen, för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen, skall konsekvenserna i dessa avseenden anges.
231
Enligt utredningsdirektiven skall utredningen analysera eventuella ekonomiska konsekvenser med anledning av förslagen.
När det gäller ekonomiska konsekvenser kan följande sägas. Utredningens förslag i fråga om behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar (avsnitt 7) och regi sterutdrag (avs nitt 11) inne bär att behandlingen av personuppgifter underlättas i förhållande till vad som gäller i dag utan att integritetsskyddet försvagas i praktiken. Utredningens förslag i dessa delar innebär således inte några ökade kostnader. Hur stora kostnadsminskningarna blir, efter sådana initiala utbildnings- och uppdateringskostnader som alltid uppkommer vid lagändringar, har inte varit möjligt att beräkna. Det beror bl.a. på att man inte kan veta om eller i vilken utsträckning dagens regler faktiskt följs.
För Datainspektionens verksamhet medför utredningens förslag behov av informationsinsatser riktade till personuppgiftsansvariga, personuppgiftsombud och allmänheten. Härtill kommer att inspektionen enligt utredningens förslag skall kunna ges ytterligare bemyndiganden att meddela föreskrifter och beslut i enskilda fall (av-
231
14 och 15 §§kommittéförordningen (1998:1474).
snit t 9). De tta innebär en åtminstone initial ansträngning för Datainspektionen och medför att inspektionens resurser bör få bestå på åtminstone nuvarande nivå.
Förslagen om avkriminalisering (avs nitt 12) innebär enligt utredningens bedömning inte några ökade kostnader och inte heller några nämnvärda intäktsminskningar (i form av uteblivna böter) eller kostnadsminskningar.
Som redovisats i avsnit t 13 finns det redan i dag möjlighet a tt överklaga myndighetsbeslut enligt personuppgiftslagen. Utredningens bedömning är att den enhetliga bestämmelse om överklagande som föreslås inte innebär några ökade kostnader.
Förslagen som rör offentlighetsprincipen och sekretesslagen (avsnit t 15) inn ebär i princip bara förtydliganden som inte för med sig några nämnvärda ekonomiska konsekvenser.
Utredningen kan vidare inte finna att lämnade förslag i övriga avseenden har några konsekvenser, som skall redovisas enligt 15 § kommittéförordningen. I vart fall kan några negativa sådana konsekvenser inte förväntas.
18. Författningskommentar
18.1. Förslaget till lag om ändring i personuppgiftslagen (1998:204)
Personuppgifter som inte ingår i personregister
Under denna underrubrik under huvudrubriken Tillämpningsområde finns det en ny paragraf – 5 a § – om behandling av personuppgifter som inte ingår i personregister. Ordet personregister har ansetts kunna användas såsom en sammanfattande beskrivning i rubriken trots att ordet inte återkommer i lagtexten. Paragrafen har placerats under huvudrubriken Tillämpningsområde, eftersom dess huvudsakliga verkan är att – liksom 6–8 §§ under samma rubrik – föreskriva undantag från tillämpningen av vissa av paragraferna i lagen. Att paragrafen dessutom innehåller en materiell bestämmelse om att sådan behandling som undantas från andra paragrafer i lagen är tillåten bara under förutsättning att den inte innebär ett otillbörligt intrång i den personliga integriteten har inte ansetts hindra en sådan placering.
5 a § Bestämmelserna i 9, 10, 13, 21, 23, 24, 28, 33 och 42 §§ skall inte tillämpas på behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Sådan behandling får utföras bara om den inte innebär ett otillbörligt intrång i den personliga integriteten.
Bestämmelsen, som är ny, har berörts i avsnitt 7.7 i den allmänna motiveringen.
Bestämmelsen i första meningen innebär att vissa behandlingar av personuppgifter är undantagna från de angivna bestämmelserna i
personuppgiftslagen. Vad som avses med en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter har utförligt beskrivits i avsnitt 7.7.2.
Personuppgifter som finns i en sådan samling som avses i 5 § andra stycket (om sådan annan än automatiserad behandling som omfattas av personuppgiftslagen) får alltid anses ingå i en sådan samling som avses i denna paragraf. Det innebär att undantaget i denna paragraf bara har betydelse för automatiserad behandling av personuppgifter (eftersom manuell behandling av personuppgifter över huvud taget omfattas av lagen bara om uppgifterna ingår i ett register i enlighet med 5 § andra stycket).
Eftersom hanteringsreglerna i personuppgiftslagen omfattar hela kedjan av behandlingar av en viss personuppgift från det att uppgiften samlas in till dess den utplånas, räcker det att insamlade eller producerade personuppgifter inte är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Om det finns flera avsikter med en enda insamling eller annan behandling av personuppgifter, skall lagens hanteringsregler tillämpas på den behandling av personuppgifter som inte är undantagen.
Bestämmelsen i andra meningen slår fast när sådan behandling som avses i första meningen – dvs. behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter – är tillåten respektive förbjuden. Det anges således uttryckligen i bestämmelsen att behandlingen får utföras, men bara under förutsättning att behandlingen inte innebär ett otillbörligt intrång i den personliga integriteten. Vad som avses med ett otillbörligt intrång i den personliga integriteten har berörts i avsnitt 7.7.4.
Av 12 § andra stycket följer att den registrerade inte har rätt att motsätta sig sådan behandling som är tillåten enligt paragrafen.
Om sådan behandling som avses i första meningen utförts trots att den innebär ett otillbörligt intrång i den personliga integriteten, har personuppgifterna behandlats i strid med personuppgiftslagen på ett sådant sätt att skadeståndsskyldighet inträder enligt 48 §.
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att söka efter, sammanställa och lämna ut personuppgifter. Bestämmelserna innebär inte heller en sådan begränsning
av en myndighets befogenhet att göra en sammanställning tillgänglig som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar.
Vid tillämpningen av denna paragraf jämställs med myndighet ett annat organ i den utsträckning som anges i 1 kap.8 och 9 §§sekretesslagen (1980:100).
Ändringarna i första stycket och det nya tredje stycket har berörts i avsnitt 15.2 i den allmänna motivering en.
Genom ändringarna i första stycket klargörs att bestämmelserna om offentlighetsprincipen i 2 kap. tryckfrihetsförordningen alltid går före bestämmelserna i personuppgiftslagen. Ändringen i första meningen klargör att även sådan skyldighet att söka efter och sammanställa personuppgifter som finns enligt 2 kap. tryckfrihetsförordningen avses. Den nya andra meningen klargör uttryckligen att personuppgiftslagen inte är en lag som innehåller sådana befogenhetsinskränkningar avseende sammanställningar som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen.
Genom det nya tredje stycket jämställs vid tillämpningen av paragrafen med myndigheter de organ som har skyldigheter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen.
26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna
lämnas ut. En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.
Sista stycket i paragrafen har överförts i sak oförändrat till 26 a § andra stycket.
26 a § Information enligt 26 § behöver inte lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Information enligt 26 § behöver inte heller lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
Paragrafen är ny. Andra stycket har överförts i sak oförändrat från nuvarande 26 § tredje stycket.
Bestämmelsen i första stycket, som är ny, har berörts i avsnitt 11.6. B estämmelse innebär att information enligt 26 § inte behöver lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Bestämmelsen har utformats efter förebild från 24 § tredje stycket första meningen. Det har dock klargjorts att det är bara i den utsträckning det visar sig vara omöjligt etc. som information inte behöver lämnas.
Att information inte behöver lämnas om det visar sig vara omöjligt torde inte i sak innebära någon förändring av vad som gäller i dag. I den utsträckning behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar är undantagen från skyldigheten enligt 9 § att bestämma ändamålen med behandlingen (se 5 a §) kan det dock vara omöjligt att ange ändamålen med den behandlingen, eftersom sådana ändamål faktiskt inte bestämts.
Vad som skulle innebära en oproportionerligt stor arbetsinsats får bedömas i det enskilda fallet med beaktande av samtliga omständigheter. Om en personuppgiftsansvarig i motsvarande fall tidigare faktiskt lämnat registerutdrag enligt datalagen eller den hittillsvarande bestämmelsen i personuppgiftslagen, kan det i normalfallet inte anses vara fråga om en oproportionerligt stor arbetsinsats enligt den nya bestämmelsen. Syftet med ändringen är nämligen inte att inskränka det som faktiskt tillämpas i dag. Utredningen har således inte fått kännedom om något fall där ett registerutdrag faktiskt lämnats efter en oproportionerligt stor arbetsinsats.
Arbetsinsatserna kan gälla insatser för att finna alla uppgifter om den sökande som behandlas. Det kan ha särskild betydelse för en personuppgiftsansvarig som har en större mängd ostrukturerat material, t.ex. i form av löpande text eller ljud- och bildupptagningar, i synnerhet om materialet finns på olika ställen, t.ex. i hundratals persondatorer. Men det kan också gälla en personuppgiftsansvarig som har väldigt många regelrätta register att söka igenom. Det får
göras en bedömning från fall till fall vilken arbetsinsats som är proportionerlig. Att personuppgifterna är kodade eller krypterade innebär inte i sig att det skulle innebära en oproportionerligt stor arbetsinsats att lämna information.
I de allra flesta fall måste det krävas att den personuppgiftsansvarige frågar den sökande efter sådana upplysningar som kan underlätta sökandet efter personuppgifterna. Lämnar den sökande användbara sådana upplysningar, måste det som regel krävas att den personuppgiftsansvarige åtminstone använder sig av upplysningarna för att söka efter uppgifterna. Om den personuppgiftsansvarige å andra sidan inte får efterfrågade upplysningar från den sökande, ligger det närmare till hands att anse att ett förutsättningslöst sökande innebär en oproportionerligt stor arbetsinsats i förhållande till det intresse sökanden visat. I de fall där den sökande kan göra troligt att en annan person använt sökandens identitet vid kontakter med den personuppgiftsansvarige, kan den sökande ibland inte lämna konkreta upplysningar om var de felaktiga personuppgifterna kan finnas. Men det är i detta fall ändå oftast befogat att den personuppgiftsansvarige lägger ned en ganska stor arbetsinsats för att finna alla aktuella personuppgifter av betydelse.
Arbetsinsatsen kan också gälla insatser för att lämna information skriftligt till den registrerade. Det kan ha särskild betydelse i fråga om ljud- och bildupptagningar. Om det skulle innebära en oproportionerligt stor arbetsinsats att lämna informationen skriftligt, bör den registrerade åtminstone beredas tillfälle att få ta del av informationen på annat sätt, t.ex. vid besök på plats. Skyldigheten att lämna information bortfaller nämligen bara i den utsträckning den skulle innebära en oproportionerligt stor arbetsinsats.
Bemyndigande att meddela undantag
Under denna huvudrubrik finns det en ny paragraf med bemyndigande för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter och beslut i enskilda fall i de situationer detta är tillåtet enligt artikel 13.1 i EG-direktivet.
42 a § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 § om det är nödvändigt med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) åtal eller förebyggande, undersökning eller avslöjande av brott eller
av överträdelse av etiska regler,
e) ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unio-
nen eller en stat som ingår i den unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet,
f) myndighetsutövning som avser tillsyn, inspektion eller reglering i
fråga om sådant som nämns i c–e, eller
g) skyddet av fri- och rättigheter.
Regeringen får under de förutsättningar som nämns i första stycket i enskilda fall besluta om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 §. Regeringen får överlåta åt myndighet att fatta sådana beslut.
Paragrafen är ny och har berörts i avsnitt 9.
Paragrafen innehåller bemyndiganden för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter och beslut i enskilda fall om undantag från vissa bestämmelser i personuppgiftslagen. I fråga om både vilka bestämmelser som undantag kan medges från och under vilka förutsättningar undantag får medges skall paragrafen ha samma innebörd som artikel 13.1 i EGdirektivet.
49 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som
föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13–21 §§,
c) för över personuppgifter till tredje land i strid med 33–35 §§, el-
ler
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt
föreskrifter meddelade med stöd av 41 §. I ringa fall döms inte till ansvar. Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.
Genom ändringen i första stycket har förfaranden som begåtts av oaktsamhet som inte är grov avkriminaliserats. Ändringen har berörts i avsnitt 12.
Frågan om en visad oaktsamhet är grov eller inte får avgöras med tillämpning av allmänna straffrättsliga principer.
52 § En myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos all-
män förvaltningsdomstol. Andra beslut av myndighet enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten. Första och andra styckena gäller inte beslut av riksdagen och regeringen. I fråga om överklagande av beslut av allmän domstol och allmän förvaltningsdomstol finns särskilda föreskrifter.
Paragrafen, som innehåller bestämmelser om överklagande av myndighetsbeslut, är ny och har berört s i avsnitt 13.
I 51 § finns det en bestämmelse om överklagande av tillsynsmyndighetens beslut enligt personuppgiftslagen. Den paragrafen gäller bara beslut enligt personuppgiftslagen som tillsynsmyndigheten fattar i egenskap av just tillsynsmyndighet. Förevarande paragraf gäller i stället överklagande av vissa beslut enligt personuppgiftslagen som varje myndighet kan fatta i egenskap av personuppgiftsansvarig. Tillsynsmyndighetens beslut i egenskap av personuppgiftsansvarig för sin egen behandling av personuppgifter kan således i förekommande fall överklagas enligt förevarande paragraf, men inte enligt 51 §.
I första stycket anges vilka beslut enligt personuppgiftslagen av en personuppgiftsansvarig myndighet som får överklagas. Med uttrycket ”beslut om information enligt 26 §” avses också besked enligt 26 § första stycket första meningen om personuppgifter som rör den sökande behandlas eller ej.
Med myndighet avses i denna paragraf detsamma som enligt regeringsformen, dvs. samtliga statliga och kommunala organ med undantag av riksdagen och de kommunala beslutande församlingarna.
232
De beslut av myndighet som räknas upp får överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. Andra beslut av myndighet enligt personuppgiftslagen än de uppräknade får enligt en särskild bestämmelse inte överklagas.
Av andra stycket framgår att det krävs prövningstillstånd vid överklagande till kammarrätt.
Av tredje stycket framgår att bestämmelserna om överklagande i första och andra styckena i paragrafen inte gäller beslut av riksdagen och regeringen.
I tredje stycket har det också tagits in en erinran om att det finns särskilda föreskrifter i fråga om överklagande av beslut av allmän domstol och allmän förvaltningsdomstol. Heltäckande sådana före-
232
Se prop. 1973:90 s. 232 f. I 21 § första stycket finns ett annat myndighetsbegrepp som
har samma innebörd som EG-direktivet, se prop. 1997/98:44 s. 129.
skrifter finns i och för sig inte i dagsläget, men som framgår av avsnit t 13.7.2 f öreslår utredningen att sådana föreskrifter skall tas in i den särskilda lagstiftningen om behandling av personuppgifter vid domstolarna som för närvarande förbereds.
18.2. Förslaget till lag om ändring i sekretesslagen (1980:100)
7 kap. 16 §
Sekretess gäller för personuppgift, om
1. det finns skäl att anta att uppgiften efter ett utlämnande kommer
att behandlas i strid med personuppgiftslagen (1998:204), eller
2. myndighetens utlämnande av uppgiften står i strid med 33 § per-
sonuppgiftslagen. Att myndighetens utlämnande står i strid med 33 § personuppgiftslagen skall dock inte medföra sekretess för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information.
Ändringen har berörts i avsnitt 15.3.
I paragrafen förskrivs sekretess för personuppgifter. Med personuppgift avses detsamma som enligt personuppgiftslagen. Paragrafen är tillämplig oavsett var personuppgiften finns hos myndigheten, i ett pappersdokument, i ett register, i ett ordbehandlingsdokument, i en tjänstemans huvud osv. Paragrafen är vidare tilllämplig oavsett hur utlämnandet av uppgiften skall ske, på papper, i elektroniskt format, muntligt osv.
Första punkten i första stycket föreskriver sekretess för personuppgift, om det finns skäl att anta att uppgiften efter ett utlämnande från myndigheten kommer att behandlas i strid med personuppgiftslagen.
Sekretess enligt bestämmelsen kan således komma i fråga bara om det finns skäl att anta både att personuppgiften efter utlämnandet kommer att behandlas på ett sätt som omfattas av personuppgiftslagen och att den behandlingen står i strid med den lagen.
Det krävs för det första att det finns någon konkret omständighet som gör att det finns skäl att anta att personuppgiften efter utlämnandet kommer att behandlas på ett sätt som omfattas av personuppgiftslagen (se 5 § personuppgiftslagen för vilka behandlingar som omfattas av lagen). Sådana omständigheter kan – förutom de upplysningar som sökanden på eget initiativ kan ha lämnat om sin tilltänkta användning av uppgifterna – vara att sökanden begär att
få ut uppgifter om väldigt många personer från ett register (ett s.k. massuttag) eller uppgifter om ett urval av personer med vissa karakteristika, t.ex. inkomst, språktillhörighet, politisk tillhörighet osv. (s.k. selekterade uppgifter). Den omständigheten att någon begär att få ut uppgifter på papper om bara en handfull personer, oavsett hur dessa har valts ut, är dock normalt inte tillräckligt för att det skall finnas skäl att anta en efterföljande behandling enligt personuppgiftslagen. Den omständigheten att ett företag begär att få ut uppgifter i elektronisk form visar å andra sidan att företaget är berett att behandla personuppgifterna på ett sätt som avses i 5 § personuppgiftslagen, dvs. automatiserat i dator.
Först om det på grund av någon konkret omständighet finns skäl att anta att sökanden kommer att behandla uppgifterna på ett sätt som omfattas av personuppgiftslagen, t.ex. därför att begäran omfattar uppgifter om många personer, finns det anledning att genom frågor till sökanden försöka ta reda på hur och till vad sökanden skall använda uppgifterna för att kunna bedöma om den tilltänkta behandlingen strider mot personuppgiftslagen. I den allmänna motiveringen har framhållits att myndigheten inte får ställa mer inträngande eller fler frågor än som behövs för att göra en sekretessbedömning och att myndigheten därför inledningsvis bara bör fråga om sökanden över huvud taget avser att behandla den begärda personuppgiften på ett sätt som omfattas av 5 § personuppgiftslagen. Först om så är fallet, är det befogat att myndigheten ställer flera frågor om den tilltänkta behandlingen, bl.a. för att ta reda på om behandlingen är helt eller delvis undantagen från personuppgiftslagen.
Om sökanden inte besvarar myndighetens frågor på ett konkret sätt, finns det vanligtvis skäl att anta att sökanden kommer att behandla uppgifterna i strid med personuppgiftslagen och vägra utlämnande på grund av sekretess.
Om sökanden lämnar en upplysning om sin tilltänkta behandling får den godtas, om det inte av omständigheterna framgår att upplysningen är så osannolik att den kan lämnas utan avseende.
233
Om myndigheten fått en redogörelse av den tilltänkta behandlingen från sökanden, som inte kan lämnas utan avseende, får myndigheten göra en bedömning av om den uppgivna behandlingen omfattas av personuppgiftslagen och, om så är fallet, om den behandlingen strider mot personuppgiftslagen.
233
Jämför prop. 1997/98:44 s. 119.
Enligt andra punkten i första stycket föreskrivs sekretess för personuppgift, om myndighetens utlämnande av uppgiften står i strid med bestämmelsen i 33 § personuppgiftslagen om förbud mot överföring av personuppgifter till tredje land. I detta fall är det således myndighetens utlämnande, och inte sökandens tilltänkta behandling efter utlämnandet, som skall bedömas i förhållande till personuppgiftslagen.
Vid bedömningen av om myndighetens utlämnande står i strid med förbudet i 33 § personuppgiftslagen skall beaktas också de bestämmelser som finns i personuppgiftslagen och andra lagar och förordningar med avvikelser från förbudet. Är utlämnandet tillåtet enligt en bestämmelse med undantag eller andra avvikelser från förbudet, står utlämnandet inte i strid med 33 § personuppgiftslagen. Utlämnandet kan t.ex. vara tillåtet enligt 34 § personuppgiftslagen eller enligt ett beslut som meddelats med stöd av 35 § personuppgiftslagen. Såsom anförs i avs nitt 15.3.2 s kall man vid bedömningen av om myndighetens utlämnande står i strid med 33 § personuppgiftslagen givetvis bortse från bestämmelsen i 8 § första stycket personuppgiftslagen om att bestämmelserna i lagen inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (eftersom sistnämnda skyldighet har inskränkts genom bestämmelsen i sekretesslagen).
I andra stycket föreskrivs ett undantag från sekretessen enligt andra punkten i första stycket för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information. Uppgifter i sådana register får således lämnas ut för att fullgöra skyldighet enligt 2 kap. tryckfrihetsförordningen, även om myndighetens utlämnande skulle stå i strid med 33 § personuppgiftslagen. Utlämnanden som sker utan att sådan skyldighet finns, t.ex. öppen publicering på Internet, får dock inte stå i strid med 33 § personuppgiftslagen (vilket inte beror på sekretess, utan på den nämnda best ämmelsen, se avsnitt 15.3.2).
I andra stycket avses samma utlämnanden som enligt artikel 26.1 f i EG-direktivet. Tillämpningsområdet för bestämmelsen har berört s i avsnitt 15.3.2.
Särskilt yttrande av experterna Claes Månsson och Nicklas Skår
Om förpliktelsen att tillhandahålla registerutdrag även för vardaglig och harmlös hantering av personuppgifter
Utredningen föreslår att behandling av personuppgifter i ostrukturerat material ska undantas från flertalet bestämmelser i personuppgiftslagen. I stället ska en regel om missbruk av personuppgifter införas. Avsikten är att lagen inte ska tillämpas på vardaglig hantering av personuppgifter så länge det inte innebär ett otillbörligt intrång i den personliga integriteten. Hanteringen av personuppgifter ska underlättas och förenklas. Vi ställer oss bakom dessa förändringar men anser att utredningen inte går tillräckligt långt.
När utredningen föreslår att vardaglig hantering av personuppgifter ska undantas från nästan samtliga hanteringsregler motiveras detta av att hanteringsreglerna framstår som alltför omfattande och byråkratiska och att integritetsriskerna normalt sett är små vid sådan hantering. Skyddet av den personliga integriteten i sådana fall kan garanteras genom en missbruksregel. Trots detta vill utredningen inte undanta en av de mer besvärande hanteringsreglerna nämligen bestämmelsen om den registrerades rätt att på begäran utfå ett registerutdrag av den personuppgiftsansvarige.
Utredningen anför flera skäl till stöd för tillämpning av regeln om registerutdrag även för sådan behandling av personuppgifter som i övrigt är undantagen från hanteringsreglerna. Först och främst motiveras bestämmelsen med att den inte skall tillämpas självmant av den personuppgiftsansvarige utan endast på begäran av den registrerade. Vidare sägs att rätten till registerutdrag är en självständig rättighet, och att den därtill har en kontrollfunktion.
Vi anser att vägande skäl talar mot utredningens förslag. För det första finner vi det omotiverat att behålla en enda hanteringsregel
för den vardagliga och harmlösa behandlingen. Det måste framstå som märkligt för allmänheten att lagstiftaren i ena sekunden framhåller att hanteringen är harmlös och därför får utföras utan annan tanke än att missbruk är förbjudet, för att i nästa sekund framhålla att riktigt så harmlös är ändå inte behandlingen att den helt kan frigöras från de i personuppgiftslagen fastlagda hanteringsprinciperna.
För det andra innebär bibehållandet av registerutdragsregeln att de personuppgiftsansvariga alltid måste ha beredskap att till personer, som begär registerutdrag, kunna redovisa vilka behandlingar som utförs. Regeln medför en så betungande plikt att värdet av en befrielse av de övriga hanteringsreglerna kan ifrågasättas. Det blir sannolikt enklare att använda hanteringsreglerna på all behandling än att försöka avgöra vad som ska falla under hanteringsdelen och vad som ska falla under missbruksdelen av lagstiftningen. Det finns enligt vår uppfattning en inneboende motsättning i en lag som klargör att vid vardaglig behandling av personuppgifter behöver hanteringsreglerna inte tillämpas, men ändå kräver att en redogörelse skall lämnas vid förfrågan.
För det tredje anser vi att utredningens ståndpunkt att rätten till registerutdrag utgör en självständig rättighet, dvs. en bärande princip inom rättsområdet för personuppgiftsskydd, saknar bärkraft i denna del. Det är i och för sig riktigt som utredningen anför att regeln inte i sig är en hanteringsregel vilken införts genom personuppgiftslagen, men eftersom regeln onekligen utformats som en hanteringsregel i personuppgiftslagen och syftar till att förstärka övriga hanteringsregler bör den värderas som en sådan när frågan om lindring av lagens bestämmelser skall avgöras.
För det fjärde ifrågasätter vi utredningens bedömning att registerutdragsförpliktelsen fullgör en viktig kontrollfunktion. Personuppgiftslagen tar sikte på att reglera behandlingen av personuppgifter, dvs. åtgärder som vidtas med dessa uppgifter såsom att registrera och organisera uppgifterna. Det som genom utredningens förslag undantas från behandlingsreglerna är sådana åtgärder som inte i sig anses utgöra någon egentlig integritetsrisk, t.ex. att i en löpande text använda personuppgifter. Eftersom behandlingen inte anses utgöra ett integritetsintrång i normalfallet är kontrollbehovet knappast av sådan vikt att det ska motivera en utdragsförpliktelse. Det behov av kontroll som den registrerade kan ha är inte förknippat med behandlingen som sådan – t.ex. att skriva ett namn i ett ordbehandlingsdokument – utan snarare beroende av det sammanhang personnamnet förekommer. En text i vilken ett personnamn
nämns kan t.ex. utgöra förtal eller ett annat brott, men för detta föreslås missbruksregler och därtill finns redan annan skyddslagstiftning på straffrättens område som ska gripa in. För missbruk av personuppgifter ska kontrollbehovet tillgodoses med hjälp av andra regler än registerutdragsförpliktelsen i personuppgiftslagen, t.ex. editionsbestämmelser i rättegångsbalken. Även det förhållandet att den registrerade enligt det framlagda lagförslaget är betagen rätten att begära rättelse av felaktiga uppgifter pekar på att registerutdragsrätten inte har någon direkt betydelse för den registrerade – det är svårt att se någon verklig nytta med att behålla regeln. I den mån det verkligen är fråga om missbruk av personuppgifter kommer detta i normalfallet att uppmärksammas på annat sätt, t.ex. vid Internetpublicering av en text.
Över huvud taget förefaller det svårt att konstruera en praktisk situation när rätten till registerutdrag kan leda till en förbättring av den registrerades integritetsskydd. Här skall först noteras att det undantag från personuppgiftslagen som utredningen lägger fram endast avser vardaglig hantering av personuppgifter och att det undantagna området vid närmare betraktande är ganska smalt. Att inte låta undantaget under dessa förhållande få genomslag även på en så pass betungande regel som registerutdragsförpliktelsen, kan därför te sig magert. Med den utformning regeln om registerutdrag erhållit i utredningen kan det därtill förväntas att förpliktelsen kanske inte kommer att tillämpas i särdeles många fall i det praktiska livet. Att hålla beredskap för registerutdrag kommer därmed att innebära en oproportionerligt stor arbetsinsats för de personuppgiftsansvariga.
Slutligen bör också påpekas att lättnadsreglerna föreslås i syfte att undanröja hinder för vardaglig hantering av personuppgifter och inte minst för att underlätta debatt och diskussion, t.ex. via e-post och vid Internetpublicering. Även yttrandefrihetsskäl talar därför med viss styrka för att det undantagna området skall belastas i så liten utsträckning som möjligt för att dessa syften skall nås.
Kommittédirektiv
Dir. 2002:31
Översyn av personuppgiftslagen
Beslut vid regeringssammanträde den 21 februari 2002.
Sammanfattning av uppdraget
Redan vid utarbetandet av personuppgiftslagen beaktades möjligheten att ha en lagstiftning som inriktar sig på att förhindra missbruk av personuppgifter. Regeringen har också efter antagandet av personuppgiftslagen vidtagit åtgärder i denna riktning. Det är viktigt att detta arbete fortsätter.
En särskild utredare tillkallas därför med uppgift att se över personuppgiftslagen i syfte att, inom ramen för EG-direktivet om personuppgifter, åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredaren föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten. Utredaren skall också överväga behovet av en ändring i 7 kap. 16 § sekretesslagen, som hänvisar till personuppgiftslagen, samt ett förtydligande av hur myndigheters beslut enligt personuppgiftslagen kan överklagas.
Bakgrund
Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet om personuppgifter). EG-direktivets syfte är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter mellan medlemsstaterna. Medlemsstaterna får inom den ram som ges i EGdirektivet närmare precisera villkoren för när personuppgifter får behandlas. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom Europeiska unionen. EG-direktivet innehåller generellt verkande bestämmelser som reglerar all hantering av personuppgifter och är därmed utformat efter en s.k. hanteringsmodell. Förutom automatiserad behandling omfattas också sådan manuell behandling som sker i register som är sökbara utifrån särskilda kriterier. EG-direktivet skulle ha varit genomfört i medlemsstaterna senast den 24 oktober 1998. I dag är det endast Frankrike och Luxemburg som ännu inte har genomfört EG-direktivet i någon del.
Genomförandet i Sverige
Efter beslut av regeringen den 15 juni 1995 tillkallades en parlamentariskt sammansatt kommitté med uppgift att bl.a. göra en total revision av datalagen (1973:289) och att analysera på vilket sätt EG-direktivet om personuppgifter skulle genomföras i svensk lagstiftning (Datalagskommittén). Den 2 april 1997 avgav kommittén betänkandet Integritet
- Offentlighet • Informationsteknik (SOU
1997:39). I likhet med bl.a. Datalagskommittén ansåg regeringen att det inte var möjligt att uppfylla skyldigheten att genomföra EGdirektivet på annat sätt än genom att införa en lagstiftning enligt EG-direktivets hanteringsmodell. Riksdagen delade den bedömningen. EG-direktivet om personuppgifter genomfördes i Sverige genom bl.a. personuppgiftslagen (SFS 1998:204, prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180).
Behovet av en förnyad analys
Personuppgiftslagen trädde i kraft den 24 oktober 1998. Enligt lagens övergångsbestämmelser tillämpas dock datalagen beträffande viss behandling av personuppgifter under en övergångsperiod. För
helt eller delvis automatiserad behandling av personuppgifter började personuppgiftslagen således att gälla fullt ut först den 1 oktober 2001. Mot bakgrund av Sveriges skyldigheter som medlem i Europeiska unionen valde regeringen, som nämnts ovan, att i huvudsak låta lagen följa EG-direktivets text och struktur med följd att lagstiftningen i princip reglerar all hantering av personuppgifter. Regeringen konstaterade emellertid att en sådan hanteringsmodell framstod som omodern. Mycket av den användning av personuppgifter som den ökade datoriseringen har medfört måste betraktas som harmlös. Allt fler medborgare har också tillgång till dator, e-post och annan kommunikation i världsomspännande nätverk, såsom Internet. Regeringen ansåg därför att det finns starka skäl att verka för att det blir möjligt att gå ifrån en lagstiftning efter en hanteringsmodell till en mer missbruksinriktad lagstiftning, dvs. en reglering som mer koncentrerar sig på att motverka missbruk av personuppgifter. Regeringen avsåg härvid att på lämpligt sätt utnyttja Sveriges inflytande i Europeiska unionen för att påverka i denna riktning. (Prop. 1997/98:44 s. 36 f.).
I samband med att konstitutionsutskottet behandlade motioner från den allmänna motionstiden 1998 som rörde frågor om bl.a. personuppgiftslagen underströk även utskottet behovet av en revidering av EG-direktivet samt anförde att en översyn av personuppgiftslagen borde komma till stånd med syfte att, så långt det är möjligt inom EG-direktivets ram, åstadkomma en förändring av lagstiftningen i riktning mot ett regelverk som tar sikte på missbruk av personuppgifter. Konstitutionsutskottet hemställde att riksdagen som sin mening skulle ge regeringen till känna vad utskottet anfört i denna del (1998/99:KU15, jämför även 1999/2000:KU7 och 2000/01:KU19). Riksdagen beslutade i mars 1999 i enlighet med utskottets hemställan (rskr. 1998/99:147).
Under övergångsperioden fram till den 1 oktober 2001 – då personuppgiftslagen alltså trädde i full kraft för helt eller delvis automatiserad behandling av personuppgifter – har regeringen vidtagit flera åtgärder i syfte att åstadkomma en mer missbruksinriktad regleringsmodell. Regeringen gav således redan i samband med att personuppgiftslagen trädde i kraft 1998 Datainspektionen i uppdrag att bl.a. utreda det närmare behovet av att göra undantag från förbudet i 33 § personuppgiftslagen när det gäller vissa överföringar av personuppgifter till tredje land, t.ex. vid behandling av personuppgifter i sådana internationella kommunikationsnätverk som Internet. Datainspektionen redovisade den 1 mars 1999 sitt uppdrag till regeringen i rapporten Personuppgifter på Internet. I oktober
1999 lade regeringen fram förslag till ändringar i personuppgiftslagens överföringsregler och straffbestämmelser (prop. 1999/2000:11). Dessa antogs av riksdagen (1999/2000:KU7 och rskr. 1999/2000:51) och trädde i kraft den 1 januari 2000 (SFS 1999:1210). Vidare har regeringen per den 1 januari 2001 ändrat personuppgiftsförordningen (1998:1191) för att underlätta för kommuner och landsting att publicera personuppgifter på Internet. Per den 1 oktober 2001 har regeringen också gjort ändringar i förordningar för att underlätta dels myndigheters behandling av känsliga personuppgifter i löpande text, dels arkivmyndigheternas hantering av bestämmelserna i personuppgiftslagen om registerutdrag. Ett antal s.k. registerförfattningar med modifieringar av bestämmelserna i personuppgiftslagen har också utarbetats. Lagstiftningsarbetet har sammantaget medfört att skyddet för personuppgifter i högre grad än tidigare inriktas på de förfaranden som medför allvarliga integritetsrisker och att lagstiftningen närmar sig en sådan missbruksinriktad regleringsmodell som riksdagen och regeringen uttalat sig för.
Under hösten 2000 presenterade Justitiedepartementet ett utkast med förslag till ändring i EG-direktivet. Den föreslagna ändringen syftar till en förenklad reglering av skyddet för personuppgifter och är inriktad på att förhindra missbruk av sådana uppgifter. Samtidigt bjöd departementet in representanter för riksdagspartierna att ingå i en samrådsgrupp om EG-direktivet. För att få in synpunkter på eventuella tillämpningsproblem som EG-direktivet orsakat utarbetade Justitiedepartementet vidare en enkät för en offentlig utvärdering av EG-direktivet och utkastet till missbruksmodell. Enkäten remitterades i februari 2001 till myndigheter, organisationer och företag och kunde också besvaras av var och en via Internet. Enkätsvaren har sammanställts i promemorian EGdirektivet om personuppgifter – En offentlig utvärdering, Ds 2001:27. Av sammanställningen framgår bl.a. att Justitiedepartementets utkast till missbruksmodell fick ett överväldigande positivt gensvar. Den offentliga utvärderingen visade också att det finns en betydande osäkerhet om hur bestämmelserna skall tillämpas. Regeringen har därför gett Datainspektionen i uppdrag att under år 2002 publicera konkret vägledning på väsentliga punkter.
Åtgärder har också vidtagits på internationell nivå. Således tog bl.a. Sverige initiativ till en seminarieserie med företrädare för EGkommissionen och medlemsstaterna för att bl.a. diskutera tillämpningsproblem. EG-kommissionen skall enligt EG-direktivet senast i oktober 2001 komma med en rapport om genomförandet av EG-
direktivet, eventuellt försedd med lämpliga ändringsförslag. Eftersom någon sådan rapport inte avgetts inom angiven tid tog Sverige vid ett ministerrådsmöte i november 2001 med EG-kommissionen upp frågan om rapporten och eventuella ändringar i EG-direktivet. Sverige framförde därvid sin syn på behovet att ändra EGdirektivet till en mera missbruksinriktad regleringsmodell. EGkommissionen angav att rapporten skulle försenas med ett år med hänsyn till att alla medlemsstater ännu inte genomfört EGdirektivet. Sverige har också tagit upp behovet av ändringar mot en mer missbruksinriktad modell inom ramen för Europarådets arbete.
Regeringen har vidare följt den utveckling som skett genom rättspraxis. Bland annat har Högsta domstolen i det s.k. Ramsbromålet (NJA 2001 s. 409) tagit ställning till frågor om publicering av personuppgifter på Internet. Eksjö tingsrätt har i en dom i det s.k. Bodil-målet tagit ställning till liknande frågor. Den domen har överklagats till Göta hovrätt, som har meddelat prövningstillstånd och beslutat att inhämta ett s.k. förhandsavgörande från EGdomstolen. Två österrikiska domstolar har också begärt förhandsavgörande hos EG-domstolen om tolkningen av EG-direktivet. Regeringen har yttrat sig till EG-domstolen i dessa mål.
Regeringen har således utnyttjat tiden fram till personuppgiftslagens fulla ikraftträdande såvitt avser helt eller delvis automatiserad behandling för att införa och anpassa registerlagstiftning till EGdirektivet om personuppgifter samt för att vidta vissa missbruksinriktade åtgärder. Genom att genomföra den offentliga utvärderingen och följa rättstillämpningen har regeringen också tillägnat sig ytterligare erfarenheter av de särskilda problem som den nuvarande lagstiftningsmodellen medför. Tiden är därför mogen att nu göra en analys av möjligheterna att ändra personuppgiftslagen i syfte att – så långt som möjligt inom EG-direktivets ram – åstadkomma en mer missbruksinriktad lagstiftning.
Vid personuppgiftslagens tillkomst ändrades 7 kap. 16 § sekretesslagen (1980:100). I samband härmed uttalades att ändringarna endast utgjorde följdändringar i syfte att samordna bestämmelsen med bestämmelserna i personuppgiftslagen. Bestämmelsen i 7 kap. 16 § sekretesslagen har emellertid i själva verket fått ett vidare tilllämpningsområde. Tidigare kunde sekretess komma i fråga enbart vid utlämnande av personuppgifter från en myndighets datoriserade personregister för behandling i sådant register. Efter ändringen kan sekretess gälla för alla personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med per-
sonuppgiftslagen. (Jfr SOU 2001:3 s. 213 ff.). Bestämmelsen har medfört viss osäkerhet vid rättstillämpningen. Ännu finns bara två vägledande avgöranden från Regeringsrätten (RÅ 2001 ref. 35 och RÅ 2001 ref. 68). I ytterligare ett fall har Regeringsrätten meddelat prövningstillstånd. Med anledning härav finns det skäl att i detta sammanhang överväga behovet av en ändring i 7 kap. 16 § sekretesslagen i syfte att förtydliga bestämmelsens innebörd. En sådan översyn är nödvändig bl.a. för att regeringen skall kunna överväga hur en skyldighet för myndigheter att lämna ut allmänna handlingar i elektronisk form bör utformas (prop. 2001/02:70 s. 34).
Uppdraget
Redan vid genomförandet av EG-direktivet om personuppgifter och utarbetandet av personuppgiftslagen beaktades möjligheten att ha en lagstiftning inriktad på att förhindra missbruk av personuppgifter i stället för att reglera all hantering av sådana uppgifter. Regeringen har också efter antagandet av personuppgiftslagen vidtagit åtgärder i denna riktning. Eftersom EG-kommissionen inte kommer att lämna något förslag till ändring av EG-direktivet inom kort är det viktigt att redan nu göra en förnyad analys av möjligheterna att åstadkomma en än mer missbruksinriktad lagstiftning.
Utredaren skall närmare analysera förutsättningarna – inom ramen för EG-direktivet om personuppgifter – för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet är i första hand att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Regleringen skall liksom hittills vara teknikoberoende. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredaren föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten.
Ett viktigt underlag för att identifiera områden där det kan behövas lättnader i hanteringsreglerna är resultatet av den offentliga utvärdering av EG-direktivet som Justitiedepartementet låtit genomföra. Utredaren skall därför i sitt arbete beakta resultatet av den utvärderingen. Härutöver skall utredaren beakta erfarenheterna
från genomförandet av EG-direktivet i andra länder och utvecklingen i rättstillämpningen.
Utvidgade undantagsmöjligheter
Utredaren skall analysera om det finns förutsättningar för att införa ytterligare undantag från hanteringsreglerna i personuppgiftslagen.
Utredaren skall härvid särskilt se över möjligheten till undantag för sådan behandling av personuppgifter inom den privata sfären som – till sin natur – faller utanför gemenskapsrätten och därmed inte omfattas av EG-direktivet.
Utredaren skall också överväga om de undantagsmöjligheter för bl.a. säkerhet och brottsundersökning m.m. som finns enligt artikel 13 i EG-direktivet bör tas in direkt i personuppgiftslagen.
Enligt 10 § f personuppgiftslagen, som motsvarar artikel 7 f i EG-direktivet, kan en behandling av personuppgifter vara tillåten efter en intresseavvägning. Det är enligt EG-direktivet tillåtet för medlemsstaterna att närmare precisera hur den intresseavvägningen utfaller i olika fall. I uppdraget ligger att utredaren skall överväga möjligheterna att direkt i personuppgiftslagen ange konkreta fall där behandling är tillåten med stöd av bestämmelsen i EGdirektivet om en intresseavvägning. Utredaren skall därvid särskilt analysera om det är möjligt och lämpligt med en generell bestämmelse av innebörd att personuppgifter får behandlas om det är nödvändigt för information och debatt eller opinionsbildning, om det inte finns risk för otillbörligt intrång i den personliga integriteten eller om det finns ett allmänintresse som överväger integritetsintrånget.
Enligt artikel 8.4 i EG-direktivet får s.k. känsliga personuppgifter behandlas med hänsyn till ett ”viktigt allmänt intresse”, och under motsvarande förutsättningar får enligt artikel 26.1 d i EGdirektivet personuppgifter föras över till tredje land, t.ex. genom att läggas ut på Internet. Utredaren skall analysera om dessa möjligheter bör utnyttjas i större utsträckning genom uttryckliga bestämmelser i personuppgiftslagen. Utredaren skall därvid på motsvarande sätt som sagts i fråga om intresseavvägningen särskilt analysera möjligheterna till undantag med hänsyn till intresset för information, debatt och opinionsbildning.
Uppgifter om lagöverträdelser
Enligt artikel 8.5 i EG-direktivet är det möjligt för medlemsstaterna att tillåta att andra än myndigheter behandlar personuppgifter om lagöverträdelser m.m. Utredaren skall analysera om den möjligheten bör utnyttjas genom uttryckliga bestämmelser direkt i personuppgiftslagen. Utredaren skall särskilt överväga om den registrerades samtycke bör göra behandling av personuppgifter om lagöverträdelser m.m. tillåten. Därvid skall utredaren beakta behovet av skydd för den registrerade i de fall där den enskilde kan befinna sig i ett underläge såsom bl.a. vid upptagande av kredit och sökande av anställning.
Straffbestämmelser
I uppdraget ligger att utredaren skall analysera vilka regler som bör gälla vid brott mot personuppgiftslagen för straffansvar i subjektivt hänseende – dvs. om oaktsamhet av normalgraden som i dag räcker för straffansvar bör ersättas med ett krav på grov oaktsamhet eller uppsåt – samt om någon förseelse mot personuppgiftslagen helt bör avkriminaliseras, såsom t.ex. vissa överföringar av personuppgifter till tredje land.
Överklagande
Utredaren skall överväga hur det i personuppgiftslagen bör införas ett förtydligande av hur beslut av myndighet enligt lagen kan överklagas, såsom bl.a. beslut om rättelse och avslag på ansökan om information.
Sekretess
Utredaren skall vidare överväga behovet av en ändring i bestämmelsen i 7 kap. 16 § sekretesslagen i syfte att förtydliga bestämmelsens innebörd.
Övriga frågor
Härutöver skall utredaren ha stor frihet att ta upp de ytterligare frågor som kan behöva övervägas inom ramen för utredningsuppdraget. Utredaren skall vidare analysera eventuella ekonomiska konsekvenser med anledning av förslagen.
Samråd
Utredaren skall på lämpligt sätt informera riksdagspartierna om sitt arbete och även inhämta partiernas synpunkter. I frågor som har anknytning till sekretess skall utredaren samråda med Offentlighets- och sekretesskommittén (dir. 1998:32). Utredaren skall vidare samråda med den kommitté som får i uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället. Utredaren skall också hålla sig underrättad om Datainspektionens arbete med att utforma konkret vägledning för tillämpningen av vissa bestämmelser i personuppgiftslagen.
Redovisning av uppdraget
Utredningsuppdraget skall redovisas senast den 31 mars 2003.
(Justitiedepartementet)
Allmänna bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
Avvikande bestämmelser i annan författning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla.
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven betydelse. Beteckning Betydelse
Behandling (av personuppgifter)
Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
Blockering (av personuppgifter)
En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.
Beteckning
Betydelse
Mottagare Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare. Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsombud Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Den registrerade Den som en personuppgift avser. Samtycke Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Tillsynsmyndigheten Den myndighet som regeringen utser för att utöva tillsyn. Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Tredje man Någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter.
Tillämpningsområde
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana personuppgiftsansvariga som är etablerade i Sverige.
Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.
I det fall som avses i andra stycket första meningen skall den personuppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige. Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren.
Behandling av personuppgifter som omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Undantag för privat behandling av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.
Förhållandet till tryck- och yttrandefriheten
7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Bestämmelserna i 9–29 och 33–44 §§ samt 45 § första stycket och 47– 49 §§ skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar.
Grundläggande krav på behandlingen av personuppgifter
9 § Den personuppgiftsansvarige skall se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med
god sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i för-
hållande till ändamålen med behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn
till ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt,
aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och
i) personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen. I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.
Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
När behandling av personuppgifter är tillåten
10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som
den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken personupp-
gifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgifts-
ansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den
registrerades intresse av skydd mot kränkning av den personliga integriteten.
Direkt marknadsföring
11 § Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.
Samtycke återkallas
12 § I de fall då behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a) ras eller etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.
Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter.
Undantag från förbudet mot behandling av känsliga personuppgifter
14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.
Samtycke eller offentliggörande
15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.
Nödvändig behandling
16 § Känsliga personuppgifter får behandlas om behandlingen är nödvändig för att
a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller
utöva sina rättigheter inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen skall kunna skyd-
das och den registrerade inte kan lämna sitt samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet.
Ideella organisationer
17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det.
Hälso- och sjukvård
18 § Känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för
a) förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.
[SFS 2003:466]
Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
[SFS 2003:466]
Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.
[SFS
2003:466]
Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.
[SFS 2003:466]
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. [SFS 1998:1436]
Uppgifter om lagöverträdelser m.m.
21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket. [SFS 1998:1436]
Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.
Behandling av personnummer
22 § Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl. [SFS 1999:1059]
Information till den registrerade
Information skall lämnas självmant
23 § Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna.
24 § Om personuppgifterna har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den regi-
strerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.
Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.
Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.
Den information som skall lämnas självmant
25 § Information enligt 23 eller 24 § skall omfatta
a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om ändamålen med behandlingen, och
c) all övrig information som behövs för att den registrerade skall kunna ta
till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.
Information skall lämnas efter ansökan
26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-
nas ut. En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.
Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller veten-
skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23– 26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade.
Rättelse
28 § Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Automatiserade beslut
29 § Om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, skall den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person.
Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §.
Säkerheten vid behandling
Personer som behandlar personuppgifter
30 § Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.
Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket.
Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i frågor som avses i första stycket, skall dessa gälla i stället för vad som sägs i första stycket.
Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
d) hur pass känsliga de behandlade personuppgifterna är. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §.
I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite.
Överföring av personuppgifter till tredje land
Förbud mot överföring av personuppgifter till tredje land
33 § Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. [SFS 1999:1210]
Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelse-
landet och de regler som finns för behandlingen i det tredje landet. [SFS 1999:1210]
Undantag från förbudet mot överföring av personuppgifter till tredje land
34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till tredje land, om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall
kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,
eller
d) vitala intressen för den registrerade skall kunna skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.
35 § Regeringen får meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också meddela föreskrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. [SFS 1998:1436]
Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. [SFS 1998:1436]
Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.
Anmälan till tillsynsmyndigheten
Anmälningsskyldighet
36 § Behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana behandlingar med samma eller liknande ändamål genomförs.
Om den personuppgiftsansvarige utser ett personuppgiftsombud skall detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten enligt första stycket för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.
Anmälan behöver inte göras om det finns ett personuppgiftsombud
37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 36 § första stycket inte göras.
Personuppgiftsombudets uppgifter
38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för honom eller henne.
Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.
Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.
39 § Personuppgiftsombudet skall föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit.
40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.
Obligatorisk anmälan av särskilt integritetskänsliga behandlingar
41 § Regeringen får meddela föreskrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §. [SFS 1998:1436]
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den personuppgiftsansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 36 § första stycket skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig som inte är myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter.
Tillsynsmyndighetens befogenheter
43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personupp-
gifter och säkerheten vid denna, och
c) tillträde till sådana lokaler som har anknytning till behandlingen av per-
sonuppgifter.
44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem.
45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem.
Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite.
46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttrandetiden har gått ut.
Ett vitesföreläggande skall delges den personuppgiftsansvarige. Delgivning enligt 12 § delgivningslagen (1970:428) får användas bara om det finns skäl att anta att den personuppgiftsansvarige har avvikit eller på annat sätt håller sig undan.
47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas.
Beslut om utplånande får inte meddelas om det är oskäligt.
Skadestånd
48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Straff
49 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som före-
skrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13–21 §§,
c) för över personuppgifter till tredje land i strid med 33–35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrif-
ter meddelade med stöd av 41 §. I ringa fall döms inte till ansvar. [SFS 1999:1210]
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.
Närmare föreskrifter
50 § Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av
personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall inne-
hålla,
e) vilken information som skall lämnas till registrerade och hur informa-
tionen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter
har ändrats. [SFS 1998:1436]
Överklagande
51 § Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas.
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 95/46/EG
av den 24 oktober 1995
om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV med beaktande av Fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 100a i detta, med beaktande av kommissionens förs lag(
1
),
med beaktande av Ekonomiska och sociala kommitténs yttrande(
2
),
i enlighet med det förfarande som anges i fördragets artikel 189b(
3
), och
med beaktande av följande: 1) Gemenskapens målsättningar som uttryckts i fördraget, såsom detta
ändrats genom Fördraget om Europeiska unionen, består i att förverkliga en allt fastare sammanslutning av de europeiska folken, i att upprätta allt närmare relationer mellan de stater som förenas i gemenskapen, i att säkerställa ekonomiska och sociala framsteg i sina länder genom gemensamma åtgärder för att undanröja de barriärer som delar Europa, i att fortgående förbättra levnadsvillkoren för dess folk, i att bevara och stärka fred och frihet och i att främja demokratin på grundval av de grundläggande rättigheter som erkänns i medlemsstaternas grundlagar och lagar liksom i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
(
) EGT nr C 277, 5.11.1990, s. 3, och EGT nr C 311, 27.11.1992, s. 30. (
) EGT nr C 159, 17.6.1991, s. 38. (
) Europaparlamentets yttrande av den 11 mars 1992 (EGT nr C 94, 13.4.1992, s. 198),
bekräftat den 2 december 1993 (EGT nr C 342, 20.12.1993, s. 30) rådets gemensamma ståndpunkt av den 20 februari 1995 (EGT nr C 93, 13.4.1995, s. 1) och Europaparlamentets beslut av den 15 juni 1995 (EGT nr C 166, 3.7.1995).
2) Systemen för databehandling av uppgifter är till för människornas
skull. Oavsett fysiska personers medborgarskap eller hemvist måste systemen respektera dessa personers grundläggande fri- och rättigheter – särskilt rätten till privatlivet – och bidra till ekonomiska och sociala framsteg, handelns utveckling och enskilda personers välfärd. 3) Upprättandet av den inre marknaden och dennas funktion, som i en-
lighet med artikel 7a i fördraget innebär fri rörlighet för varor, personer, tjänster och kapital, förutsätter inte bara att personuppgifter fritt kan överföras från en medlemsstat till en annan utan också att enskilda personers grundläggande rättigheter skyddas. 4) Inom gemenskapen behandlas och används personuppgifter allt oftare
inom olika ekonomiska och samhälleliga områden. Framstegen på informationsteknikens område har gjort det avsevärt lättare att behandla och utbyta sådana uppgifter. 5) Den ekonomiska och sociala integration som är en följd av upprättan-
det av den inre marknaden och dennas funktion i enlighet med artikel 7a i fördraget kommer med nödvändighet att leda till en betydande ökning av flödet av personuppgifter över gränserna mellan samtliga aktörer på de ekonomiska och samhälleliga områdena, oavsett om dessa aktörer tillhör den privata eller den offentliga sektorn. Utbytet av personuppgifter mellan företag i olika medlemsstater kommer att öka. De nationella myndigheterna i de olika medlemsstaterna måste som ett led i tillämpningen av gemenskapsrätten samarbeta och utbyta personuppgifter för att kunna fullgöra sina åligganden eller utföra arbetsuppgifter för en myndighet i en annan medlemsstat inom det område utan inre gränser som den inre marknaden innebär. 6) Det ökade vetenskapliga och tekniska samarbetet liksom det samord-
nade införandet av nya telekommunikationsnät inom gemenskapen nödvändiggör och underlättar dessutom det gränsöverskridande flödet av personuppgifter. 7) Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda per-
soners fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans. Denna skillnad kan därför utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen och hindra myndigheterna att fullgöra de skyldigheter som åligger dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på olikheter i nationella lagar och andra författningar. 8) För att hindren mot flöden av personuppgifter skall kunna avskaffas
måste skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana uppgifter vara likvärdig i alla medlemsstater. Denna målsättning är av grundläggande betydelse för den inre marknaden men kan inte uppnås genom åtgärder endast
av medlemsstaterna, i synnerhet med tanke på omfattningen av de skillnader som för närvarande finns mellan nationell lagstiftning på området och med tanke på behovet av att samordna lagstiftningen i medlemsstaterna för att säkerställa en sådan enhetlig reglering av det gränsöverskridande flödet av personuppgifter som överensstämmer med målsättningen för den inre marknaden enligt artikel 7a i fördraget. Det är därför nödvändigt att gemenskapen vidtar åtgärder för att åstadkomma en tillnärmning av lagstiftningen. 9) Eftersom tillnärmningen av de nationella lagstiftningarna kommer att
leda till ett likvärdigt skydd kommer medlemsstaterna inte längre att kunna hindra det fria flödet av personuppgifter mellan dem under hänvisning till enskilda personers fri- och rättigheter, särskilt rätten till privatliv. Medlemsstaterna kommer att få ett handlingsutrymme, som i samband med genomförandet av detta direktiv också kommer att kunna utnyttjas av näringslivet och arbetsmarknadens parter. Medlemsstaterna kommer därför att i sin nationella lagstiftning särskilt kunna ange de allmänna villkor som skall gälla för behandlingen av uppgifter. Medlemsstaterna skall härvid sträva efter att förbättra det skydd som deras nuvarande lagstiftning ger. Inom ramen för detta handlingsutrymme och i enlighet med gemenskapsrätten kan skillnader uppkomma vid genomförandet av direktivet, vilket kan påverka flödet av uppgifter såväl inom en medlemsstat som på gemenskapsnivå. 10) Ändamålet med den nationella lagstiftningen om behandling av per-
sonuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och i gemenskapsrättens allmänna rättsprinciper. Av denna anledning får tillnärmningen av denna lagstiftning inte medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen. 11) De principer om skydd för enskilda personers fri- och rättigheter, sär-
skilt rätten till privatlivet, som detta direktiv innehåller, utgör en precisering och en förstärkning av principerna i Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter. 12) Principerna för skyddet måste gälla för all behandling av personupp-
gifter som utförs av en person vars verksamhet regleras av gemenskapsrätten. En fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk, såsom korrespondens eller förande av adressregister, skall dock inte omfattas. 13) Sådan verksamhet som avses i avdelningarna V och VI i Fördraget om
Europeiska unionen och som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område faller inte inom
tillämpningsområdet för gemenskapsrätten, dock med förbehåll för medlemsstaternas skyldigheter enligt artiklarna 56.2, 57 eller 100a i Fördraget om upprättandet av Europeiska gemenskapen. Sådan behandling av personuppgifter som är nödvändig för att skydda statens ekonomiska välstånd omfattas inte av detta direktiv, när behandlingen har samband med frågor om statens säkerhet. 14) För närvarande görs inom ramen för informationssamhället be-
tydande framsteg såvitt avser tekniken för att uppta, överföra, bearbeta, registrera, lagra eller lämna ut ljud- eller bilduppgifter om fysiska personer; detta direktiv bör därför tillämpas på behandling av sådana uppgifter. 15) Behandlingen av sådana uppgifter omfattas av detta direktiv endast
om den sker med hjälp av automatisk databehandling eller om de uppgifter som behandlas ingår eller avses ingå i ett register som är uppbyggt efter vissa med utgångspunkt i för enskilda personer utformade kriterier för att underlätta tillgång till de berörda uppgifterna. 16) Behandlingen av ljud- och bilduppgifter – exempelvis i samband med
videoövervakning – omfattas inte av detta direktiv om den utförs för att tillgodose den allmänna säkerheten, försvaret, statens säkerhet eller statens verksamhet på straffrättens område eller till annan verksamhet som inte faller inom gemenskapsrättens tillämpningsområde. 17) När det gäller behandling av ljud- och bilduppgifter för journalistiska
ändamål eller i litterärt eller konstnärligt skapande, särskilt på det audiovisuella området, skall direktivets principer i enlighet med bestämmelserna i artikel 9 tillämpas restriktivt. 18) För att undvika att en enskild person förvägras det skydd som till-
kommer honom enligt detta direktiv skall varje behandling av personuppgifter inom gemenskapen ske i enlighet med lagstiftningen i en av medlemsstaterna. Med hänsyn till detta bör behandlingen av uppgifter som utförs av någon som på uppdrag av en registeransvarig som är etablerad i en medlemsstat regleras av den statens lagstiftning. 19) Etablering på en medlemsstats territorium förutsätter effektiv och
faktisk verksamhet med hjälp av en stabil struktur. Härvid har den berörda verksamhetens rättsliga form inte avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person. Om den ansvarige är etablerad på flera medlemsstaters territorier, särskilt genom dotterbolag, måste han för att undvika varje kringgående garantera att varje verksamhet uppfyller bestämmelserna i den nationella lagstiftning som gäller för aktiviteterna. 20) Den omständigheten att den registeransvarige är etablerad i ett tredje
land får inte utgöra ett hinder för det skydd som enskilda personer ges i detta direktiv. I sådana fall skall på behandlingen av uppgifter til??lämpas den medlemsstats lagstiftning som innehåller de hjälpme-
del som används för behandlingen. Det bör finnas garantier för att de rättigheter som följer av detta direktiv respekteras i praktiken. 21) Detta direktiv påverkar inte de territorialitetsregler som gäller på
straffrättens område. 22) Medlemsstaterna bör i sin lagstiftning eller genom andra bestämmel-
ser som antas för att genomföra detta direktiv närmare ange de allmänna villkoren för att en behandling skall vara tillåten. Särskilt artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att, oavsett de allmänna regler som gäller, ange särskilda villkor för behandlingen av uppgifter på särskilda områden och för de olika kategorier av uppgifter som behandlas i artikel 8. 23) Medlemsstaterna har befogenhet att genomföra skyddet för enskilda
personer både genom en generell lagstiftning om skydd för enskilda personer såvitt avser behandling av personuppgifter och genom särskild lagstiftning som till exempel om statistiska institut. 24) Sådan lagstiftning som rör skydd för juridiska personer med avseende
på behandling av uppgifter som angår dem berörs inte av detta direktiv. 25) Principerna för skyddet måste avspeglas dels i de förpliktelser som
åvilar personer, myndigheter, företag, institutioner, organ eller andra registeransvariga särskilt med avseende på uppgifternas kvalitet, den tekniska säkerheten, anmälningar till tillsynsmyndigheten och de omständigheter under vilka behandling får utföras, dels i de rättigheter som tillkommer enskilda personer, vilkas personuppgifter blir föremål för behandling, att bli informerade om att behandling sker, att få tillgång till uppgifterna, att begära rättelse och att under vissa omständigheter invända mot behandlingen. 26) Principerna för skyddet måste gälla all information som rör en identi-
fierad eller identifierbar person. För att avgöra om en person är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den registeransvarige eller av någon annan person. Skyddsprinciperna gäller inte för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. En sådan uppförandekodex som avses i artikel 27 kan vara ett användbart redskap för att ge vägledning om hur uppgifter kan göras anonyma och behållas i en form som gör det omöjligt att identifiera den registrerade. 27) Enskilda personer skall skyddas både i samband med automatisk da-
tabehandling av uppgifterna och i samband med manuell behandling. Omfattningen av detta skydd får inte faktiskt bero på den teknik som används eftersom detta skulle kunna skapa en allvarlig risk för kringgående. När det gäller manuell behandling omfattar detta direktiv endast register och inte ostrukturerade akter. Särskilt innehållet i ett register måste vara strukturerat efter bestämda kriterier som avser en-
skilda personer, för att lätt ge tillgång till personuppgifter. I enlighet med definitionen i artikel 2 c) kan de olika kriterier som gör det möjligt att fastställa de enskilda delarna av en strukturerad samling personuppgifter och de olika kriterier som reglerar möjligheten att få tillgång till en sådan samling utformas av varje medlemsstat. Akter eller grupper av akter liksom dessas omslag, vilka inte är strukturerade enligt särskilda kriterier, faller inte under några omständigheter inom detta direktivs tillämpningsområde. 28) Varje behandling av personuppgifter måste vara laglig och korrekt
gentemot berörda personer. Uppgifterna måste särskilt vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. Sådana ändamål med behandlingen som läggs fast sedan uppgifterna samlats in får inte vara oförenliga med de ändamål som ursprungligen angavs. 29) Senare behandling av personuppgifter för historiska, statistiska eller
vetenskapliga ändamål kan – förutsatt att medlemsstaterna ger lämpliga garantier – inte allmänt sett anses oförenliga med de ändamål för vilka uppgifterna tidigare samlades in. Dessa garantier skall särskilt hindra att uppgifterna används för att vidta åtgärder mot eller fatta beslut som rör en viss person. 30) För att vara tillåten skall en behandling av personuppgifter dessutom
utföras med den registrerades samtycke eller vara nödvändig för ingåendet eller utförandet av förpliktelser i enlighet med ett avtal som är bindande för den registrerade, eller fordras enligt lagstiftning vid utförandet av något som är i det allmännas intresse eller är ett led i myndighetsutövning eller vara i en fysisk eller juridisk persons intresse förutsatt att skyddet av den registrerades fri- och rättigheter inte går före. För att särskilt garantera jämvikt mellan de berörda intressena och för att samtidigt säkerställa en effektiv konkurrens får medlemsstaterna närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som av företag och andra organ utövas i deras löpande verksamhet. Medlemsstaterna får även närmare ange på vilka villkor personuppgifter i marknadsföringssyfte får vidarebefordras till tredje man, oavsett om detta sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, exempelvis av politisk karaktär, men förutsatt att regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att de uppgifter som rör honom behandlas utan att behöva ange sina skäl och utan att åsamkas kostnader för detta. 31) Behandling av personuppgifter måste även anses tillåten när den ut-
förs för att skydda ett intresse som är av avgörande betydelse för den registrerades liv.
32) Det ankommer på den nationella lagstiftningen att avgöra om den
som ansvarar för en behandling som utförs i det allmännas intresse eller vid myndighetsutövning skall vara en myndighet eller något annat offentligrättsligt eller civilrättsligt subjekt, såsom exempelvis en yrkesorganisation. 33) Uppgifter som på grund av sin natur kan kränka grundläggande fri-
och rättigheter eller privatlivets helgd får inte behandlas utan samtycke av den registrerade. Dock måste det finnas en uttrycklig möjlighet att för att tillgodose särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för ändamål som har samband med hälso- och sjukvården av personer som är underkastade tystnadsplikt eller för att genomföra berättigade åtgärder av vissa föreningar eller stiftelser vilkas syften är att skydda utövningen av vissa grundläggande fri- och rättigheter. 34) När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste
medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Dock åligger det medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv. 35) Myndigheters behandling av personuppgifter för officiellt erkända
religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga samhälleliga intressen. 36) Om det i samband med att allmänna val hålls för att det demokratiska
systemet skall fungera är nödvändigt att de politiska partierna i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattning får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen, på villkor att bestämmelser om lämpliga garantier föreskrivs. 37) För sådan behandling av personuppgifter som sker för journalistiska
ändamål eller för konstnärligt eller litterärt skapande – särskilt på det audiovisuella området – bör det fastställas undantag från eller begränsningar i förhållande till vissa bestämmelser i detta direktiv så långt detta är nödvändigt för att förena enskilda personers grundläggande rättigheter med yttrandefriheten, särskilt den rätt att ta emot och lämna upplysningar som särskilt fastslås i artikel 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. För att åstadkomma en avvägning mellan de grundläggande fri- och rättigheterna åligger det medlemsstaterna att
besluta om nödvändiga undantag och begränsningar såvitt avser de generella åtgärder som har avseende på uppgiftsbehandlingens berättigande, åtgärder för att vidareföra uppgifter till tredje land och tillsynsmyndighetens befogenheter. Detta får dock inte leda till att medlemsstaterna beslutar om undantag från åtgärder som vidtas för att säkerställa behandlingens säkerhet. Den tillsynsmyndighet som är behörig på området bör utrustas med i vart fall vissa befogenheter att utövas efter behandlingen i fråga, exempelvis befogenhet att med jämna mellanrum offentliggöra en rapport eller att överlämna ärenden till rättsliga myndigheter. 38) En korrekt behandling av uppgifter förutsätter att de registrerade kan
få kännedom om behandlingen och att de – när uppgifter samlas in hos dem – kan få korrekt och fullständig information med hänsyn till de närmare omständigheterna vid insamlingen. 39) I vissa fall rör behandlingen uppgifter som den registeransvarige inte
har samlat in direkt från den registrerade. Vidare kan utlämnande av uppgifter till tredje man vara tillåten även om utlämnandet inte kunde förutses när uppgifterna samlades in från den registrerade. I samtliga dessa fall skall den registrerade informeras när uppgifterna registreras eller senast när uppgifterna för första gången lämnas ut till tredje man. 40) Det är dock inte nödvändigt att ställa detta krav om den registrerade
redan känner till informationen. Detta krav behöver inte heller ställas om registreringen eller utlämnandet uttryckligen regleras i lagstiftningen eller om lämnande av information till den berörda personen visar sig vara omöjligt eller innebära oproportionerligt stora ansträngningar, vilket skulle kunna vara fallet i samband med behandling för historiska, statistiska eller vetenskapliga ändamål. I detta sammanhang kan antalet registrerade, uppgifternas ålder och de kompensatoriska åtgärder som kan vidtas tas i beaktande. 41) Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör
dem och som är föremål för behandling, för att i detalj kunna försäkra sig om att uppgifterna är korrekta och om att behandlingen är tillåten. Av samma anledning måste var och en ha rätt att få reda på den logik som gäller för den automatiska databehandlingen av uppgifter som rör honom, åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1. Denna rättighet får inte kränka affärshemligheten eller upphovsrätten, särskilt inte den upphovsrätt som skyddar programvaran. Detta bör dock inte få resultera i att den registrerade nekas all information. 42) Medlemsstaterna kan av hänsyn till intresset hos den registrerade eller
till andras fri- och rättigheter begränsa rätten till tillgång till uppgifter och information. De kan till exempel besluta att tillgång till uppgifter av medicinsk art endast får erhållas genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården.
43) Rätten till tillgång till uppgifter och information samt vissa skyldighe-
ter hos den registeransvarige kan inskränkas av medlemsstaterna i den utsträckning som det är nödvändigt för att skydda till exempel statens säkerhet, försvaret, allmän säkerhet eller viktiga ekonomiska eller finansiella intressen som är av betydelse för en medlemsstat eller för unionen, liksom för brottsutredningar och åtal och åtgärder som rör överträdelser av etiska regler som gäller för sådana yrken som särskilt regleras i lagstiftning. På förteckningen över undantag och begränsningar bör upptas de uppgifter för övervakning, tillsyn eller reglering som är nödvändiga på de tre sistnämnda områdena, nämligen allmän säkerhet, ekonomiska och finansiella intressen samt beivrande av brott. Uppräkningen av uppgifter på dessa tre områden påverkar inte undantag eller begränsningar av hänsyn till statens säkerhet och försvaret. 44) För att uppfylla vissa av de nämnda målsättningarna kan medlemssta-
terna på grund av bestämmelser i gemenskapsrätten tvingas att avvika från bestämmelserna i detta direktiv om rätten till tillgång till uppgifter, skyldigheten att informera enskilda personer och kvaliteten på uppgifterna. 45) I sådana fall då uppgifter av hänsyn till allmänna intressen, på grund av
myndighetsutövning eller av hänsyn till en persons berättigade intressen kan bli föremål för tillåten behandling, skall varje berörd person ändå, på berättigade och avgörande skäl som avser hans särskilda situation, ha rätt att invända mot att uppgifter som rör honom själv behandlas. Medlemsstaterna har dock möjlighet att anta bestämmelser av motsatt innehåll. 46) Skyddet för de registrerades fri- och rättigheter förutsätter såvitt av-
ser behandling av personuppgifter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet för behandlingen utformas och när själva behandlingen sker, särskilt för att garantera säkerheten och för att på så sätt hindra all otillåten behandling. Det åligger medlemsstaterna att säkerställa att de registeransvariga respekterar dessa åtgärder. Åtgärderna skall garantera en lämplig säkerhetsnivå med hänsyn till den nuvarande utvecklingsnivån och till kostnaderna för genomförandet under hänsynstagande till de risker som behandlingen innebär och arten av de uppgifter som skall skyddas. 47) När ett meddelande som innehåller personuppgifter översänds genom
förmedling av en organisation för telekommunikation eller elektronisk post, vars enda ändamål är att översända sådana meddelanden, blir det normalt den från vilken meddelandet härrör och inte den person som erbjuder nämnda tjänst som anses ansvara för behandlingen av personuppgifterna. De som erbjuder sådana tjänster kommer dock normalt att anses som ansvariga för behandlingen av de ytterligare personuppgifter som fordras för att tjänsten skall kunna användas.
48) Anmälningsförfarandet är avsett för att göra en behandlings syfte och
viktigaste egenskaper allmänt kända för att säkerställa att behandlingen sker i enlighet med de nationella åtgärder som vidtas för att genomföra detta direktiv. 49) För att undvika olämpliga administrativa formaliteter kan medlems-
staterna besluta om undantag från och förenklingar av anmälningsplikten såvitt avser sådana fall då behandlingen sannolikt inte kommer att kränka de berörda personernas fri- och rättigheter, förutsatt att detta är i överensstämmelse med en åtgärd som vidtagits av en medlemsstat och som särskilt anger begränsningarna. Medlemsstaterna kan även besluta om undantag och förenklingar i fall då någon som utsetts av den registeransvarige försäkrar sig om att de utförda behandlingarna inte kommer att kränka de registrerades fri- och rättigheter. Den person som sålunda utsetts att skydda uppgifterna måste – vare sig han är anställd av den registeransvarige eller inte – ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt. 50) Undantag från anmälningsplikten och förenklad anmälan bör kunna
tillåtas särskilt då det är fråga om behandling av uppgifter som endast syftar till att ett register skall föras, som är avsett för att i enlighet med nationell lagstiftning ge allmänheten information och som är tillgängligt för allmänheten eller var och en som kan styrka att han har ett berättigat intresse. 51) Det förhållandet att den registeransvarige omfattas av förenklat an-
mälningsförfarande eller är undantagen från anmälningsplikt befriar honom inte från de övriga förpliktelser som följer av detta direktiv. 52) I detta sammanhang måste en efterföljande kontroll från den behöriga
myndighetens sida i allmänhet anses som en tillräcklig åtgärd. 53) Vissa typer av behandling – till exempel behandling som har till än-
damål att utesluta den berörde från möjligheten att utöva en rättighet, motta en förmån eller ingå ett avtal eller sådan behandling som innebär användning av ny teknik – kan på grund av sin natur, sin omfattning eller sitt ändamål innebära särskilda risker för att de registrerades fri- och rättigheter skall kränkas. Medlemsstaterna kan om de önskar det precisera dessa risker i sin lagstiftning. 54) Med tanke på omfattningen av den behandling av uppgifter som ut-
förs i samhället torde det antal behandlingar som innebär särskilda risker vara mycket begränsat. Medlemsstaterna måste föreskriva att tillsynsmyndigheten eller den som utövar tillsyn i samråd med tillsynsmyndigheten företar en förhandskontroll av dessa behandlingar innan de utförs. Sedan en sådan förhandskontroll genomförts får tillsynsmyndigheten i enlighet med den nationella lagstiftningen som gäller för myndigheten yttra sig över eller tillåta behandlingen. En sådan kontroll kan även företas som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en
åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder. 55) För de fall då den registeransvarige inte respekterar de registrerades
rättigheter måste det i medlemsstatens lagstiftning finnas möjlighet till rättslig prövning. Personer som lider skada till följd av otillåten behandling skall ha rätt till ersättning av den registeransvarige, vilken kan befrias från skadeståndsansvar om han kan visa att han inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure. Sanktioner skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt som överträder de nationella bestämmelser som antagits för att genomföra detta direktiv. 56) Gränsöverskridande flöden av personuppgifter är nödvändiga för den
internationella handelns utveckling. Det skydd som genom detta direktiv tillförsäkras enskilda personer inom gemenskapen hindrar inte att personuppgifter överförs till sådana tredje länder som garanterar en adekvat skyddsnivå. Frågan om skyddsnivåns adekvans skall bedömas med hänsyn till alla de omständigheter som har samband med en överföring eller en grupp av överföringar. 57) Om ett tredje land inte garanterar en adekvat skyddsnivå skall över-
föring av personuppgifter till det landet förbjudas. 58) Undantag från detta förbud skall under vissa omständigheter kunna
medges om den registrerade lämnar sitt samtycke, om överföring är nödvändig för ett avtal eller ett rättsligt anspråk, när skyddet av väsentliga samhällsintressen kräver det, till exempel vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter eller mellan socialförsäkringsmyndigheter eller om överföringen utförs med utgångspunkt i ett register som upprättats genom lagstiftning och som är avsett att vara tillgängligt för allmänheten eller för personer som har ett berättigat intresse. En sådan överföring bör inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse skall överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna. 59) Särskilda åtgärder kan vidtas för att uppväga en otillräcklig skyddsnivå
i ett tredje land om den registeransvarige ställer lämpliga garantier. Bestämmelser om förfaranden för förhandling mellan gemenskapen och tredje land måste antas. 60) Överföring till tredje land får i vilket fall som helst endast utföras i
enlighet med bestämmelser som medlemsstaterna antagit för genomförande av detta direktiv, särskilt artikel 8 i detta. 61) Medlemsstaterna och kommissionen måste på sina respektive kompe-
tensområden uppmuntra berörda delar av näringslivet att anta uppförandekodexar för att underlätta genomförandet av detta direktiv med
beaktande av de särskilda former av behandling som utförs på vissa områden och med respekt för de nationella bestämmelser som antagits för dess genomförande. 62) För skyddet av enskilda personer med avseende på behandlingen av
personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar oberoende tillsynsmyndigheter. 63) Dessa myndigheter måste ges nödvändiga resurser för att utföra sina
uppgifter, såsom befogenhet att – särskilt när det gäller klagomål från enskilda personer – undersöka och intervenera samt befogenheter att inleda rättsliga förfaranden. De måste även bidra till att garantera insyn i behandlingen av uppgifter i de medlemsstater under vilkas jurisdiktion de hör. 64) Tillsynsmyndigheterna i de olika medlemsstaterna kommer att behöva
bistå varandra i samband med utförandet av de uppgifter som åligger dem för att säkerställa att skyddsreglerna respekteras på ett tillfredsställande sätt i hela Europeiska unionen. 65) En arbetsgrupp för skydd av enskilda personer i samband med be-
handling av personuppgifter skall inrättas på gemenskapsnivå. Gruppen skall vid utförandet av sina uppgifter vara fullständigt oberoende. Gruppen skall med hänsyn till sin särskilda karaktär ge kommissionen råd och bidra till den enhetliga tillämpningen av de nationella regler som antagits för att genomföra detta direktiv. 66) Med avseende på överföring av uppgifter till tredje land fordrar ge-
nomförandet av detta direktiv att kommissionen ges befogenhet att besluta om genomförandet och att ett förfarande i enlighet med riktlinjerna i rådets beslut 87/37 3/EEG(
1
) införs.
67) Den 20 december 1994 träffade Europaparlamentet, rådet och kom-
missionen en överenskommelse om ett ”modus vivendi” beträffande genomförandeåtgärder för rättsakter som antagits i enlighet med förfarandet i artikel 189b i Romfördraget. 68) De principer för skyddet av enskilda personers fri- och rättigheter,
och då särskilt rätten till privatliv, som i detta direktiv uppställs med avseende på behandling av personuppgifter skall för vissa områdens vidkommande kunna kompletteras eller preciseras med hjälp av särskilda bestämmelser som skall överensstämma med dessa principer. 69) Medlemsstaterna bör ges en frist på högst tre år räknat från ikraftträ-
dandet av de nationella bestämmelser som antas för att genomföra detta direktiv, så att de stegvis kan tillämpa de nya nationella bestämmelserna på alla sådana behandlingar som redan påbörjats. För att möjliggöra ett kostnadseffektivt genomförande av dessa bestämmelser skall medlemsstaterna tillåtas att under ytterligare en tidsperiod, som
(
1
) EGT nr L 197, 18.7.1987, s. 33.
löper ut tolv år efter dagen för antagandet av detta direktiv, vidta åtgärder för att säkerställa att då befintliga manuella register bringas i överensstämmelse med vissa av direktivets bestämmelser. Uppgifter som ingår i dessa register och som behandlas manuellt under denna förlängda övergångsperiod skall dock när det är föremål för en ytterligare sådan behandling bringas i överensstämmelse med dessa bestämmelser. 70) Det är inte nödvändigt att den registrerade på nytt lämnar sitt sam-
tycke till att den registeransvarige fortsätter att behandla känsliga uppgifter, när en sådan behandling är nödvändig för genomförandet av att avtal som har slutits på grundval av frivilligt och informerat samtycke före dessa bestämmelsers ikraftträdande. 71) Detta direktiv hindrar inte en medlemsstat från att anta bestämmelser
för att reglera sådan marknadsföring som riktar sig till konsumenter som har hemvist inom dess territorium, förutsatt att dessa regler inte rör skyddet av enskilda personer med avseende på behandling av personuppgifter. 72) Detta direktiv gör det möjligt att vid genomförandet av dessa be-
stämmelser ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar. HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL 1
ALLMÄNNA BESTÄMMELSER
Artikel 1
Direktivets syfte
1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.
Artikel 2 Definitioner
I detta direktiv avses med
a) personuppgifter: varje upplysning som avser en identifierad eller iden-
tifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet,
b) behandling av personuppgifter (behandling): varje åtgärd eller serie av
åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,
c) register med personuppgifter (register): varje strukturerad samling av
personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
d) registeransvarig: den fysiska eller juridiska person, den myndighet,
den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen och medlen för behandlingen bestäms av nationella lagar och andra författningar eller av gemenskapsrätten kan den registeransvarige eller de särskilda kriterierna för att utse honom anges i nationell rätt eller i gemenskapsrätten,
e) registerförare: den fysiska eller juridiska person, den myndighet, den
institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning,
f) tredje man: den fysiska eller juridiska person, den myndighet, den
institution eller det andra organ än den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna,
g) mottagare: den fysiska eller juridiska person, den myndighet, den in-
stitution eller det andra organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare,
h) den registrerades samtycke: varje slag av frivillig, särskild och infor-
merad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.
Artikel 3
Tillämpningsområde
1. Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2. Detta direktiv gäller inte för sådan behandling av personuppgifter — som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och
VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område, — av en fysisk person som ett led i verksamhet av rent privat natur eller
som har samband med hans hushåll.
Artikel 4
Tillämplig nationell rätt
1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när
a) behandlingen utförs som ett led i verksamhet inom den medlemsstats
territorium, där den registeransvarige är etablerad. Om en registeransvarig är etablerad inom flera medlemsstaters territorier skall han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen,
b) den registeransvarige inte är etablerad inom en medlemsstats territo-
rium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten,
c) den registeransvarige inte är etablerad på gemenskapens territorium
och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen.
2. Under de omständigheter som avses i punkt 1 c) måste den registeransvarige utse en företrädare som är etablerad inom den berörda medlemsstatens territorium, utan att detta i övrigt påverkar de eventuella rättsliga åtgärder som kan komma att inledas mot den ansvarige själv.
KAPITEL II
ALLMÄNNA BESTÄMMELSER OM NÄR PERSONUPPGIFTER
FÅR BEHANDLAS
Artikel 5
Medlemsstaterna skall inom de begränsningar som bestämmelserna i detta kapitel innebär, precisera på vilka villkor behandling av personuppgifter är tillåten.
AVDELNING I
PRINCIPER OM UPPGIFTERNAS KVALITET
Artikel 6
1. Medlemsstaterna skall föreskriva att personuppgifter
a) skall behandlas på ett korrekt och lagligt sätt,
b) skall samlas in för särskilda, uttryckligt angivna och berättigade än-
damål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,
c) skall vara adekvata och relevanta och inte får omfatta mer än vad som
är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,
d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder
måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,
e) förvaras på ett sätt som förhindrar identifiering av den registrerade
under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.
2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.
AVDELNING II
PRINCIPER SOM GÖR ATT UPPGIFTSBEHANDLING KAN
TILLÅTAS
Artikel 7
Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om
a) den registrerade otvetydigt har lämnat sitt samtycke, eller
b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den regist-
rerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller
c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som
åvilar den registeransvarige, eller
d) behandlingen är nödvändig för att skydda intressen som är av grund-
läggande betydelse för den registrerade, eller
e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt
intresse eller som är ett led i myndighetsutövning som utförs av den
registeransvarige eller tredje man till vilken uppgifterna har lämnats ut, eller
f) behandlingen är nödvändig för ändamål som rör berättigade intressen
hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1.
AVDELNING III
SÄRSKILDA BEHANDLINGSKATEGORIER
Artikel 8
Behandlingen av särskilda kategorier av uppgifter
1. Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
2. Punkt 1 gäller inte om
a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan be-
handling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller
b) behandlingen är nödvändig för att fullgöra de skyldigheter och sär-
skilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder, eller
c) behandlingen är nödvändig för att skydda den registrerades eller nå-
gon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller
d) behandlingen utförs inom ramen för berättigad verksamhet hos en
stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke, eller
e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den
registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.
3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser
som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.
4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.
5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet. Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.
6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen.
7. Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.
Artikel 9
Behandling av personuppgifter och yttrandefriheten
Medlemsstaterna skall med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.
AVDELNING IV
INFORMATIONSPLIKT TILL DEN REGISTRERADE
Artikel 10
Information vid insamling av uppgifter från den registrerade
Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen:
a) Den registeransvariges och dennes eventuella företrädares identitet.
b) Ändamålen med den behandling för vilken uppgifterna är avsedda.
c) All ytterligare information, exempelvis
— mottagarna eller de kategorier som mottar uppgifterna, — huruvida det är obligatoriskt eller frivilligt att besvara frågorna
samt eventuella följder av att inte svara, — förekomsten av rättigheter att få tillgång till och att erhålla rättel-
se av uppgifter som rör honom, i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
Artikel 11
Information när uppgifterna inte har samlats in från den registrerade
1. Om uppgifterna inte har samlats in från den registrerade, skall medlemsstaterna föreskriva att den registeransvarige eller hans företrädare vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till informationen:
a) Den registeransvariges och dennes eventuella företrädares identitet.
b) Ändamålen med behandlingen.
c) All ytterligare information, exempelvis
— de kategorier av uppgifter som behandlingen gäller, — mottagarna eller de kategorier som mottar uppgifterna, — förekomsten av rättigheter att få tillgång till och att erhålla rättel-
se av de uppgifter som rör honom, i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
2. Bestämmelserna i punkt 1 skall inte gälla när det – särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål – visar sig omöjligt eller innebära en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.
AVDELNING V
DEN REGISTRERADES RÄTT ATT FÅ TILLGÅNG TILL UPP-
GIFTER Artikel 12 Rätt till tillgång
Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige
a) utan hinder och med rimliga intervall samt utan större tidsutdräkt
eller kostnader
— få bekräftelse på om uppgifter som rör honom behandlas eller inte
och information om åtminstone ändamålen med behandlingen, de berörda uppgiftskategorierna och mottagarna eller mottagarkategorierna till vilka uppgifterna utlämnas, — få begriplig information om vilka uppgifter som behandlas och all
tillgänglig information om varifrån dessa uppgifter kommer, — få kännedom om den logik som används när uppgifter som rör
honom behandlas på automatisk väg åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1,
b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet
med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga,
c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats
underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b), om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.
AVDELNING VI
UNDANTAG OCH BEGRÄNSNINGAR
Artikel 13
Undantag och begränsningar
1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott
eller av överträdelser av etiska regler som gäller för lagreglerade yrken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat
eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är
av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,
g) skydd av den registrerades eller andras fri- och rättigheter.
2. Under förutsättning av lämpliga rättsliga garantier får medlemsstaterna, i synnerhet om uppgifterna inte används för åtgärder eller beslut som avser särskilda registrerade personer, i fall då det uppenbarligen inte föreligger någon risk att den berörda personens privatliv kränks, genom lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna endast behandlas för ändamål som har med vetenskaplig forskning att göra eller
när uppgifterna endast lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik.
AVDELNING VII
DEN REGISTRERADES RÄTT ATT GÖRA INVÄNDNINGAR
Artikel 14
Den registrerades rätt att göra invändningar
Medlemsstaterna skall tillförsäkra den registrerade rätten att
a) åtminstone i de fall som avses i artikel 7 e) och f) när som helst av
avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter,
b) efter anmodan och utan kostnader motsätta sig behandling av person-
uppgifter som rör honom och som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring, eller att bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring, och att uttryckligen få erbjudande om att utan kostnader motsätta sig ett sådant utlämnande eller sådan användning. Medlemsstaterna skall vidta nödvändiga åtgärder för att säkerställa att de registrerade känner till den rättighet som anges i första stycket i b).
Artikel 15
Databehandlade beslut
1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande.
2. Om inte annat följer av övriga bestämmelser i detta direktiv skall medlemsstaterna föreskriva att en person får bli föremål för ett beslut av det slag som avses i punkt 1 om beslutet
a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt
att den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller att det vidtas lämpliga åtgärder för att skydda hans berättigade intressen, exempelvis möjligheten för honom att göra sin uppfattning gällande, eller
b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den
registrerades berättigade intressen.
AVDELNING VIII
SEKRETESS OCH SÄKERHET VID BEHANDLING
Artikel 16
Sekretess vid behandling
Den som utför arbete under den registeransvarige eller registerföraren, liksom registerföraren själv, och som får tillgång till personuppgifter, får behandla dem endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag.
Artikel 17
Säkerhet vid behandling
1. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling. Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas.
2. Medlemsstaterna skall föreskriva att den registeransvarige, när behandlingen utförs för dennes räkning, skall välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder genomförs.
3. När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen skall särskilt föreskrivas att — registerföraren endast får handla på instruktioner från den registeransvarige, — de skyldigheter som anges i punkt 1, såsom de definieras i lagstiftningen i den medlemsstat i vilken registerföraren är etablerad, även skall åvila registerföraren.
4. För att säkra bevisning skall de delar av avtalet eller den rättsligt bindande handlingen som rör skyddet av uppgifter och de krav som rör åtgärder som anges i punkt 1 föreligga i skriftlig eller därmed jämförlig form.
AVDELNING IX
ANMÄLAN
Artikel 18
Anmälningsplikt gentemot tillsynsmyndigheten
1. Medlemsstaterna skall föreskriva att den registeransvarige eller hans eventuella företrädare före genomförandet av en behandling eller en serie behandlingar som helt eller delvis genomförs på automatisk väg och som har samma eller flera närbesläktade ändamål skall underrätta den tillsynsmyndighet som avses i artikel 28.
2. Medlemsstaterna får endast i följande fall och på följande villkor föreskriva om undantag från anmälningsplikten eller förenklad anmälningsplikt: — Om medlemsstaten för de typer av behandling, i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks, anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur länge uppgifterna skall bevaras och/eller — om den registeransvarige i enlighet med den nationella lagstiftning som gäller för denne, utser ett uppgiftsskyddsombud, som särskilt skall ha till uppgift — att på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av detta direktiv, — att föra ett register över de behandlingar som utförs av den registeransvarige, vilket register skall innehålla den information som nämns i artikel 21.2, för att på detta sätt säkerställa att de registrerades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av behandlingarna.
3. Medlemsstaterna får föreskriva att punkt 1 inte skall gälla för en sådan behandling vars enda syfte är förandet av ett register, som enligt lagar eller andra författningar är avsett att förse allmänheten med information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse.
4. Medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande för sådan behandling som avses i artikel 8.2 d).
5. Medlemsstaterna får föreskriva att vissa eller alla icke-automatiska behandlingar av personuppgifter skall anmälas eller att ett förenklat anmälningsförfarande skall gälla för dem.
Artikel 19
Anmälans innehåll
1. Medlemsstaterna skall precisera vilka uppgifter som anmälan skall innehålla. Den skall åtminstone innehålla
a) den registeransvariges och dennes eventuella företrädares namn och
adress,
b) ändamålen med behandlingen,
c) en beskrivning av den eller de kategorier av registrerade som berörs
och av de uppgifter eller kategorier av uppgifter som hänför sig till dem,
d) mottagarna eller de kategorier av mottagare till vilka uppgifterna kan
komma att lämnas ut,
e) föreslagna överföringar av uppgifter till tredje land,
f) en allmän beskrivning som gör det möjligt att preliminärt bedöma
lämpligheten av de åtgärder som i enlighet med artikel 17 vidtagits för att trygga säkerheten i behandlingen.
2. Medlemsstaterna skall ange villkoren för anmälan till tillsynsmyndigheten av förändringar som rör den i punkt 1 angivna informationen.
Artikel 20
Förhandskontroll
1. Medlemsstaterna skall bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter och skall säkerställa att dessa behandlingar kontrolleras innan de påbörjas.
2. Sådana förhandskontroller skall utföras av tillsynsmyndigheten när den mottagit anmälan från den registeransvarige eller från uppgiftsskyddsombudet, som i tveksamma fall skall rådfråga tillsynsmyndigheten.
3. Medlemsstaterna kan också utföra sådana kontroller som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd, som definierar behandlingens art och anger lämpliga skyddsåtgärder.
Artikel 21
Behandlingarnas offentlighet
1. Medlemsstaterna skall vidta åtgärder för att tillse att behandlingarna görs offentligt tillgängliga.
2. Medlemsstaterna skall föreskriva att tillsynsmyndigheten skall föra ett register över sådana behandlingar som har anmälts i enlighet med artikel 18. Registret skall innehålla åtminstone den information som anges i artikel 19.1 a)–e).
Registret skall vara allmänt tillgängligt.
3. För sådan behandling som inte omfattas av anmälningsplikt skall medlemsstaterna föreskriva att de registeransvariga eller något annat organ, som medlemsstaterna utser, på lämpligt sätt skall tillhandahålla var och en som begär det åtminstone den information som anges i artikel 19.1 a)–e). Medlemsstaterna får föreskriva att denna bestämmelse inte skall tillämpas på sådan behandling vars enda ändamål är att föra ett register, som i enlighet med lagar eller andra författningar är avsett att ge allmänheten information och som är tillgängligt för allmänheten eller för var och en som kan styrka ett berättigat intresse.
KAPITEL III
RÄTTSLIG PRÖVNING, ANSVAR OCH SANKTIONER
Artikel 22
Rättslig prövning
Medlemsstaterna skall – utan att det påverkar möjligheten att utnyttja något administrativt förfarande, till exempel vid den tillsynsmyndighet som avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en rättslig instans – föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling.
Artikel 23
Ansvar
1. Medlemsstaterna skall föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.
2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.
Artikel 24
Sanktioner
Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv.
KAPITEL IV
ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
Artikel 25 Principer
1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land – utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv – säkerställer en adekvat skyddsnivå.
2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där.
3. Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2.
4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till ifrågavarande tredje land.
5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att avhjälpa den situation som uppstått när kommissionen kommit till den slutsats som anges i punkt 4.
6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som – särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – åligger landet har en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.
Artikel 26
Undantag
1. Med undantag från artikel 25 skall medlemsstaterna – om det inte finns tvingande regler om detta i deras lagstiftning – föreskriva att överföring av
personuppgifter till ett tredje land som inte har en adekvat skyddsnivå i den mening som avses i artikel 25.2 får ske om
a) den registrerade otvetydigt har samtyckt till den planerade överför-
ingen, eller
b) överföringen är nödvändig för att fullgöra ett avtal mellan den regist-
rerade och den registeransvarige eller för att på den registrerades begäran genomföra åtgärder som vidtas innan avtalet ingås, eller
c) överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan
den registeransvarige och tredje man i den registrerades intresse, eller
d) överföringen är nödvändig eller bindande enligt författning av skäl
som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk, eller
e) överföringen är nödvändig för att skydda intressen som är av avgö-
rande betydelse för den registrerade, eller
f) överföringen görs från ett offentligt register som enligt lagar eller
andra författningar är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.
2. Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat tillåta överföring av personuppgifter till ett tredje land som inte säkerställer en skyddsnivå som är adekvat enligt artikel 25.2, om den registeransvarige ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler.
3. Medlemsstaten skall informera kommissionen och de övriga medlemsstaterna om de överföringar som tillåtits enligt punkt 2. Om en medlemsstat eller kommissionen på grunder som är berättigade med hänsyn till skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter gör en invändning skall kommissionen vidta lämpliga åtgärder i enlighet med det förfarande som avses i artikel 31.2. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.
4. Om kommissionen i enlighet med det förfarande som anges i artikel 31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garantier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut.
KAPITEL V
UPPFÖRANDEKODEX
Artikel 27
1. Medlemsstaterna och kommissionen skall uppmuntra utarbetande av uppförandekodexar som – med beaktande av de särskilda förhållandena på olika områden – skall bidra till att på ett riktigt sätt genomföra de nationella bestämmelser som medlemsstaterna antar för att genomföra detta direktiv.
2. Medlemsstaterna skall föreskriva att branschorganisationer eller andra organ som företräder andra kategorier av registeransvariga, som har upprättat förslag till nationella kodexar eller som avser att ändra eller utöka existerande nationella kodexar, kan lägga fram dessa för bedömning av den nationella myndigheten. Medlemsstaterna skall föreskriva att denna myndighet bland annat skall kontrollera att de förslag som har lagts fram för myndigheten är i överensstämmelse med de nationella bestämmelser som antagits till följd av detta direktiv. Om myndigheten anser det lämpligt skall den inhämta synpunkter från de registrerade eller deras företrädare.
3. Förslag till gemenskapskodexar och förslag till ändringar eller tillägg till existerande sådana kodexar kan läggas fram för den arbetsgrupp som avses i artikel 29. Denna arbetsgrupp skall bland annat avgöra om de förslag som lagts fram för gruppen är i överensstämmelse med de nationella bestämmelser som antagits för att genomföra detta direktiv. Om gruppen anser det lämpligt skall den inhämta synpunkter från de registrerade eller deras företrädare. Kommissionen kan tillse att de kodexar som godkänts av arbetsgruppen offentliggörs på lämpligt sätt.
KAPITEL VI
TILLSYNSMYNDIGHET OCH ARBETSGRUPP FÖR SKYDD AV
ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PER-
SONUPPGIFTER
Artikel 28
Tillsynsmyndighet
1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv. Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.
2. Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda per-
soners fri- och rättigheter med avseende på behandlingen av personuppgifter.
3. Varje tillsynsmyndighet skall särskilt ha — undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, — effektiva befogenheter att ingripa, som till exempel att kunna avge yttranden i enlighet med artikel 20 innan en behandling äger rum, och se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den registeransvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner, — befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.
4. Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått. Var och en kan i samband med tillämpningen av de nationella bestämmelser som har antagits med stöd av artikel 13 i detta direktiv till tillsynsmyndigheten ge in en begäran om att få kontrollera om en behandling är tillåten. Den berörda personen skall informeras om vilka följder hans begäran har fått.
5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin verksamhet. Denna rapport skall offentliggöras.
6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter. De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.
7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal, även sedan deras anställning upphört, skall ha tystnadsplikt med avseende på förtrolig information som de har tillgång till.
Artikel 29
Arbetsgrupp för skydd av enskilda med avseende på behandlingen av
personuppgifter
1. En arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter, hädanefter kallad ”arbetsgruppen” inrättas härmed. Arbetsgruppen skall vara rådgivande och oberoende.
2. Arbetsgruppen skall vara sammansatt av en företrädare för den eller de tillsynsmyndigheter som utsetts av varje medlemsstat, av en företrädare för den eller de myndigheter som har inrättats för gemenskapens institutioner och organ samt av en företrädare för kommissionen. Varje medlem av arbetsgruppen skall utses av den institution eller av den eller de myndigheter som han företräder. När en medlemsstat har fler tillsynsmyndigheter än en, skall dessa utse en gemensam företrädare. Detsamma skall gälla för de myndigheter som inrättats för gemenskapens institutioner och organ.
3. Arbetsgruppen skall fatta beslut med enkel majoritet av tillsynsmyndigheternas företrädare.
4. Arbetsgruppen skall välja sin ordförande. Ordförandens mandattid skall vara två år. Mandatet kan förlängas.
5. Arbetsgruppens sekretariatsuppgifter skall ombesörjas av kommissionen.
6. Arbetsgruppen skall själv fastställa sin arbetsordning.
7. Arbetsgruppen skall behandla frågor som förts upp på dess dagordning av ordföranden, antingen på dennes eget initiativ eller på begäran av en företrädare för tillsynsmyndigheterna eller för kommissionen.
Artikel 30
1. Arbetsgruppen skall
a) utreda varje fråga som rör tillämpningen av de nationella bestämmel-
ser som antagits för genomförandet av detta direktiv, för att bidra till en enhetlig tillämpning av bestämmelserna,
b) yttra sig till kommissionen om skyddsnivån inom gemenskapen och i
tredje land,
c) ge kommissionen råd om varje föreslagen ändring av detta direktiv,
om vilka ytterligare eller särskilda åtgärder som bör vidtas för att skydda fysiska personers fri- och rättigheter med avseende på behandling av personuppgifter och om alla andra föreslagna gemenskapsåtgärder som rör sådana fri- och rättigheter,
d) avge yttranden om de uppförandekodexar som utarbetas på gemen-
skapsnivå.
2. Om arbetsgruppen konstaterar förekomsten av sådana skillnader mellan medlemsstaternas lagstiftning eller praxis, som kan vara till nackdel för likvärdigheten i skyddet för personer med avseende på behandlingen av personuppgifter inom gemenskapen, skall gruppen informera kommissionen om detta.
3. Arbetsgruppen kan på eget initiativ utfärda rekommendationer i alla frågor som rör skyddet av personer med avseende på behandlingen av personuppgifter inom gemenskapen.
4. Arbetsgruppens yttranden och rekommendationer skall framläggas för kommissionen och den kommitté som avses i artikel 31.
5. Kommissionen skall informera arbetsgruppen om det sätt på vilket den har tagit hänsyn till yttrandena och rekommendationerna. För att göra detta skall kommissionen utarbeta en rapport som också skall framläggas för Europaparlamentet och rådet. Rapporten skall offentliggöras.
6. Arbetsgruppen skall utarbeta en årsrapport om situationen rörande skyddet för fysiska personer med avseende på behandlingen av personuppgifter inom gemenskapen och i tredje land, som den skall översända till kommissionen, Europaparlamentet och rådet. Rapporten skall offentliggöras.
KAPITEL VII
GEMENSKAPENS ÅTGÄRDER FÖR GENOMFÖRANDE
Artikel 31 Kommittén
1. Kommissionen skall biträdas av en kommitté som är sammansatt av företrädare för medlemsstaterna och som har kommissionens företrädare som ordförande.
2. Kommissionens företrädare skall förelägga kommittén ett förslag till åtgärder. Kommittén skall yttra sig över förslaget inom en tid som ordföranden bestämmer med hänsyn till hur brådskande ärendet är. Yttrandet skall avges med den majoritet som anges i artikel 148.2 i fördraget. Vid omröstning i kommittén skall medlemsstaternas röster vägas på det sätt som anges i den artikeln. Ordföranden skall inte rösta. Kommissionen skall besluta om åtgärder som skall ha omedelbar verkan. Om emellertid åtgärderna avviker från kommitténs yttrande, skall kommissionen omedelbart underställa rådet ärendet. I detta fall gäller följande: — Kommissionen skall uppskjuta genomförandet av åtgärderna under en tidsfrist om tre månader räknad från meddelandedatum, — Rådet kan med kvalificerad majoritet fatta ett avvikande beslut inom den tidsfrist som anges i den första strecksatsen.
SLUTBESTÄMMELSER
Artikel 32
1. Medlemsstaterna skall sätta i kraft de lagar och andra författningar, som är nödvändiga för att följa detta direktiv, senast tre år efter dess antagande. När en medlemsstat antar dessa bestämmelser skall de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall varje medlemsstat själv utfärda.
2. Medlemsstaterna skall se till att sådan behandling som redan pågår när de nationella bestämmelser som antas till följd av detta direktiv träder i kraft bringas i överensstämmelse med dessa bestämmelser inom tre år från denna tidpunkt. I fråga om sådana uppgifter som redan finns i manuella register vid ikraftträdandet av de nationella bestämmelser som antas för att genomföra detta direktiv får medlemsstaterna, med avvikelse från föregående stycke, föreskriva att behandlingen skall bringas i överensstämmelse med artiklarna 6–8 i detta direktiv inom tolv år räknat från dagen för direktivets antagande. Medlemsstaterna skall dock ge den registrerade rätt att på begäran och särskilt i samband med att han utövar sin rätt till tillgång till uppgifter, erhålla rättelse, utplåning eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den registeransvarige vill uppnå.
3. Med undantag från punkt 2 kan medlemsstaterna under förutsättning av lämpliga skyddsåtgärder föreskriva att uppgifter som endast bevaras för historisk forskning inte behöver överensstämma med artiklarna 6–8 i detta direktiv.
4. Medlemsstaterna skall till kommissionen överlämna texten till de nationella bestämmelser som de antar inom det område som omfattas av detta direktiv.
Artikel 33
Kommissionen skall första gången senast tre år efter den tidpunkt som anges i artikel 32.1 och därefter regelbundet till rådet och Europaparlamentet avge en rapport om genomförandet av detta direktiv, eventuellt försedd med lämpliga ändringsförslag. Rapporten skall offentliggöras. Kommissionen skall särskilt undersöka tillämpningen av detta direktiv på behandling av ljud- och bilduppgifter som rör fysiska personer och skall framlägga alla lämpliga förslag som med beaktande av informationsteknikens och informationssamhällets utveckling, visar sig nödvändiga.
Artikel 34
Detta direktiv riktar sig till medlemsstaterna. Utfärdat i Luxemburg den 23 oktober 1995 På Europaparlamentets vägnar På rådets vägnar K. HÄNSCH L. ATIENZA SER-NA Ordförande Ordförande
Till beaktandesats 12
1. ”Rådet och kommissionen anser att för att garantera en enhetlig och homogen tillämpning av skyddsreglerna i unionen måste de behandlingar som utförs av Europeiska unionens institutioner och organ omfattas av samma skyddsprinciper som de behandlingar som avses i detta direktiv.”
2. ”Frankrike anser att förklaringen till beaktandesats 12 om de behandlingar som utförs av Europeiska unionens institutioner och organ inte gäller de behandlingar som utförs för tillämpningen av avdelning VI i Fördraget om Europeiska unionen.”
Till beaktandesats 34
3. ”Rådet och kommissionen konstaterar att de element som upptagits i beaktandesats 34 i direktivet, och som särskilt syftar till att klargöra begreppet ”allmänt intresse” i artiklarna 7 och 8 i samma direktiv, är förknippade med motiveringen för detta och utgör en integrerad del av denna juridiska handling; och av detta följer att dessa element skall tas i beaktande av medlemsstaterna när de antar de lagar och andra författningar som är nödvändiga för att följa direktivet i fråga.”
Till artikel 1.1
4. ”Rådet och kommissionen konstaterar att skyddet av fri - och rättigheter, särskilt inom privatlivet, i samband med behandlingen av personuppgifter, inbegriper skyddet av den personliga identiteten.”
Till artikel 2 a
5. ”Rådet och kommissionen bekräftar att det tillfaller medlemsstaterna att bestämma om och i vilken utsträckning detta direktiv kan tillämpas på avlidna personer.”
6. ”Rådet och kommissionen bekräftar att den behandling av uppgifter i form av ljud och bild som genomförs för ändamål som rör den offentliga säkerheten förblir utanför tillämpningsområdet för detta direktiv hur än informationsteknologin utvecklas.”
Till artikel 2 c
7. ”Rådet och kommissionen erkänner att – i enlighet med den gällande definitionen i artikel 2 c är direktivet endast
tillämpligt på register, och inte på akter; – de kriterier som tillåter att fastställa de element som utgör en struktu-
rerad samling av personuppgifter, samt de kriterier enligt vilka en sådan samling är tillgänglig, får preciseras av var och en av medlemsstaterna; – akter och samlingar av akter, inbegripet deras omslagssidor, inte omfat-
tas av den definition som avses i första strecksatsen om deras innehåll inte är strukturerat som ett register.”
8. ”Rådet och kommissionen erkänner att de dokument på papper som tryckts på faxapparat eller persondator omfattas av de regler som är tilllämpliga för manuella uppgifter och att de följaktligen endast ingår i tilllämpningsområdet för detta direktiv om de är avsedda för ett register.”
Till artikel 3.2
9. ”Rådet och kommissionen anser att uttrycket ”rent privat verksamhet eller verksamhet som rör hushållet” inte tillåter att man från direktivet utesluter behandlingar av personuppgifter som utförs av en enskild person när dessa uppgifter förmedlas, inte bara till en eller flera personer, utan till ett obestämt antal personer.”
Till artikel 7 f
10. ”Rådet och kommissionen erkänner att det berättigade intresset hos den ansvarige eller tredje part till vilken uppgifterna förs vidare kan utgöra ett allmänt intresse.”
Till artikel 8.1
11. ”Rådet och kommissionen anser att medlemsstaterna får, i enlighet med artikel 5, precisera de kategorier av känsliga uppgifter som anges i artikel 8.1, med hänsyn till landets juridiska och sociologiska särdrag, till exempel vad beträffar uppgifter som rör genetisk identitet, partipolitisk tillhörighet, fysiska hälsa, personliga övertygelser eller vanor, osv.”
Till artikel 8.2 b
12. ”Rådet och kommissionen anser att termerna ”skyldigheter på arbetsrättens område” även inbegriper varje överenskommelse mellan arbetsmarknadens parter.”
Till artikel 8.2 e och artikel 26.1 4
13. ”Österrike utgår från principen att behandlingen av uppgifter för ”att kunna fastslå, göra gällande eller försvara rättsliga anspråk” omfattar motsvarande användning av uppgifter i förfaranden inför andra statliga organ i
den utsträckning som dessa förfaranden föregår förfarandena inför domstol.”
Till artikel 8.4
14. ”Den tyska delegationen förklarar att den behandling av uppgifter som är nödvändig för uttag av de skatter som enligt den tyska grundlagen är avsedda att bidra till finansierandet av kyrkorna utförs av hänsyn till ett viktigt allmänt intresse och därför omfattas av artikel 8.4.”
Till artikel 9
15. ”I sin återkommande rapport om tillämpningen av detta direktiv skall kommissionen med särskild uppmärksamhet undersöka genomförandet av artikel 9 i medlemsstaterna, för att kunna framlägga nödvändiga förslag.” 16. ”Rådet och kommissionen konstaterar att – skyddet av upphovsrätten till konstnärliga eller litterära verk inte på-
verkar detta direktiv; – det litterära och konstnärliga uttrycket är en form av uttryck vars frihet
garanteras av artikel 10 i Europakonventionen om de mänskliga rättigheterna.” 17. ”Frankrike förklarar att det att de uppgifter som avses i artikel 9 ingår i detta direktivs tillämpningsområde för att skydda enskilda personer vad gäller behandling av personliga uppgifter inte påverkar inbegripandet av dessa uppgifter i tillämpningsområdet för andra direktiv om uppgifter.” 18. ”Frankrike förklarar att det kommer att använda sig av de undantag som föreskrivs i artikel 9 för all den verksamhet inom den audiovisuella sektorn som omfattas av direktivet.” 19. ”Sverige anser att begreppet konstnärliga och litterära uttryck mer syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet.”
Till artikel 11
20. ”Förenade Kungariket anser, vad gäller tillämpningen av artikel 11 i detta direktiv i situationer – särskilt vid röstvärvning – vid vilka uppgifterna inte insamlas direkt hos den berörda personen, att plikten för den registeransvarige att tillhandahålla uppgifter inte gör en direktkontakt med den berörda personen nödvändig, men att dessa uppgifter kan tillhandahållas till exempel i form av en anmälan genom en medlem av den berörda personens hushåll, hos vilken uppgifterna har insamlats.” 21. ”Rådet och kommissionen anser att vid bedömningen av frågan om tillhandahållandet av information innebär en oproportionerligt stor ansträngning enligt vad som avses i artikel 11.2, måste man ta i beaktande vikten av det allmänna intresset för vilket uppgifterna behandlas. ”
Till artikel 13
22. ”Förenade Kungariket förklarar, med stöd av Spanien, att bestämmelserna i artikel 13.1 d, 1 e och 1 f bland annat har som verkan att den rätt till tillgång som föreskrivs i artikel 12 kan omfattas av begränsningar eller särskilda villkor när detta är nödvändigt för utövandet av den finansiella översyn som föreskrivs i direktiven 77/780/CEE, 85/611/CEE, 92/49/CEE, 92/96/CEE och 93/22/CEE. 23. ”Kommissionen delar den tolkning som uttryckts i förklaringarna om röstvärvning (förklaring 20) och övervakning av finansiella tjänster (förklaring 22).” 24. ”Rådet och kommissionen förklarar att de undantag som lagts till under punkt g) i artikel 13 inte avser sådana rättigheter som att utföra behandlingar av uppgifter.”
Till artikel 18.2
25. ”I den situationen då en medlemsstat samtidigt tillämpar båda bestämmelserna i artikel 18.2, första och andra strecksatsen, kan den föreskriva att den person som utsetts att skydda uppgifterna inte är förpliktigad att i sitt register ta upp information rörande de behandlingar som avses i artikel 18.2, första strecksatsen.”
Till artikel 18.4
26. ”Österrike anser att endast de behandlingar, som sannolikt inte kommer att kränka de berörda personernas fri- och rättigheter, kan undantas från anmälningsplikten”.
Till artikel 21
27. ”Rådet och kommissionen preciserar att de rättigheter som avses i artikel 21.3 inte får missbrukas och utpekar särskilt som exempel på missbruk en förfrågan som görs fastän det är allmänt känt att behandlingen av uppgifter inte rör den som ställt förfrågan.”
Till artikel 23
28. ”Österrike förklarar beträffande frågan om tillämplig nationell lagstiftning i ansvarsfrågor, att man utgår från principen att för arbetstagarnas ansvar gäller österrikisk rätt i varje fall där det handlar om ett anställningskontrakt som omfattas av österrikisk lagstiftning. ”
Till artikel 28
29. ”Rådet och kommissionen anser att detta direktiv inte ändrar skyldigheten som innebär tystnadsplikt och som ålagts de behöriga myndigheterna genom de gemenskapsdirektiv som rör finansiella institutioner, eftersom artikel 28 bemyndigar tillsynsmyndigheterna på området för
skydd av uppgifter att ha tillgång till information som innehas av de berörda myndigheterna på ett sätt som inte innebar spridande av sådan information som omfattas av tystnadsplikt. ”
Till artikel 32
30. ”Med avseende på de särskilda omständigheter som gäller för sådana personuppgifter som finns i register och som inte faktiskt behandlas efter att de nationella bestämmelser som antagits för att genomföra detta direktiv trätt i kraft, men som på ett lagligt sätt förvaras med tanke på en eventuell framtida användning, anser rådet och kommissionen att artikel 32 i detta direktiv innehåller en skyldighet för den registeransvarige att vid utgången av den tolvårsperiod som där avses vidta alla åtgärder som rimligen kan krävas enligt vad som anges i artikel 6,7 och 8 om detta inte visar sig vara omöjligt att genomföra eller innebära en oproportionellt stor ekonomisk insats. Härvid måste hänsyn tas både till nödvändigheten att garantera skyddet av enskilda personers fri- och rättigheter, och till tillsynsmyndighets befogenheter, som anges i artikel 28 i detta direktiv.” 31. ”Belgien och Luxemburg anser att rådets och kommissionens förklaring ovan (förklaring 30) inte i någon utsträckning påverkar direktivets tillämplighet, särskilt av artiklarna 6, 7, 8 och 32 i detta, vid manuella uppgifter, och inte ger den ansvarige tillstånd att handla självständigt vad gäller beslut att tillämpa bestämmelserna i direktivet på manuella uppgifter; staterna anser att behandlingen av manuella uppgifter i varje fall måste utföras under förhållanden som inte kränker enskilda personers fri- och rättigheter.”
CONVENTION FOR THE PROTECTION OF INDI-VIDUALS WITH REGARD TO AUTOMATIC PROCESS-ING OF PERSONAL DATA
Konvention om skydd för enskilda vid automatisk databehandling av personuppgifter
[Utdrag till och med kapitel III]
[Officiell engelsk version] [Inofficiell svensk översättning från prop. 1981/82:189, bilaga 4]
Preamble Inledning The member States of the Council of Europe, signatory hereto,
Signatärmakterna, medlemmar av Europarådet,
Considering that the aim of the Council of Europe is to achieve greater unity between its members, based in particular on respect for the rule of law, as well as human rights and fundamental freedoms;
vilka beaktar att syftet med Europarådet är att åstadkomma en fastare enhet mellan dess medlemmar, byggd särskilt på respekt för lagen liksom för mänskliga rättigheter och grundläggande friheter;
Considering that it is desirable to extend the safeguards for everyone's rights and fundamental freedoms, and in particular the right to the respect for privacy, taking account of the increasing flow across frontiers of personal data undergoing automatic processing;
vilka anser att det är önskvärt att utsträcka skyddet för enskildas grundläggande fri- och rättigheter, särskilt vad gäller rätten till personlig integritet, och att därvid beakta det ökande flödet över gränser av personuppgifter som undergår automatisk databehandling;
Reaffirming at the same time their commitment to freedom of information regardless of frontiers;
vilka samtidigt åter bekräftar sin förpliktelse att upprätthålla informationsfriheten utan hänsyn till nationsgränser;
Recognising that it is necessary vilka erkänner att det är nödvän-
to reconcile the fundamental values of the respect for privacy and the free flow of information between peoples,
digt att förena de grundläggande värden som ligger i skyddet för den personliga integriteten och i ett fritt utbyte av information mellan folken;
Have agreed as follows: har överenskommit om följande:
Chapter I – General provisions Kapitel I – Allmänna bestämmelser
Article 1 – Object and purpose Artikel 1 – Syfte och ändamål The purpose of this convention is to secure in the territory of each Party for every individual, whatever his nationality or residence, respect for his rights and fundamental freedoms, and in particular his right to privacy, with regard to automatic processing of personal data relating to him (“data protection”).
Denna konventions ändamål är att inom varje parts territorium för var och en, oavsett nationalitet eller hemvist, säkerställa respekten för grundläggande fri- och rättigheter, särskilt rätten till personlig integritet i samband med automatisk databehandling av personuppgifter som gäller honom (”dataskydd”).
Article 2 – Definitions Artikel 2 – Definitioner For the purposes of this convention:
I denna konvention avses med:
a “personal data” means any in-
formation relating to an identified or identifiable individual (“data subject”);
a) ”personuppgifter” all slags in-
formation som kan hänföras till en bestämd eller bestämbar enskild person (”registrerad person”);
b “automated data file” means any
set of data undergoing automatic processing;
b) ”automatiserat register” varje samling av uppgifter som undergår automatisk databehandling;
c “automatic processing” includes
the following operations if carried out in whole or in part by automated means: storage of data, carrying out of logical and/or arithmetical operations on those data, their alteration, erasure, retrieval or dissemination;
c) ”automatisk databehandling”
följande åtgärder om de helt eller delvis utförs på automatisk väg: lagring av uppgifter, utförande av logisk och/eller aritmetisk behandling av dessa uppgifter samt ändring, utplåning, återvinning eller spridning av uppgifterna;
d “controller of the file” means the
natural or legal person, public authority, agency or any other
d) ”registeransvarig” den fysiska
eller juridiska person, offentliga myndighet, byrå eller annat or-
body who is competent according to the national law to decide what should be the purpose of the automated data file, which categories of personal data should be stored and which operations should be applied to them.
gan som enligt nationell lag är behörig att besluta om ändamålet med registret, vilket slags personuppgifter som skall lagras och vilken behandling dessa skall genomgå.
Article 3 – Scope Artikel 3 – Tillämpningsområde 1 The Parties undertake to apply
this convention to automated personal data files and automatic processing of personal data in the public and private sectors.
1. Parterna åtar sig att tillämpa denna konvention på automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.
2 Any State may, at the time of signature or when depositing its instrument of ratification, acceptance, approval or accession, or at any later time, give notice by a declaration addressed to the Secretary General of the Council of Europe:
2. Varje stat får, vid tiden för undertecknandet av denna konvention eller vid deposition av sitt instrument rörande ratifikation, godtagande, godkännande eller anslutning till konventionen eller vid en senare tidpunkt, avge förklaring till Europarådets generalsekreterare:
a that it will not apply this con-
vention to certain categories of automated personal data files, a list of which will be deposited. In this list it shall not include, however, categories of automated data files subject under its domestic law to data protection provisions. Consequently, it shall amend this list by a new declaration whenever additional categories of automated personal data files are subjected to data protection provisions under its domestic law;
a) att den inte kommer att till-
lämpa denna konvention på vissa kategorier av automatiserade personregister, över vilka en förteckning kommer att deponeras. I denna förteckning skall emellertid inte tas upp sådana kategorier av dataregister som enligt bestämmelse i nationell lagstiftning ges dataskydd. Följaktligen skall denna förteckning ändras genom en ny förklaring så snart ytterligare kategorier av automatiserade personregister ges dataskydd enligt bestämmelser i den nationella lagstiftningen;
b that it will also apply this
b) att den skall tillämpa denna
convention to information relating to groups of persons, associations, foundations, companies, corporations and any other bodies consisting directly or indirectly of individuals, whether or not such bodies possess legal personality;
konvention även på uppgifter som rör grupper av personer, föreningar, stiftelser, bolag, sammanslutningar eller andra organ som direkt eller indirekt består av enskilda personer, oavsett om dessa organ har rättskapacitet eller inte;
c that it will also apply this
convention to personal data files which are not processed automatically.
c) att den skall tillämpa denna
konvention även på personregister som inte behandlas automatiskt.
3 Any State which has extended the scope of this convention by any of the declarations provided for in sub-paragraph 2.b or c above may give notice in the said declaration that such extensions shall apply only to certain categories of personal data files, a list of which will be deposited.
3. Varje stat som har utvidgat konventionens tillämpningsområde genom någon av de förklaringar som avses i punkt 2 (b) eller (c) ovan får i förklaringen ange att sådan utvidgning skall gälla endast vissa kategorier av personregister, över vilka en förteckning kommer att deponeras.
4 Any Party which has excluded certain categories of automated personal data files by a declaration provided for in subparagraph 2.a above may not claim the application of this convention to such categories by a Party which has not excluded them.
4. Varje part som har undantagit vissa kategorier av personregister genom en sådan förklaring som avses i punkt 2 (a9 ovan får inte gentemot en part som inte har undantagit dem åberopa att denna konvention skall gälla sådana kategorier.
5 Likewise, a Party which has not made one or other of the extensions provided for in subparagraphs 2b and c above may not claim the application of this convention on these points with respect to a Party which has made such extensions.
5. På motsvarande sätt får inte en part, som inte har gjort den ena eller den andra av de utvidgningar som avses i punkt 2 (b) ovan, gentemot en fördragsslutande part som har gjort sådana utvidgningar kräva att konventionen skall tillämpas i dessa avseenden.
6 The declarations provided for in paragraph 2 above shall take effect from the moment of the entry into force of the convention
6. De förklaringar som avses i punkt 2 ovan skall, för den stat som har avgett dem vid tidpunkten för undertecknandet eller vid
with regard to the State which has made them if they have been made at the time of signature or deposit of its instrument of ratification, acceptance, approval or accession, or three months after their receipt by the Secretary General of the Council of Europe if they have been made at any later time. These declarations may be withdrawn, in whole or in part, by a notification addressed to the Secretary General of the Council of Europe. Such withdrawals shall take effect three months after the date of receipt of such notification.
depositionen av sitt instrument rörande ratifikation, godtagande, godkännande eller anslutning, gälla från den tidpunkt då konventionen träder i kraft för den staten eller, om de har avgetts vid en senare tidpunkt, tre månader efter det att förklaringen har kommit Europarådets generalsekreterare till handa. Förklaringarna får återkallas, helt eller delvis, genom en underrättelse till Europarådets generalsekreterare. Sådana återkallelser skall börja gälla tre månader efter det att underrättelsen har kommit generalsekreteraren till handa.
Chapter II – Basic principles for data protection
Kapitel II – Grundläggande principer för dataskydd
Article 4 – Duties of the Parties Artikel 4 – Parternas åligganden 1 Each Party shall take the neces-
sary measures in its domestic law to give effect to the basic principles for data protection set out in this chapter.
1. Varje part skall vidta nödvändiga åtgärder i sin nationella lagstiftning för att genomföra de grundläggande principer för dataskydd som anges i detta kapitel.
2 These measures shall be taken at the latest at the time of entry into force of this convention in respect of that Party.
2. Dessa åtgärder skall vidtas senast vid den tidpunkt då denna konvention träder i kraft för parten.
Article 5 – Quality of data Artikel 5 – Uppgifternas beskaffenhet Personal data undergoing automatic processing shall be:
Personuppgifter som undergår automatisk databehandling skall:
a obtained and processed fairly
and lawfully;
a) ha erhållits och skall behandlas
på ett korrekt och lagligt sätt;
b stored for specified and legiti-
mate purposes and not used in a way incompatible with those purposes;
b) lagras för särskilt angivna och
lagliga ändamål och inte användas på ett sätt som är förenligt med dessa ändamål;
c adequate, relevant and not exces-
sive in relation to the purposes for which they are stored;
c) vara ändamålsenliga, relevanta
och inte onödiga för de ändamål för vilka de lagras;
d accurate and, where necessary,
kept up to date;
d) vara riktiga och, om nödvändigt,
hållas aktuella;
e preserved in a form which per-
mits identification of the data subjects for no longer than is required for the purpose for which those data are stored.
e) bevaras på ett sådant sätt att de
registrerade personerna inte kan identifieras under längre tid än vad som är nödvändigt med hänsyn till det ändamål för vilket dessa uppgifter lagras.
Article 6 – Special categories of data
Artikel 6 – Särskilda slags uppgifter
Personal data revealing racial origin, political opinions or religious or other beliefs, as well as personal data concerning health or sexual life, may not be processed automatically unless domestic law provides appropriate safeguards. The same shall apply to personal data relating to criminal convictions.
Personuppgifter som avslöjar rasursprung, politiska åsikter liksom personuppgifter som rör hälsa eller sexualliv får inte undergå automatisk databehandling såvida inte nationella lag ger ett ändamålsenligt skydd. Detsamma gäller personuppgifter som hänför sig till att någon dömts för brott.
Article 7 – Data security Artikel 7 – Datasäkerhet Appropriate security measures shall be taken for the protection of personal data stored in automated data files against accidental or unauthorised destruction or accidental loss as well as against unauthorised access, alteration or dissemination.
Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter som lagras i automatiserade register gentemot oavsiktlig eller otillåten förstörelse eller oavsiktlig förlust liksom gentemot otillåten tillgång, ändring eller spridning.
Article 8 – Additional safeguards for the data subject
Artikel 8 – Ytterligare skyddsåtgärder för registrerade personer
Any person shall be enabled: Var och en skall ha möjlighet att: a to establish the existence of an
automated personal data file, its main purposes, as well as the identity and habitual residence or principal place of business of the controller of the file;
a) få veta huruvida ett automatise-
rat personregister finns, dess huvudsakliga ändamål, liksom uppgift om vem som är registeransvarig samt dennes hemvist eller säte;
b to obtain at reasonable intervals
and without excessive delay or
b) med rimliga mellanrum och utan
alltför lång tidsutdräkt eller
expense confirmation of whether personal data relating to him are stored in the automated data file as well as communication to him of such data in an intelligible form;
kostnad få bekräftat huruvida personuppgifter rörande honom finns lagrade i registret liksom att få sig tillsända sådana uppgifter i begriplig form;
c to obtain, as the case may be,
rectification or erasure of such data if these have been processed contrary to the provisions of domestic law giving effect to the basic principles set out in Articles 5 and 6 of this convention;
c) i förekommande fall få sådana
uppgifter rättade eller utraderade som har behandlats i strid mot de bestämmelser i nationell lag genom vilka de grundläggande principerna i artiklarna 5 och 6 i denna konvention genomförs;
d to have a remedy if a request for
confirmation or, as the case may be, communication, rectification or erasure as referred to in paragraphs b and c of this article is not complied with.
d) överklaga ett beslut som innebär
att någon inte efterkommer en begäran om en sådan bekräftelse eller, i förekommande fall, meddelande, rättelse eller utradering som avses i punkterna (b) och (c) i denna artikel.
Article 9 – Exceptions and restrictions
Artikel 9 – Undantag och inskränkningar
1 No exception to the provisions of Articles 5, 6 and 8 of this convention shall be allowed except within the limits defined in this article.
1. Undantag från bestämmelserna i artiklarna 5, 6 och 8 i denna konvention får göras endast i den utsträckning som anges i denna artikel.
2 Derogation from the provisions of Articles 5, 6 and 8 of this convention shall be allowed when such derogation is provided for by the law of the Party and constitutes a necessary measure in a democratic society in the interests of:
2. Avvikelse från bestämmelserna i artiklarna 5, 6 och 8 i denna konvention får göras endast om sådan avvikelse medges i partens nationella lagstiftning och den är nödvändig i ett demokratiskt samhälle för att:
a protecting State security, pub-
lic safety, the monetary interests of the State or the suppression of criminal offences;
a) skydda statens säkerhet, den
allmänna säkerheten, statens penningintressen eller brottsbekämpning;
b protecting the data subject or
the rights and freedoms of others.
b) skydda den registrerade per-
sonen eller andra personers fri- och rättigheter.
3 Restrictions on the exercise of 3. Inskränkningar i utövandet av de
the rights specified in Article 8, paragraphs b, c and d, may be provided by law with respect to automated personal data files used for statistics or for scientific research purposes when there is obviously no risk of an infringement of the privacy of the data subjects.
rättigheter som anges i artikel 8 (b), (c) och (d) får göras i lag när det gäller automatiserade personregister som används för statistikändamål eller för vetenskapliga forskningsändamål, om det uppenbarligen inte föreligger någon risk för intrång i de registrerades personliga integritet.
Article 10 – Sanctions and remedies
Artikel 10 – Sanktioner och rättsmedel
Each Party undertakes to establish appropriate sanctions and remedies for violations of provisions of domestic law giving effect to the basic principles for data protection set out in this chapter.
Varje part åtar sig att införa lämpliga sanktioner och rättsmedel för överträdelser av sådana bestämmelser i den nationella lagen genom vilka de grundläggande principer för dataskydd som har angetts i detta kapitel genomförs.
Article 11 – Extended protection Artikel 11 – Utsträckt skydd None of the provisions of this chapter shall be interpreted as limiting or otherwise affecting the possibility for a Party to grant data subjects a wider measure of protection than that stipulated in this convention.
Ingen bestämmelse i detta kapitel skall ges den tolkningen att den begränsar eller på annat sätt påverkar möjligheten för en part att tillerkänna registrerade personer ett mer omfattande skydd än som föreskrivs i denna konvention.
Chapter III – Transborder data flows
Kapitel III – Dataflöde över gränserna
Article 12 – Transborder flows of personal data and domestic law
Artikel 12 – Flödet av personuppgifter över gränserna och nationell lag
1 The following provisions shall apply to the transfer across national borders, by whatever medium, of personal data undergoing automatic processing or collected with a view to their being automatically processed.
1. Följande bestämmelser skall, oavsett vilket medium som används, gälla vid överföring över nationsgränser av personuppgifter som undergår automatisk databehandling eller som samlas in i avsikt att de skall undergå sådan behandling. 2 A Party shall not, for the sole 2. En part får inte, uteslutande i
purpose of the protection of privacy, prohibit or subject to special authorisation transborder flows of personal data going to the territory of another Party.
syfte att skydda den personliga integriteten, förbjuda eller kräva särskilt bemyndigande för överföring av personuppgifter över gränsen till en annan parts territorium.
3 Nevertheless, each Party shall be entitled to derogate from the provisions of paragraph 2:
3. Varje part har emellertid rätt att göra avvikelser från bestämmelserna i punkt 2:
a insofar as its legislation in-
cludes specific regulations for certain categories of personal data or of automated personal data files, because of the nature of those data or those files, except where the regulations of the other Party provide an equivalent protection;
a) om dess lagstiftning innehål-
ler särskilda bestämmelser för vissa kategorier av personuppgifter eller automatiserade personregister på grund av uppgifternas eller registrens natur, utom när den andra partens föreskrifter ger ett likvärdigt skydd;
b when the transfer is made
from its territory to the territory of a non Contracting State through the intermediary of the territory of another Party, in order to avoid such transfers resulting in circumvention of the legislation of the Party referred to at the beginning of this paragraph.
b) när överföringen sker från dess territorium till en icke fördragsslutande stats territorium via en annan parts territorium, för att undvika att sådana överföringar medför att den i bestämmelsens inledning nämnda partens lagstiftning kringgås.
Handling of personal data not included in personal data registers made easier
The Personal Data Act Inquiry has had the task of reviewing the Personal Data Act. The purpose of the review has been to examine whether it is possible, despite the existing EC directive on personal data, to replace current regulations on the handling of personal data with regulations against the misuse of personal data.
The Inquiry takes the view that this is possible concerning the processing of personal data in unstructured material such as running text and sound and images. The Inquiry has taken this position after making a careful analysis of the possibilities for making exemptions under the EC directive viewed in the light of developments since the Personal Data Act entered into force in 1998. These developments include the reasoning of the Court of Justice of the EC in the “Swedish Communion instructor case” (C-101/01).
The Inquiry proposes an exemption from the great majority of handling regulations in the Personal Data Act for the processing of personal data that does not form part of and is not intended to form part of a set of personal data that has been structured in order to significantly facilitate searches for or compilations of personal data specifically, i.e. in practice personal data registers and personal data-related databases.
Briefly, the Inquiry’s proposal means that the handling regulations in the Personal Data Act would not be applicable, inter alia, to everyday processing like the production of running text in word processing software, the publication of running text on the Internet, the use of sound and image recordings and email correspondence on condition that the material is not intended for inclusion
in a database with a personal data-related structure such as an electronic system for handling business.
As a result, a person who wants to carry out computer processing of personal data in running text, such as simple messages or shorter or longer texts, or in sound or images or in emails need not normally bother about the handling regulations in the Personal Data Act. Further consideration will only be needed if he or she wants to insert the material into some form of database. If the database has a personal data-related structure, in which personal data are specifically identified as such, then the handling regulations must be applied.
In practice the proposed, new regulation will only be of importance for automatic processing with the aid of computers.
According to the Inquiry’s proposals, the processing that is exempted from the handling regulations will be regulated by a simple rule designed to provide protection from the misuse of personal data. Under this rule the processing of personal data is not permitted if it involves an improper intrusion on personal integrity. To make it easier to apply the rule, in its explanatory comments to the proposed legislation the Inquiry has summarised some simple and obvious guidelines that should be followed:
- Do not process personal data for improper purposes, such as persecuting or disgracing an individual.
- Do not collect a large amount of information about one individual without acceptable reasons.
- Rectify personal data that turn out to be incorrect or misleading.
- Do not slander or insult anyone else.
- Do not violate an obligation to keep information secret.
In addition, as is now the case, a registered person will have the right to subject access, i.e. to obtain on request a “data extract” including the personal data processed. A general exception is, however, proposed in the event that it proves impossible to provide a data extract or it would require disproportionate effort to do so because, for instance, it is difficult to find information about a particular person in running text and in sound and image recordings.
According to the proposal, anyone who breaks the rules for protection from misuse of personal data may have to pay damages to the registered person. Moreover, under the proposal the Data Inspection Board will have the task of ensuring that the rules are followed.
Duty to provide data extracts made less onerous
If a controller of personal data has a very large number of registers, a large quantity of unstructured material or material in many different places – in hundreds of computers, for instance – it can be impossible or extremely onerous to search out all the information about a person who requests a “data extract”. The Inquiry therefore proposes that it should be explicitly stated that information under Section 26 of the Personal Data Act, in the form of a “data extract”, need not be provided to the extent that this proves to be impossible or would require disproportionate effort. Generally, however, the applicant must first be asked about any information that may facilitate the search for his or her personal data.
The purpose of the proposed amendment is not to introduce restrictions in relation to current practice but to adapt the text of the Act to the prevailing situation.
Government and authorities given right to issue regulations on exemptions from the Personal Data Act that are permitted under the EC directive
Under the EC directive Member States may derogate from certain provisions in the EC directive when this is necessary to safeguard the fulfilment of certain specified important public and government functions or to safeguard the protection of rights and freedoms of individuals. At present, the Personal Data Act does not contain a corresponding provision. The Inquiry proposes that use is made of the possibility to provide exemptions and that the Government and authorities designated by the Government be explicitly authorised to issue regulations and take decisions in individual cases on exemptions that are permitted under the EC directive.
Only gross negligence to be an offence
At present, an individual can be sentenced to a fine or to prison for contravening the Personal Data Act purposely or through negligence in four listed instances. The Inquiry proposes decriminalisation in this area so that only acts committed through gross negligence will be criminal offences in addition to intentional acts. The Inquiry has found no reason to propose any other decriminalisation.
Procedure for appealing decisions of public authorities clarified
Some decisions by public authorities under the Personal Data Act can already be appealed according to the general provisions on appeals. The Inquiry proposes that the Personal Data Act be amended to include provisions setting out in what cases and how appeals can be lodged against the decision of a public authority under the Act. The Inquiry proposes, however, that special regulations on how to appeal decisions of the courts should be inserted in the special data protection acts that regulate the processing of personal data by the courts.
Relationship of the Personal Data Act to the principle of public access and the Secrecy Act clarified
For the purpose of clarification the Inquiry proposes an explicit regulation stating that the general provisions of the Personal Data Act do not restrict the duty that public authorities have under the principle of public access to official documents in Chapter 2 of the Freedom of Press Act to search for, compile and release personal data. The Inquiry also proposes that other bodies than public authorities that have duties under the principle of public access, such as local government enterprises, should be covered by the exemptions with regard to the principle of public access that are contained in the Personal Data Act.
Under Chapter 7 Section 16 of the Secrecy Act secrecy applies to personal data if it can be assumed that release would result in the processing of the data in contravention of the Personal Data Act. The Inquiry has had the task of clarifying this provision but not of proposing that it should be amended or abolished. The Inquiry proposes that the provision be clarified in the following way.
Secrecy should apply to personal data if there is reason to assume that, after release, the data will be processed in contravention of the Personal Data Act. This provides clarification that the public authority must have some reason – for instance the fact that data are being requested for a very large number of people – to ask questions about the intended use of the data.
Secrecy should also apply for personal data if release of the data by a public authority is in contravention of the provision on the transfer of personal data to a third country in Section 33 of the Personal Data Act. This is not, however, intended to lead to se-
crecy for data in public resisters intended to provide the public with information, such as the register of real property. In practice these provisions will only be relevant in exceptional cases when the principle of public access requires a public authority to send personal data abroad.
Other matters
The Inquiry has also had the task of considering the possibility of granting exemptions for processing of personal data in the private sphere that falls outside the scope of community law and is not therefore covered by the EC directive. The Inquiry notes that full use has already been made of the exemption for purely personal processing of personal data permitted under the EC directive and that there is no reason to make further exemptions from the Personal Data Act.
At present the Personal Data Act contains a ban for other parties than public authorities, i.e. private physical or legal persons, to process personal data on violations of laws, etc. but exemptions can be prescribed in other statutes or in decisions taken in individual cases. The Inquiry has had the task of considering whether the Personal Data Act should be amended to include concrete exemptions. The Inquiry has reached the view that the possibilities of providing exemptions through general provisions in other statutes and through decisions in individual cases that are already available are sufficient and has therefore concluded that no provisions on exemptions from the ban on the processing of personal data by private physical or legal persons are needed in the Personal Data Act.
No amendments are proposed to the Personal Data Act in response to the judgment of the Court of Justice providing a preliminary ruling in the Swedish communion instructor case on the publication of personal data on the Internet (C-101/01).
______________
In practice the earliest date on which the proposed amendments can enter into force is 1 July 2005.