SOU 2004:6

Översyn av personuppgiftslagen

Till statsrådet Thomas Bodström

Genom beslut den 21 februari 2002 bemyndigade regeringen statsrådet Britta Lejon att tillkalla en särskild utredare med uppgift att se över personuppgiftslagen.

Den 14 mars 2002 förordnades chefsjuristen Sören Öman att vara särskild utredare.

Till experter förordnades från och med den 1 april 2002 hovrättsassessorn Clara Ahlqvist, advokaten Tom Ekelund, hovrättsrådet Ingela Halvorsen, chefsjuristen Leif Lindgren, juristen Ulla Lönnqvist Endre, regeringsrådet Mats Melin, advokaten Claes Månsson, bolagsjuristen Kerstin Osterman, professorn Peter Seipel, departementssekreteraren Pernilla Skantze, jur.kand. Nicklas Skår, juristen Marie-Louise Ulfward och förbundsjuristen Staffan Wikell. Pernilla Skantze entledigades per den 1 september 2002.

Utredningen har antagit namnet Personuppgiftslagsutredningen. Clara Ahlqvist har författat avsnitt 6. Datainspek tionen har bidragit me d avsnitt 5.3.

Claes Månsson och Nicklas Skår har avgett särskilt yttrande. Utredningen överlämnar härmed betänkandet Översyn av personuppgiftslagen (SOU 2004:6). Uppdraget är därmed slutfört.

Stockholm i januari 2004

Sören Öman

Sammanfattning

Hanteringen av personuppgifter som inte ingår i personregister underlättas

Personuppgiftslagsutredningen har haft i uppdrag att göra en översyn av personuppgiftslagen. Syftet har varit att undersöka om det trots gällande EG-direktiv om personuppgifter går att införa regler mot missbruk av personuppgifter i stället för regler om hanteringen av sådana uppgifter.

Utredningen anser att det är möjligt i fråga om behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud och bild. Det ställningstagandet har gjorts efter en noggrann analys av undantagsmöjligheterna i EG-direktivet i belysning av den utveckling som skett sedan personuppgiftslagen trädde i kraft 1998, bl.a. EG-domstolens motivering i domen i det svenska s.k. konfirmandlärarmålet.

Utredningen föreslår ett undantag från de allra flesta hanteringsreglerna i personuppgiftslagen för behandling av sådana personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter, dvs. i praktiken personregister och personuppgiftsanknutna databaser.

Utredningens förslag innebär i korthet att hanteringsreglerna i personuppgiftslagen inte skall tillämpas på bl.a. sådan vardaglig hantering som produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte skall infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem.

Den som i sin dator vill hantera personuppgifter i löpande text, t.ex. enkla meddelanden eller kortare och längre texter, eller i ljud och bild eller i e-post behöver således normalt inte bry sig om hanteringsreglerna i personuppgiftslagen. Det är bara om han eller hon vill infoga materialet i någon form av databas som det behövs ytterligare överväganden. Har databasen en personuppgiftsanknuten struktur, där just personuppgifter har markerats som sådana, måste hanteringsreglerna tillämpas.

Den föreslagna, nya regleringen har i praktiken betydelse bara vid automatiserad behandling som sker med hjälp av datorer.

Den behandling som undantas från hanteringsreglerna skall enligt förslaget i stället regleras av en enkel regel till skydd mot missbruk av personuppgifterna. Behandlingen av personuppgifter får nämligen inte utföras om den innebär ett otillbörligt intrång i den personliga integriteten. För att underlätta tillämpningen har utredningen i sina kommentarer sammanfattat några enkla och självklara riktlinjer som bör följas:

  • Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering
  • Samla inte utan godtagbara skäl en stor mängd uppgifter om en person
  • Rätta personuppgifter som visar sig vara felaktiga eller missvisande
  • Förtala eller förolämpa inte någon annan
  • Bryt inte mot tystnadsplikt

Den registrerade skall vidare liksom i dag ha rätt att på begäran få ett s.k. registerutdrag med bl.a. de personuppgifter som behandlas. Ett generellt undantag föreslås emellertid för den händelse det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna ett registerutdrag, t.ex. därför att det är svårt att hitta uppgifter om en viss person i löpande text och ljud- och bildupptagningar.

Den som bryter mot reglerna till skydd mot missbruk av personuppgifter kan enligt förslaget få betala skadestånd till den registrerade. Förslaget innebär vidare att Datainspektionen skall se till att reglerna följs.

Skyldigheten att lämna registerutdrag blir mindre betungande

Om en personuppgiftsansvarig har väldigt många register, en större mängd ostrukturerat material eller material på många olika ställen, t.ex. i hundratals persondatorer, kan det vara omöjligt eller väldigt betungande att söka fram alla uppgifter om en person som begär ett s.k. registerutdrag. Utredningen föreslår därför att det uttryckligen anges att information enligt 26 § personuppgiftslagen, i form av ett s.k. registerutdrag, inte behöver lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Det krävs dock som regel att den sökande först tillfrågas om sådana upplysningar som kan underlätta sökandet efter personuppgifterna.

Syftet med den föreslagna ändringen är inte att inskränka det som faktiskt tillämpas i dag utan snarast att verklighetsanpassa lagtexten.

Regeringen och myndigheter får föreskriva sådana undantag från personuppgiftslagen som är tillåtna enligt EG-direktivet

Enligt EG-direktivet är det tillåtet för medlemsstaterna att föreskriva undantag från vissa bestämmelser i EG-direktivet när det är nödvändigt med hänsyn till fullgörandet av vissa uppräknade viktiga samhälls- och myndighetsfunktioner eller med hänsyn till skyddet av fri- och rättigheter. Någon motsvarande undantagsbestämmelse finns inte i dag i personuppgiftslagen. Utredningen föreslår att undantagsmöjligheterna utnyttjas genom att regeringen och den myndighet som regeringen bestämmer uttryckligen bemyndigas att meddela föreskrifter och beslut i enskilda fall om sådana undantag som är tillåtna enligt EG-direktivet.

Bara grovt oaktsamma förfaranden skall vara straffbara

I dag kan en person dömas till böter eller fängelse om han eller hon uppsåtligen eller av oaktsamhet bryter mot personuppgiftslagen i fyra uppräknade fall. Utredningen föreslår en avkriminalisering som innebär att, förutom uppsåtliga förfaranden, bara grovt oaktsamma förfaranden skall vara straffbara. Utredningen har inte funnit anledning att i övrigt föreslå en avkriminalisering.

Det förtydligas hur myndighetsbeslut överklagas

Redan i dag kan vissa myndighetsbeslut enligt personuppgiftslagen överklagas enligt allmänna bestämmelser om överklagande. Utredningen föreslår att det direkt i personuppgiftslagen tas in bestämmelser om i vilka fall och hur en myndighets beslut enligt lagen överklagas. Särskilda bestämmelser om hur beslut av domstolar överklagas skall dock enligt förslaget tas in i de registerlagar som reglerar domstolarnas behandling av personuppgifter.

Personuppgiftslagens förhållande till offentlighetsprincipen och sekretesslagen förtydligas

I syfte att förtydliga föreslår utredningen en uttrycklig regel om att de generella bestämmelserna i personuppgiftslagen inte inskränker myndigheternas skyldighet enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen att på begäran söka efter, sammanställa och lämna ut personuppgifter. Utredningen föreslår vidare att även andra organ än myndigheter som har skyldigheter enligt offentlighetsprincipen, t.ex. kommunala bolag, skall omfattas av de undantag med hänsyn till offentlighetsprincipen som finns i personuppgiftslagen.

Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Utredningen har haft i uppdrag att förtydliga bestämmelsen men inte att föreslå att den skall ändras i sak eller upphävas. Utredningen föreslår att bestämmelsen förtydligas enligt följande.

Sekretess skall gälla för en personuppgift om det finns skäl att anta att uppgiften efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen. Därmed förtydligas bl.a. att myndigheten måste ha något skäl – t.ex. att uppgifter om väldigt många människor begärs utlämnade – för att ställa frågor om den tilltänkta användningen av uppgifterna.

Sekretess skall också gälla för en personuppgift om myndighetens utlämnande av uppgiften står i strid med bestämmelsen om överföring av personuppgifter till tredje land i 33 § personuppgiftslagen. Det skall dock inte medföra sekretess för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information, t.ex. fastighetsregistret. Dessa bestämmelser kommer i praktiken bara att vara aktuella i det undantagsfallet att en myn-

dighet enligt offentlighetsprincipen är skyldig att sända en personuppgift till utlandet.

Övriga frågor

Utredningen har haft i uppdrag att se över möjligheten till undantag för sådan behandling av personuppgifter inom den privata sfären som faller utanför EG-rätten och därmed inte omfattas av EGdirektivet. Utredningen konstaterar att det undantag för rent privat behandling av personuppgifter som är tillåtet enligt EG-direktivet redan har utnyttjats fullt ut och att det inte finns skäl för att göra ytterligare undantag från personuppgiftslagen.

I dag finns det i personuppgiftslagen ett förbud för andra än myndigheter, dvs. enskilda, att behandla personuppgifter om lagöverträdelser m.m., men undantag kan föreskrivas i andra författningar eller i beslut i enstaka fall. Utredningen har haft i uppdrag att analysera om konkreta undantag bör tas in direkt i personuppgiftslagen. Utredningen har kommit fram till att de möjligheter till undantag genom generella föreskrifter i andra författningar och genom beslut i enstaka fall som redan finns är tillräckliga och att några bestämmelser om undantag från förbudet för enskilda att behandla personuppgifter om lagöverträdelser således inte bör föras in direkt i personuppgiftslagen.

Det föreslås inga ändringar i personuppgiftslagen med anledning av EG-domstolens dom med tolkningsbesked i det svenska s.k. konfirmandlärarmålet om publicering av personuppgifter på Internet.

______________

De föreslagna lagändringarna kan i praktiken träda i kraft tidigast den 1 juli 2005.

1. Författningsförslag

1.1. Förslag till lag om ändring i personuppgiftslagen (1998:204)

Härigenom föreskrivs i fråga om personuppgiftslagen (1998:204)

dels att 8, 26 och 49 §§ skall ha följande lydelse, dels att det i lagen skall införas fyra nya paragrafer, 5 a, 26 a och 42 a och 52 §§, samt närmast före 5 a och 42 a §§ nya rubriker av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Personuppgifter som inte ingår i personregister

5 a § Bestämmelserna i 9, 10, 13, 21, 23, 24, 28, 33 och 42 §§ skall inte tillämpas på behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Sådan behandling får utföras bara om den inte innebär ett otillbörligt intrång i den personliga integriteten.

8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att söka efter, sammanställa och lämna ut personuppgifter. Bestämmelserna innebär inte heller en sådan begränsning av en myndighets befogenhet att göra en sammanställning tillgänglig som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen.

Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar.

Vid tillämpningen av denna paragraf jämställs med myndighet ett annat organ i den utsträckning som anges i 1 kap.8 och 9 §§sekretesslagen (1980:100).

26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om

a) vilka uppgifter om den sökande som behandlas,

b) varifrån dessa uppgifter har hämtats,

c) ändamålen med behandlingen, och

d) till vilka mottagare eller kategorier av mottagare som uppgifterna

lämnas ut. En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

26 a § Information enligt 26 § behöver inte lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Information enligt 26 § behöver inte heller lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Bemyndigande att meddela undantag

42 a § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 § om det är nödvändigt med hänsyn till

a) statens säkerhet,

b) försvaret,

c) allmän säkerhet,

d) åtal eller förebyggande, undersökning eller avslöjande av brott

eller av överträdelse av etiska regler,

e) ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska

unionen eller en stat som ingår i den unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet,

f) myndighetsutövning som avser tillsyn, inspektion eller reglering

i fråga om sådant som nämns i c–e, eller

g) skyddet av fri- och rättigheter.

Regeringen får under de förutsättningar som nämns i första stycket i enskilda fall besluta om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 §. Regeringen får överlåta åt myndighet att fatta sådana beslut.

49 §

1

Till böter eller fängelse i

högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet

49 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet

a) lämnar osann uppgift i sådan information till registrerade som

föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,

b) behandlar personuppgifter i strid med 13–21 §§,

c) för över personuppgifter till tredje land i strid med 33–35 §§, el-

ler

d) låter bli att göra anmälan enligt 36 § första stycket eller enligt

föreskrifter meddelade med stöd av 41 §. I ringa fall döms inte till ansvar. Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.

52 § En myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol. Andra beslut av myndighet enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten. Första och andra styckena gäller inte beslut av riksdagen och regeringen. I fråga om överklagande av beslut av allmän domstol och allmän förvaltningsdomstol finns särskilda föreskrifter.

1

Senaste lydelse SFS 1999:1210.

______________

Denna lag träder i kraft den […]. Föreskrifterna i 52 § skall dock inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.

1.2. Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs

1

att 7 kap. 16 § sekretesslagen (1980:100)

skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 kap.

16 §

2

Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204).

Sekretess gäller för personuppgift, om

1. det finns skäl att anta att upp-

giften efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen (1998:204), eller

2. myndighetens utlämnande av

uppgiften står i strid med 33 § personuppgiftslagen. Att myndighetens utlämnande står i strid med 33 § personuppgiftslagen skall dock inte medföra sekretess för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information.

______________

Denna lag träder i kraft den […].

1

Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd

för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).

2

Senaste lydelse SFS 1998:205.

2. Utredningsarbetet och betänkandet

2.1. Utredningsarbetet

Utredningens utredningsdirektiv (dir. 2002:31) finns som bilaga 1. Utredningen har enligt tilläggsdirektiv (dir. 2003:53 och 2003:164) fått förlängd utredningstid för att kunna beakta EG-domstolens dom i det s.k. konfirmandlärarmålet. Domen meddelades den 6 november 2003.

Utredningen har haft 10 sammanträden, varav ett internatsammanträde under två dagar. Vid sammanträdena har utkast till texter till betänkandet gåtts igenom och diskuterats.

Utredningen har haft en hemsida på Internet.

1

Den särskilde utredaren har samrått med Offentlighets- och sekretesskommittén (Ju 1999:06) och haft informationsutbyte med Underrättelsedatautredningen (Fö 2002:01). Det uppdrag om samråd med den kommitté som får i uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället som anges i utredningsdirektiven har inte kunnat fullgöras, eftersom den nämnda kommittén inte tillsatts ännu.

Utredaren har under hand berett Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Sveriges Akademikers Centralorganisation (SACO), Tidningsutgivarna och Riksarkivet tillfälle att komma in med synpunkter på utkast till texter.

Utredaren har haft kontakter med företrädare för de politiska partier som är representerade i riksdagen och därvid informerat om de förslag som utredningen övervägt och inhämtat partiernas syn-

1

http://www.sou.gov.se/pulutredningen/.

punkter. Utredaren har bl.a. informerat om huvuddragen i förslagen vid ett sammanträde med riksdagens konstitutionsutskott.

Utredaren, som varit placerad på Justitiedepartementets grundlagsenhet och bl.a. verkat inom EU för att EG-direktivet om personupp gifter

2

skall ändras, har under utredningstiden följt eller del-

tagit i viktigare delar av det löpande arbetet med författningar och internationella kontakter och överenskommelser rörande skydd för personuppgifter. Utredaren har haft kontakter med företrädare för EG-kommissionen.

Utredaren har också, bl.a. via Datainspektionens expert i utredningen, hållit sig underrättad om Datainspektionens arbete med att utforma konkret vägledning i fråga om personuppgiftslagen (1998:204).

2.2. Betänkandet

Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Betänkandet inleds därför med ett kortare avsnitt om personlig integritet (avsni tt 3) .

Som underlag för sitt arbete har utredningen bl.a. haft, förutom EG-direktivet om personuppgifter och personuppgiftslagen, utvecklingen i rättstillämpningen, resultatet av Justitiedepartementets offentliga utvärdering av EG-direktivet och genomförandet av EGdirektivet i andra länder.

EG-direktivet om personuppgifter, som ligger till grund för personuppgiftslagen, finns som bilaga 3. De bestämmelser i EGdirektivet som har betydelse för utredningens överväganden presenteras i det avsnitt respektive fråga berörs. En allmän genomgång av bestämmelserna i EG-direktivet finns i Datalagskommitténs betänkande SOU 1997:39 (avsnitt 3) och kortare presentationer av EG-direktivet finns i flera färska betänkanden med förslag till särskilda registerförfattningar, t.ex. avsnitt 2.1 i SOU 2001:100. Det har inte ansetts nödvändigt att upprepa något liknande här. Som bilaga 4 finns det protokoll som fördes inom rådet när den gemensamma ståndpunkten om EG-direktivet antogs och som innehåller

2

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för

enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046), kallas i det följande bara EG-direktivet.

vissa uttalanden som kan vara av betydelse vid tolkningen av EGdirektivet.

Personuppgiftslagen finns som bilaga 2. De bestämmelser i lagen som har betydelse för utredningens överväganden presenteras i det avsnitt respektive fråga berörs. Eftersom kortare presentationer av bestämmelserna i personuppgiftslagen finns i flera färska betänkanden med förslag till särskilda registerförfattningar, t.ex. avsnitt 2.2 i SOU 2001:100, har det inte ansetts nödvändigt med någon motsvarande presentation här.

Integritetsskyddet vid användandet av information är sedan flera årtionden berört också i andra internationella instrument än EGdirektivet. Av snitt 4 innehåller en ö versikt över de viktigaste av dessa instrument. De viktigaste bestämmelserna i Europarådets dataskyddskonvention nr 108, som är bindande för Sverige, finns i engelsk version och svensk översättning i bilaga 5. De bestämmelser i de internationella instrumenten som har direkt betydelse för utredningens överväganden presenteras i det avsnitt respektive fråga berörs.

Utredningen har gått igenom och följt utvecklingen i rättstillämpningen på området. En redovisning av detta finns i avsnitt 5. Relevant domstolspraxis redovisas också i de avsnitt som berör olika sakfrågor. I avsnitt 14 redo görs särskilt för utredningens överväganden med anledning av EG-domstolens dom i det s.k. konfirmandlärarmålet.

Justitiedepartementet har gjort en offentlig utvärdering av EGdirektivet. En sammanfattning av den utvärderingen finns i avsnitt 6.

Utredningen har gått igenom den generella lagstiftning som genomför EG-direktivet i andra länder i EU och EES. Utredningen har därvid noterat att det finns skillnader i genomförandet och att dessa skillnader kan innebära olägenheter för personuppgiftsansvariga med verksamhet i flera länder eller i en internationell koncern. Det är emellertid inget som man kan råda bot på genom ändringar i bara den svenska personuppgiftslagen, utan ett avhjälpande kräver internationellt samarbete. EG-kommissionen har i sin rapport

3

från

maj 2003 om genomförandet av EG-direktivet i medlemsstaterna presenterat ett arbetsprogram för ett bättre genomförande av EGdirektivet. EG-kommissionens rapport innehåller i en bilaga en omfattande redovisning av genomförandet i medlemsstaterna. Ut-

3

KOM(2003) 265 slutlig av den 15 maj 2003.

redningen har därför inte ansett det meningsfullt att i betänkandet redovisa alla olikheter i genomförandet eller att här försöka lämna en allmän presentation av genomförandet i andra länder. Genomförandet i andra länder av relevanta bestämmelser i EG-direktivet redovisas dock kortfattat i de avsnitt som berör olika sakfrågor.

Utredningens huvuduppgift är att se hur långt man inom ramen för EG-direktivet kan gå för att åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter än hanteringen av dessa. Utredningens överväganden och förslag i den delen redovisas i avsnitt 7 o m personuppgifter som inte ingår i personregister.

Utredningen har därutöver enligt utredningsdirektiven vissa särskilda uppdrag som redovisas i följande avsnitt. I avsnitt 8 berörs möjligheterna att göra undantag från personuppgiftslagen för sådant som inte omfatta s av EG-direktivet, och i avsnitt 9 be rörs möjligheterna att göra undantag från vissa bestämmelser i lagen för bl.a. säkerhet och brottsundersökning m.m. Avs nitt 10 innehåller en redovisning av möjligheterna att genom uttryckliga bestämmelser i personuppgiftslagen tillåta att andra än myndigheter behandlar personuppgifter om lagöverträdelser. Frågan om möjligheterna att justera bestämmelserna om registerutdrag, som utredningen funnit anledning att ta upp, berörs i avsnit t 11. Uppdra get att se över om något som i dag är straffbelagt enligt personuppgiftslagen kan avkriminaliseras redovisas i avsnit t 12. Avsnit t 13 i nnehåller utredningens överväganden och förslag om hur det i personuppgiftslagen kan införas ett förtydligande av hur myndighetsbeslut överklagas. Avslutningsvis redovisar utredningen i avsnitt 15 uppdraget att förtydliga bestämmelsen i 7 kap. 16 § sekretesslagen (1980:100).

Avsnit t 16 i nnehåller utredningens överväganden i fråga om ikraftträdande av föreslagna lagändringar och övergångsbestämmelser till dessa.

I avsnitt 17 b erörs konsekvenserna av utredningens förslag. I det avslutande avsnittet finns författningskommentarer till utredningens förslag till lagändringar.

Därefter finns det särskilda yttrande som avgetts. I bilaga 6 finns det en sammanfattning på engelska.

3. Den personliga integriteten

3.1. Begreppet personlig integritet

Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §).

Den personliga integriteten har uppmärksammats i många statliga utredningar och varit föremål för analys även i många andra sammanhang. Det genomgående för dessa överväganden har varit att det alltid visat sig vara svårt att precisera innebörden av begreppet personlig integritet.

4

Uppfattningen om vad som omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Den enskildes uppfattning kan i sin tur påverkas av t.ex. politisk eller religiös övertygelse. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans eller hennes integritet har kränkts eller inte.

Det finns en allmän uppfattning i samhället att varje person har ett välgrundat anspråk på att andra personer handlar på ett sådant sätt att hans eller hennes personliga integritet respekteras. Oavsett den exakta definitionen av begreppet personlig integritet finns en privat sfär som man inte accepterar intrång i. Skyddet för den personliga integriteten uppfattas också som viktigt av de enskilda människor som är berörda. Man skulle kunna tro att människors

4

Redogörelsen i förevarande avsnitt bygger exempelvis på motsvarande redogörelse i SOU

2002:2 s. 138 ff.

upplevda obehag av att personuppgifter behandlas i olika sammanhang skulle ha minskat i takt med att användningen av datorer blivit vardagsmat och IT-samhället krupit närmare. Emellertid visar de undersökningar som gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. Människor upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i någon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts.

5

Skyddet för den personliga integriteten anses vidare vara en grundläggande mänsklig rättighet, skyddad genom internationella instrument, nationell lagstiftning, tradition och kultur.

Till grund för stadgandet om värnandet av den enskildes privatliv i 1 kap. 2 § tredje stycket regeringsformen ligger uppfattningen att grundsatsen om den enskildes rätt till en fredad sektor är av så väsentlig betydelse i en demokratisk stat att den bör komma till allmänt uttryck i grundlag.

6

Det kan dock konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet personlig integritet. Så används t.ex. i 1 kap. 2 § tredje stycket regeringsformen begreppet ”enskilds privatliv” när den grundläggande ambitionen för det allmänna att skydda den ”personliga integriteten” slås fast, eftersom det senare begreppet ansågs svårbegripligt och svårt att avgränsa.

7

Begreppet finns emellertid sedan år 1989 i 2 kap. 3 §

andra stycket regeringsformen.

Oavsett svårigheten att definitivt klarlägga innebörden i begreppet personlig integritet måste man på något sätt ta sig an begreppet i alla sammanhang som rör behandling av personuppgifter och tilllämpning av personuppgiftslagen. Det grundläggande syftet med lagstiftningen är skyddet för den personliga integriteten. Man måste därför i vart fall ha en föreställning om begreppets innebörd i allmänhet och dess betydelse för den praktiska tillämpningen i det enskilda fallet.

Personlig integritet kan vara att slippa få vissa personliga uppgifter om sig själv spridda till andra människor. Svårigheten att definiera begreppet positivt har dock lett till att man i stället försökt att identifiera vad som konstituerar en kränkning av den personliga

5

SOU 1997:39 s. 183 f.

6

Prop. 1975/76:209 s. 131.

7

Prop. 1975/76:209 s. 131.

integriteten. En integritetskränkning beskrivs i dessa sammanhang som att förlora kontrollen över sin egen person eller en viss typ av uppgifter om sig själv.

När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ofta till en av professorn Stig Strömholm upprättad ”kränkningskatalog”. Som exempel ur denna kan nämnas spridande av förtroliga uppgifter, avslöjande inför offentligheten av annans privata förhållanden, utnyttjande av annans namn eller bild och angrepp på annans heder och ära.

8

Professorn Peter Seipel delar in försöken att precisera innebörden av begreppet personlig integritet i följande kategorier:

9

a Sfärteorin Den enskilde har en innersta sfär, där förhållanden, egenskaper

och handlingar inte bör vara kända av andra än den enskilde själv. Utanför denna innersta sfär finns andra sfärer med gradvis avtagande känslighet och med växande anspråk från omvärlden på att information måste vara tillgänglig. b Datakategoriteorin Det finns olika kategorier av data som kan känslighetsgraderas.

Exempelvis är adressuppgifter, generellt sett, mindre integritetskänsliga än uppgifter om politisk övertygelse. c Situationsteorin Det finns inga kategorier av data som å priori kan anses okäns-

liga från integritetsskyddssynpunkt. Intrångsmöjligheterna hänger helt och hållet samman med i vilken situation uppgifter används, dvs. av vem, för vilket syfte, tillsammans med vilka andra uppgifter osv. d Äganderättsteorin Data om individen är individens egendom. Han eller hon måste

alltid samtycka till att andra får del av dem. e Autonomiteorin Integritetsskyddets kärna består i en rätt att bli lämnad ifred, att

själv få avgöra i vilka sammanhang och under vilka förutsättningar man träder i förbindelse med omvärlden, framför allt med myndigheter och andra representanter för samhället. f Empirteorin Vad som uppfattas som integritetsintrång måste fastställas på

statistisk väg. Man måste således hämta vägledning i undersök-

8

SvJT 1971 s. 698 f.

9

Peter Seipel, Juridik och IT, 7:e uppl. s. 252 f.

ningar av det slag som vid flera tillfällen har utförts av Statistiska centralbyrån.

Rätten till personlig integritet är vidare inte absolut, utan från tid till annan föremål för inskränkningar. Skyddet för den personliga integriteten måste avvägas mot andra grundläggande demokratiska rättigheter och värden, t.ex. informationsfriheten och yttrandefriheten.

Man måste också beakta de helt legitima behov som finns att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det vi lever i. Utgångspunkten var i förarbetena till 1973 års datalag att skyddet för den personliga integriteten inte kan sträcka sig längre än vad som är möjligt med hänsyn till de krav samhällsgemenskapen uppställer. Det förutsattes således att en väl fungerande samhällsorganisation alltid kommer att medföra intrång i enskilda individers personliga integritet. Frågan blir då vad som kan tolereras och vad som går utöver det som är acceptabelt samt vad som är ett otillbörligt intrång i den personliga integriteten och vad som inte är det.

Mot bakgrund härav kan man säga att personers integritet kränks i den mån som det sker ett intrång i deras privata sfär och/eller uppgifter om dem, som det finns rimliga skäl att beteckna som integritetskänsliga, sprids. Dessa uppgifter kan gälla personers egenskaper, uppfattningar eller handlingar. Rättigheten till personlig integritet kan beskrivas som en ”prima facie-rättighet”. Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.

10

3.2. Personlig integritet vid automatiserad behandling av personuppgifter

Det klassiska målet för integritetsskyddet i samband med automatiserad behandling av personuppgifter – att få bli lämnad i fred – har enligt vissa fått ett nytt innehåll genom att datakvalitetsfrågor tagit över. Man framhåller härvid vikten av att behandlade uppgifter

10

SOU 1997:39 s. 796 och 801.

är korrekta, att uppgifterna används i rätt sammanhang och endast för berättigade ändamål. Skyddsintresset kan i detta sammanhang anses vara lika viktigt för juridiska personer som för enskilda individer. Fokus är mer inriktat på att informationsbehandlingen håller en hög kvalitet än att individens personuppgifter inte får behandlas.

Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.

Sådana tankegångar kan sägas ligga till grund för de dataskyddsprinciper som utarbetats

11

och som ligger till grund för hanterings-

reglerna i personuppgiftslagen.

Att den personliga integriteten skyddas innebär enligt Datalagskommittén att användningen av personuppgifter regleras och begränsas. Enligt dess uppfattning står det klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet. Vilken reglering och begränsning av användningen av personuppgifter som är nödvändig för att skydda den personliga integriteten ansåg kommittén till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörligt intrång i annans personliga integritet skall så långt som möjligt förebyggas. När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället. Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när och hur i och för sig korrekta personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.

12

Per-

sonuppgiftslagen skall alltså utgöra den reglering och begränsning av användningen av personuppgifter som enligt rådande värderingar i samhället är nödvändig för att skydda den personliga integriteten.

11

Se om dessa principer avsnitt 4.

12

SOU 1997:39 s. 180 f.

Värderingarna i samhället påverkas bl.a. av hur informationstekniken uppfattas och används. Detta är emellertid ett dynamiskt område där utvecklingen går snabbt. Man kan dock urskilja åtminstone fem aspekter när det gäller hur informationstekniken uppfattas och används: automation, informationshantering, kommunikation, vardagsteknik och konvergens.

13

I datorernas barndom var det automation som stod i fokus. De nya maskinerna utgjorde ett effektivt alternativ till manuell hantering av t.ex. beräkningar, eftersom de kunde automatiserat bearbeta information på ett strukturerat sätt.

I takt med att tekniken för att lagra och återhämta information i datorläsbart format förbättrades ökade intresset för informationshantering. Man kunde nu ha enorma mängder information tillgänglig för datorbehandling, och med rätt struktur och teknik kunde man också lätt finna relevant information.

Ungefär i detta skede – när myndigheter och andra stora organisationer kunde både ha informationen lättillgänglig och bearbeta den automatiserat – ökade oron för intrång i den personliga integriteten och utarbetades som ett svar de s.k. dataskyddsprinciper som ligger bakom EG-direktivet.

Men utvecklingen av informationstekniken och synen på och användningen av den stannade inte där.

Datorer, och därmed tekniken att enkelt lagra och bearbeta information, har för det första blivit ett vardagligt arbetsredskap och var mans egendom, en vardagsteknik.

På senare år har för det andra kommunikation alltmer betonats. Internationella datakommunikationsnätverk, såsom Internet, har utvecklats och fått ett enormt genomslag hos organisationer och enskilda. Dessa nätverk kan användas inte bara för att kommunicera enskilt med anslutna användare utan också som ett lättillgängligt massmedium där vem som helst kan publicera information. Därmed har den grundläggande konflikten mellan integritetsskydd och yttrande- och informationsfrihet blivit akut. Det faktum att så många datorer är sammankopplade i världsomspännande nätverk gör också säkerhetsfrågor akuta.

För det tredje har ett fenomen som brukar benämnas konvergens uppmärksammats på senare år. Olika former av informationsteknik smälter samman alltmer – datorkommunikation, telefon, radio och television m.m. – och informationstekniken kommer in på allt fler

13

Indelningen och begreppsbildningen i denna del har inspirerats av en artikel av Peter

Seipel i SOU 2002:112 s. 2132.

områden i vårt vardagsliv – positionsbestämning av vardagsföremål såsom fordon och telefoner, ”intelligenta” kylskåp eller hela hem, inpasseringssystem m.m. Den alltmer utbredda och sammansmälta användningen av informationsteknik i vardagslivet, särskilt i kombination med lagring, bearbetning och kommunikation av den information som framkommer, har inneburit nya möjligheter att kartlägga individer på ett ibland osynligt sätt. Kommunikation i nätverk förutsätter vidare oftast att de datorer som är sändare och mottagare är identifierade på något sätt, t.ex. genom s.k. IPnummer, vilket gör att kommunikationen i sig kan ge upphov till nya former av personanknuten information som kan sparas och användas för att kartlägga individer.

Enligt utredningsdirektiven skall utredningen närmare analysera förutsättningarna – inom ramen för EG-direktivet – för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet skall i första hand vara att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Regleringen skall liksom hittills vara teknikoberoende. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredningen föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten. Skillnaden mellan lagstiftning efter en hanteringsmodell respektive en missbruksmodell beskrivs i avsnitt 7.2.

Utgångspunkten är alltså att hanteringsreglerna till skydd för den personliga integriteten vid behandling av personuppgifter om möjligt skall lättas upp. Rådande värderingar i samhället får anses ge vid handen att dessa hanteringsregler i många fall upplevs som alltför restriktiva och byråkratiska i förhållande till det integritetsskydd ett upprätthållande av reglerna kan ge. Detta stöds av Justitiedepartementets offentliga utvärdering av reglerna (EG-direktivet om personuppgifter – En offentlig utvärdering, Ds 2001:27; i fortsättningen benämnd Justitiedepartementets offentliga utvärdering). Hanteringsreglerna i personuppgiftslagen tar främst sikte på automatiserad behandling av personuppgifter i datorer. Man kanske kan säga att i takt med att datorer blivit tillgängliga för envar och datoranvändning blivit en vardaglig sak, har hanteringsreglerna kommit att framstå som alltmer otidsenliga. När reglerna skall tillämpas varje dag inte bara av regelrätta registerförare och deras specialise-

rade medhjälpare utan också av så gott som varje anställd och egenföretagare, är det naturligt att söka efter enklare regler som på ett mer konkret sätt skyddar den personliga integriteten.

Det må vara svårt att förstå varför något så vardagligt som ”normal” datoranvändning skall vara underkastat särskilda regler som upplevs som byråkratiska och inte påtagligt kopplade till integritetsskyddet. Det är dock inte utredningens uppfattning att intresset i samhället för ett starkt integritetsskydd i sig minskat utan det finns som utredningen ser det en större förståelse och ett större intresse för generellt verkande och teknikoberoende regler som mera direkt och konkret skyddar den personliga integriteten. Regeringen avser exempelvis, såsom framgår av utredningsdirektiven, att tillsätta en särskild kommitté med uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället.

14

Riksdagen har också av regeringen beställt en

analys av om det frivilliga grundlagsskyddet för t.ex. hemsidor på Internet kan komma i konflikt med bestämmelserna med syfte att skydda den personliga integriteten och, om så behövs, förslag till ändrad lagsti ftning.

15

Det är utredningens uppfattning att sådana generellt verkande och teknikoberoende regler till direkt skydd för den personliga integriteten, som nu skall analyseras i särskild ordning, ofta är att föredra framför sådana hanteringsregler som finns i personuppgiftslagen när det gäller alldaglig datoranvändning. Sådana generella regler måste emellertid – såsom redan aviserats – utredas och analyseras i ett större sammanhang än inom ramen för en översyn av personuppgiftslagen med sitt trots allt mera begränsade tillämpningsområde.

Utredningen vill för tydlighets skull tillägga att de s.k. dataskyddsprinciper

16

som ligger bakom hanteringsreglerna i person-

uppgiftslagen och de många särskilda registerförfattningar som anknyter till lagen fortfarande är i allra högsta grad adekvata och relevanta i fråga om hantering av personuppgifter i stora, regelrätta registerstrukturer. Det gäller t.ex. de stora databaser med personuppgifter som finns hos myndigheter och större företag, såsom banker och försäkringsbolag, eller företag som specialiserat sig på

14

Jämför också studien Skyddet för enskilda personers privatliv, Ds 1994:51, och Jan Free-

se, Rapport om skyddet för enskilda personers privatliv – ett mer samlat grepp?, 1995.

15

KU 2001/02:21 s. 32 och rskr. 2001/02:233. Analysen skall göras av Tryck- och yttrande-

frihetsberedningen (Ju 2003:04), se dir. 2003:58. Jämför också Ds 2003:25 om självsanering av Internet.

16

Se om dessa principer avsnitt 4.

registerhantering av personuppgifter vid t.ex. kreditupplysning eller direkt marknadsföring.

17

17

Jämför SOU 1997:39 s. 185 f.

4. Internationella instrument

4.1. Inledning

Förutom EG-direktivet finns det ett par andra för Sverige bindande internationella instrument rörande skydd för personuppgifter som utarbetats inom Europarådet. Det gäller dels artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som numera gäller som svensk lag (SFS 1994:1219), dels Europarådets s.k. dataskyddskonvention (nr 108). Här redovisas därför i relevanta delar innehållet i dessa instrument, som Sverige alltså måste följa oberoende av EG-direktivet.

Det finns vidare ett par andra internationella instrument än de som utarbetats inom Europarådet som bör nämnas: OECD:s riktlinjer och rekommendation om skyddet för den personliga integriteten och gränsöverskridande flöden av personuppgifter och FN:s riktlinjer om datoriserade register med personuppgifter. Också dessa instrument redovisas därför här.

Det bör här också nämnas att Europeiska unionens stadga om de grundläggande rättigheterna, som i dag inte är bindande, i artikel 8 innehåller följande särskilda bestämmelser om skydd av personuppgifter:

”1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

2. Dessa uppgifter skall behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

3. En oberoende myndighet skall kontrollera att dessa regler efterlevs.”

4.2. Europarådet

4.2.1. Europakonventionen

Artikel 8 i Europakonventionen lyder enligt följande:

”Artikel 8 – Rätt till skydd för privat- och familjeliv

1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.”

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna. I viss utsträckning kan de olika artiklarna i konventionen emellertid ha betydelse också för förhållandet mellan enskilda. Det är oklart om och i vilken utsträckning artikel 8 kan ha betydelse i fråga om enskildas behandling av personuppgifter.

EG-domstolen har ansett att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av EG-direktivet vid bedömningen av nationella regler som tillåter behandling av personupp gifter.

18

Här finns vidare anledning att redovisa också artikel 10 i Europakonventionen om yttrandefrihet:

18

EG-domstolens dom den 20 maj 2003 i mål nr C-465/00 och C-138 och 139/01.

”Artikel 10 – Yttrandefrihet

1. Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Denna artikel hindrar inte en stat att kräva tillstånd för radio-, televisions- eller biografföretag.

2. Eftersom utövandet av de nämnda friheterna medför ansvar och skyldigheter, får det underkastas sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som är föreskrivna i lag och som i ett demokratiskt samhälle är nödvändiga med hänsyn till statens säkerhet, till den territoriella integriteten eller den allmänna säkerheten, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller för annans goda namn och rykte eller rättigheter, för att förhindra att förtroliga underrättelser sprids eller för att upprätthålla domstolars auktoritet och opartiskhet.”

4.2.2. Dataskyddskonvention nr 108

Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Den engelska texten i konventionen till och med kapitel III, jämte en svensk översättning, finns i bilaga 5. Till konventionen har fogats en förklarande rapport av den expertgrupp inom Europarådet som utarbetat konventionstexten. Konventionen trädde i kraft den 1 oktober 1985, då kravet var uppfyllt att fem medlemsländer tillträtt konventionen. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är alltså bindande för Sverige, liksom för övriga medlemsstater. Det har beslutats om ändringar i dataskyddskonventionen för att göra det möjligt för Europeiska unionen att ansluta sig. Det har också till konventionen utarbetats ett tilläggsprotokoll om tillsynsmyndigheter och flödet av personuppgifter över gränserna. Till konventionen ansluter en rad rekommendationer som inte är direkt bindande.

19

19

Konventionen och rekommendationerna samt annat material finns på Europarådets

webbplats för dataskyddsfrågor: http://www.coe.int/T/E/Legal_affairs/Legal_cooperation/Data_protection/.

Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).

Konventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla dessa grundläggande principer. Dessa grundläggande principer skall garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta skall göra det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.

Kapitel II innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl.a. att uppgifterna skall inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.

Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning, dels att de utgör en nödvändig åtgärd i ett demokratiskt samhälle för att skydda statens säkerhet, allmän säkerhet, statens monetära intressen eller för att undertrycka brottsliga åtgärder eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.

Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.

4.3. OECD:s riktlinjer

20

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och flödet av personuppgifter över gränserna, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och därmed åtagit sig att följa denna. Ytterligare åtgärder som t.ex. ratifikation av medlemsländerna krävs inte varför riktlinjerna har trätt i kraft.

Enligt rekommendationen skall medlemsländerna i sin nationella lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som har presenterats i de riktlinjer som fogats till rekommendationen. Medlemsländerna skall vidare försöka undanröja opåkallade hinder för internationell datakommunikation som gäller personuppgifter och undvika att nya sådana skapas under förevändning av behov av skydd för personlig integritet. Samarbete skall bedrivas vid verkställigheten av riktlinjerna och så snart som möjligt skall länderna avtala om särskilda procedurer för överläggningar och samarbete som gäller tillämpningen av riktlinjerna.

Syftet med riktlinjerna är att söka undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av det sammanhang i vilket de används. Riktlinjerna är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn. De är tillämpliga både för uppgifter som lagras automatiskt och uppgifter som förs manuellt. Det finns inget hinder mot att man tillämpar olika skyddsåtgärder för olika slag av

20

Framställningen bygger på den som finns i SOU 1993:10 s. 62 ff.

personuppgifter, att man från riktlinjernas tillämpning undantar personuppgifter som uppenbart inte innebär någon risk för personlig integritet eller att man tillämpar riktlinjerna endast på automatisk databehandling av personuppgifter. Undantagen från riktlinjernas grundläggande principer för nationell och internationell tilllämpning skall vara så få som möjligt och göras kända för allmänheten. Riktlinjerna skall betraktas som minimiregler, varför ingenting hindrar att integritetsskyddet görs mer omfattande.

Riktlinjerna innehåller en särskild avdelning som behandlar åtta grundläggande principer rörande skyddet för personlig integritet på det nationella planet.

1. Insamlingen av personuppgifter skall vara begränsad och uppgifter skall inhämtas på ett lagligt och korrekt sätt samt, när det är skäligt, med den registrerades kännedom eller samtycke (”Collection Limitation Principle”).

2. Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och, i den utsträckning det behövs för dessa ändamål, vara riktiga och fullständiga samt hållas aktuella (”Data Quality Principle”).

3. De ändamål för vilka personuppgifterna samlas in skall vara preciserade senast vid insamlingen. Den efterföljande användningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålen och som preciseras vid varje förändring (”Purpose Specification Principle”).

4. Personuppgifter får inte röjas, göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade, om det inte sker med den registrerades medgivande eller med stöd av författning (”Use Limitation Principle”).

5. Personuppgifter skall genom rimliga säkerhetsåtgärder skyddas mot risker för förlust eller otillåten tillgång, förstörelse, användning, förändring eller otillåtet röjande (”Security Safeguards Principle”).

6. En öppenhet skall råda beträffande personuppgifter i fråga om utveckling, tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudändamålen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns (”Openness Principle”).

7. Den enskilde skall ha rätt att av den registeransvarige eller av annan få reda på om denne har personuppgifter om honom/henne, att få sig tillsänt eventuella personuppgifter inom rimlig tid, utan

alltför stor kostnad, på rimligt sätt och i begriplig form. Vidare skall den enskilde ha rätt att vid avslag på en begäran om uppgifter få veta skälen härför och ha möjlighet att överklaga. Den enskilde skall även ha rätt att ifrågasätta uppgifter som gäller honom eller henne och, om så är nödvändigt, få dessa utraderade, rättade eller kompletterade (”Individual Participation Principle”).

8. Den registeransvarige skall ha ansvaret för att de lagstiftningsåtgärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs (”Accountability Principle”).

En avdelning av riktlinjerna innehåller principer för internationell tillämpning. Här föreskrivs bl.a. att medlemsländerna skall vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländerna avhålla sig från att göra inskränkningar i fråga om flödet av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land, om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås. Ett medlemsland får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritetslagstiftningen innehåller särskilda skyddsregler, om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet. Medlemsländerna skall undvika att – under åberopande av skydd för personlig integritet och individens friheter – i lag, tillämpning eller förfarande ställa upp hinder för flödet av personuppgifter över gränserna som går utöver vad som är nödvändigt för sådant skydd.

Regler om ömsesidigt bistånd mellan medlemsländerna m.m. finns i en särskild avdelning av riktlinjerna. Medlemsländerna skall införa legala, administrativa eller andra förfaranden eller vidta andra åtgärder för att beträffande personuppgifter ge skydd för personlig integritet och individens friheter. Medlemsländerna skall särskilt sträva efter att anta lämplig inhemsk lagstiftning, att främja och understödja självreglering i form av etiska regler eller på annat sätt, att införa lämpliga sanktioner och rättsmedel samt att se till att registrerade inte utsätts för orättvis särbehandling. På begäran skall medlemsländerna ge ett annat medlemsland upplysning om hur de principer iakttas som riktlinjerna innehåller. Medlemsländerna skall också se till att de förfaranden som tillämpas för flöden av personuppgifter över gränserna och för skyddet av personlig integritet

och individens friheter är enkla och jämförbara med dem som andra medlemsländer tillämpar. Medlemsländerna skall vidare genom särskilda förfaranden underlätta utbyte av information rörande riktlinjerna och ömsesidigt bistånd i fråga om de förfaranden och utredningar som kan bli aktuella. Vidare skall medlemsländerna arbeta för att utveckla inhemska och internationella principer för vilket lands lag som blir tillämplig i fråga om flöden av personuppgifter över gränserna.

4.4. FN:s riktlinjer

FN:s generalförsamling antog år 1990 följande riktlinjer om datoriserade register med personuppgifter (computerized personal data files):

“GUIDELINES CONCERNING COMPUTERIZED PERSONAL

DATA FILES

adopted by the General Assembly on 14 December 1990

The procedures for implementing regulations concerning computerized personal data files are left to the initiative of each State subject to the following orientations:

A. Principles concerning the minimum guarantees that should be provided in national legislations

1. PRINCIPLE OF LAWFULNESS AND FAIRNESS Information about persons should not be collected or processed in unfair or unlawful ways, nor should it be used for ends contrary to the purposes and principles of the Charter of the United Nations.

2. PRINCIPLE OF ACCURACY Persons responsible for the compilation of files or those responsible for keeping them have an obligation to conduct regular checks on the accuracy and relevance of the data recorded and to ensure that they are kept as complete as possible in order to avoid errors of omission and that they are kept up to date regularly or when the information contained in a file is used, as long as they are being processed.

3. PRINCIPLE OF THE PURPOSE-SPECIFICATION The purpose which a file is to serve and its utilization in terms of that purpose should be specified, legitimate and, when it is established, receive a certain amount of publicity or be brought to the attention of

the person concerned, in order to make it possible subsequently to ensure that: (a) All the personal data collected and recorded remain relevant and adequate to the purposes so specified; (b) None of the said personal data is used or disclosed, except with the consent of the person concerned, for purposes incompatible with those specified; (c) The period for which the personal data are kept does not exceed that which would enable the achievement of the purpose so specified.

4. PRINCIPLE OF INTERESTED-PERSON ACCESS Everyone who offers proof of identity has the right to know whether information concerning him is being processed and to obtain it in an intelligible form, without undue delay or expense, and to have appropriate rectifications or erasures made in the case of unlawful, unnecessary or inaccurate entries and, when it is being communicated, addressees. Provision should be made for a remedy, if need be with the supervisory authority specified in principle 8 below. The cost of any rectification shall be borne by the person responsible for the file. It is desirable that the provisions of this principle should apply to everyone, irrespective of nationality or place of residence.

5. PRINCIPLE OF NON-DISCRIMINATION Subject to cases of exceptions restrictively envisaged under principle 6, data likely to give rise to unlawful or arbitrary discrimination, including information on racial or ethnic origin, colour, sex life, political opinions, religious, philosophical and other beliefs as well as membership of an association or trade union, should not be compiled.

6. POWER TO MAKE EXCEPTIONS Departures from principles 1 to 4 may be authorized only if they are necessary to protect national security, public order, public health or morality, as well as, inter alia, the rights and freedoms of others, especially persons being persecuted (humanitarian clause) provided that such departures are expressly specified in a law or equivalent regulation promulgated in accordance with the internal legal system which expressly states their limits and sets forth appropriate safeguards. Exceptions to principle 5 relating to the prohibition of discrimination, in addition to being subject to the same safeguards as those prescribed for exceptions to principles 1 and 4, may be authorized only within the limits prescribed by the International Bill of Human Rights and the other relevant instruments in the field of protection of human rights and the prevention of discrimination.

7. PRINCIPLE OF SECURITY Appropriate measures should be taken to protect the files against both natural dangers, such as accidental loss or destruction and human dan-

gers, such as unauthorized access, fraudulent misuse of data or contamination by computer viruses.

8. SUPERVISION AND SANCTIONS The law of every country shall designate the authority which, in accordance with its domestic legal system, is to be responsible for supervising observance of the principles set forth above. This authority shall offer guarantees of impartiality, independence vis-a-vis persons or agencies responsible for processing and establishing data, and technical competence. In the event of violation of the provisions of the national law implementing the aforementioned principles, criminal or other penalties should be envisaged together with the appropriate individual remedies.

9. TRANSBORDER DATA FLOWS When the legislation of two or more countries concerned by a transborder data flow offers comparable safeguards for the protection of privacy, information should be able to circulate as freely as inside each of the territories concerned. If there are no reciprocal safeguards, limitations on such circulation may not be imposed unduly and only in so far as the protection of privacy demands. 10. FIELD OF APPLICATION The present principles should be made applicable, in the first instance, to all public and private computerized files as well as, by means of optional extension and subject to appropriate adjustments, to manual files. Special provision, also optional, might be made to extend all or part of the principles to files on legal persons particularly when they contain some information on individuals.

B. Application of the guidelines to personal data files kept by governmental international organizations The present guidelines should apply to personal data files kept by governmental international organizations, subject to any adjustments required to take account of any differences that might exist between files for internal purposes such as those that concern personnel management and files for external purposes concerning third parties having relations with the organization.

Each organization should designate the authority statutorily competent to supervise the observance of these guidelines.

Humanitarian clause: a derogation from these principles may be specifically provided for when the purpose of the file is the protection of human rights and fundamental freedoms of the individual concerned or humanitarian assistance.

A similar derogation should be provided in national legislation for governmental international organizations whose headquarters agreement does not preclude the implementation of the said national legisla-

tion as well as for non-governmental international organizations to which this law is applicable.”

5. Utvecklingen i rättstillämpningen och av annan vägledning

5.1. Inledning

I enlighet med utredningsdirektiven har utredningen som underlag för sin översyn av personuppgiftslagen bl.a. haft utvecklingen i rättstillämpningen sedan personuppgiftslagen trädde i kraft i oktober 1998. I detta avsnitt redovisas kortfattat den svenska domstolspraxis som utredningen fått kännedom om (avsni tt 5.2). I fråga om domstolspraxis redovisas i övrigt kortfattat de mål angående EGdirektivet som förekommit i EG-domstolen (avs nitt 5.4). Såvitt utredningen kunnat finna har det inte efter personuppgiftslagens ikraftträdande förekommit något avgörande från Europeiska domstolen för de mänskliga rättigheterna som har direkt betydelse för utredningsuppdraget. Det har i övrigt inte varit möjligt att beakta rättstillämpningen i utlandet.

I fråga om rättstillämpningen i övrigt i Sverige har utredningen beaktat Datainspektionens praxis (avs nitt 5.3), bas erat på uppgifter som Datainspektionen lämnat till utredningen, och Justitiekanslerns praxis ( avsnitt 5.4), baserat på u ppgifter från Justitiekanslern. I övrigt har det inte varit möjligt för utredningen att systematiskt beakta hur personuppgiftsansvariga och registrerade i praktiken tillämpar personuppgiftslagen.

Eftersom annan vägledning än rättspraxis kan ha stor betydelse, särskilt innan rättspraxis hunnit bildas, berörs även sådan vägledning kortfattat (avsnit t 5.6).

5.2. Svensk domstolspraxis

Under detta avsnitt redovisas svensk domstolspraxis som utredningen fått kännedom om och som kan vara av betydelse för utredningsuppdraget. Det finns ingen garanti för att redovisningen är fullständig avseende underrättspraxis, eftersom det visat sig inte vara möjligt att systematiskt söka fram alla äldre avgöranden som kan vara av betydelse. Från den 1 juli 2002 har det emellertid införts en skyldighet för domstolar att sända relevanta avgöranden till Datainspektionen.

21

Det finns bara ett fåtal avgöranden som direkt har gällt tillämpningen av personuppgiftslagen. Bara ett fall har avgjorts av högsta instans. Det är i stället främst genom avgöranden om tillämpningen av 7 kap. 16 § sekretesslagen, som hänvisar till personuppgiftslagen, som personuppgiftslagen kommit upp i domstol.

Fall som i första hand gäller om ett visst förfarande med personuppgifter är skyddat av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen kan ha avgörande betydelse för om personuppgiftslagen är tillämplig. Eftersom sådana fall inte direkt gäller tillämpningen av personuppgiftslagen utan tillämpningen av grundlagarna, redovisas fallen inte här.

5.2.1. Tillämpning av personuppgiftslagen

Inledning

Bara ett fåtal fall har gällt frågan om ansvar för brott mot personuppgiftslagen. Alla fall utom ett har gällt publicering på Internet. Några fall är inte slutligen avgjorda ännu. Något exempel på enskilt åtal har utredningen inte hittat, utan i samtliga brottmål har åklagare fört talan.

Bara i ett fall har det varit fråga om ett tvistemål om skadestånd för brott mot personuppgiftslagen utan samband med ett brottmål.

21

Förordningen (2002:265) om underrättelse till Datainspektionen om vissa domar och

beslut.

Internetpublicering

Prejudikat från Högsta domstolen om webbplats för kritik och debatt

Ett fall om Internetpublicering har avgjorts av Högsta domstolen (NJA 2001 s. 409). Det gällde en man – B – som under namnet Stiftelsen Mot Nordbanken (SMN) inrättat en webbplats på Internet. På webbplatsen förekom bl.a. en s.k. elektronisk skampåle och uppgifter om flera namngivna personer. Som exempel kan nämnas att det på webbplatsen fanns uppgifter om en person som innebar att denne bl.a. ingått avtal som avslöjade ytterst grova brott mot bank- och avtalslagar, tillsammans med andra plundrat och slaktat B:s företagsgrupp, i samverkan med andra satt ihop ett avtal som B tvingades underteckna under hot av konkurs, varit inblandad i skenaffärer i syfte att göra en skattebluff, utställt luftfakturor på cirka 400 000 kr, förskingrat B:s tillgångar samt bestulit B på hans livsverk. På webbplatsen hade B angett att SMN är ett ”forum för belysning av bankers, finansbolags och enskilda kapitalisters skadegörelse före, under och efter bankkrisen. Miljardrullningar som med sitt brottsliga inslag ännu inte nått sin kulmen. SMN ska genom Internet förmedla kunskap, erfarenheter och råd för att förhindra en upprepning av denna genom tiderna största svenska samhällskandal i sitt slag. Allt för att folk skall kunna skydda sig mot skrupelfria banker och samvetslösa nätverkskapitalister som har satt i system att roffa åt sig ytterligare makt och medel på entreprenörers, uppfinnares och samhällets bekostnad.”

Åtalet gällde i Högsta domstolen bl.a. att B på Internet lagt ut såväl integritetskränkande som andra personuppgifter varigenom de förts över till tredje land. Högsta domstolen bedömde B:s förfarande enligt personuppgiftslagen, och den avgörande frågan var om förfarandet var undantaget från straffansvar enligt 7 § andra stycket i den lagen därför att behandlingen av personuppgifter skett uteslutande för journalistiska ändamål. Domstolen noterade att den bestämmelsen grundar sig på artikel 9 i EG-direktivet och fortsatte:

”När det gäller tolkningen av artikel 9 i direktivet finns det anledning att peka på att EU enligt artikel F.2 i fördraget om upprättande av Europeiska unionen skall respektera de grundläggande rättigheterna så som de garanterats i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och så som de följer av medlemsstaternas gemensamma konstitutionella traditioner. Detta

återspeglas på olika sätt i regleringen i direktivet. Av artikel 1 framgår att syftet med direktivet är att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Av punkt 10 i direktivets ingress framgår att med rätten till privatliv avses detsamma som i artikel 8 i Europakonventionen. Enligt den artikeln har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. På motsvarande sätt framgår av direktivets ingress, punkt 37, att bestämmelserna i artikel 9 om yttrandefrihet särskilt avser den frihet att ta emot och sprida uppgifter och tankar som fastslagits i artikel 10 i Europakonventionen.

Det får mot den bakgrunden anses vara uppenbart att tolkningen av artikel 9 i direktivet skall ske med särskilt beaktande av Europakonventionen. Sedan den 1 januari 1995 gäller Europakonventionen också som lag här i landet och lag eller annan föreskrift får inte meddelas i strid med konventionen enligt 2 kap. 23 § regeringsformen.

Skyddet enligt artikel 8 i Europakonventionen avser privatlivets område. Även om det kan vara svårt att avgränsa vad som är att hänföra till det området faller alltså uppgifter som hänför sig till en persons offentliga liv i princip utanför skyddsområdet. Så länge uppgifterna angår privatlivet saknar det däremot i sig betydelse vilken karaktär som uppgifterna i övrigt har. Skyddet gäller i sådant fall även om uppgifterna inte i sig är känsliga på annat sätt än att de angår privatlivet. Skyddet enligt artikel 8 får inskränkas med stöd av lag bl.a. om det i ett demokratiskt samhälle är nödvändigt med hänsyn till andra personers fri- och rättigheter. En sådan rättighet som kan föranleda inskränkningar är den i artikel 10 skyddade yttrandefriheten.

Den i artikel 10 föreskrivna rätten till åsiktsfrihet och till att utan offentlig myndighets inblandning ta emot och sprida uppgifter och tankar är inte inskränkt till någon viss grupp av personer utan avser var och en. Utövandet av yttrandefriheten får i lag underkastas bl.a. sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som i ett demokratiskt samhälle är nödvändiga till skydd för annans goda namn och rykte eller rättigheter. En rättighet som kan föranleda inskränkningar är den i artikel 8 skyddade rätten till privatliv. En sådan inskränkning kan sträcka sig längre än vad som behövs för skydd av annans goda namn eller rykte. För uppgifter som ligger utanför det av artikel 8 skyddade området får inskränkningen däremot i allmänhet inte sträcka sig längre än vad som krävs för detta ändamål.

Det finns inte anledning att anta att direktivet i nu berörda hänseenden skulle tolkas på annat sätt än i överensstämmelse med Europakonventionen. I den danska lagstiftning som implementerat direktivet har detta markerats genom att i lagen införa en uttrycklig hänvisning till artikel 10 i Europakonventionen. I motsvarande norska lagstiftning har undantaget för journalistiska ändamål av motsvarande skäl preciserats

till att också omfatta ’opinionsdannende’ ändamål. Det kan också noteras att den rekommendation (1/97) angående lagstiftning om uppgiftsskydd och medierna som avgivits av den arbetsgrupp som inrättats enligt artikel 29 i direktivet uttryckligen tar sin utgångspunkt i Europakonventionens artiklar 8 och 10.

Av vad som anförts ovan framgår att rättigheterna enligt artikel 8 och 10 i Europakonventionen i enskilda fall kan komma i konflikt med varandra. För att avgöra sådana konflikter tillämpar Europadomstolen den s.k. proportionalitetsprincipen vilket innebär att en avvägning görs mellan intresset av skydd för privatlivet och intresset av yttrandefrihet. Det får antas att det i personuppgiftslagen föreskrivna, på direktivet grundade, undantaget för journalistiska ändamål utgör ett försök att i mer generella termer ge uttryck för en sådan intresseavvägning. Att uttrycket journalistiska ändamål använts kan under sådana förhållanden inte antas vara i avsikt att privilegiera etablerade massmedier eller personer som är yrkesverksamma inom sådana medier. Med uttrycket torde snarare få antas vara avsett att betona vikten av en fri informationsspridning i frågor av betydelse för allmänheten eller för grupper av människor och en fri debatt i samhällsfrågor.

Undantag från de i artikel 8 och 10 garanterade rättigheterna får göras endast om det är nödvändigt för skyddet av grundläggande värden i ett demokratiskt samhälle. Av Europadomstolens praxis framgår att tolkningen av vad som är nödvändigt, och därmed också den avvägning som kan behöva göras mellan olika rättigheter, inte kan fastställas för alla länder och alla tidpunkter utan måste bedömas mot bakgrund av rådande förhållanden i varje land. Varje stat anses åtnjuta en viss frihet att bedöma om ett ingrepp är nödvändigt eller inte och därmed också hur intresseavvägningen mellan olika rättigheter bör göras i enskilda fall.

Vid den svenska implementeringen av direktivet har det också gjorts den bedömningen att artikel 9 tillåter ett hänsynstagande till bl.a. konstitutionella traditioner och principer och att direktivet därför inte lägger hinder i vägen för det generella undantag från personuppgiftslagens bestämmelser som enligt 7 § första stycket gäller i den utsträckning som en tillämpning av dessa skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (jfr SOU 1997:39 s. 263 och prop. 1997/98:44 s. 50 f). Även om det kan diskuteras hur långt spelrummet för nationella variationer sträcker sig (jfr Lagrådet i a. prop. s. 236) torde det vara uppenbart att ett sådant utrymme finns när det gäller tillämpningen av undantag för journalistiska ändamål. Att så är fallet vinner också stöd av utformningen av den rekommendation som berörts ovan.

I förarbetena till personuppgiftslagen har beträffande undantaget för journalistiska ändamål angetts att utgångspunkten skulle vara att detta

handlar om ’vedertagen’ journalistik (a. SOU s. 264) samt att enighet skulle råda om att ’seriös’ journalistisk verksamhet är skyddsvärd (a. prop. s. 52). Oavsett ordvalet står det klart att avsikten med dessa uttalanden inte varit att hävda att avgränsningen skulle ske med tillämpning av någon form av kvalitetskriterium när det gäller innehållet utan endast syftat till att ange karaktären av en bedriven verksamhet. Detta framgår bl.a. av den särskilda förklaring i mötesprotokollet som Sverige fick intagen i samband med att direktivet antogs i ministerrådet. Enligt förklaringen ansåg Sverige att de med journalistiska ändamål jämställda undantagen för konstnärligt eller litterärt skapande mera syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet (jfr de s.k. instruktionerna i 1 kap. 4 § tryckfrihetsförordningen och 1 kap. 5 § yttrandefrihetsgrundlagen). Enligt vad som anges i propositionen (s. 53) skall tolkningen av undantaget ske med hänsyn till den avgivna förklaringen vilket anges kunna få betydelse särskilt för kommunikation som inte bedrivs av yrkesverksamma journalister.

Det syfte för webbsidan som angetts på denna och som [B] utvecklat i målet måste mot den angivna bakgrunden anses ligga väl inom ramen för ett journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. I vad mån sedan webbsidan kan anses motsvara godtagbar standard enligt de kriterier som man brukar använda när man värderar etablerad journalistisk verksamhet saknar i sig betydelse för bedömningen.

Att webbsidan som sådan måste anses ha haft ett journalistiskt ändamål utesluter emellertid inte att det inom ramen för denna skulle kunna förekomma publicering och behandling av personuppgifter som inte kan anses ha haft ett journalistiskt ändamål. Publicering av uppgifter av rent privat karaktär kan exempelvis normalt inte anses ha ett journalistiskt ändamål helt oberoende av om publiceringen sker i ett sammanhang som i övrigt har journalistiska ändamål. Det saknar härvid i princip betydelse om uppgifterna angår personer som det lämnats också andra uppgifter om som får anses vara omfattade av det journalistiska ändamålet.

[B] får anses ha gjort gällande att alla personuppgifter på webbsidan omfattas av journalistiska ändamål. Under sådana förhållanden ankommer det i princip på åklagaren att åberopa och visa att det föreligger sådana omständigheter som gör att denna invändning mot ansvar framstår som obefogad (jfr NJA 2000 s. 355 och a. prop. s. 119). Vad åklagaren kan anses ha åberopat i denna del är att uppgifterna varit kränkande.

Att elektroniskt eller på annat sätt publicerade texter innehåller kränkande eller nedvärderande uppgifter eller omdömen innebär emellertid inte i sig att det inte är fråga om journalistiska ändamål. Tvärtom får sådant anses utgöra ett normalt inslag inom ramen för en kritisk

samhällsdebatt. Som Europadomstolen framhållit innefattar yttrandefriheten även rätten att framföra sådan information och sådana åsikter och tankar som kränker, chockerar eller stör.

Då det i målet inte framförts någon annan omständighet som skulle kunna göra att vissa av personuppgifterna inte omfattades av journalistiska ändamål skall [B:s] invändning i den delen godtas.

För att webbsidan skall vara undantagen från straffansvar enligt 7 § andra stycket personuppgiftslagen krävs emellertid härutöver att behandlingen på webbsidan skett ’uteslutande’ för journalistiska ändamål. Åklagaren får anses ha gjort gällande att [B] haft till syfte att sprida kränkande eller nedvärderande personuppgifter och att behandlingen av dessa uppgifter med hänsyn härtill i vart fall inte skett uteslutande for journalistiska ändamål.

Begränsningen till ’uteslutande’ journalistiska ändamål syftar i första hand på att klargöra att sådan personuppgiftsbehandling som sker inom massmedia och av journalister för annat än redaktionella ändamål faller utanför undantaget. Massmedias behandling av personuppgifter för exempelvis fakturering, direktreklam eller kartläggning av läsarprofiler faller således utanför undantaget (jfr rekommendationen 1/97). Något stöd för att uttrycket ’uteslutande’ därutöver också skulle tolkas så att det oberoende av att en publicering haft journalistiska ändamål skulle vara möjligt att med stöd av personuppgiftslagen bestraffa angrepp på annans goda namn och rykte kan inte anses föreligga.

Detta innebär inte att det så länge som det föreligger ett journalistiskt ändamål står fritt att framföra uppgifter av det aktuella slaget. Uppgiftslämnandet kan vara straffbart som förtal enligt den reglering som finns för sådana brott med särskild försvarlighetsbedömning och möjlighet till sanningsbevisning. Något utrymme för att göra motsvarande bedömningar inom ramen för personuppgiftslagen finns däremot inte. Mot den bakgrunden måste det anses stå klart att straffansvaret enligt personuppgiftslagen inte heller kan avgränsas utifrån sådana kriterier.

Högsta domstolen, som mot bakgrund av vad som anförts inte bedömt det som nödvändigt att inhämta något förhandsavgörande från EG-domstolen, finner sammanfattningsvis – vid tillämpning av 7 § andra stycket i den svenska personuppgiftslagen – att det inte är visat annat i målet än att [B:s] behandling av personuppgifter på den aktuella webbsidan skett uteslutande för journalistiska ändamål. Han skall därför inte dömas till ansvar för den åtalade gärningen. Vid den bedömningen saknar Högsta domstolen anledning att pröva i vad mån det även på annan grund skulle kunna finnas skäl att ogilla åtalet.”

Högsta domstolen synes i rättsfallet ha gjort en vid och yttrandefrihetsvänlig tolkning av kravet på att en behandling av personupp-

gifter skall ha skett uteslutande för journalistiska ändamål. Det har ansetts som journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten.

Publicering av uppgifter om misstänkta våldtäktsmän

I fallet – Helsingborgs tingsrätts dom 2001-01-31 i mål nr B 3915-00 – dömdes en person för brott mot personuppgiftslagen till 80 dagsböter för det att han på sin hemsida på Internet påstått att fem namngivna personer gjort sig skyldiga till våldtäkt och därigenom olovligen dels behandlat personuppgifter om lagöverträdelser som innefattar brott, dels fört över personuppgifterna till tredje land. Den tilltalade dömdes också att betala skadestånd för kränkning med 5 000 kr vardera till två målsägande.

Publicering av uppgifter om journalister

En person åtalades för att han olovligen fört över uppgifter om flera personer till tredje land. Tingsrätten – Linköpings tingsrätts dom 2003-07-01 i mål nr B 260-01 – kom fram till att han lagt ut uppgifterna på Internet på en ”rödinglista” och gjort sig skyldig till brott mot personuppgiftslagen. Brottet ansågs grovt i fråga om två politiskt aktiva personer och två journalister. Publiceringen av personuppgifterna ansågs i dessa fall nämligen ha haft till syfte att motverka politiskt engagemang och politisk verksamhet samt att motverka ett fritt meningsutbyte i medierna och på annat sätt. Beträffande övriga personer hade publiceringen inte haft samma allvarliga syfte, varför brottet inte ansågs grovt utan var preskriberat. Den tilltalade dömdes till 150 dagsböter för grovt brott mot personuppgiftslagen, grovt olaga hot och rattfylleri. Tingrätten dömde också ut yrkade skadestånd för kränkning på mellan 5 000 och 60 000 kr. De två journalisterna fick dessutom ekonomiskt skadestånd för förlorad arbetsförtjänst, medan ett skadeståndskrav för kostnader för reparation av dörr ogillades eftersom det inte var visat att kostnaderna uppkommit till följd av den gärning som den tilltalade gjort sig skyldig till.

Publicering av uppgifter om arbetskamrater

Ett pågående mål gäller publicering av personuppgifter om arbetskamrater på Internet. Det fallet gäller en person – B – som arbetade i ett pastorat och lade ut hemsidor på Internet om arton personer som arbetade inom pastoratet. B nämnde på en hemsida bl.a. att en person skadat foten och var halvt sjukskriven. Eksjö tingsrätt fann i dom 2000-06-07 i mål nr B 809-99 att B genom oaktsamhet brutit mot personuppgiftslagen genom att behandla en känslig personuppgift – uppgiften om den skadade foten och sjukskrivningen – genom att låta bli att anmäla behandlingen av personuppgifter till Datainspektionen och genom att föra över personuppgifter till tredje land. Tingsrätten kom också fram till att överträdelserna inte var ringa och dömde B till fyrtio dagsböter.

B har överklagat domen till Göta hovrätt (mål nr B 747-00) som gett henne prövningstillstånd. Hovrätten beslutade den 23 februari 2001 att hämta in ett s.k. förhandsavgörande från EG-domstolen i sju olika frågor om tolkningen av EG-direktivet. EG-domstolen meddelade dom den 6 november 2003 (mål C-101/01), se avsnitt 5.5.2. Göta h ovrätt har ännu inte avgjort målet.

Ett annat pågående mål gäller närmast en arbetsgivares publicering av uppgifter om en anställd. Kristinehamns tingsrätt dömde en ordförande i en privatskola till åttio dagsböter för att skolan på en hemsida på Internet publicerat uppgifter om att en anställd haft samarbetssvårigheter och varit sjukskriven (Kristinehamns tingsrätts dom 2003-02-06 i mål nr B 291-02). De publicerade uppgifterna ansågs som känsliga personuppgifter enligt 13 § personuppgiftslagen, och det förhållandet att uppgifterna funnits kvar på hemsidan en tid efter det att den anställde påtalat saken ansågs försvårande. Att den anställde i efterhand – sedan han fått 13 000 kr för det inträffade – lämnat sitt samtycke till publiceringen tillmättes ingen betydelse. Den tilltalade överklagade, men Hovrätten för Västra Sverige (dom 2003-06-25 i mål nr B 1750-03) har fastställt tingsrättens dom. Den tilltalade har överklagat hovrättens dom.

Publicering av uppgifter om närstående eller f.d. närstående

Några fall har gällt publicering på Internet av fotografier och andra uppgifter om personer som gärningsmannen känt personligen, t.ex. uppgifter om en f.d. flickvän.

I det första fallet – Trollhättans tingsrätts dom 2002-03-27 i mål nr B 5-02 – hade en person, A, på en webbplats på Internet publicerat två fotografier av en annan person och nitton fotografier av sin svägerska utan deras kännedom eller samtycke. Tingsrätten gjorde följande bedömning:

”Skuldfrågan I målet är utrett att [A] har lagt ut fotografier av målsägandena på en webbplats på Internet. Att på det viset hantera fotografier av identifierbara och nu levande personer skall bedömas som behandling av personuppgifter enligt 3 § personuppgiftslagen. Den omständigheten att [A] har spritt personuppgifterna via en webbplats på Internet och därmed till ett obestämt antal personer, innebär att behandlingen inte bör betraktas som ett led i en rent privat verksamhet. Behandlingen är därmed inte enligt 6 § undantagen från personuppgiftslagens tillämpningsområde (se SOU 1997:39 s. 120121).

Att personuppgifter läggs ut på en webbplats på Internet på det sätt som skett i detta fall innebär att uppgifterna har gjorts tillgängliga för användare av Internet i hela världen. Det är därmed fråga om överföring av personuppgifter till tredje land. Enligt 33 § personuppgiftslagen är det förbjudet att till tredje land föra över personuppgifter som är under behandling, om landet inte har en adekvat nivå för skyddet av personuppgifterna. […]

33 § personuppgiftslagen medger alltså att personuppgifter under vissa förutsättningar överförs till tredje land. Emellertid är sådan överföring tillåten endast om behandlingen uppfyller personuppgiftslagens krav i övrigt (se prop. 1999/2000:11 s. 16). I detta fall kan konstateras att [A] vid behandling av [svägerskans] personuppgifter inte har uppfyllt de grundläggande krav som ställs i 10 § personuppgiftslagen på tillåten behandling. [A] har därmed brutit mot 33 § personuppgiftslagen genom att till tredje land föra över personuppgifter som varit under behandling, trots att detta inte varit tillåtet.

Vid angivna förhållanden har [A] gjort sig skyldig till brott enligt 49 § personuppgiftslagen, såvida det inte är fråga om ett ringa fall. Vad som är ringa fall skall bedömas med hänsyn till samtliga omständigheter i det enskilda fallet. Alla faktorer såsom uppgifternas art och vilken integritetskränkning eller risk för integritetskränkning som behandlingen har orsakat skall vägas in (se prop. 1999/2000:11 s. 21).

På webbsidan med målsägandenas bilder fanns bl.a. texten ‘At tribute to all beautiful young girls in the world’. På sidan fanns under rubriken ‘Beautiful links’ ett antal länkar till andra webbplatser med namn som bl.a. ‘Obsessed of Lil Amber’, ‘Lovely Amanda’ och ‘Our little angels’. Vidare fanns texten ‘Subscribe to adorepreteen’ som tydligen var en särskild funktion som gav möjlighet att prenumerera på en e-

postlista. Även om [A] har bestritt att hans webbsida haft kopplingar till någon form av barnpornografi, innebär de sammantagna omständigheterna kring behandlingen att gärningen inte kan betraktas som ringa.

[A] har invänt att han saknat uppsåt till brott, eftersom han inte visste att det var otillåtet att lägga ut bilder på en webbplats på Internet.

Enligt vad [A] själv har berättat är utrett att han har haft uppsåt till de faktiska omständigheterna, dvs. att han vidtog åtgärder med bilder av identifierbara personer och att bilderna, genom att läggas ut på Internet, skulle bli tillgängliga för Internetanvändare i hela världen. Det förhållandet att [A] kan ha varit okunnig om det närmare innehållet i personuppgiftslagen fritar honom inte från ansvar.

[…] Skadeståndsfrågan I målet är utrett att [A] har behandlat [svägerskans] personuppgifter i strid med personuppgiftslagen. [A] är därmed enligt 48 § personuppgiftslagen skyldig att ersätta [svägerskan] för skada och för kränkning av den personliga integriteten som behandlingen har orsakat.

[A] har på Internet lagt ut ett stort antal bilder av [svägerskan], tagna när hon var barn. Även om bilderna är av vardaglig karaktär och alltså i sig inte anmärkningsvärda, måste ändå beaktas att det rör sig om bilder som till sin natur är privata och som [svägerskan] inte haft skäl att anta skulle få en stor spridning bland okända. Dessa omständigheter i förening med utformningen av webbsidan innebär enligt tingsrättens mening en förhållandevis allvarlig kränkning av [svägerskans] personliga integritet. Ersättningen för kränkning bestäms till skäliga 5 000 kr.

Enligt [svägerskans] och [en annan persons] samstämmiga uppgifter har [svägerskan] mått psykiskt dåligt av vetskapen att [A] hade lagt ut bilder av henne på Internet. Som tingsrätten har konstaterat ovan måste [A:s] handlande anses ha inneburit en förhållandevis allvarlig kränkning av hennes personliga integritet. Tingsrätten finner mot denna bakgrund att det får anses utrett att det i målet aktuella brottet har orsakat [svägerskan] sådan skada som skall ersättas i form av sveda och värk. Ersättningen bestäms till skäliga 5 000 kr.”

Tingrätten dömde A för brott mot personuppgiftslagen och viss annan brottslighet till skyddstillsyn och åttio dagsböter samt förpliktade honom att betala sammanlagt 10 000 kr i skadestånd till svägerskan.

I ett annat fall dömde Uppsala tingsrätt en person för brott mot personuppgiftslagen till 50 dagsböter för att han på en hemsida på Internet utan samtycke publicerat uppgifter av rent privat karaktär – om bl.a. födelsetid, adress och familjeförhållanden – om en kvin-

na som inte varit harmlösa och därmed fört över uppgifterna till tredje land (Uppsala tingsrätts dom 2002-05-02 i mål nr B 879-02).

Ett par fall har gällt publicering på Internet av sexkontaktannonser. I ett fall dömde Solna tingsrätt en person till fängelse i tre månader för grovt förtal och brott mot personuppgiftslagen för att han vid tre tillfällen låtit publicera på Internet sexkontaktannonser om en f.d. sambo (Solna tingsrätts dom 2002-04-03 i mål nr B 296-01). Svea hovrätt har efter överklagande fastställt domen (dom 2002-11-04 i mål nr B 4812-02, RH 2002:71), och Högsta domstolen har inte meddelat prövningstillstånd (beslut 2003-02-14 i mål nr B 4382-02). I ett annat fall dömde Södra Roslags tingsrätt en person till fängelse i två månader för brott mot personuppgiftslagen, grovt förtal och anstiftan till sexuellt ofredande för att han vid ett tillfälle publicerat en sexkontaktannons på Internet om en flicka han lärt känna via Internet (dom 2003-10-01 i mål nr 2614-03). Flickan fick skadestånd med 20 000 kr, varav 10 000 kr för sveda och värk och 10 000 kr för kränkning. Den dömde har överklagat domen.

Upprättande av datoriserat register över politiska motståndare

Ett fall har gällt upprättandet av ett regelrätt datoriserat register som inte publicerats på Internet. Riksåklagaren åtalade två personer för brott mot personuppgiftslagen, grovt brott, för att de på automatisk väg olovligen lagrat uppgifter om mer än ettusen personer i ett register. Personuppgifterna avsåg ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, sexualliv och domar i brottmål. Syftet med registreringen var enligt åtalet att kunna sprida uppgifterna och därmed bl.a. möjliggöra angrepp på personer på grund av deras politiska uppfattning, ras, etniska ursprung eller trosbekännelse.

Helsingborgs tingsrätt (dom 2002-11-07 i mål nr B 1124-00) ogillade åtalet mot den ena personen eftersom han påbörjat behandlingen av personuppgifterna medan datalagen gällde och då det han gjort inte var straffbart enligt både datalagen och personuppgiftslagen (se 5 § lagen om införande av brottsbalken).

Den andra personen dömdes till tre månaders fängelse för grovt brott mot personuppgiftslagen och ringa vapenbrott (avseende tårgas). Han hade invänt att behandlingen var av rent privat natur och att den hade journalistiska ändamål. Tingsrätten ansåg dock att registret, med det innehåll och den utformning det hade, inte kunde

bidra till information, kritik och debatt om samhällsfrågor av betydelse för allmänheten. Enligt tingsrätten var det uppenbart att registret inte hade något som helst att tillföra samhälls- och allmänintresset. Registret saknade enligt tingsrättens mening värde som bakgrundsinformation för en seriös samhällsdebatt. Det var, enligt tingsrätten, uppenbart att den verkliga avsikten med behandlingen varit att kartlägga politiska motståndare och att på något sätt sprida uppgifter om dem och därmed möjliggöra angrepp på dem.

När det gällde bedömningen att brottet mot personuppgiftslagen var grovt noterade tingsrätten följande omständigheter. Behandlingen hade rört en mängd personer och avsett mycket känsliga uppgifter. Syftet med behandlingen var att kartlägga politiska meningsmotståndare och utsätta dessa för trakasserier. Behandlingen hade haft ett diskriminerande motiv. Behandlingen hade inneburit en avsevärd kränkning av de registrerades personliga integritet.

Mot bakgrund av omfattningen av behandlingen och den synnerligen stora kränkning denna inneburit för människors personliga integritet ansåg tingsrätten att brottet var av en sådan art att påföljden skulle bestämmas till fängelse.

Tingsrätten biföll också åklagarens yrkande om förverkande enligt 36 kap. 3 § första stycket första punkten brottsbalken av bl.a. CD-skivor och handskrivna lappar som innehöll känsliga personuppgifter och personuppgifter som avser domar i brottmål.

Ett skadestånd för kränkning om 10 000 kr dömdes också ut. Ytterligare skadeståndsanspråk avskildes från brottmålet och handläggs för närvarande som separata tvistemål.

Åklagaren, den person som dömts och målsägandena överklagade tingsrättens dom. Hovrätten över Skåne och Blekinge (dom 2003-11-11 i mål nr B 3113-02) frikände den person som dömts vid tingsrätten och dömde den person som frikänts vid tingsrätten för brott mot datalagen. Hovrätten ansåg att båda tilltalade hade påbörjat sin behandling av personuppgifterna redan innan personuppgiftslagen trädde i kraft och att det därför krävdes att det de gjort var straffbart enligt både datalagen och personuppgiftslagen. Hovrätten kom fram till att den person som frikändes inte hade fört ett sådant personregister som datalagen gällde för och därför inte kunde dömas för brott mot den lagen. Den andra personen hade emellertid enligt hovrätten brutit mot förbudet i datalagen mot att lämna ut en personuppgift i ett personregister, om det finns anledning att anta att uppgiften skall användas för automatisk databehandling i strid med datalagen, genom att lämna en CDskiva med ett datorregister till den frikände. Den behandlingen av

bl.a. känsliga personuppgifter är enligt hovrätten straffbar också enligt personuppgiftslagen. Hovrätten ansåg att det kunde hållas för säkert att de tilltalade inte haft sådant syfte med behandlingen som avses med undantaget från personuppgiftslagen för rent privat behandling och behandling för journalistiska ändamål (6 och 7 §§). Hovrätten pekade bl.a. på att de, trots att de haft tillgång till uppgifterna i mer än ett år, inte redovisat några resultat av journalistisk verksamhet. En målsägande fick ett skadestånd enligt datalagen.

Tvistemål om skadestånd för förbrytargalleri på Internet

I ett tvistemål om skadestånd för brott mot personuppgiftslagen har Hovrätten för Västra Sverige (dom 2002-06-20 i mål nr T 250 5-01)

22

med hänvisning till Högsta domstolens avgörande i

NJA 2001 s. 409 ansett att en publicering av namn och bild på Internet i ett ”förbrytargalleri” på en hemsida som var gjord för att visa hur myndigheter och en entreprenör agerat i samband med ett vägbygge skett uteslutande för journalistiska ändamål.

5.2.2. Tillämpning av 7 kap. 16 § sekretesslagen

Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Rättsfall om tillämpningen av den bestämmelsen kan därför ge vägledning om vilken behandling av personuppgifter som står eller inte står i strid med personuppgiftslagen. Det är i själva verket främst genom avgöranden om tillämpningen av 7 kap. 16 § sekretesslagen som personuppgiftslagen hittills kommit upp i domstol.

Det finns tre vägledande rättsfall från högsta instans – Regeringsrätten.

Manuell behandling av personuppgifter

Ett fall från Regeringsrätten – RÅ 2001 ref. 35 – har gällt frågan om en viss manuell behandling av personuppgifter omfattas av person-

22

Högsta domstolen har inte meddelat prövningstillstånd, beslut 2002-11-06 i mål nr

T 2872-02.

uppgiftslagen därför att uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, 5 § andra stycket personuppgiftslagen. Ett företag ville ha ut betygsuppgifter på papper från Kungliga Tekniska Högskolan (KTH) om cirka 1 400 studenter. Vid utlämnandet skulle uppgifterna vara sorterade efter studenternas efternamn. Företaget skulle därefter manuellt beräkna medelbetyg för varje student och sortera handlingarna efter medelbetyg. Regeringsrätten förordnade att betygshandlingarna skulle lämnas ut till företaget och anförde i domskälen bl.a. följande:

”Av lagtexten, förarbetena och persondatadirektivet får anses framgå att någon form av förberedelse eller bearbetning måste ha ägt rum för att personuppgifter i ett antal dokument skall kunna anses ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär enligt Regeringsrättens mening att tillgängligheten i regel måste ha åstadkommits genom något särskilt arrangemang för sökning bland uppgifterna, t.ex. i form av kortregister, sökmarkörer eller liknande. Det skall således finnas möjlighet till sökning av olika personuppgifter på ett betydligt effektivare sätt än i form av en genomgång och granskning dokument för dokument. Detta leder till slutsatsen att en sortering av ett antal dokument i en viss ordning inte utan ytterligare åtgärder kan anses uppfylla det i lagtexten angivna kravet. Regeringsrätten finner därför att personuppgifterna i de efterfrågade handlingarna vid ett utlämnande från KTH inte ingår i en sådan samling som omfattas av PUL. Frågan är då om personuppgifterna i de handlingar som återstår efter det att bolaget gallrat handlingarna och sorterat återstående handlingar efter varje students betygsgenomsnitt kan sägas ingå i en sådan samling. Med hänsyn till vad som uppgivits om det beräknade antalet återstående handlingar [några tiotal betygshandlingar] kan det i och för sig ifrågasättas om mängden uppgifter är tillräcklig för att kunna utgöra en sådan samling. Utan ytterligare bearbetning utgör handlingarna emellertid även i detta skick endast ett antal handlingar sorterade i en viss ordning. Kravet på bearbetning är i den situationen enligt Regeringsrättens mening lika litet uppfyllt som vid ett utlämnande från KTH. Den omständigheten att möjligheten finns att i stället sortera handlingarna efter studenternas ålder eller i bokstavsordning efter studenternas efternamn ändrar inte detta förhållande.”

Kammarrätten i Stockholm har (dom 2000-09-21 i mål nr 3398-2000) gjort en liknande bedömning i fråga om en förteckning

över gällande hyreskontrakt hos Familjebostäder; en komplettering av förteckningen, sorterad efter adress, med ytterligare en kolumn med namn ansågs inte innebära att personuppgifterna i förteckningen blev tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Även Kammarrätten i Göteborg har (dom 2001-07-04 i mål nr 1521-2001) gjort en liknande bedömning i fråga om betygskataloger över grundskoleelever i en kommun.

Länsrätten i Stockholms län har (dom 2002-10-29 i mål nr 4349-02 E) bedömt att en samling mikrokort i pärmar i visst fall utgjort ett sådant manuellt register som omfattas av personuppgiftsla gen, se om fallet i avsnitt 5.2.3.

Eskilstuna tingsrätt har (dom 2002-04-16 i mål nr B 506-02) i ett mål om ansvar för tjänstefel gjort bedömningen att förandet av en förteckning i en anteckningsbok över personer som omhändertagits enligt lagen (1976:511) om omhändertagande av berusade personer, som var sökbar endast på namn, inte omfattas av personuppgiftslagen.

Behandling för direkt marknadsföring eller liknande

Det andra rättsfallet från Regeringsrätten – RÅ 2001 ref. 68 – gällde frågan om behandling av personuppgifter för direkt marknadsföring var tillåten efter en intresseavvägning enligt 10 § f personuppgiftslagen. Ett företag hade hos Jordbruksverket begärt att få ut en kopia av verkets adressregister över mjölkproducenter för att kunna marknadsföra sina foderprodukter. Regeringsrätten förordnade att adressregistret skulle lämnas ut till företaget och anförde i domskälen bl.a. följande:

”Den av bolaget avsedda behandlingen omfattas av PUL och får anses nödvändig för att tillgodose bolagets intresse av att på visst sätt marknadsföra foderprodukter. Detta ändamål får enligt Regeringsrättens mening ses som ett berättigat intresse. Fråga är då om begärda uppgifter kan lämnas ut på den grunden att bolagets intresse av att behandla uppgifterna för marknadsföring kan anses väga tyngre än den enskildes integritetsintresse.

[E]nligt 10 § f PUL [skall] en avvägning göras mellan – i det här fallet – bolagets kommersiella intresse och den enskildes intresse av ’skydd mot kränkning av den personliga integriteten’. Med hänsyn till att det är fråga om marknadsföring riktad till näringsidkare, att uppgifterna i fråga inte kan bedömas som känsliga och att den enskilde kan

motsätta sig att personuppgifterna används för direkt marknadsföring finner Regeringsrätten att bolagets kommersiella intressen får anses väga tyngre än den enskildes integritetsintresse.”

Kammarrätten i Jönköping hade i ett tidigare fall om utlämnande av adressregistret (dom 1999-11-16 i mål nr 3865-1999) kommit till motsatt slutsats och vägrat utlämnande.

Det tredje fallet från Regeringsrätten – RÅ 2002 ref. 54 – gällde också intresseavvägning enligt 10 § f personuppgiftslagen vid direkt marknadsföring. Ett företag ville ha ut Centrala Studiestödsnämndens register över studiestödsmottagare för att sända erbjudanden om rabatter till studenterna en gång per termin. Eftersom det var fråga om en stor mängd personuppgifter, fick det antas att företaget hade för avsikt att använda sig av helt eller delvis automatiserad behandling. Regeringsrätten fann att den avsedda behandlingen omfattades av personuppgiftslagen och fick anses vara nödvändig för att tillgodose företagets intresse av att i marknadsföringssyfte skicka ut rabatterbjudandena, ett intresse som befanns berättigat. Regeringsrätten refererade övervägandena angående intresseavvägningen i fråga om Jordbruksverkets register över mjölkproducenter som var näringsidkare (RÅ 2001 ref. 68) och fortsatte:

”I detta mål är det emellertid fråga om privatpersoners intresse av skydd för den personliga integriteten. Det bör i ett sådant fall därför krävas att avvägningen mellan bolagets kommersiella intresse och den enskildes integritetsintresse på ett entydigt sätt utfaller till det förstnämndas förmån för att ett utlämnande av de begärda uppgifterna skall kunna ske.

Såvitt gäller den planerade marknadsföringens omfattning beaktar Regeringsrätten att denna får anses vara förhållandevis begränsad genom att den inskränker sig till ett utskick per termin. Beträffande marknadsföringens innehåll har bolaget inte närmare klargjort vilka företag som kommer att erbjuda rabatter eller andra förmåner via bolagets rabattkort. Det saknas emellertid skäl att anta att marknadsföringen skulle komma att innehålla inslag som i sig kan betraktas som integritetskränkande.

Det bör vidare beaktas att de uppgifter som begärs utlämnade inte kan bedömas vara känsliga. Den bedömningen förändras inte av det förhållandet att enligt nu gällande studiestödslag (1999:1395) storleken på såväl studiebidrag som studielån påverkas av den studerandes inkomster. Den omständigheten att en studerande erhåller studiemedel i någon omfattning kan nämligen, med hänsyn till det s.k. fribeloppets storlek och den successiva nedtrappning av studiemedlen som sker vid

inkomster som överstiger det beloppet, inte leda till någon annan slutsats om hans eller hennes övriga inkomstförhållanden än att dessa inte är osedvanligt goda.

Med hänsyn till nu nämnda förhållanden, liksom till att den enskilde har en ovillkorlig rätt att motsätta sig att personuppgifterna används för direkt marknadsföring, finner Regeringsrätten att bolagets kommersiella intresse i förhållande till det motstående integritetsintresset väger så tungt att dess tilltänkta behandling av personuppgifterna inte kan anses stå i strid med 10 § PUL. Det kan inte heller antas att den planerade behandlingen av personuppgifterna skulle strida mot någon annan bestämmelse i PUL.”

Ytterligare ett par kammarrättsfall har gällt tillåtligheten av direkt marknadsföring eller liknande.

I ett fall hade ett försäkringsbolag hos Rikspolisstyrelsen begärt att få ut uppgifter om födelsetid (personnumrets sex första siffror) och postnummer för alla anställda hos polisen för att kunna sortera bort dessa offentliganställda inför ett utskick som bolaget tänkte göra till bara privatanställda. Kammarrätten i Stockholm (dom 2001-06-19 i mål nr 1138-2001) ansåg att den avsedda behandlingen inte stod i strid med 10 § personuppgiftslagen och förordnade att uppgifterna skulle lämnas ut.

Motsvarande bedömning gjorde Kammarrätten i Stockholm (dom 2002-07-19 i mål nr 4384-2002) när försäkringsbolaget begärde att få ut adressuppgifter för de anställda vid Kemikalieinspektionen för att sända ut direkt marknadsföring till dem.

I ett fall hade Svenska Jägareförbundet hos Naturvårdsverket begärt att få ut uppgift om namn, adress och personnummer för nästan 300 000 personer ur verkets jaktkortsregister för att använda för medlemsvärvning. Kammarrätten i Stockholm (dom 2003-08-28 i mål nr 5033-03) fann att den tilltänkta behandlingen av personnummer inte var förenlig med 22 § personuppgiftslagen. Kammarrätten ansåg dock att behandlingen av uppgifter om namn och adress inte stod i strid med 10 § f personuppgiftslagen och förordnade att dessa uppgifter skulle lämnas ut till förbundet.

Behandling för utsändande av enkäter eller liknande

Ett par kammarrättsfall har gällt utsändande av enkäter eller liknande.

I ett fall hade en person begärt att få ut Vägverkets register över personal vid trafikskolor, inklusive personnummer, för att på uppdrag av Sveriges Trafikskolors Riksförbund göra en enkätundersökning om varför trafikskolepersonal slutar sin anställning. Det ansågs tveksamt om behandlingen var tillåten enligt 10 och 22 §§personuppgiftslagen och utlämnande vägrades (Kammarrättens i Sundsvall dom 2001-10-22 i mål nr 2670-2001

23

).

24

I ett annat fall hade Svenska Jägareförbundet begärt att få ut adressuppgifter för 20 000 personer ur Naturvårdsverkets jaktkortsregister för att sända ut en enkät för att få underlag för statistik om avskjutning av djur. Kammarrätten i Stockholm noterade (dom 2002-07-19 i mål nr 2620-2002) att Svenska Jägareförbundet bär huvudansvaret för att leda delar av viltvården och jakten i landet och att detta utgör en arbetsuppgift av allmänt intresse. Eftersom den avsedda användningen av personuppgifterna var nödvändig för arbetsuppgiftens utförande, fanns det inte något hinder enligt 7 kap. 16 § sekretesslagen mot att lämna ut uppgifterna.

Vägran att ange ändamålet med insamlingen

I ett kammarrättsfall där en sökande hade låtit bli att ange ändamålet med insamlingen av vissa personuppgifter ansågs det kunna antas att uppgifterna skulle komma att behandlas i strid med personuppgiftslagen (Kammarrättens i Sundsvall dom 2000-06-14 i mål nr 1443-2000).

Utlämnande av personuppgifter till anställda vid massmedieföretag m.m.

Några kammarrättsfall har gällt utlämnande av personuppgifter till anställda vid massmedieföretag (Kammarrättens i Sundsvall dom 2000-02-08 i mål nr 23-2000, Kammarrättens i Jönköping dom 2000-08-31 i mål nr 1226-2000, Kammarrättens i Göteborg dom 2001-03-29 i mål nr 7459-2000 och Kammarrättens i Stockholm dom 2001-04-10 i mål nr 1737-2001). I samtliga fall har sökandena fått ut uppgifterna efter överklagande, oftast med motiveringen att

23

Regeringsrätten har vägrat att medge prövningstillstånd.

24

Jämför i fråga om behandling av personnummer Kammarrättens i Stockholm dom

2000-04-10 i mål nr 9572-1999.

personuppgiftslagen inte är tillämplig på sådan verksamhet som är grundlagsskyddad.

Ett fall har gällt utlämnande av personuppgifter till en person som studerade journalistik. En person hade hos det kommunala bostadsaktiebolaget Poseidon begärt att få ut personuppgifter om hyresgäster m.m. Poseidon avslog begäran med hänvisning till sekretess enligt bl.a. 7 kap. 16 § sekretesslagen. I överklagande till kammarrätten anförde personen att han studerade journalistik på universitet och behövde uppgifterna för ett examensarbete i form av en journalistisk produkt avsedd att publiceras i tryckt periodisk skrift. Kammarrätten i Göteborg (dom 2003-02-14 i mål nr 6296-2002) ansåg att klagandens uppgifter fick godtas och att personuppgiftslagen därmed inte var tillämplig i målet.

5.2.3. Övriga mål

I detta avsnitt berörs några fall som har viss anknytning till personuppgiftslagen.

Intresseavvägning, känsliga personuppgifter, personnummer

I ett ärende om tillämpning av 17 § socialförsäkringsregisterlagen (1997:934) i tidigare lydelse uppkom fråga om en viss behandling var förenlig med personuppgiftslagen. AFA Sjukförsäkringsaktiebolag ansökte hos Datainspektionen om att enligt det nämnda lagrummet få ut personuppgifter ur socialförsäkringsregistret på medium för automatisk databehandling. AFA ville ha uppgifter – bl.a. personnummer – på personer som haft förtidspension eller sjukbidrag för att söka efter personer som kan vara berättigade till försäkringsersättning från AFA. Datainspektionen avslog ansökan eftersom ett utlämnande av uppgifterna skulle medföra att de behandlas i strid med personuppgiftslagen. AFA överklagade beslutet till Länsrätten i Stockholms län som biföll överklagandet, dom 2001-06-14 i mål nr 11256-99. Länsrätten berörde bl.a. frågan om behandlingen av personuppgifter var tillåten enligt bestämmelsen i 10 § f personuppgiftslagen om en intresseavvägning och anförde bl.a. följande:

”Med hänsyn till ändamålet med behandlingen – att möjliggöra för AFA att informera de försäkrade att de kan ha rätt till ersättning och

uppmana dem att ansöka om sådan – och att det är relativt begränsade uppgifter som skall hämtas in samt vad som upplysts om hanteringen, nämligen att den skall ske automatiserat och att ingen enskild person kommer att befatta sig med några personuppgifter, får AFA:s intresse av att genomföra behandlingen […] anses väga över de registrerades integritetsintresse.

Ytterligare en förutsättning för behandling är att en behandling av personuppgifter inte strider mot förbudet i 13 § andra stycket personuppgiftslagen att behandla känsliga personuppgifter som rör hälsa.

[…] En uppgift om

varför någon uppbär förtidspension eller sjukbidrag

skulle kunna sägas röra en persons hälsa. Enbart en uppgift om att en person uppbär förtidspension eller sjukbidrag kan dock enligt länsrättens mening inte anses röra en persons hälsa. […]

Eftersom det enda sättet att identifiera de försäkrade är att samköra personnummer, får användningen av personnummer anses motiverad. Vidare finner länsrätten, vid en jämförelse med 24 § personuppgiftslagen, inte att det skulle strida mot denna bestämmelse att lämna information om behandlingen först i samband med utskicket och enbart till dem som erhåller detta.”

Datainspektionen överklagade domen till Kammarrätten i Stockholm, som meddelade prövningstillstånd, men sedan skrev av målet eftersom bestämmelsen i socialförsäkringsregisterlagen ändrats (beslut 2002-11-28 i mål nr 4405-01).

Kristinehamns tingsrätt (dom 2003-02-06 i mål nr B 291-02) har ansett att en uppgift om en anställds sjukskrivning utgjort en känslig personuppgift enligt 13 § personuppgiftslagen, se om fallet i avsnit t 5.2.1.

Manuell behandling av personuppgifter

Ett fall om tillämpningen av lagen (2001:184) om behandling av uppgifter i kronofogdemyndigheternas verksamhet har gällt frågan om vad som är en sådan manuell behandling av personuppgifter som omfattas av den lagen och av personuppgiftslagen. I fallet hade personuppgifter gallrats från den automatiserade utsöknings- och indrivningsdatabasen och i stället lagts på manuella mikrokort som fanns i pärmar. Personuppgiftslagen och den aktuella lagen gäller bara för behandling av personuppgifter som helt eller delvis är automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av

personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Frågan var om personuppgifterna på mikrokorten behandlades på ett sådant sätt att bestämmelserna om rättelse av personuppgifter var tillämpliga. Länsrätten i Stockholms län (dom 2002-10-29 i mål nr 4349-02 E) uttalade följande:

”Utifrån vad som framkommit i målet beträffande uppgifterna som lagts över på mikrokort, finner länsrätten det utrett att kronofogdemyndighetens samling av mikrokort utgör en strukturerad samling av personuppgifter. Vad gäller möjligheterna till sökning och sammanställning av uppgifterna är läget mer oklart. Kronofogdemyndigheten har i det här avseendet anfört att det bara finns en sökväg till uppgifterna som lagts över på mikrokort och att uppgifterna således inte är tillgängliga för sökning eller sammanställning enligt flera kriterier. […]

[…] Enligt länsrättens mening bör inte det faktum att det i lagtexten talas om kriterier i pluralis leda till att antalet sökvägar (en eller flera) tillåts avgöra om en samling personuppgifter skall anses utgöra ett manuellt register. Formuleringen ’tillgängliga för sökning eller sammanställning enligt särskilda kriterier’ är till sin karaktär öppen och synes omfatta både sökning enligt ett och flera kriterier. Något särskilt stöd för att valet av att uttrycka ’särskilda kriterier’ i pluralis verkligen skulle innebära att minst två sökvägar måste finnas till ett manuellt register för att det skall omfattas av aktuell lagstiftning har inte framkommit i målet eller i lagstiftningsärendet. Enligt länsrättens mening bör det öppna skrivsättet i stället tolkas så att valet av kriterier som kan förekomma har inte gjorts på förhand utan det är ett flertal olika kriterier som kan komma i fråga. En sökväg – ett kriterium – är alltså tillräcklig(t) för att registret skall omfattas av [den aktuella lagen] och personuppgiftslagen. Mot bakgrund av EG-direktivet får det väsentliga anses vara huruvida en samling av uppgifter är väl strukturerad och lätt tillgänglig för sökning. I sådana fall får enskilda anses ha ett sådant berättigat skyddsintresse att samlingen av uppgifter bör omfattas av lagstiftningen. Kronofogdemyndighetens pärmar med mikrokort är organiserade utifrån tidpunkten för gallringen från utsöknings- och indrivningsdatabasen. I själva pärmarna är sedan uppgifterna organiserade utifrån personnummer. Till pärmarna hör ett kortregister, uppdelat utifrån gallringsår, i vilket det är möjligt att söka på både namn och personnummer. Vid sökning i utsöknings- och indrivningsdatabasen på en person som har aktuella ärenden/skulder hos kronofogdemyndigheten lämnas dessutom i förekommande fall uppgift om att det finns äldre uppgifter på mikrokort beträffande personen samt sådan information att det lätt går att finna uppgifterna i pärmarna med mikrokort. Länsrätten gör sammantaget bedömningen att kronofogdemyndighetens hantering av

mikrokort utgör en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.”

Samtycke i avtalsvillkor i konsumentförhållanden

Marknadsdomstolen har med stöd av lagen (1994:1512) om avtalsvillkor i konsumentförhållanden förbjudit ett företag att för telefonabonnemang till konsument tillämpa avtalsvillkor om att kunden medger att personuppgifter får användas för nummerupplysningsändamål och för utformningen av företagets information och erbjudanden till kunden i samband med abonnemanget (MD 2002:23). Av villkoret framgick nämligen inte att den registrerade enligt 11 § personuppgiftslagen har möjlighet att skriftligen anmäla att han eller hon motsätter sig att personuppgifter behandlas för ändamål som rör direkt marknadsföring, varför konsumenten kunde få uppfattningen att han eller hon var bunden av medgivandet. Villkoret ansågs därför oklart, och det ansågs kunna vilseleda de kunder med vilka avtal ingås om deras rättsliga möjligheter att hindra att personuppgifter behandlas för ändamål som rör direkt marknadsföring.

Överklagande av myndighetsbeslut om rättelse

I fallet begärde en person – B – hos kronofogdemyndigheten att en uppgift om honom i utsökningsregistret skulle rättas. Kronofogdemyndigheten avslog ansökningen om rättelse, eftersom uppgiften var riktig. B överklagade kronofogdemyndighetens beslut, men länsrätten anslöt sig till kronofogdemyndighetens bedömning och ändrade inte det överklagade beslutet. B överklagade till kammarrätten, som undanröjde länsrättens dom och avvisade B:s överklagande, eftersom frågor om rättelse av registeruppgifter regleras i 28 § personuppgiftslagen och då oenighet mellan den personuppgiftsansvarige och den registrerade kan anmälas till Datainspektionen. Kronofogdemyndigheten överklagade till Regeringsrätten och yrkade att länsrättens dom skulle stå fast. Regeringsrätten avvisade överklagandet (beslut 2000-08-23 i mål nr 1997-2000), eftersom kammarrättens beslut inte kunde anses ha gått kronofogdemyndigheten emot.

25

25

Jämför Kammarrättens i Stockholm dom 2000-10-17 i mål nr 4977-2000.

Överklagande av Datainspektionens beslut

I en skrivelse till en personuppgiftsansvarig (NKMR) hade Datainspektionen konstaterat att NKMR behandlade personuppgifter i strid med personuppgiftslagen och uppmanat NKMR att upphöra med behandlingen. Det beslutet fick enligt Kammarrättens i Stockholm beslut 2002-01-23 i mål nr 1173-2001 överklagas då det bl.a. fick ses som ett påbud som sakligt sett låg nära ett formligt föreläggande att efterleva lagstiftningen.

En person hade anmält ett par förfaranden till Datainspektionen, men inspektionen hade beslutat i det ena fallet att inte vidta någon ytterligare åtgärd i ett öppnat tillsynsärende och i det andra fallet att inte öppna något tillsynsärende. Länsrätten i Stockholms län ansåg i beslut 2001-10-30 i mål nr 14081-01 E att anmälaren inte hade rätt att överklaga besluten. Kammarrätten i Stockholm meddelade inte prövningstillstånd (beslut 2002-05-23 i mål nr 6675-2001).

Av Kammarrättens i Stockholm beslut 2000-11-27 i mål nr 5367-2000 framgår att Datainspektionens beslut enligt nuvarande 11 § personuppgiftsförordningen (1998:1191) om att inte vidta åtgärder med anledning av en anmälan om förhandskontroll inte är överklagbart ens om Datainspektionen i beslutet gett uttryck för sin uppfattning i sakfrågan. Av Länsrättens i Stockholms län beslut 2001-08-17 i mål nr 11312-01 E framgår vidare att allmänheten eller en anmälare inte har rätt att överklaga ett sådant beslut.

26

5.3. Datainspektionens praxis

Eftersom Datainspektionen inte längre fattar några beslut om tillstånd enligt datalagen för att föra dataregister har den praxisbildning som tidigare förekom genom dessa beslut upphört. De beslut som innebär att Datainspektionen tar ställning till hur bestämmelserna i personuppgiftslagen skall tillämpas är i dag i stället främst beslut i tillsynsärenden, beslut om yttranden efter samråd med personuppgiftsombud enligt 38 § personuppgiftslagen, beslut efter anmälan om förhandskontroll enligt 11 § personuppgiftsförordningen samt beslut i förfrågningsärenden. Datalagen har enligt övergångsbestämmelserna till personuppgiftslagen tillämpats i

26

Kammarrätten i Stockholm har vägrat att medge prövningstillstånd, mål nr 5347-01.

många fall fram till den 1 oktober 2001. Den praxis som gäller Datainspektionens tillämpning av personuppgiftslagen är mot denna bakgrund ännu inte särskilt omfattande. I detta avsnitt redogörs för ett antal avgöranden som är av principiellt intresse och kan tjäna som vägledning vid framtida tillämpning av personuppgiftslagen.

Under hösten 2001 genomförde Datainspektionen ett tillsynsprojekt för att närmare undersöka på vilket sätt elevers personuppgifter behandlas i grundskoleverksamheten. Inom ramen för projektet inspekterade Datainspektionen ett tiotal grundskolor och genomförde även tillsyn genom att ett 30-tal skolor fick besvara frågor i en enkät. Tillsynen visade att det förekom vissa brister i hanteringen av elevernas personuppgifter, och Datainspektionen fick därför anledning att framföra synpunkter på hanteringen i vissa avseenden. Resultatet av projektet och Datainspektionens ställningstaganden i vissa frågor som rör behandling av elevers personuppgifter i skolan redovisas i Datainspektionens rapport 2002:2, vartill hänvisas.

5.3.1. Avvikande författningsbestämmelser (2 §)

Av 2 § personuppgiftslagen framgår att personuppgiftslagen är subsidiär i förhållande till andra författningar. Om det finns bestämmelser i en annan lag eller i en förordning som avviker från personuppgiftslagen, skall de bestämmelserna tillämpas i stället.

Datainspektionen har i ett ärende som gällde en förfrågan från VPC AB (dnr 1921-2000) haft anledning att uttala sig om tillämpligheten av denna bestämmelse. Frågan gällde en ”konflikt” mellan bestämmelserna i 3 kap. 13 § aktiebolagslagen om skyldighet för VPC att lämna ut uppgifter i aktieböcker och förvaltarförteckningar och 9 och 10 §§personuppgiftslagen. VPC frågade om bolaget kunde låta bli att lämna ut uppgifter ur dessa register när man visste att uppgifterna skulle komma att behandlas i strid med personuppgiftslagen t.ex. genom att användas för direktreklamändamål (ett annat ändamål än det som uppgifterna samlades in för). Datainspektionen uttalade att bestämmelserna i 3 kap. 13 § aktiebolagslagen är att se som en specialreglering angående utlämnande av handlingar som enligt 2 § personuppgiftslagen tar över bestämmelserna i personuppgiftslagen om behandling i form av utlämnande av personuppgifter. Trots att VPC befarade att det kunde komma att ske en behandling av personuppgifter i strid med personuppgiftslagen i nästa led, kunde VPC enligt Datainspektionens uppfattning inte

lagligen vägra att lämna ut de aktuella uppgifterna. Med hänsyn till att bestämmelserna i aktiebolagslagen kommit till innan personuppgiftslagen trädde ikraft ansåg Datainspektionen att frågan om vilka följder bestämmelserna i 3 kap. 13 § aktiebolagslagen får för enskildas integritet borde uppmärksammas i den pågående översynen av aktiebolagslagen.

Datainspektionen har i ett tillsynsärende mot Taxi Stockholm (dnr 2025-2001) konstaterat att kameraövervakning i taxibilar genom att digitala stillbilder tas av passagerarna innebär en sådan behandling av personuppgifter som aves i personuppgiftslagen. Lagen (1998:150) om allmän kameraövervakning innehåller vissa bestämmelser som avviker från personuppgiftslagen och därför gäller före personuppgiftslagen. Enligt 6 § lagen om kameraövervakning skall länsstyrelsen meddela tillstånd till allmän kameraövervakning om intresset av sådan övervakning väger tyngre än den enskildes intresse av att inte bli övervakad. Denna bestämmelse har enligt Datainspektionen företräde i förhållande till bestämmelserna i personuppgiftslagen om när behandling av personuppgifter är tillåten. Även bestämmelsen i 14 § lagen om allmän kameraövervakning, som gäller bevarande av bild- eller ljudmaterial från allmän kameraövervakning, har enligt Datainspektionens beslut företräde framför bestämmelsen om bevarande av personuppgifter i 9 § första stycket i personuppgiftslagen. Däremot ansåg Datainspektionen att bestämmelserna i personuppgiftslagen skall tillämpas i fråga om information till de registrerade, vilket för Taxi Stockholms del innebär att man på lämpligt sätt måste informera sina passagerare om vem som är personuppgiftsansvarig, ändamålet med personuppgiftsbehandlingen, mottagarna av uppgifterna samt rätten för den registrerade att ansöka om information och att få rättelse.

I ett ärende som gällde förhandskontroll av en behandling av känsliga personuppgifter för forskningsändamål (dnr 89-2003) har Datainspektionen konstaterat att bestämmelser i lagen (2001:99) om den officiella statistiken om information till de registrerade avviker från personuppgiftslagens bestämmelser och skall tillämpas i stället för dessa. Uppsala universitet skulle bedriva forskning om arbetslöshet och arbetsmarknad och behövde för detta ändamål en mängd personuppgifter från Statistiska centralbyråns databas LOUISE. Bland de uppgifter som skulle användas fanns känsliga personuppgifter, såsom uppgift om arbetshandikapp. Uppgifterna skulle lämnas ut från Statistiska centralbyrån i enlighet med bestämmelserna i 16–18 §§ lagen om den officiella statistiken, vilket innebär dels att uppgifterna skulle kodas innan de lämnades ut, dels

att Statistiska centralbyrån skulle behålla kodnyckeln. Uppgifterna skulle således med personuppgiftslagens definition vara personuppgifter. Uppsala universitet hade inte för avsikt att informera de personer vars uppgifter skulle användas i forskningen. Datainspektionen konstaterade att 18 § lagen om den officiella statistiken innehåller en bestämmelse som innebär att den som har fått kodade uppgifter för forskningsändamål i enlighet med 16 § i den lagen inte behöver lämna någon information till de registrerade, förutsatt att den som fått uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inspektionens slutsats blev att bestämmelsen avviker från personuppgiftslagens bestämmelser och skall tillämpas i stället för dessa, vilket innebär att Uppsala universitet inte behöver informera de registrerade om att deras uppgifter behandlas i forskningen.

5.3.2. Personuppgifter (3 §)

Datainspektionen har (dnr 1123-2000) ansett att det inte var fråga om personuppgifter när en kommun på en webbplats informerade om när brottslingar skulle friges. Informationen omfattade uppgifter om att en person hemmahörande i ett visst område i kommunen och dömd för visst brott snart skulle släppas, men utan direkta namn- eller adressuppgifter.

5.3.3. Personuppgiftsansvar (3 §)

Datainspektionen har i ett ärende (dnr 785-2000) uttalat sig i frågan om den som från en egen webbplats på Internet länkar till en annan webbplats som innehåller personuppgifter kan betraktas som personuppgiftsansvarig för behandlingen av dessa uppgifter. Datainspektionen uttalade följande:

”Finns det en länk på en webbplats till en annan webbplats med personuppgifter så anses personuppgifterna på den senare webbplatsen inte göras tillgängliga på den första webbplatsen enbart genom länken. Lagligheten av behandlingen av personuppgifterna bedöms således endast på den senare webbplatsen. Innehåller länken i sig personuppgifter torde dock en behandling ske av dessa uppgifter på den första webbplatsen.”

5.3.4. Förhållandet till tryck- och yttrandefriheten (7 §)

Datainspektionen har handlagt flera ärenden som gällt gränsdragningen mot det grundlagsskyddade området enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen och frågan om vad som är att anse som behandling uteslutande för journalistiska ändamål enligt 7 § andra stycket personuppgiftslagen. Inspektionen har också i något fall berört frågan om vad som är att anse som en behandling uteslutande för konstnärligt skapande enligt 7 § andra stycket personuppgiftslagen.

I klagomålsärendet ”press nu” fann inspektionen (beslut 1999-06-01 i ärende med dnr 722-99) att en sammanställning av ärenden från Hälso- och sjukvårdens ansvarsnämnd (HSAN) som publicerats på en webbplats av redaktionen för en tryckt periodisk skrift omfattades av yttrandefrihetsgrundlagen och att behandlingen av personuppgifter föll utanför tillämpningsområdet för personuppgiftslagen. I ett efterföljande ”självanmält” ärende fann inspektionen (beslut 1999-10-21 i ärende med dnr 785-99) att en enskild persons vidarespridning av sammanställningen hade sin grund i en grundlagsskyddad publicering som får anses utgöra vedertagen journalistik och att dennes publicering föll under begreppet uteslutande journalistiska ändamål i 7 § andra stycket personuppgiftslagen.

Ett uppmärksammat ärende avsåg tillsyn mot ett företag som bedrev skolfotografering för framställning och spridning av skolkataloger med fotografier på cd-skivor. Datainspektionen fann (beslut 1999-12-17 i ärende med dnr 2078-99) att det var fråga om framställning och spridning av tekniska upptagningar som omfattades av grundlagsskydd enligt yttrandefrihetsgrundlagen varför hindrande bestämmelser i personuppgiftslagen inte skall tillämpas.

Datainspektionen har i ett par fall inlett tillsyn mot företag som på Internet publicerar domstolsavgöranden i sin helhet dvs. med alla i domarna förekommande personuppgifter öppet redovisade. Datainspektionen fann i ett av dessa fall att publiceringen uppenbarligen omfattades av grundlagskydd enligt yttrandefrihetsgrundlagen (beslut 2002-04-17 i ärende med dnr 21-2002). I ett annat fall fann inspektionen (beslut 2002-04-09 i ärende med dnr 703-2001) att företagets invändning om att behandlingen av personuppgifter omfattades av grundlagsskydd som avses i 7 § första stycket personuppgiftslagen fick godtas.

Datainspektionen har, som det sist nämnda fallet antyder, iakttagit stor försiktighet när det gäller fall där omständigheterna gett

indikationer på att behandlingen kan falla under den grundlagsskyddade tryck- och yttrandefriheten. Som anges i förarbetena till 7 § personuppgiftslagen får en invändning om att en behandling av personuppgifter avser sådant som är undantaget enligt denna paragraf godtas, om det inte av omständigheterna framgår att invändningen är så osannolik att den kan lämnas utan avseende (prop. 1997/98:44 s. 119).

Datainspektionen avskrev ett klagomålsärende (beslut 2000-01-14 i ärende med dnr 442-99) som gällde en kommuns publicering av fotografier på en webbplats efter att kommunen anfört omständigheter till stöd för grundlagsskydd.

I ett ärende som avsåg ett bolag som tillhandahöll abonnentupplysningar ur en databas benämnd ”Privatpersoner A-Ö” på en webbplats fann Datainspektionen att bolagets invändning om att dess behandling av personuppgifter omfattades av grundlagsskydd fick godtas, varför ärendet avskrevs (beslut 2002-03-21 i ärende med dnr 331-2002). Bolaget ansåg sig ha stöd för att i yttrandefrihetsrättsligt skyddade former tillhandahålla upplysningar direkt ur databasen bl.a. med hänvisning till att bolaget framställde cd-skivor med sådana abonnentupplysningar och var ett sådant företag för yrkesmässig framställning av tekniska upptagningar som avses i 1 kap. 9 § yttrandefrihetsgrundlagen.

Också frågan om en behandling har skett uteslutande för journalistiska ändamål har varit uppe till bedömning. Ett tillsynsärende (beslut 2003-11-03 i ärende med dnr 138-2003) gällde Svenska Styrkelyftförbundets publicering av personuppgifter om dopningavstängda personer på sin webbplats på Internet. Datainspektionen fann att denna publicering av personuppgifter på Internet låg inom ramen för ett journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. I ett annat tillsynsärende (beslut 2003-11-18 i ärende med dnr 1228-2003) hade inspektionen att ta ställning till Svenska Travsportens Centralförbunds publicering av uppgifter om överträdelser av olika slag på sin webbplats på Internet under rubriken Nyheter & Notiser. Datainspektionen ansåg att även denna publicering av personuppgifter på Internet torde ligga inom ramen för ett journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten.

Undantaget i 7 § andra stycket personuppgiftslagen för behandling av personuppgifter som sker uteslutande för konstnärligt skapande åberopades av en kommun i ett tillsynsärende. Kommunen hade publicerat namnen på de 47 772 invånarna i kommunen på sin

webbplats och menade att publiceringen var att hänföra till sådant konstnärligt skapande som avses i bestämmelsen i personuppgiftslagen. Det konstnärliga syftet med publiceringen var enligt kommunen att åskådliggöra en mängd, att gestalta hur många 47 000 personer är. Datainspektionen fann (beslut 1999-06-01 i ärende med dnr 1062-99) det uppenbart att lagstiftaren inte menat att bestämmelsen i 7 § personuppgiftslagen om konstnärligt skapande skall tillämpas i ett sådant fall.

5.3.5. Berättigade ändamål (9 §) och tillåten behandling (10 §)

Datainspektionen har bedömt flera fall av behandling av personuppgifter som rört digital inspelning av telefonsamtal. Det har gällt både myndigheters och privata företags inspelning av telefonsamtal. Ändamålen med inspelningarna i de fall som bedömts var antingen dokumentation av hot eller kvalitetssäkring.

När det gäller inspelning vid hot konstaterade inspektionen i ett samrådsärende som rörde Stockholms tingsrätt (beslut 2003-10-07 i ärende med dnr 978-2002) att domstolar är sådana myndigheter där risken är särskilt stor att personal utsätts för våld eller annat allvarligt men. Syftet med inspelningen var att snabbt kunna agera när hot framförs vid telefonsamtal till domstolens växel. Enligt inspektionens mening talade därför mycket för att den tänkta inspelningen och lagringen av telefonsamtal kunde bedömas som tillåten med stöd av en sådan intresseavvägning som avses i 10 § f personuppgiftslagen.

En annan bedömning gjorde inspektionen när det gällde ett företags inspelning av samtal från kunder (beslut 2003-04-16 i ärende med dnr 113-2003). Företaget ville spela in de anställdas samtal med kunder för att i efterhand kunna bedöma kvaliteten på samtalen. Inspektionen konstaterade att det var tveksamt om kvalitetssäkring av kundsamtal genom inspelning alltid är ett sådant berättigat ändamål som anges i 9 § personuppgiftslagen, särskilt med hänsyn till de möjligheter till medlyssning som finns. Fråga uppkom också om inspelningen kunde vara tillåten efter samtycke från kunderna. Inspektionen ansåg att ett samtycke från kunderna att bli inspelad kunde ifrågasättas, särskilt om kunden i de fall denne inte ville bli inspelad endast var hänvisad till personligt besök eller epost. Vid en intresseavvägning enligt 10 § f personuppgiftslagen fann inspektionen att den enskildes, dvs. kundens, personliga in-

tegritet i allmänhet vägde tyngre än den personuppgiftsansvariges intresse. Inspektionen hänvisade slutligen i ärendena till kravet på information till de registrerade.

Ett annat tillsynsärende (beslut 2003-04-16 i ärende med dnr 1535-2002) gällde digital inspelning av telefonsamtal mellan kunder och anställda vid något av Apotekets kundcentrum, dit allmänheten bl.a. kunde ringa och fråga om biverkningar av läkemedel. Datainspektionen ansåg att Apoteket hade ett berättigat intresse av att spela in samtalen. Vidare fann inspektionen att Apotekets intresse av att behandla personuppgifterna vägde tyngre än de registrerades intresse av skydd mot integritetskränkningar. En särskild fråga i ärendet var att frågor om läkemedel ibland kunde sammankopplas med den uppringande personens hälsotillstånd och därför eventuellt utgöra en känslig personuppgift enligt 13 § personuppgiftslagen. Inspektionen konstaterade att den som är yrkesmässigt verksam inom hälso- och sjukvård och har tystnadsplikt får behandla känsliga personuppgifter som omfattas av tystnadsplikten med stöd av 18 § andra stycket personuppgiftslagen. Apotekets legitimerade personal och övriga personal har tystnadsplikt enligt lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Det fanns därför enligt inspektionen laglig grund för att i detta sammanhang även behandla känsliga personuppgifter. Inspektionen fann slutligen att en förutsättning för att behandlingen av personuppgifter skall vara laglig är att Apoteket informerar den uppringande personen om inspelningen. När det gällde inspelning av de anställda fanns redan rutiner för information och samtycke i samband med anställningen.

I ett tillsynsärende (beslut 2003-06-17 i ärende med dnr 330-2002) granskade inspektionen en bostadsrättsförening med anledning av att föreningen infört datorstyrda lås- och passagesystem med elektronisk registrering (logg) till föreningens allmänna utrymmen. För att kunna öppna dörrar till exempelvis entréer, källare och garage krävdes ett särskilt magnetkort. Varje magnetkort hade ett särskilt nummer som kunde knytas till lägenhetsinnehavaren. Enligt Datainspektionen fanns en möjlighet att knyta registreringarna i systemet till en enskild fysisk person. Mot denna bakgrund fann inspektionen anledning att bedöma passagesystemet utifrån personuppgiftslagens bestämmelser. Inspektionen konstaterade inledningsvis att behandlingen av personuppgifter inte kunde bygga på samtycke, eftersom det inte fanns några alternativ till magnetnyckel med registrering. Datainspektionen fann inte skäl att ifrågasätta att föreningen hade ett berättigat intresse av att behand-

la personuppgifter i ett låssystem som bygger på magnetnycklar. Loggning av magnetnycklar fick dock enligt inspektionens uppfattning endast ske om det var nödvändigt för att få passagesystemet att fungera tillfredsställande. Det kunde enligt Datainspektionens inte godtas att systemet användes för andra ändamål.

Ett tillsynsärende hos Datainspektionen (beslut 2003-12-16 i ärende med dnr 1682-2002) föranleddes av uppgifter om att ett s.k. krockminne i vissa bilar vid en kollision lagrade fordonsrelaterad data. I krockminnet lagrades bl.a. uppgifter om bilens hastighet, bromsaktivering, om farthållaren var aktiverad, bältesanvändning för passagerarna i framsätena, om huvudljus var påslaget, aktuell växel, status på samtliga dörrar (låsta/olåsta, öppna/stängda) och tidpunkt. Bilföretaget avsåg att använda uppgifterna för att förbättra framtidens bilar när det gäller krock- och körsäkerhet. Datainspektionen bedömde att flera av de uppgifter som registrerades i samband med en olycka utgjorde personuppgifter enligt personuppgiftslagen. Enligt Datainspektionens mening blev bilföretaget personuppgiftsansvarig för uppgifterna först när företaget hämtat in uppgifterna efter det att en olycka hade inträffat. För att den personuppgiftsbehandling som företaget utförde genom att hämta in uppgifter från kolliderade bilar skulle anses tillåten enligt 10 § personuppgiftslagen, krävdes enligt Datainspektionens mening att inhämtandet föregicks av ett samtycke från bilens ägare och de personer vars personuppgifter registrerades.

5.3.6. Känsliga personuppgifter (13–19 §§)

I ett uppmärksammat tillsynsärende (dnr 1404-2001) mot Kungliga biblioteket (KB) hade Datainspektionen anledning att ta ställning till om en insamling av samtliga svenska webbsidor från Internet för att bevara det elektroniska kulturarvet för framtiden (det s.k. kulturarvsprojektet) var förenlig med bestämmelserna i personuppgiftslagen. Datainspektionen ansåg att personuppgiftsbehandlingen i projektet var nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt 10 § d personuppgiftslagen. Däremot fann Datainspektionen att insamlingen av webbsidorna också innebar en behandling av känsliga personuppgifter utan samtycke från de registrerade som inte var tillåten. Datainspektionen konstaterade att en insamling av material för att bevara det digitala kulturarvet inte i sig kunde anses utgöra ett forskningsprojekt, eftersom insamlingen skedde för att bevara material som kunde utgöra underlag för fram-

tida forskning. Det dåvarande undantaget för forsknings- och statistikändamål i 19 § personuppgiftslagen från förbudet att behandla känsliga personuppgifter var därför enligt Datainspektionen inte tillämpligt. Eftersom inte heller något av de övriga undantagen från förbudet var tillämpligt, bedömde Datainspektionen att personuppgiftsbehandlingen i KB:s kulturarvsprojekt inte var förenlig med personuppgiftslagen. Datainspektionen ansåg emellertid att det fanns skäl att särreglera den behandling av personuppgifter som KB:s projekt innebar och uppmärksammade därför regeringen på sitt beslut. Regeringen har därefter utfärdat förordningen (2002:287) om behandling av personuppgifter i Kungl. Bibliotekets digitala kulturarvsprojekt som ger författningsstöd för den behandling av känsliga personuppgifter som utförs inom projektet.

Ett annat fall (dnr 1966-2001) gällde Handikappförbundens samarbetsorgans rättsdatabas och dess förenlighet med personuppgiftslagen. I databasen fanns flera hundra sammanfattningar av rättsfall som rörde funktionshindrade. Databasen vände sig till samarbetsorganets medlemsorganisationer och externa organisationer samt myndigheter. Datainspektionen konstaterade att det var fråga om behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen och fann att behandlingen inte var förenlig med personuppgiftslagen.

Enligt 10 § första stycket andra punkten personuppgiftsförordningen i lydelse före den 1 januari 2004 skulle behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning anmälas till Datainspektionen för förhandskontroll. Denna typ av personuppgiftsbehandling förekom inom ramen för olika forskningsprojekt. I samband med sådan förhandskontroll har Datainspektionen i några fall haft att ta ställning till om den behandling av känsliga personuppgifter som utförs inom forskningsprojekten kan äga rum utan samtycke från de registrerade. Numera gäller i stället att känsliga personuppgifter får behandlas för forskningsändamål om det finns samtycke eller behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Ett par fall har gällt förhandskontroll vid forskning på genetiska uppgifter. Det ena fallet (dnr 380-2001) gällde en genetisk forskningsstudie med syfte att bl.a. undersöka vissa genetiska faktorers betydelse för uppkomsten av prostatacancer. De blodprover som skulle användas för genetiska analyser i forskningsstudien hade lämnats i tidigare forskningsprojekt där personerna i fråga hade informerats om den framtida hanteringen av blodproverna och

godkänt att ett spar- eller forskningsprov togs. Vissa personer hade sedermera utvecklat prostatacancer. Datainspektionen tillämpade avvägningsnormen i dåvarande 19 § första stycket personuppgiftslagen. Enligt denna bestämmelse fick känsliga personuppgifter behandlas utan uttryckligt samtycke för forsknings- och statistikändamål om behandlingen är nödvändig på sätt som sägs i 10 § personuppgiftslagen och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Datainspektionen bedömde att samhällsintresset av den aktuella cancerforskningen vägde över risken för integritetsintrång förutsatt att information om personuppgiftsbehandlingen lämnades på lämpligt sätt, t.ex. via anslag eller annonser. Vid intresseavvägningen beaktade Datainspektionen också att de personer som genomgått en behandling som botat deras cancersjukdom kunde uppleva det som psykologiskt arbetsamt med en förnyad kontakt. Det andra fallet (dnr 1386-2002) gällde en forskningsstudie där bl.a. vissa genetiska faktorers betydelse för risken att drabbas av hjärtinfarkt skulle undersökas. Även i detta fall bedömde Datainspektionen med tillämpning av dåvarande 19 § första stycket personuppgiftslagen att personuppgiftsbehandlingen var förenlig med personuppgiftslagen under förutsättning att deltagarna i forskningsprojektet på lämpligt sätt, i första hand genom direktutskick, informerades om behandlingen i enlighet med bestämmelserna i 25 § personuppgiftslagen.

När det gäller humanistisk-samhällsvetenskaplig registerforskning har Datainspektionen vid förhandskontroll i några fall tagit ställning till om känsliga personuppgifter kan behandlas utan samtycke och utan att de registrerade informeras om behandlingen. Ett ärende (dnr 1231-2003) gällde ett forskningsprojekt vid Stockholms universitet, Kriminologiska institutionen, om diskriminering inom rättssystemet. Många uppgifter om brott och känsliga personuppgifter från polisen, Brottsförebyggande rådet och Statistiska centralbyrån (SCB) skulle hanteras i forskningen. Datainspektionen bedömde att personuppgifterna kunde behandlas trots att de registrerade skulle varken samtycka till eller få information om forskningen. I bedömningen vägdes särskilt in att Humanistisksamhällsvetenskapliga Forskningsrådet (HSFR, numera Vetenskapsrådet) hade granskat forskningsprojektet etiskt och godtagit förfarandet. Datainspektionen vägde också in att uppgifterna från SCB skulle lämnas ut avidentifierade utan kodnyckel sedan forskarnas material samkörts med SCB:s register och att särskilda IT-

säkerhetsåtgärder vidtagits för att skydda uppgifterna innan de avidentifierades. Ett annat forskningsprojekt där Datainspektionen godtagit att registerforskning ägde rum utan vare sig samtycke från eller information direkt till de registrerade rörde en epidemiologisk och hälsoekonomisk uppföljning av personer med schizofreni (dnr 366-2003). Eftersom information riktad direkt till de registrerade, som flera led av paranoid schizofreni, kunde leda till onödig oro, rädsla och misstänksamhet hos dessa ansåg Datainspektionen att informationen kunde lämnas på annat lämpligare sätt, t.ex. via anslag.

5.3.7. Personnummer (22 §)

Datainspektionen har i ett yttrande enligt nuvarande 15 § personuppgiftsförordningen över ett förslag till en branschöverenskommelse inom direktmarknadsföringsområdet uttalat sig om användningen av personnummer (beslut 1999-06-16 i ärende med dnr 1338-99). Datainspektionen gav därvid uttryck för sin dittillsvarande uppfattning att det inte finns skäl för att använda personnummer för direktmarknadsföringsändamål. Inspektionen förklarade dock att det inte ansetts hindra tillfällig personnummersättning av kund- eller prospectregister hos myndighet, t.ex. Statens personnadressregisternämnd, för borttagning av egna kunder eller för uppdatering av register.

Ett samrådsärende (beslut 2003-08-13 i ärende med dnr 1005-2003) rörde frågan om det var tillåtet för en kommun att samla in personnummer redan vid ansökan om bygglov i syfte att underlätta eventuell kravhantering. Inledningsvis konstaterade inspektionen att i de fall en sökande frivilligt lämnar uppgift om sitt personnummer, t.ex. i en blankett efter att ha fått information om behandlingen, kan handlandet ses som konkludent och godtas som samtycke till att uppgiften registreras. Om det inte fanns något samtycke, var det enligt inspektionens uppfattning endast befogat att behandla personnummer vid kravhantering, exempelvis vid inkassokrav och vid ansökan om betalningsföreläggande.

5.3.8. Information till den registrerade (25 §)

I flera ärenden har Datainspektionen haft uppe frågan om innebörden av bestämmelsen i 25 § andra stycket personuppgiftslagen om

att information inte behöver lämnas om sådant som den registrerade redan känner till.

I ett ärende (dnr 1596-2001) var frågan om Tullverket var skyldigt att lämna information till de registrerade i samband med behandling av tulldeklarationer. Datainspektionen konstaterade att i stort sett samtliga myndigheter i dag använder sig av någon form av datoriserat stöd för handläggningen av ärenden m.m. På grund härav kunde det enligt inspektionens mening i många fall förutsättas att den som vänder sig till en myndighet redan känner till eller förstår att uppgifterna registreras i någon form av automatiserat register. Enligt Datainspektionens uppfattning behövde Tullverket inte lämna information om behandlingen av personuppgifter i samband med tulldeklarationer, eftersom det kunde anses att den som lämnar en tulldeklaration känner till vem som är personuppgiftsansvarig och för vilka ändamål tulldeklarationen kommer att behandlas.

I ett annat ärende (dnr 1869-2001) var frågan om vilken information Lantbrukarnas riksförbund var skyldigt att ge dem som sökte medlemskap. Inspektionen uttalade att om den registrerade själv har lämnat in personuppgifter till den personuppgiftsansvarige, behöver den personuppgiftsansvarige inte lämna information så länge uppgifterna bara används för de ändamål som den registrerade kan förutse. I en sådan situation får den registrerade anses känna till den personuppgiftsansvariges identitet och ändamålen med behandlingen. Datainspektionen fann att för det fall nya medlemmar kan förutse bl.a. för vilka ändamål personuppgifterna skulle behandlas behövde någon information inte lämnas.

I ett tillsynsärende mot Bra Böcker AB (dnr 1890-2001) har Datainspektionen närmare preciserat kravet i 25 § personuppgiftslagen på vilken information som skall lämnas till registrerade då insamling av personuppgifter skett från annan källa än den registrerade själv. Ärendet gällde frågan om man i ett direktreklamutskick uttryckligen måste informera om rätten att ansöka om information och få rättelse. Enligt den branschöverenskommelse som finns beträffande direktreklam skall det finnas en upplysning om varifrån de använda adressuppgifterna har inhämtats, s.k. adresskälleangivelse. Källangivelsen skall enligt branschöverenskommelsen vara utformad så att den som får reklamen skall kunna ta kontakt med källan för att där ta tillvara sina rättigheter enligt personuppgiftslagen. Den skall därför innehålla telefonnummer och/eller adress till källan. I det aktuella fallet fanns det i bolagets direktreklamutskick information om namn och postnummer till adresskällan, telefonnummer och adress till bolaget och dess kundservice samt en hän-

visning till bolagets webbsida. Uttrycklig information om rätten att ansöka om information och få rättelse fanns dock inte angiven. Datainspektionen bedömde dock att risken för integritetsintrång generellt sett är liten vid personuppgiftsbehandling i direktreklamsammanhang och att information om rätten att ansöka om information och att få rättelse normalt sett är uppfylld genom en adresskälleangivelse och angivande av adress och telefonnummer till direktreklambolagets kundservice. Datainspektionens bedömning kan sägas utgöra en precisering av kravet i den branschöverenskommelse Datainspektionen tidigare yttrat sig över utan invändningar i det nu aktuella avseendet.

5.3.9. Registerutdrag (26 §)

I ett tillsynsärende mot Skandinaviska Enskilda Banken (dnr 687-2002) kom frågan upp om innehållet i s.k. registerutdrag enligt 26 § personuppgiftslagen. Banken tog i utdragen inte med uppgifter om transaktioner och saldon. Datainspektionen konstaterade att den enskilde har rätt att få besked om även sådana uppgifter. Inspektionen förutsatte emellertid att banken lämnade sådan information både kontinuerligt och på uttrycklig begäran om just sådana uppgifter. Inspektionen ansåg att kraven enligt 26 § därigenom fick anses tillgodosedda, om det i registrutdraget upplystes om möjligheten att även få uppgifter om transaktioner och saldon.

5.3.10. Publicering på Internet (33 §)

Datainspektionen har i flera ärenden tagit ställning till publicering av personuppgifter på Internet.

Ett ärende (dnr 1369-2000) gällde publicering av en skolkatalog på Internet. En elev i en gymnasieskola hade som specialarbete gjort en hemsida om sin skola. Hemsidan innehöll bl.a. en inskannad version av gymnasiets skolkatalog med gruppbilder och namn på elever i samtliga klasser. Skolkatalogen hade publicerats på Internet utan elevernas samtycke. En elev vid skolan hade beviljats skydd för sina personuppgifter och invände mot publiceringen. Datainspektionen konstaterade att publiceringen inte under några omständigheter kunde anses som harmlös och att den stred mot förbudet mot överföring av personuppgifter till tredje land i 33 § personuppgiftslagen.

Ett annat ärende (dnr 741-2000) gällde en webbplats som innehöll bl.a. namn och bild på barn som hade tvångsomhändertagits med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga. Uppgifterna på webbplatsen hade publicerats av Nordiska Kommittén för Mänskliga Rättigheter (NKMR) under en s.k. SÖK-tjänst. NKMR anförde att uppgifterna publicerades med samtycke och med ändamålet att barnens biologiska föräldrar skulle kunna få information om var barnen befann sig och om hur barnet hade det i fosterhemmet. Datainspektionen inledde tillsyn mot NKMR och konstaterade följande i sitt beslut. Det är enligt 21 § personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om bl.a. administrativa frihetsberövanden oavsett samtycke från de registrerade. Det framgår av lagens förarbeten att med administrativa frihetsberövanden avses bl.a. att någon har varit föremål för tvångsingripande enligt lagen med särskilda bestämmelser om vård av unga. NKMR:s SÖK-tjänst behandlade därför personuppgifter i strid med 21 § personuppgiftslagen. Eftersom uppgifterna dessutom gjordes tillgängliga via Internet, stred behandlingen även mot förbudet i 33 § personuppgiftslagen att överföra personuppgifter till tredje land. Datainspektionen beslutade också med hänsyn till förfarandets allvarliga karaktär att överlämna ärendet till polisen.

5.4. Justitiekanslerns praxis

Justitiekanslern prövar bl.a. frågor om skadestånd skall betalas av staten, bl.a. skadestånd enligt personuppgiftslagen, och i dessa ärenden kan tolkningen av personuppgiftslagen komma upp.

27

Ju-

stitiekanslern har också vissa uppgifter i fråga om tryck- och yttrandefriheten. Fall som i första hand gäller om ett visst förfarande med personuppgifter är skyddat av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen kan ha avgörande betydelse för om personuppgiftslagen är tillämplig. Eftersom sådana fall inte direkt gäller tillämpningen av personuppgiftslagen utan tillämpningen av grundlagarna, redovisas fallen inte här.

I ett fall hade en person begärt skadestånd med anledning av att Premiepensionsmyndigheten sänt ett meddelande med sekretessbe-

27

Ibland gäller saken behandling av personuppgifter som regleras av en särskild registerför-

fattning som hänvisar till skadeståndsbestämmelsen i personuppgiftslagen.

lagda uppgifter om hur hans premiepension placerats till honom i ett kuvert som inte varit förslutet. Justitiekanslern fann – beslut 2002-02-21, dnr 1980-02-42 – att det inte kunde uteslutas att det sätt på vilket meddelandet sänts inneburit att personuppgiftslagens regler åsidosatts, men att den kränkning som ett sådant åsidosättande kan ha medfört måste anses så begränsad att det inte fanns någon rätt till kränkningsersättning enligt 48 § personuppgiftslagen. Justitiekanslern beaktade att det inte varit fråga om personuppgifter av särskilt känslig art och att det bara funnits en begränsad risk för spridning av uppgifterna.

I beslut 2002-09-03, dnr 1652-02-42, har Justitiekanslern tillerkänt en person som under en vecka felaktigt varit registrerad som avliden i folkbokföringsregistret ersättning med 25 000 kr för kränkningen och 1 000 kr för kostnader enligt en bestämmelse i lagstiftningen om det registret som hänvisar till skadeståndsbestämmelsen i personuppgiftslagen.

I beslut 2003-09-11, dnr 2081-03-42, har Justitiekanslern tillerkänt en person begärd ersättning med 10 000 kr för det att det under mer än tre år felaktigt varit antecknat i belastningsregistret att han haft besöksförbud.

I beslut 2003-11-17, dnr 660-02-40, har Justitiekanslern tillerkänt en person ersättning för lidande med 10 000 kr för det att han under cirka tre månader varit oriktigt registrerad i misstankeregistret som skäligen misstänkt för ringa narkotikabrott och brott mot knivlagen, vilket ledde till att han fick vänta på körkortstillstånd.

I beslut 2003-03-28, dnr 73-02-42, har Justitiekanslern tillerkänt en student ersättning med 1 000 kr för kränkning för det att ett universitet på ett intranät under mindre än 48 timmars tid hade publicerat en lista med tentamensresultat med hans personnummer. I beslut 2003-04-14, dnr 1858-02-42, har Justitiekanslern avslagit samme students anspråk på skadestånd för det att universitetet registrerat hans telefonnummer i studiedokumentationssystemet Ladok. Justitiekanslern ansåg att det är ett berättigat intresse enligt personuppgiftslagen för universitet och högskolor att registrera adresser och telefonnummer som behövs för att komma i kontakt med de studenter som är inskrivna vid universitetet och att universitetets behov av att registrera telefonnumret väger tyngre än studentens intresse av att telefonnumret inte registreras; när studenten begärde det, togs telefonnumret bort.

I beslut 2003-06-19, dnr 1842-03-40, har Justitiekanslern tillerkänt en person med skyddad adress ersättning med 15 000 kr för kränkning och med 20 000 kr för skada i form av flyttkostnader

och fördyrade levnadsomkostnader för att en uppgift om personens skyddade adress oriktigt tagits bort ur försäkringskassans register.

I beslut 2003-06-26, dnr 1902-03-42, har Justitiekanslern tillerkänt två personer ersättning för olika straff- och påminnelseavgifter som de åsamkats till följd av att räkningar inte tillställdes dem, eftersom deras folkbokföringsadress varit oriktigt återgiven i folkbokföringsregistret.

I beslut 2003-07-02, dnr 1913-03-42 och 1914-03-42, har Justitiekanslern tillerkänt två personer, vars pensioner betalats ut på ett felaktigt sätt eftersom uppgifter registrerats felaktigt hos försäkringskassan, ersättning med 460 kr vardera för den oro som den uteblivna pensionsutbetalningen medfört och de kostnader som uppkommit för att efterforska pensionen. I ett annat fall har en person fått ersättning med 1 000 kr (beslut 2003-10-16, dnr 2783-03-42). Och i ett motsvarande fall avseende felaktig utbetalning av sjukpenning har en person fått ersättning med 2 000 kr (beslut 2003-09-15, dnr 1706-03-42).

I beslut 2003-07-16, dnr 1724-03-42, har Justitiekanslern tillerkänt en person ersättning för kursförlust med 988 kr, eftersom ett felaktigt kontonummer registrerats hos försäkringskassan, vilket lett till att föräldrapenning satts in på ett fondkonto.

I beslut 2003-10-15, dnr 596-03-42, har Justitiekanslern tillerkänt en person ersättning för kränkning med 4 000 kr för att en skuld varit felaktigt registrerad i utsökningsregister under drygt två år. En annan person har i ett fall där den felaktiga registreringen i utsökningsregistret varat i ungefär ett och ett halvt år fått ersättning med 5 000 kr för lidande (beslut 2003-11-05, dnr 1760-03-42).

I beslut 2003-03-28, dnr 580-03-42, har Justitiekanslern avslagit ett skadeståndsanspråk för felaktig registrering av folkbokföringsadress, eftersom det inte visats att den felaktiga registreringen orsakat den skada i form av kostnader till följd av att telefonräkning sänts till fel adress som ersättning krävdes för.

I beslut 2003-10-09, dnr 2795-03-42, har Justitiekanslern avslagit ett skadeståndsanspråk avseende ersättning för s.k. kvarstående skatt. Försäkringskassans personregister hade innehållit en felaktig uppgift om en persons underlag för preliminär skatt vilket lett till att personen påfördes kvarstående skatt. Justitiekanslern ansåg dock att den omständigheten att en skattskyldig har att betala en del av den slutliga skatten som rätteligen belöper på inkomsterna för ett visst beskattningsår i form av kvarskatt inte i sig var att betrakta som en ersättningsgill förmögenhetsskada.

I beslut 2003-02-21, dnr 1762-02-40, har Justitiekanslern bedömt om registrerade personuppgifter varit felaktiga eller ofullständiga och funnit att så inte varit fallet.

I beslut 2003-08-27, dnr 3271-02-42, och i beslut 2003-11-18, dnr 3152-02-42, har Justitiekanslern avslagit skadeståndsanspråk med anledning av felaktig registrering av uppgifter om avlidna.

5.5. Mål i EG-domstolen

5.5.1. Mål om att medlemsstater inte följt EG-direktivet

EG-kommissionen har i EG-domstolen väckt talan om att domstolen skall fastställa att Tyskland, Frankrike, Luxemburg och Irland (mål C-443, 449 och 450/00 respektive C-459/01) inte genomfört EG-direktivet i tid. EG-domstolen har i dom den 4 oktober 2001 fastslagit att Luxemburg brutit mot sina förpliktelser enligt EGdirektivet. Målen mot Tyskland och Frankrike har återkallats och skrivits av, medan målet mot Irland inte är avgjort ännu.

5.5.2. Förhandsavgöranden

Det finns några mål där nationella domstolar har bett EGdomstolen om ett s.k. förhandsavgörande om tolkningen av EGdirektivet.

28

Det gäller dels de frågor som Göta hovrätt ställt i det

mål som berörs i avsnitt 5.2.1 (mål C-101/01), dels frågor som ett par österrikiska domstolar ställt (mål C-465/00 och C-138 och 139/01).

Frågor från Göta hovrätt

Det svenska s.k. konfirmandlärarmålet, som omtalas närmare i avsnit t 5.2.1, g äller en konfirmandlärares publicering av personuppgifter om arbetskamrater på Internet. Göta hovrätt hade i målet ställt sju frågor om tolkningen av EG-direktivet.

28

I EG-domstolens dom den 14 september 2000 i mål C-369/98 har EG-direktivet indirekt

berörts.

Generaladvokaten vid EG-domstolen kom i sitt förslag till avgörande (den 19 september 2002) fram till att en behandling av personuppgifter, vilken består i att utan ekonomiskt vinstsyfte skapa en hemsida av aktuell typ, vilken endast är avsedd att utgöra stöd för konfirmationsundervisning som ges i en församling, gratis och helt utan samband med någon anställning, inte omfattas av gemenskapsrätten, se artikel 3.2 i EG-direktivet. Generaladvokaten besvarade inte hovrättens övriga frågor.

EG-domstolen (dom den 6 november 2003 i mål C-101/01) gjorde en annan bedömning. För det första kom domstolen fram till att omnämnandet av olika personer – med namn eller på annat sätt, t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en hemsida på Internet utgör en sådan helt eller delvis automatiserad behandling av personuppgifter som i och för sig omfattas av EG-direktivet. En uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör dessutom, enligt EG-domstolen, en känslig personuppgift om hälsa. EG-domstolen konstaterade vidare till skillnad från generaladvokaten att den behandling som utförts inte var undantagen från EG-direktivet enligt artikel 3.2. Det var bl.a. uppenbart enligt domstolen att en behandling av personuppgifter som består i att uppgifterna offentliggörs på Internet för att bli tillgängliga för ett obestämt antal personer inte föll under undantaget för rent privat behandling.

Däremot är det enligt EG-domstolen inte fråga om någon överföring av uppgifter till tredje land i EG-direktivets mening när en person, som befinner sig i en medlemsstat, lägger ut personuppgifter på en hemsida på Internet som är lagrad hos en fysisk eller juridisk person, som har den webbplats där man kan komma åt sidan och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.

EG-domstolen kom vidare fram till att bestämmelserna i EGdirektivet inte i sig utgör en begränsning som står i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom EU. Enligt EG-domstolen ankommer det på de nationella myndigheter och domstolar som skall tillämpa den nationella genomförandelagstiftningen att garantera en rättvis balans mellan de rättigheter och skyldigheter som är i fråga.

Slutligen konstaterade EG-domstolen att det inte finns något hinder för en medlemsstat att utöka räckvidden av genomförandelagstiftningen till att omfatta områden som inte ingår i EG-

direktivets tillämpningsområde. Det gäller naturligtvis bara om inte någon annan gemenskapsrättslig bestämmelse hindrar det.

Frågor från österrikiska domstolar

Målen från Österrike gäller ett speciellt förfarande enligt österrikisk lagstiftning. Detta förfarande innebär att ett statligt organ är skyldigt att – i syfte att offentliggöra uppgifterna – samla in och vidarebefordra uppgifter om namn och lön för personer med en viss minimiinkomst som är anställda hos vissa myndigheter och andra organ som helt eller delvis står under statligt inflytande. Frågan i EG-domstolen gällde om förfarandet var förenligt med EGdirektivet.

Generaladvokaten vid EG-domstolen kom i sitt förslag till avgörande fram till att det förfarande som föreskrivs inte omfattas av bestämmelserna i EG-direktivet, eftersom behandlingen utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, se artikel 3.2 i EG-direktivet.

EG-domstolen (dom den 20 maj 2003 i mål C-465/00 och C-138 och 139/01) fann emellertid att EG-direktivet är tillämpligt på förfarandet. Domstolen kom vidare fram till att EG-direktivet (artiklarna 6.1 c och 7 c och e) inte utgör något hinder för en sådan nationell lagstiftning som den som det var i fråga i målen, under förutsättning att det är utrett att spridning i stor omfattning av såväl inkomstbeloppen som namnen på de personer som uppbär inkomsterna är både nödvändig och lämplig för lagstiftarens syfte, nämligen att allmänna medel skall förvaltas väl. Enligt EG-domstolen ankommer det på de nationella domstolarna att pröva om så är fallet.

EG-domstolen ansåg vidare att de tidigare nämnda artiklarna i EG-direktivet har direkt effekt i den meningen att de kan åberopas av en enskild inför nationella domstolar för att dessa inte skall tilllämpa nationella rättsregler som strider mot artiklarna.

5.6. Annan vägledning

5.6.1. Vägledning från Datainspektionen

Datainspektionen har utfärdat föreskrifter om anmälan av behandlingar

29

och om undantag från förbudet för andra än myndigheter

att behandla personuppgifter om lagöverträdelser m.m.

30

Datainspektionen har vidare utfärdat allmänna råd om säkerhet för personuppgifter och om information till registrerade enligt personuppgiftslagen. Inspektionen har också kommit ut med informationsskrifter om personuppgiftsombud (1999) om personuppgifter i arbetslivet (2001), om hur länge personuppgifter får bevaras (2003), om samtycke (2003) och om intresseavvägning (2003). Inspektionen har dessutom gett ut ett antal kortare informationsblad om personuppgiftsansvar, personuppgiftsombud, personuppgifter och Internet, anmälan och förhandskontroll, känsliga personuppgifter i forskningen samt övergången till personuppgiftslagen. Materialet är tillgängligt på Datainspektionens webbplats.

31

Datainspektio nen svarar varje år på tusentals telefon- och epostförfrågningar bl.a. via ett särskilt inrättat s.k. call-center med två jurister. Inspektionen har också en omfattande konferens- och föreläsningsverksamhet.

Det kan vidare nämnas att Datainspektionen medverkar i en arbetsgrupp enligt artikel 29 i EG-direktivet tillsammans med företrädare för tillsynsmyndigheter i andra medlemsstater och EGkommissionen. Den arbetsgruppen har utfärdat en lång rad yttranden och rekommendationer rörande skyddet för personuppgifter och tolkningen av EG-direktivet.

32

5.6.2. Branschöverenskommelser

Enligt 15 § personuppgiftsförordningen (1998:1191) skall Datainspektionen på begäran av en organisation som företräder en väsentlig del av de personuppgiftsansvariga inom en viss bransch eller

29

DIFS 1998:2 senast ändrad genom DIFS 2001:1.

30

DIFS 1998:3.

31

http://www.datainspektionen.se.

32

Arbetsgruppens material finns på EG-kommissionens webbplats: http://europa.eu.int/comm/internal_market/privacy/workingroup_en.htm.

inom ett visst område avge yttrande över förslag till överenskommelser vad avser behandling av personuppgifter inom branschen eller området (branschöverenskommelse). Yttrandet skall avse branschöverenskommelsens förenlighet med personuppgiftslagen och andra författningar som reglerar den behandling av personuppgifter det är fråga om. Datainspektionen skall innan den avger yttrande om det är lämpligt se till att organisationer som företräder de registrerade har fått tillfälle att yttra sig över förslagen till branschöverenskommelser.

Datainspektionen har yttrat sig över tre branschöverenskommelser, en om direkt marknadsföring, en om marknadsundersökningar och en om behandling av personuppgifter på inkassoområdet. Datainspektionen granskar för närvarande utkast till branschöverenskommelser om behandling av personuppgifter i finansieringsverksamhet och i skolfotoverksamhet samt ett förslag om ändringar i branschöverenskommelsen om marknadsundersökningar. Regeringen har satt som mål att Datainspektionen aktivt skall arbeta för att det kommer till stånd en ökad självreglering genom bl.a. flera branschöverenskommelser.

5.6.3. Särskilda registerförfattningar

På många områden, särskilt i fråga om myndighetsregister, kan mera konkret vägledning för behandlingen av personuppgifter fås genom s.k. särskilda registerförfattningar. Enligt 2 § personuppgiftslagen gäller nämligen avvikande bestämmelser i lag eller författning före personuppgiftslagen. Sedan personuppgiftslagen trädde i kraft har det utfärdats en lång rad författningar med särbestämmelser som är anpassade till lagen.

33

Även förarbetena till sär-

skilda registerförfattningar kan i viss ut sträckning g e vägledning för tillämpningen av personuppgiftslagen.

5.6.4. Litteratur

Det finns i dag en hel del litteratur kring personuppgiftslagen. Det har getts ut en traditionell lagkommentar och några mera praktiskt inriktade publikationer. Genomförandet av EG-direktivet i de nor-

33

Se t.ex. uppräkningen på s. 26 ff. i Sören Öman & Hans-Olof Lindblom, Personuppgifts-

lagen – En kommentar, andra upplagan 2001.

diska länderna har beskrivits i en antologi, och personuppgiftsskyddet i Sverige och Frankrike har jämförts i en doktorsavhandling. Vidare finns det en hel del tidskriftsartiklar med rättsfallskommentarer och belysning av särskilda aspekter.

Flera branschorganisationer och liknande har gett ut vägledning om personuppgiftslagen.

Det finns på det internationella planet åtminstone två kommentarer till EG-direktivet (på tyska).

5.7. Utredningens analys

Personuppgiftslagen har gällt sedan oktober 1998, men inte tillämpats fullt ut på automatiserad behandling förrän tre år senare. Under den förhållandevis korta tid som lagen tillämpats har det, såsom den tidigare redovisningen visar, förekommit en utveckling i rättstillämpningen och tillkommit en hel del annan vägledning för tillämpningen. Det har exempelvis redan kommit fyra vägledande avgöranden från högsta instans. Enligt utredningens bedömning har man knappast haft anledning att vänta sig fler vägledande avgöranden i svensk domstolspraxis. Utvecklingen i rättspraxis fortskrider således i normal eller till och med snabbare än normal takt.

Eftersom personuppgiftslagen grundar sig på ett EG-direktiv, som EG-domstolen har att uttolka, och i stort sett följer EGdirektivets struktur och text, har regeringen medvetet avstått från att i förarbetena närmare uttala sig om tolkningen.

34

Regeringen var

emellertid medveten om att de generella regler so m finns i per sonuppgiftslagen behöver preciseras och utvecklas och delegerade därför kompetens att göra det till Datainspektionen.

35

Regeringen in-

struerade också Datainspektionen att särskilt inrikta sin verksamhet på att informera om gällande regler

36

och gav senare inspektio-

nen i särskilt uppdrag att publicera ko nkret vägled ning i vissa avseenden

37

.

När det gälle r just förekomsten av annan vägledning för tillämpningen av personuppgiftslagen än rättspraxis finns det delade meningar. En del menar att mera konkret vägledning borde ha kommit fram vid det här laget och att osäkerheten om vad som gäller är be-

34

Prop. 1997/98:44 s. 38.

35

Prop. 1997/98:44 s. 56 f.

36

1 § andra stycket förordningen (1998:1192) med instruktion för Datainspektionen.

37

Se regleringsbreven för Datainspektionen för 2002 och 2003.

svärande och borde avhjälpas t.ex. genom möjlighet till förhandsbesked från exempelvis Datainspektionen. Andra menar att det inte är så konstigt att det till en EG-baserad lagstiftning inte finns mer vägledning. Enligt dessa är osäkerheten inte heller särskilt besvärande, eftersom detta ger den som skall tillämpa lagstiftningen ett större, eget spelrum tills vidare.

Utredningen kan för egen del konstatera att det nu faktiskt kommit en hel del vägledning från bl.a. Datainspektionen. Å andra sidan kan det också konstateras att det, trots den praxis och vägledning som finns, på många punkter är oklart hur lagstiftningen skall tillämpas i konkreta situationer. Så är det emellertid ofta med relativt ny lagstiftning, särskilt sådan som bygger på EG-direktiv. Utredningen har dock inte fått uppfattningen att oklarheten om vad som gäller i olika situationer är så besvärande att den hindrat en önskvärd samhällsutveckling eller allvarligt försvårat genomförandet av önskvärda behandlingar. Om det på något visst område skulle finnas ett särskilt behov av mer konkret vägledning, finns det för övrigt alltid möjlighet för organisationer av personuppgiftsansvariga att själva utarbeta en branschöverenskommelse med vägledning som Datainspektionen har att granska.

38

Målet för Datainspektio-

nens verksamhet är också att inspektio nen aktivt skall arbeta för att det kommer till stånd en ökad självreglering genom bl.a. flera branschöverenskommelser.

39

Det kan inte anses li gga inom ramen fö r utredningsuppdraget att överväga ett helt nytt system för normgivning och vägledning, t.ex. ett system med förhandsbesked. Datainspektionens framtida verksamhetsinriktning har också setts över nyligen av en annan utredning.

40

38

Se 15 § personuppgiftsförordningen (1998:1191).

39

Se regleringsbreven för Datainspektionen för 2002 och 2003.

40

SOU 2002:2.

6. Justitiedepartementets offentliga utvärdering

6.1. Inledning

Justitiedepartementet har gjort en enkät för en offentlig utvärdering av EG-direktivet som i februari 2001 remitterades till 109 myndigheter, organisationer och företag. Allmänheten inbjöds också att svara på enkäten på Internet via Justitiedepartementets webbplats. Sammanlagt kom det in 94 svar på enkäten, varav 79 svar bedömdes vara allvarligt menade i sak.

Enkäten innehöll 16 frågor om eventuella problem med olika bestämmelser i EG-direktivet. Enkäten innehöll också ett par frågor om synpunkter på det utkast till lagstiftningsmodell som utarbetats av Justitiedepartementet och som är mer inriktat på att ingripa mot missbruk av personuppgifter än på att reglera själva hanteringen av personuppgifter (missbruksmodell) samt en fråga om övriga synpunkter på ändringar av EG-direktivet.

Den offentliga utvärderingen avsåg alltså EG-direktivet, men det står klart att de allra flesta som svarat i praktiken uttalat sig om de bestämmelser i personuppgiftslagen som genomför EG-direktivet.

Enkätsvaren innefattar en mängd meningsyttringar. Förutom allmänna påpekanden om lagens tillämpning och konstruktion märks särskilt synpunkter som rör yttrandefriheten på Internet. När det gäller konkreta problem med EG-direktivet och personuppgiftslagen framkommer främst en osäkerhet om hur olika bestämmelser skall tolkas. Justitiedepartementets förslag till missbruksmodell har fått ett överväldigande positivt gensvar.

Enkätsvaren har publicerats i Ds 2001:27 EG-direktivet om personuppgifter – En offentlig utvärdering. Svaren kan sammanfattas enligt följande.

6.2. Eventuella problem med EG-direktivet

De flesta svarande – såväl myndigheter, organisationer och större företag som privatpersoner – har anfört att definitionerna av grundläggande begrepp som personuppgift, manuell behandling, samtycke, personuppgiftsansvarig och personuppgiftsbiträde är svåra att tolka. Ett flertal myndigheter och organisationer har också påtalat att definitionerna av begreppen personuppgift och behandling är mycket vidsträckta och att detta kan innebära problem vid tillämpningen av EG-direktivet och personuppgiftslagen.

Många svarande har anfört att tillämpningsområdet för direktivet är för omfattande och att bl.a. vardaglig behandling av personuppgifter bör undantas från dess tillämpningsområde. Flera har kritiserat föreskrifterna om undantag från lagens tillämpningsområde, särskilt undantagen för journalistisk, konstnärlig och litterär verksamhet samt förhållandet till tryck- och yttrandefriheten och offentlighetsprincipen, för att vara för svårtolkade och oklara. Hur avgörs t.ex. om en bild eller en text är konstnärlig eller journalistisk? Motsvarande osäkerhet har uttryckts beträffande bestämmelsen om territoriellt tillämpningsområde.

Vidare har ett flertal svarande, bl.a. vissa fackförbund, befarat att tillämpningsområdet för personuppgiftslagen innebär att offentlighetsprincipen inskränkts. Ett flertal privatpersoner har också kritiserat undantaget för privat behandling för att vara för snävt och oklart, t.ex. då det inte synes omfatta fallet där enskilda sluter sig samman i en ideell organisation och där behandlar personuppgifter inom ramen för organisationens ändamål och då det inte heller framgår om undantaget omfattar släktforskning.

Bestämmelserna om de grundläggande kraven på behandling av personuppgifter har rönt mindre kritik. En del instanser har dock pekat på oklarheter vad gäller innebörden av olika krav på behandlingens ändamål samt tolkning av vissa begrepp som korrekt sätt och god sed.

Flera instanser har pekat på problem med föreskriften om när behandling är tillåten. Detta gäller särskilt svårigheter med att inhämta samtycke samt tolkning av nödvändighetskravet och den intresseavvägning som i vissa fall skall göras vid bedömning av om en behandling är nödvändig. De flesta svarande har härvid – i stället för EG-direktivets och personuppgiftslagens nuvarande s.k. hanteringsmodell – förespråkat den missbruksmodell som tagits fram av Justitiedepartementet.

En del svarande har hänvisat till konkreta problem med bestämmelserna om känsliga personuppgifter och personuppgifter om lagöverträdelser. Vissa fackförbund har påtalat problem med att medlemskap i fackförening anses som en känslig personuppgift. Vissa sammanslutningar av konstnärer och fotografer har kritiserat bestämmelsens tillämplighet på fotografier. Utgör t.ex. ett fotografi av en person med kryckor en personuppgift som rör hans eller hennes hälsa? Svenska kyrkan har påtalat problem med kravet på regelbunden kontakt när kyrkan behandlar känsliga personuppgifter som avslöjar religiös övertygelse hos andra än medlemmar, t.ex. donatorer. Svenska kommunförbundet har pekat på problem med kommunernas behandling av känsliga personuppgifter i skolans verksamhet, t.ex. hos skolpsykologer och i skolbespisningen samt i färdtjänsten. Bestämmelsen med ett absolut förbud för andra än myndigheter att behandla uppgifter om lagöverträdelser m.m. har också kritiserats för att vara för snäv.

Många instanser – såväl myndigheter, organisationer, företag och enskilda – har ansett att tillämpningen av bestämmelserna om informationsplikt är betungande, kostsam och i vissa fall onödig. Svårigheter har också påtalats i fråga om tolkningen av vad som är en ”oproportionerligt stor arbetsinsats” och undantaget för sådant som den enskilde redan känner till i de fall då han eller hon själv har lämnat in uppgifter till t.ex. en myndighet. Föreskriften om sökandes rätt till registerutdrag har rönt något mindre kritik. En del svarande har dock anfört att denna informationsskyldighet är tidskrävande och kostsam, särskilt i fråga om personuppgifter som finns i löpande text och i form av fotografier. Bl.a. arkivmyndigheterna har mot denna bakgrund påtalat behovet av och det angelägna med ett undantag från skyldigheten att lämna registerutdrag när det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträngning (motsvarande det i 24 § tredje stycket personuppgiftslagen och artikel 11.2 i EG-direktivet).

Ett stort antal svarande har kritiserat bestämmelserna om överföring av personuppgifter till tredje land. Kritiken har främst gällt tilllämpligheten på behandling av personuppgifter på Internet. Många instanser – såväl myndigheter, företag och organisationer som privatpersoner – har påtalat att regleringen förhindrar utnyttjandet av modern informationsteknologi, t.ex. offentliggörande av myndigheters beslut och diarier på Internet. Vidare har regeln om s.k. harmlösa personuppgifter kritiserats för att vara otydlig.

De svarande har inte haft några omfattande synpunkter på föreskrifterna om skadestånd och straff. En del har dock pekat på att till-

lämpningen av sanktionsreglerna kan bli problematisk när lagen är oklar samt att en sådan osäkerhet är otillfredsställande ur rättssäkerhetssynpunkt.

Bestämmelserna om rättelse, automatiserade beslut och säkerhet har varken givit anledning till särskilda synpunkter eller större missnöje. Bestämmelserna om anmälan till Datainspektionen och om upplysning till allmänheten har inte heller medfört någon större reaktion. Vissa instanser har emellertid ifrågasatt nyttan av dessa bestämmelser. De svarande har inte heller haft några omfattande synpunkter på föreskrifterna om Datainspektionens befogenheter.

6.3. Missbruksmodell

I princip samtliga svarande har anfört att en lagstiftning i enlighet med Justitiedepartementets utkast till missbruksinriktade regleringsmodell är att föredra framför EG-direktivets nuvarande s.k. hanteringsmodell, även om en del har velat gå ännu längre. Det har bl.a. framhållits att den föreslagna missbruksmodellen tillgodoser kravet på skydd mot kränkningar av enskilda personers integritet, är mer flexibel och möjliggör användandet av ny informationsteknologi.

Vissa instanser har dock påtalat ett behov av ett förtydligande av begreppen strukturerad text, spridning, skada samt allmänt intresse. En del har också anfört att det över huvud taget inte är meningsfullt att göra en distinktion mellan strukturerade uppgifter och löpande text eftersom de flesta uppgifter som behandlas automatiserat – t.ex. i elektroniska dokument – lätt kan struktureras så att sökning underlättas.

7. Personuppgifter som inte ingår i personregister

7.1. Inledning

Enligt utredningsdirektiven skall utredningen närmare analysera förutsättningarna – inom ramen för EG-direktivet – för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet skall i första hand vara att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Regleringen skall liksom hittills vara teknikoberoende. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredningen föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten.

Enligt utredningsdirektiven skall utredningen vidare särskilt analysera om det är möjligt och lämpligt med en generell bestämmelse – baserad på bestämmelsen i artikel 7 f i EG-direktivet om en intresseavvägning – av innebörd att personuppgifter får behandlas om det är nödvändigt för information och debatt eller opinionsbildning, om det inte finns risk för otillbörligt intrång i den personliga integriteten eller om det finns ett allmänintresse som överväger integritetsintrånget. Utredningen skall vidare särskilt analysera möjligheterna till undantag avseende behandling av känsliga personuppgifter och överföring av personuppgifter till tredje land för viktiga allmänna intressen enligt artikel 8.4 och 26.1 d i EGdirektivet med hänsyn till intresset för information, debatt och opinionsbildning.

Utredningsuppdraget avser alltså i första hand att undersöka om och i vilken utsträckning det med hänsyn till EG-direktivet är möjligt att i dag i personuppgiftslagen genomföra en s.k. missbruksmodell för regleringen av behandling av personuppgifter. Personuppgiftslagen har med hänsyn till EG-direktivet baserats på en annan lagstiftningsmodell, en s.k. hanteringsmodell.

7.2. Missbruksmodell

Det är något oklart vad som menas med en missbruksmodell respektive hanteringsmodell för lagstiftningen. Datalagskommittén, som införde terminologin, beskrev skillnaderna på följande sätt:

41

”Man kan på ett principiellt plan tänka sig åtminstone två olika modeller för regleringen av skyddet för den personliga integriteten:

  • Reglering av själva hanteringen av personuppgifter (hanteringsmodellen).
  • Reglering av sådant utnyttjande av personuppgifter som kan karakteriseras som ett missbruk (missbruksmodellen).

När man riktar in sig på att reglera själva hanteringen av personuppgifter, blir det viktigt med regler som avser t.ex.

  • att precisera godtagbara ändamål med hanteringen och hindra användning som inte stämmer överens med sådana ändamål,
  • att inte fler uppgifter än nödvändigt hanteras,
  • att de hanterade uppgifterna är korrekta och relevanta,
  • att de hanterade uppgifterna inte läcker ut från den som hanterar dem och
  • att de registrerade kan få kännedom om av vem uppgifterna hanteras och vilka uppgifter som hanteras.

Den nuvarande datalagen och EG-direktivet kan sägas bygga på en sådan modell för skyddet av den personliga integriteten. Också Europarådets konvention och rekommendationer samt, på det globala planet, OECD:s riktlinjer verkar bygga på hanteringsmodellen. Även den svenska grundlagen

42

kan sägas kräva att det skall finnas en lagstiftning

baserad på hanteringsmodellen, innefattande skydd mot integritetskränkningar genom att personuppgifter registreras (oavsett om de i någon mening missbrukas eller inte).

41

SOU 1997:39 s. 181 ff.

42

2 kap. 3 § 2 st. regeringsformen.

De som förespråkar den modell som koncentrerar sig på reglering av det som kan karakteriseras som missbruk av personuppgifter, brukar utgå från att själva hanteringen av personuppgifterna skall vara i det närmaste fri. Det har t.ex. talats om ett slags allemansrätt till personuppgifter.

43

Det viktiga med den modellen blir i stället att identifiera

vilken användning av personuppgifter som utgör ett sådant missbruk att det bör förbjudas, dvs. i första hand kriminaliseras eller skadeståndsbeläggas.

Båda modellerna har fördelar. Även om en reglering i enlighet med hanteringsmodellen görs i princip teknikoberoende, är det inte praktiskt möjligt att låta den omfatta all hantering av personuppgifter; hanteringen av sådana personuppgifter som någon har memorerat (’har i huvudet’) bör t.ex. lämnas utanför regleringen, trots att de memorerade uppgifterna givetvis kan komma att användas till skada för den som uppgifterna avser. Missbruksmodellen däremot är helt teknikoberoende och tar sikte på det skadliga utnyttjandet av personuppgifterna oberoende av vilket hjälpmedel som har använts vid utnyttjandet (papper och penna, dator, det mänskliga minnet etc.).

Med hanteringsmodellen kan man alltså – till skillnad från missbruksmodellen – inte komma till rätta med allt missbruk av personuppgifter eller all användning av personuppgifter som enskilda kan tycka är obehaglig eller skadlig.

Med hanteringsmodellen främjas en kontinuerligt god hantering av personuppgifter; man begränsar hanteringen till de uppgifter som behövs och hanteringen sker på ett ändamålsenligt sätt som den enskilde kan få insyn i. Den modellen förutsätter också att det finns någon sorts kontroll av eller tillsyn över hanteringen. Missbruksmodellen är å andra sidan mera repressiv till sin karaktär. Där kommer regleringen och tillsynen in först sedan skadan har skett, när missbruket är ett faktum. Det torde med den modellen vara svårt att på ett tillräckligt förutsebart sätt reglera och kontrollera olika ’förberedelser’ till missbruk.

Den hantering som inte innebär ett missbruk lämnas med missbruksmodellen i princip utanför regleringen; där gäller ’allemansrätten till personuppgifter’. Med hanteringsmodellen regleras däremot i princip också sådan hantering av personuppgifter som objektivt sett måste betraktas som harmlös. Det kan därför tyckas att hanteringsmodellen spänner över onödigt mycket. Missbruksmodellen lämnar å andra sidan öppet för en hantering av också känsliga personuppgifter som redan genom sin stora omfattning kan oroa många människor.”

43

Se Jan Freese, Rapport om skyddet för enskilda personers privatliv – ett mer samlat

grepp?, 1995, avsnitt 10.4.

Regeringen ansåg vid utarbetandet av personuppgiftslagen att det inte var möjligt att uppfylla skyldigheten att genomföra EGdirektivet på annat sätt än genom att införa en lagstiftning av hanteringsmodell och påpekade att ingen hade kunnat konkret ange hur det skulle kunna vara möjligt med hänsyn till EG-direktivet att använda en renodlad missbruksm odell.

44

Konstitutionsutskottet

delade regeringens bedömning.

45

Såsom anges i utredningsdirekti-

ven har det dock efter ikraftträdandet av personuppgiftslagen vidtagits flera åtgärder i syfte att åstadkomma en mer missbruksinriktad regleringsmodell.

Det enda mer konkreta utkast till en missbruksmodell för regleringen som framkommit är det som Justitiedepartementet presenterade hösten 2000 och som också omnämns i utredningsdirektiven .

46

Utkastet innehåller ett konkret förslag till ändring av EG-direktivet som innebär att en ny artikel av följande lydelse skall införas i EGdirektivet:

”1. På automatisk behandling av personuppgifter i form av ljud- och bilduppgifter och i text skall, när materialet inte har strukturerats så att sökning av personuppgifter underlättas, bara tillämpas artikel 4, 9 och 22–24.

47

2. Medlemsstaterna skall föreskriva att sådan behandling som avses i punkt 1 och som innebär spridning av personuppgifter till skada för den registrerade inte är tillåten. Detta skall dock inte gälla om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att personuppgifterna sprids.”

På Justitiedepartementets hemsida på Internet har förslaget sammanfattats enligt följande:

”Behandling av personuppgifter som inte har strukturerats för att underlätta sökning av personuppgifter, t.ex. vid ord- och textbehandling

44

Prop. 1997/98:44 s. 36 f.

45

KU 1997/98:18 s. 13 f.

46

Utkastet finns som bilaga till Ds 2001:27, som också innehåller en sammanställning av

allmänhetens synpunkter på utkastet. – IT-kommissionens rättsliga observatorium har också gjort ett arbete om utformningen av en missbruksmodell som redovisats i en skrivelse till regeringen 1999-02-24, dnr ITK98/3 (se det IT-rättsliga observatoriets rapport 8/98).

47

De angivna artiklarna rör det territoriella tillämpningsområdet, undantag med hänsyn till

yttrandefriheten och rättslig prövning och sanktioner.

och användning av Internet och e-post, undantas från bestämmelserna om själva hanteringen av personuppgifter.

Sådan behandling är förbjuden bara om spridning av personuppgifterna är till skada för den registrerade. Spridningen skall dock alltid vara tillåten, om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att personuppgifterna sprids.

Bara behandling av personuppgifter i regelrätta databaser eller andra uppgiftssamlingar som strukturerats för att underlätta sökning av personuppgifter, t.ex. myndigheters, försäkringsbolags och bankers register med personuppgifter, omfattas alltså av bestämmelser om själva hanteringen av personuppgifter.”

Det som enligt förslaget skall undantas från hanteringsreglerna i EG-direktivet är således ljud- och bilduppgifter och löpande text när materialet inte har strukturerats så att sökning av personuppgifter underlättas.

Utredningen anser att det är ändamålsenligt att behandling av sådant ostrukturerat material undantas från hanteringsreglerna i personuppgiftslagen. De dataskyddsprinciper som ligger bakom dessa hanteringsregler utarbetades i början på 1980-talet innan den datoriserade informationstekniken blivit en vardagsteknik, som snart sagt varje arbetstagare hanterar dagligen, och börjat användas för kommunikation och spridning av information i världsomfattande nätverk såsom Internet.

48

Att problemen med att tillämpa

hanteringsreglerna på en vardagsteknik med nya användningsområden verkar ha uppmärksammats först i Sverige kan hänga samman med Sveriges position som ett föregångsland inom informationstekniken och att Sverige var bland de allra första staterna att genomföra EG-direktivet.

De generella dataskyddsprinciperna är i och för sig enligt utredningens mening i stort sett adekvata och relevanta även för behandling av personuppgifter i ostrukturerat material. Det ligger exempelvis ett värde i att personuppgifter som behandlas är riktiga och relevanta och att den registrerade är informerad om behandlingen även när den avser ostrukturerat material. I de allra flesta fall leder också en tillämpning av hanteringsreglerna till slutsatsen att behandlingen av personuppgifter i ostrukturerat material är tillåten och kan utföras.

48

Jämför härtill vad som sägs i avsnitt 3.2 och, i fråga om dataskyddsprinciper, avsnitt 4.

Men reglerna är ändå inte anpassade för den i dag utbredda användningen av datoriserad informationsteknik för ostrukturerad vardagshantering och kommunikation. Det är nämligen enligt utredningens mening inte rimligt att man skall behöva tillämpa sju eller åtta hanteringsregler för att kunna konstatera att en vardaglig behandling av personuppgifter i ostrukturerat material är tillåten. Hanteringsreglerna framstår som alltför omfattande, komplicerade och byråkratiska när det gäller vardaglig, ostrukturerad behandling av personuppgifter som normalt är helt harmlös. Hanteringsreglerna tillför inte integritetsskyddet mycket i dessa fall, i vart fall inte i jämförelse med den byråkrati och kostnad som skulle uppkomma om reglerna i praktiken tillämpades fullt ut.

Det är enligt utredningens mening inte realistiskt att tro att hanteringsreglerna i någon större utsträckning i praktiken används vid vardaglig, ostrukturerad hantering av personuppgifter. I och med att reglerna i dessa fall upplevs som byråkratiska, komplicerade och inte omedelbart kopplade till integritetsskyddet och därför inte tillämpas, riskerar man att de grundläggande och viktiga dataskyddsprinciperna råkar i vanrykte och inte tillämpas ens vid sådan strukturerad behandling av personuppgifter där de är oundgängliga för integritetsskyddet. Därför skulle integritetsskyddet i praktiken stärkas om man undantar behandling av ostrukturerade personuppgifter från hanteringsreglerna och i stället tillskapar enklare regler som direkt tar sikte på skydd mot missbruk av personuppgifter.

Utredningen anser mot den redovisade bakgrunden och utredningsdirektiven att den bör inleda sin översyn av personuppgiftslagen med att göra en förnyad analys av om och i vilken utsträckning det med hänsyn till EG-direktivet och andra omständigheter är möjligt att från hanteringsreglerna i personuppgiftslagen undanta behandling av personuppgifter i material som inte har strukturerats så att sökning efter eller sammanställning av personuppgifter underlättas, t.ex. löpande text och ljud- och bildupp tagningar

49

. Kan ett sådant undantag göras, får det undersökas vilka närmare bestämmelser som i stället är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten. I det sammanhanget får beaktas bl.a. de generella reg-

49

Här och i det följande används löpande text och ljud- och bildupptagningar som exempel

på material som normalt inte har strukturerats för att underlätta sökning efter och sammanställning av personuppgifter. Det bör dock påpekas att även löpande text och ljud och bild givetvis kan struktureras på detta sätt. Och har så skett, är materialet naturligtvis inte längre ostrukturerat.

ler till skydd för den personliga integriteten som redan finns. Det gäller här att skapa ett kompletterande skydd mot otillbörligt intrång i den personliga integriteten.

Ett sådant generellt undantag för behandling av personuppgifter i ostrukturerat material finns således inte i dag i personuppgiftslagen. Utredningen har inte heller funnit något motsvarande undantag i andra medlemsstaters genomförandelagstiftning, jämför dock vad som sägs i avsnitt 7.3.2 om Frankrikes avsikter.

Utredningen anser alltså att det är strukturen på materialet som bör utgöra kriteriet för om hanteringsreglerna eller regler som bara förhindrar missbruk skall tillämpas. Här bör avslutningsvis noteras att utredningen i och för sig övervägt också andra möjliga avgränsningskriterier än materialets struktur, t.ex. syftet med behandlingen, arten av personuppgifter, vem som behandlar uppgifterna, vem personuppgifterna avser osv. Som kommer att framgå i det följande är inte användningen av materialets struktur som kriterium utan svårigheter och definitionsproblem. Varje avgränsningskriterium har emellertid inneboende svårigheter och kan vara mer eller mindre ändamålsenligt. En avgränsning utifrån syftet med behandlingen innebär t.ex. bl.a. den svårigheten att syftet oftast inte syns utåt. Utredningen har funnit att det valda kriteriet (materialets struktur) är det mest ändamålsenliga, vilket naturligtvis är av största vikt, och att definitionsproblemen och andra svårigheter med det kriteriet kan bemästras.

7.3. EG-direktivet

7.3.1. Undantag enligt artikel 3.2 för sådant som faller utanför gemenskapsrätten och för rent privat behandling

Enligt artikel 3.2 första strecksatsen i EG-direktivet gäller inte EGdirektivet för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Enligt andra strecksatsen i artikeln gäller inte EG-direktivet för sådan behandling av personuppgifter av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Bestämmelserna i artikeln berörs närmare i avsnitt 8.2.

Enligt utredningens mening står det ganska klart att de nu nämnda undantagen inte kan användas för att generellt undanta behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar. Viss sådan behandling kan visserligen utföras av en fysisk person för rent privat bruk, men något generellt undantag finns det knappast stöd för. Undantaget för rent privat behandling i EG-direktivet har för övrigt redan tagits in i 6 § personuppgiftslagen.

7.3.2. Undantag enligt artikel 9 för journalistiska ändamål eller konstnärligt eller litterärt skapande

Enligt artikel 9 i EG-direktivet skall medlemsstaterna besluta om undantag och avvikelser från de flesta av bestämmelserna i EGdirektivet för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Sådana undantag och avvikelser får dock beslutas bara om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.

50

Av det protokoll som fördes inom rådet när den gemensamma ståndpunkten om EG-direktivet antogs (i fortsättningen kallat mötesprotokollet

51

; se bilaga 4) framgår det att Frankrike förklarat att

man kommer att använda sig av de undantag som föreskrivs i artikel 9 för all den verksamhet inom den audiovisuella sektorn som omfattas av EG-direktivet.

Mot bakgrund av Frankrikes förklaring skulle man kunna överväga att stödja ett generellt undantag för behandling av personuppgifter i ostrukturerat material på artikel 9. Enligt utredningens mening förefaller det dock högst osäkert om undantagsmöjligheterna enligt artikel 9 kan användas för ett så generellt undantag. Undantagsmöjligheten enligt artikel 9 i EG-direktivet har för övrigt redan utnyttjats fullt ut i 7 § personuppgiftslagen.

50

Artikel 9 har berörts utförligt i t.ex. SOU 1997:39 s. 123 f. och 221 ff., SOU 1997:49 s.

241 ff. och SOU 2001:28 s. 259 ff.

51

Dokument 4730/95 ECO 20 av den 8 februari 1995.

7.3.3. Undantag enligt artikel 13 med hänsyn till skyddet av fri- och rättigheter

I artikel 13.1 i EG-direktivet finns det bestämmelser om att medlemsstaterna genom lagstiftning får begränsa omfattningen av vissa skyldigheter och rättigheter som följer av EG-direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs.

  • de grundläggande kraven på behandlingen av personuppgifter

(artikel 6.1, som motsvaras av 9 § personuppgiftslagen)

En sådan begränsning måste vara en nödvändig åtgärd med hänsyn till

a) statens säkerhet,

b) försvaret,

c) allmän säkerhet,

d) förebyggande, undersökning, avslöjande av brott eller åtal för

brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,

e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlems-

stat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,

f) en tillsyns-, inspektions- eller regleringsfunktion som, även om

den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,

g) skydd av den registrerades eller andras fri- och rättigheter.

Av mötesprotokollet (bilaga 4) framgår att rådet och kommissionen anser att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i artikel 13.1 g.

Bestämmelserna i artikel 13.1 berörs närmare i avsnitt 9.2.

Artikel 13.1 innebär således att undantag från vissa bestämmelser i EG-direktivet kan göras om det är en nödvändig åtgärd med hänsyn till vissa intressen. Det enda intresse som kan vara aktuellt när man överväger ett generellt undantag för behandling av personuppgifter i ostrukturerat material är det som avser skyddet av den registrerades eller andras fri- och rättigheter (punkt g).

Frågan är då om det kan anses vara en sådan fri- och rättighet som avses i artikel 13.1 g att få hantera ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar utan att begränsas av de hanteringsregler som avses i artikel 13.1.

När materialet skall distribueras till andra kan det vara fråga om ett sådant utnyttjande av yttrandefriheten som varje medborgare är tillförsäkrad skydd för enligt 2 kap. 1 § första stycket 1 regeringsformen, dvs. en frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor. Yttrandefriheten är onekligen en fri- och rättighet som är fastslagen också i bl.a. artikel 10.1 i Europakonventionen. Regeringen och Lagrådet har emellertid ansett att det är osäkert om yttrandefriheten omfattas av de fri- och rättigheter som avses i artikel 13.1 g, eftersom det finns ett särskilt undantag för yttrandefriheten i artikel 9.

52

Utredningen anser dock att det förhållandet att yttrandefri-

heten nämns i artikel 9 inte kan anses innebära att just den väletablerade fri- och rättigheten inte skulle omfattas av uttrycket fri- och rättigheter i artikel 13. Enligt ordalydelsen omfattar artikel 9 bara undantag för behandling av personuppgifter ”som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande”, vilket verkar vara mera begränsat än en frihet att ”meddela upplysningar samt uttrycka tankar, åsikter och känslor” eller – såsom anges i artikel 10.1 Europakonventionen – en ”frihet att ta emot och sprida uppgifter och tankar”.

Även när materialet inte skall distribueras till andra utan bara användas internt hos den personuppgiftsansvarige kan det vara fråga om ett utnyttjande av en fri- och rättighet i den mening som avses i artikel 13.1 g. Det kan nämligen vid inhämtande av uppgifter vara fråga om ett sådant utnyttjande av informationsfriheten som varje medborgare är tillförsäkrad skydd för enligt 2 kap. 1 § första stycket 2 regeringsformen, dvs. en frihet att inhämta och mottaga upplysningar samt att i övrigt taga del av andras yttranden. Enligt utredningens mening kan till och med det rent interna upprättandet

52

Prop. 1997/98:44 s. 49 och 236. Se också SOU 2001:28 s. 273.

och användandet av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar hos en personuppgiftsansvarig – t.ex. såsom minnesanteckningar – anses vara en fri- och rättighet. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred har exempelvis vid införandet av personuppgiftslagen ansetts som en sådan fri- och rättighet som avses i artikel 13.1 g.

53

I samband med antagandet av EG-direktivet förklarade rådet och kommissionen som nämnts att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i artikel 13.1 g. Det är för det första inte säkert att man alls kan tillmäta sådana förklaringar någon rättslig status och betydelse vid utrönandet av den rätta innebörden av en bestämmelse i ett EG-direktiv.

54

För det andra rör hanteringen av

ostrukturerat material inte bara behandling av personuppgifter utan rätten till sådan hantering är generell och avser all slags information. Att fri- och rättigheter som kan involvera behandling av personuppgifter avses i artikel 13.1 g är uppenbart; annars skulle ju bestämmelsen aldrig kunna tillämpas.

Utredningen anser alltså sammanfattningsvis att det bör vara möjligt att hävda att hanteringen av ostrukturerat material t.ex. i form av text och ljud- och bildupptagningar i och för sig är en sådan fri- och rättighet som avses i artikel 13.1 g och som kan berättiga medlemsstaterna att göra nödvändiga begränsningar av vissa bestämmelser i direktivet. Den slutsatsen framstår som än mer befogad när det gäller att bara göra begränsningar för sådan hantering av ostrukturerat material som inte innefattar ett missbruk av personuppgifter. Det bör betonas att varje begränsning som görs måste vara nödvändig med hänsyn till skyddet av den aktuella fri- och rättigheten. Det kan sägas vara fråga om en intresseavvägning där de båda fri- och rättigheterna – rätten till integritetsskydd och rätten att för t.ex. yttrandefrihets- och informationsfrihetsändamål få hantera ostrukturerat material – vägs mot varandra och där bara sådana begränsningar görs som är nödvändiga för att uppnå en balans mellan de motstående fri- och rättigheterna.

53

Prop. 1997/98:44 s. 83.

54

Jämför t.ex. mål C-292/89, Antonissen (1991 ECR I-2867, svenska specialutgåvan vol. XI

s. 55) och mål C-329/95, VAG Sverige (REG 1997 s. I-2675)

7.3.4. Intresseavvägning enligt artikel 7 f

I artikel 7 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, räknas det upp i vilka fall personuppgifter får behandlas. Kan en tilltänkt behandling inte hänföras under något av de uppräknade fallen, får den inte genomföras. Det fall som kan vara aktuellt när man överväger att generellt tillåta behandling av personuppgifter i ostrukturerat material är det som finns i artikel 7 f.

Av artikel 7 f framgår att medlemsstaterna skall föreskriva att personuppgifter får behandlas om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den personuppgiftsansvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter. I ingresspunkt 30 framhålls det att medlemsstaterna – för att garantera en jämvikt mellan berörda intressen och för att samtidigt säkerställa en effektiv konkurrens – får närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som utövas av företag och andra organ i deras löpande verksamhet. Staterna får även närmare ange på vilka villkor personuppgifter får vidarebefordras till tredje man i marknadsföringssyfte. Detta gäller oavsett om vidarebefordrandet sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, t.ex. av politisk karaktär. En förutsättning är dock att de regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att uppgifter som rör honom eller henne behandlas.

Artikel 7 f i EG-direktivet har införts i 10 § f personuppgiftslagen som stadgar att personuppgifter får behandlas om behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Som framgår av utredningsdirektiven är det enligt EG-direktivet tillåtet för medlemsstaterna att närmare precisera hur den angivna intresseavvägningen utfaller i olika fall.

Enligt utredningens mening står det klart att det är möjligt att med stöd av bestämmelsen om en intresseavvägning i artikel 7 f i EG-direktivet införa en särskild bestämmelse som tillåter sådan behandling av personuppgifter i ostrukturerat material som inte

innefattar ett missbruk av personuppgifterna. Det framgår egentligen redan av vad som sagts i närmast föregående avsnitt. Ett utnyttjande av rätten att för t.ex. yttrandefrihets- och informationsfrihetsändamål få hantera ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar utgör givetvis ett berättigat intresse, och det intresset får anses överväga de registrerades intresse av integritetsskydd så länge hanteringen inte innefattar ett missbruk av personuppgifter.

Enligt artikel 14 a i EG-direktivet skall medlemsstaterna tillförsäkra den registrerade rätten att åtminstone i bl.a. det fall som avses i artikel 7 f när som helst av avgörande och berättigade skäl som rör hans eller hennes personliga situation motsätta sig behandling av uppgifter som rör honom eller henne, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den personuppgiftsansvarige inte längre avse dessa uppgifter.

Det har ansetts möjligt att med stöd av artikel 14 a i EGdirektivet införa en uttrycklig bestämmelse i personuppgiftslagen om att, såvitt nu är aktuellt, den registrerade inte har rätt att motsätta sig behandling av personuppgifter – utom behandling för ändamål som rör direkt marknadsföring – som är tillåten enligt lagen (12 § andra stycket).

55

7.3.5. Undantag för uppgifter som avses i artikel 8

I artikel 8 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, finns det tillkommande begränsningar för behandlingen av vissa särskilda kategorier av personuppgifter. Avser en viss behandling sådana särskilda kategorier av personuppgifter måste således villkoren enligt såväl artikel 7 som artikel 8 vara uppfyllda för att behandlingen skall få genomföras.

I artikel 8.1 i EG-direktivet föreskrivs det att medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

56

I artikel 8.2 och 8.3 anges i vilka fall sådana s.k. känsliga

personuppgifter får behandlas trots det principiella förbudet enligt

55

Prop. 1997/98:44 s. 66 f.

56

I den svenska, den franska och den danska språkversionen anges hälsa

och sexualliv, me-

dan det i den engelska och tyska språkversionen talas om hälsa

eller sexualliv.

artikel 8.1. Enligt artikel 8.4 får medlemsstaterna – under förutsättning av lämpliga skyddsåtg ärder

57

– av hänsyn till ett viktigt allmänt

intresse antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet mot att behandla känsliga personuppgifter. Sådana undantag skall enligt artikel 8.6 anmälas till kommissionen. Bestämmelsen i artikel 8.1 i EG-direktivet har tagits in i 13 § personuppgiftslagen.

I ingresspunkt 34 anges följande. När det av hänsyn till viktiga allmänna intressen är nödvändigt måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på vissa områden. Som exempel på områden och fall där avvikelser kan ske nämns folkhälsa, socialskydd, särskilt för att säkerställa kvalitet och lönsamhet i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Det betonas att det dock åligger medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.

I ingresspunkt 35 klargörs att myndigheters behandling av personuppgifter för officiellt erkända religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga allmänna intressen. Ingresspunkt 36 behandlar det fallet att de politiska partierna i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattning i samband med att allmänna val hålls. Om det är nödvändigt för att det demokratiska systemet skall fungera, får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen under förutsättning att lämpliga garantier föreskrivs. Av kommissionens förklaring till det andra direktivförslaget

58

(i

fortsättningen kommissionens förklaring) framgår att undantag bör göras för internationella människorättsorganisationer som behöver känsliga personuppgifter för sitt arbete, förutsatt att dessa kan erbjuda lämpliga skyddsåtgärder.

59

I artikel 8 i EG-direktivet finns det också bestämmelser om andra kategorier av uppgifter än s.k. känsliga personuppgifter, nämli-

57

Något olika uttryckssätt används i de skilda språkversionerna: ”suitable safeguards”,

“garanties appropriées”, ”angemessener Garantien“ och ”tilstraekkelige garantier”.

58

Dokument COM(92) 422 final – SYN 287. Dokumentet finns intaget som bilaga till

SOU 1993:10.

59

SOU 1993:10 Bilagor s. 178.

gen uppgifter om lagöverträdelser m.m. och nationella identifikationsnummer.

Enligt artikel 8.5 gäller att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Medlemsstaterna får alltså i sin lagstiftning tillåta att enskilda, utan att det sker under kontroll av en myndighet, behandlar uppgifter om lagöverträdelser m.m. under förutsättning att lagstiftningen innehåller lämpliga och specifika skyddsåtgärder. Behandling av uppgifter om lagöverträdelser som har tillåtits på detta sätt torde medlemsstaterna ha att anmäla till kommissionen enligt artikel 8.6. I 21 § personuppgiftslagen har det intagits ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden och bemyndiganden att medge undantag från det förbudet.

Enligt artikel 8.7 skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Det måste alltså finnas villkor för behandling av sådana nummer, men det materiella innehållet i villkoren får medlemsstaterna själva bestämma. I 22 § personuppgiftslagen har det angetts att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.

Bestämmelserna i artikel 8.5 och 8.7 om uppgifter om lagöverträdelser m.m. respektive identifikationsnummer utgör inget hinder mot att generellt tillåta behandling av personuppgifter i ostrukturerat material. För att sådan behandling av uppgifter om lagöverträdelser m.m. skall få utföras av enskilda utan myndighetskontroll krävs det dock att det finns lämpliga och specifika skyddsåtgärder i lagstiftningen. En sådan skyddsåtgärd kan enligt utredningens mening vara att bara tillåta sådan behandling av personuppgifter om lagöverträdelser m.m. som inte innefattar ett missbruk av personuppgifterna.

Från förbudet enligt artikel 8.1 mot behandling av känsliga personuppgifter får undantag enligt artikel 8.4 göras av hänsyn till ett viktigt allmänt intresse. Frågan är om hantering av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar

kan anses vara ett sådant viktigt allmänt intresse. Utredningen har i avsnitt 7.3.3 utvecklat hur denna hantering, som kan ha betydelse för bl.a. utnyttjandet av yttrande- och informationsfriheten, kan anses vara en fri- och rättighet. Att fri- och rättigheter kan utövas i samhället är naturligtvis ett allmänt intresse och dessutom ett viktigt sådant. Utredningen anser därför att det kan hävdas att ett undantag från förbudet mot behandling av känsliga personuppgifter för behandling av sådana personuppgifter i ostrukturerat material kan stödjas på undantagsmöjligheten i artikel 8.4 för viktiga allmänna intressen. Ett sådant undantag förutsätter emellertid lämpliga skyddsåtgärder. En sådan skyddsåtgärd kan enligt utredningens mening vara att bara tillåta sådan behandling av känsliga personuppgifter som inte innefattar ett missbruk av personuppgifterna.

7.3.6. Undantag från förbudet mot överföring av personuppgifter i artikel 25

I artikel 25 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, finns det tillkommande begränsningar för sådan behandling av personuppgifter som innebär en överföring av personuppgifterna till tredje land, dvs. en stat som inte är med i EU eller EES. Artikel 26 innehåller bestämmelser om undantag från artikel 25. Avser en viss behandling en sådan överföring måste således villkoren enligt såväl artikel 7 – och i förekommande fall även artikel 8 – som artikel 25 och 26 vara uppfyllda för att överföringen skall få genomföras.

Enligt artikel 25.1 i EG-direktivet skall medlemsstaterna föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall enligt artikel 25.2 ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där. Bestämmelserna i artikel 25.1 och 2 i EG-direktivet har tagits in i 33 § personuppgiftslagen.

I artikel 26.1 anges det i vilka fall medlemsstaterna får föreskriva att överföring till tredje land som inte har en adekvat skyddsnivå är tillåten. I artikel 26.1 d anges att sådan överföring får ske om ”överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk”. Den bestämmelsen har ansetts innebära bl.a. att det är tillåtet att i författning ange när överföring är tillåten därför att den är nödvändig med hänsyn till viktiga allmänna intressen. I ingresspunkt 58 anges som exempel på viktiga allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tullmyndigheter eller socialförsäkringsmyndigheter.

Det har i Sverige tidigare ansetts att ett offentliggörande av personuppgifter på en webbplats som är allmänt tillgänglig på Internet innebär att personuppgifterna blir tillgängliga i hela världen och därmed kan anses överförda till alla länder.

60

Numera har emellertid

EG-domstolen i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01) slagit fast att det inte är fråga om någon överföring av uppgifter till tredje land i EG-direktivets mening när en person, som befinner sig i en medlemsstat, lägger ut personuppgifter på en hemsida på Internet som är lagrad hos en fysisk eller juridisk person, som har den webbplats där man kan komma åt sidan och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive person er i tredje land.

61

Det innebär

att i vart fall vissa förfaranden för Internetpublicering inte hindras av just bestämmelserna om överföring av personuppgifter till tredje land.

När ett förfarande innebär en överföring av personuppgifter till tredje land i EG-direktivets mening blir tolkningen av begreppet adekvat skyddsnivå av betydelse. Personuppgifter får nämligen som sagt alltid överföras till tredje land som säkerställer en adekvat skyddsnivå. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med överföringen. Att en överföring innebär ett utnyttjande av en grundläggande fri- och rättighet, kan hävdas vara ett förhållande att beakta vid bedömningen av om skyddsnivån i ett tredje land är adekvat. Det har ansetts att det som i EG-direktivet kallas

60

Prop. 1999/2000:11 s. 15 f. och 27.

61

Enligt förarbetena är det samma överföringar som enligt EG-direktivet som avses i 33 §

personuppgiftslagen, se prop. 1997/98:44 s. 137. Därför får EG-domstolens uttolkning av begreppet överföring också omedelbart genomslag i svensk rätt.

adekvat skyddsnivå är ett uttryck för att omständigheterna kring överföringen sammantagna skall vara sådana att personuppgifter har ett tillräckligt skydd och att det kan finnas en adekvat skyddsnivå i ett tredje land trots en total avsaknad av skyddsregler.

62

Mot denna bakgrund skulle det måhända kunna hävdas att en sådan överföring av personuppgifter i ostrukturerat material, t.ex. i form av löpande text och ljud- och bildupptagningar, som inte innefattar ett missbruk av personuppgifterna innebär en överföring av uppgifterna bara till tredje land med adekvat skyddsnivå (därför att någon särskild skyddsnivå inte krävs i det tredje landet med hänsyn till omständigheterna vid överföringen).

Det är emellertid osäkert om man alls kan resonera på det sättet. Därför finns det anledning att undersöka om det är möjligt enligt artikel 26.1 d att i författning direkt ange att överföring av personuppgifter i ostrukturerat material är tillåten därför att överföringen är nödvändig med hänsyn till viktiga allmänna intressen. På motsvarande sätt som i fråga om undantagsmöjligheten enligt artikel 8.4 (se avsni tt 7.3.5) anse r utredningen att det bör vara möjligt att stödja en sådan författningsbestämmelse på artikel 26.1 d.

7.3.7. Undantag från anmälningsskyldighet enligt artikel 18

Enligt artikel 18.1 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, skall medlemsstaterna föreskriva att den personuppgiftsansvarige före genomförandet av en behandling eller en serie behandlingar som helt eller delvis genomförs på automatisk väg och som har samma eller flera närbesläktade ändamål skall underrätta tillsynsmyndigheten. I artikel 18.2–4 anges vilka möjligheter till undantag från den anmälningsplikten som finns. Av artikel 18.2 första strecksatsen framgår att undantag får göras på följande villkor: Om medlemsstaten för de typer av behandling, i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks, anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur länge uppgifterna skall bevaras.

62

Prop. 1999/2000:11 s. 16.

Bestämmelsen om en principiell anmälningsskyldighet i artikel 18.1 i EG-direktivet har tagits in i 36 § första stycket personuppgiftslagen. Ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten har tagits in i tredje stycket i den paragrafen. Genom 4 § personuppgiftsförordningen har regeringen utnyttjat undantagsmöjligheten för att föreskriva att anmälningsskyldigheten inte gäller för behandling av personuppgifter i löpande text. Utredningen anser att ett motsvarande undantag bör kunna föreskrivas för all behandling av personuppgifter i ostrukturerat material.

7.3.8. Sammanfattning

Utredningen har således funnit att det bör vara möjligt enligt EGdirektivet att göra undantag från de flesta materiella bestämmelserna i EG-direktivet för sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.

Den slutsatsen grundas främst på bedömningen att hantering av sådant ostrukturerat material utgör ett utnyttjande av en sådan fri- och rättighet – yttrande- eller informationsfriheten – som avses i artikel 13.1 g och att det är ett viktigt allmänt intresse i den mening som avses i artikel 8.4 och 26.1 d att detta utnyttjande av fri- och rättigheter inte hindras i samhället.

Utredningen inser att den bedömningen – och vissa anslutande bedömningar avseende t.ex. beskaffenheten av skyddsåtgärder – inte är självklar och kan sättas i fråga. Utredningen anser trots detta att det med hänsyn till vikten av att underlätta harmlös hantering av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar på de skäl som redovisats faktiskt är möjligt och befogat att göra en sådan bedömning att gälla till dess motsatsen eventuellt slås fast av EG-domstolen.

Utredningen har således gjort en annan bedömning än regering och riksdag tidigare gjort. Det har skett efter en förnyad analys av innebörden av EG-direktivet. Den analysen har genomförts i belysning av den utveckling som skett sedan personuppgiftslagen trädde i kraft. Härvid har utredningen som en bakgrund beaktat bl.a. hur EG-direktivet genomförts i andra länder, argumentationen

i samband med de rättsfall som finns angående EG-direktivet, diskussioner med EG-kommissionen och andra medlemsstater, bl.a. i den s.k. artikel 31-kommittén, och utvecklingen av de svenska grundlagarna. Utredaren har bl.a. redogjort för huvuddragen i förslaget vid ett möte med företrädare för EG-kommissionen. EGkommissionen har senare i sin rapport om genomförandet av EGdirektivet

63

också – under rubriken Behovet av en rimlig och flexi-

bel tolkning – uttryckligen berört de svenska ansträngningarna enligt följande:

”Enligt artikel 5 i direktivet ska medlemsstaterna inom de begränsningar som bestämmelserna i kapitel II (artiklarna 6–21) innebär, precisera på vilka villkor behandling av personuppgifter är tillåten. I detta avseende uppmärksammar kommissionen den oro som Sverige uttryckte inom ramen för den pågående översynen av landets lagstiftning när det gäller tillämpningen av dataskyddsprinciper på löpande text eller ljud- eller bilduppgifter. Kommissionen anser att förenklade villkor för databehandling då det inte är troligt att sådan behandling skapar någon inte avsevärd risk för den enskildes rättigheter bättre kan uppnås genom att göra bruk av det handlingsutrymme som direktivet ger, i synnerhet de möjligheter som ges i artiklarna 7 f, 9 och 13.”

Också EG-domstolens dom i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01) ger stöd för att EGdirektivet kan tolkas med en viss flexibilitet, särskilt när det gäller skyddet för grundläggande fri- och rättigheter. EG-domstolen uttalade i domen bl.a. följande:

”83 Vad beträffar själva direktivet 95/46 är bestämmelserna i det med nödvändighet relativt allmänna med hänsyn till att de skall tillämpas på ett stort antal mycket olikartade situationer. I motsats till vad [konfirmandläraren] har anfört är det således med rätta som detta direktiv innehåller regler som karaktäriseras av en viss tänjbarhet och som det i direktivet i fråga i många fall överlåts till medlemsstaterna att fastställa detaljerna eller att välja bland de möjligheter som finns.

84 Det är riktigt att medlemsstaterna i många avseenden har ett betydande handlingsutrymme när de skall införliva direktiv 95/46. Det finns dock ingenting som medför att bestämmelserna i detta direktiv brister i förutsebarhet eller att bestämmelserna som sådana strider mot de allmänna gemenskapsrättsliga principerna, särskilt inte mot de

63

KOM(2003) 265 slutlig.

grundläggande rättigheter som skyddas genom gemenskapens rättsordning.

85 Det är snarare på det stadium när de bestämmelser genom vilka direktiv 95/46 har införlivats tillämpas i enskilda fall som en rättvis avvägning mellan de rättigheter och intressen som är i fråga skall göras. 86 I detta sammanhang har de grundläggande rättigheterna en särskild betydelse, såsom visas av målet vid den nationella domstolen, där det sammanfattningsvis måste göras en avvägning mellan å ena sidan [konfirmandlärarens] yttrandefrihet i sitt arbete som handledare för konfirmander samt friheten att utöva verksamhet som bidrar till det religiösa livet, och å andra sidan skyddet av privatlivet för de personer om vilka [konfirmandläraren] har lagt ut uppgifter på sin webbplats på Internet. 87 Följaktligen ankommer det på myndigheterna och domstolarna i medlemsstaten inte bara att tolka sin nationella rätt på ett sätt som står i överensstämmelse med direktiv 95/46, utan även att se till att inte grunda sig på en tolkning av detta direktiv som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer, såsom bland annat proportionalitetsprincipen.”

Av domen framgår också att man vid tolkningen av bestämmelserna i EG-direktivet kan ta hänsyn till nya användningsområden för informationsteknik och till att tekniken fått en utbredd användning för att se till att bestämmelserna inte får oönskade konsekvenser. I fråga Internetanvändning uttalade domstolen bl.a. följande:

”58 De uppgifter som finns på Internet kan nästan när som helst konsulteras av ett obegränsat antal personer vilka befinner sig på en mängd olika ställen. Att dessa uppgifter är av allestädes närvarande karaktär framgår bland annat av det förhållandet att de tekniska medel som används inom ramen för Internet är relativt enkla och blir billigare och billigare.

59 Förutsättningarna för att använda Internet, så som de har blivit för enskilda som [konfirmandläraren] under 1990-talet, innebär att den som upprättar en hemsida som skall läggas ut på Internet överför de uppgifter som denna sida består i till den som tillhandahåller honom servertjänster. […] […] 68 Med hänsyn dels till det stadium på vilket Internets utveckling befann sig vid den tidpunkt då direktiv 95/46 utarbetades, dels till att det inte i kapitel IV i direktivet föreligger några kriterier som är tilllämpliga på Internetanvändning kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta in-

skrivning av en person i [konfirmandlärarens] situation av uppgifter på en hemsida på Internet omfattas av begreppet överföring av uppgifter till tredje land, även om dessa på detta sätt blir åtkomliga för sådana personer i tredje land som har de tekniska möjligheterna att få tillgång till hemsidan.

69 Om artikel 25 i direktiv 95/46 tolkas på så sätt att det föreligger en ’överföring av … uppgifter till tredje land’ varje gång personuppgifter läggs ut på en hemsida på Internet skulle denna överföring med nödvändighet vara en överföring till tredje länder där det finns teknisk möjlighet att få tillgång till Internet. Specialbestämmelserna i kapitel IV i det nämnda direktivet skulle då med nödvändighet, vad gäller transaktioner på Internet, bli ett generellt tillämpligt system. När kommissionen med tillämpning av artikel 25.4 i direktiv 95/46 konstaterade att det fanns ett enda tredje land som inte säkerställer en adekvat skyddsnivå skulle medlemsstaterna nämligen vara skyldiga att hindra att personuppgifter över huvud taget lades ut på Internet. 70 Vid sådant förhållande kan den slutsatsen dras att artikel 25 i direktiv 95/46 skall tolkas så, att sådana transaktioner som dem som [konfirmandläraren] har genomfört inte i sig utgör en ’överföring av … uppgifter till tredje land’.”

Det går inte att peka på någon enskild omständighet som medfört den ändrade bedömningen utan det är snarare fråga om en samlad bedömning som föranlett de slutsatser i enskildheter som redovisats i det föregående.

De materiella hanteringsbestämmelser i EG-direktivet som det inte är möjligt att göra undantag från eller motsvarande är följande:

Det är inte heller möjligt att avvika från bestämmelserna i artikel 2– 4 om definitioner av grundläggande begrepp och tillämpningsområdet för EG-direktivet (som motsvaras av 36 §§personuppgiftslagen).

Enligt utredningens mening innebär det ingen direkt nackdel att de angivna bestämmelserna i förekommande fall tillämpas på behandling av personuppgifter i ostrukturerat material.

Bestämmelsen om automatiserade beslut torde det knappast bli aktuellt att tillämpa på annat än personuppgifter i strukturerat material.

Bestämmelsen om ”sekretess” innebär i stort sett bara att den som för en personuppgiftsansvarigs räkning behandlar personuppgifter bara får göra det enligt instruktioner från denne.

Bestämmelsen om säkerhet innebär att lämpliga åtgärder skall vidtas för att förhindra t.ex. oavsedd förstöring, förvanskning och spridning av personuppgifter, men vid bedömningen av vilka åtgärder som behöver vidtas för att åstadkomma en lämplig säkerhetsnivå kan man ta hänsyn till bl.a. de risker som är förknippade med behandlingen. När personuppgifter behandlas i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar torde det därför normalt inte krävas några extraordinära säkerhetsåtgärder utan det kan ofta räcka med de åtgärder som var och en brukar vidta för att skydda sin information. När särskilt känslig information behandlas i strukturerat eller ostrukturerat material, måste givetvis adekvata säkerhetsåtgärder vidtas.

Bestämmelserna om rättslig prövning, ansvar och sanktioner torde bara ha aktualitet – och då vara relevanta och befogade – när behandlingen har inneburit ett missbruk av personuppgifterna.

Inte heller bestämmelserna om att en oberoende myndighet skall ha tillsyn över och vissa befogenheter avseende behandlingen torde i praktiken ha särskilt stor betydelse.

7.4. Europarådets dataskyddskonvention

Europarådets dataskyddskonvention har presenterats i avsnitt 4.2.2 och bilaga 5. Enligt artikel 9 i konventionen får avvikelser göras från de viktigaste materiella bestämmelserna i konventionen. Sådana avvikelser skall finnas i lag och vara nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerade eller andra personers fri- och rättigheter. Det är dock inte tillåtet att göra avvikelser från bestämmelserna om säkerhet i artikel 7 i konventionen som innebär att lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter som lagras i automatiserade register (på engelska ”automated data files”).

På motsvarande sätt som i fråga om EG-direktivet – se särskilt avsnitt 7.3.3 – anser utred ningen att det bör vara möjligt att genom lag göra avvikelser från konventionens materiella bestämmelser, utom bestämmelsen om säkerhet, för sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.

7.5. Europakonventionen

Enligt artikel 8.1 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv. Åtnjutande av denna rättighet får enligt artikel 8.2 inskränkas med stöd av lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till bl.a. andra personers fri- och rättigheter. Europakonventionen har berörts i avsnitt 4.2.1.

På motsvarande sätt som i fråga om EG-direktivet – se särskilt avsnitt 7.3.3 – anser utred ningen att det bör vara möjligt att genom en lagbestämmelse inskränka rätten till respekt för privat- och familjelivet när det gäller sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.

7.6 2 kap. 3 § regeringsformen

Enligt 2 kap. 3 § andra stycket regeringsformen skall varje medborgare, i den utsträckning som närmare anges i lag, skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling.

Datalagskommittén ansåg att den grundlagsbestämmelsen kan sägas kräva att det skall finnas en lagstiftning baserad på en hanteringsmodell, innefattande skydd mot integritetskränkningar genom att personuppgifter registreras oavsett om de i någon mening missbrukas eller inte, se avsnit t 7.2.

64

64

SOU 1997:39 s. 182.

Enligt utredningens mening kan grundlagsbestämmelsen inte anses hindra en lagregel om att sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna är tillåten. Genom en sådan lagregel, som i praktiken förbjuder missbruk av personuppgifter, får ju den enskilde det avsedda skyddet mot integritetskränkningar.

7.7. Överväganden och förslag

Utredningens förslag i sammanfattning: På behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter skall hanteringsreglerna i 9, 10, 13, 21, 23, 24, 28, 33 och 42 §§personuppgiftslagen inte tillämpas. Sådan behandling får bara utföras om den inte innebär ett otillbörligt intrång i den personliga integriteten.

7.7.1. Inledning

Utredningen anser således att det med hänsyn till EG-direktivet, andra internationella åtaganden och den svenska grundlagen bör vara möjligt att göra undantag från vissa bestämmelser i personuppgiftslagen för behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar. Utredningen föreslår att ett sådant undantag görs och berör i detta avsnitt hur undantaget närmare bör utformas och vilka bestämmelser om skydd mot missbruk av personuppgifterna som bör krävas med anledning av undantaget.

7.7.2. Vilka behandlingar bör undantas?

Utredningens förslag: Behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter undantas.

Inledning

Det är vid behandling av personuppgifter i personuppgiftsanknutna registerstrukturer där man enkelt kan söka efter och sammanställa personuppgifter som de hanteringsregler för personuppgiftsskyddet som finns i personuppgiftslagen har ett särskilt berättigande på grund av de integritetsrisker som normalt är förknippade med sådan behandling. När personuppgifterna inte ingår i en personuppgiftsanknuten registerstruktur utan finns i ostrukturerad form i t.ex. löpande text och ljud- och bildupptagningar, är det i stället texten, ljudet eller bilden som är det centrala, och det är också då som informations- och yttrandefrihetsaspekterna gör sig särskilt gällande. Även behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar kan givetvis i ett enskilt fall innebära ett otillbörligt integritetsintrång eller medföra risk för ett sådant intrång. Vid behandling av personuppgifter som inte finns i en tydligt personuppgiftsanknuten registerstruktur framstår emellertid hanteringsreglerna i personuppgiftslagen som alltför omfattande och byråkratiska med hänsyn bl.a. till att integritetsriskerna normalt är mindre vid behandlingen och till de informations- och yttrandefrihetsintressen som finns. Vid sådan, typiskt sett mindre riskfylld behandling bör därför hanteringsreglerna kunna ersättas med bestämmelser som bara förbjuder missbruk av personuppgifterna.

Det är således vid behandling av personuppgifter som inte ingår i en tydligt personuppgiftsanknuten registerstruktur som man bör kunna ersätta hanteringsreglerna med regler som bara förbjuder missbruk.

Svårigheterna med en avgränsning

Utredningen har prövat olika vägar att avgränsa vad som bör vara undantaget från hanteringsreglerna. Eftersom det är strukturering-

en av materialet med avseende på personuppgifter som kan innebära särskilda integritetsrisker, har utredningen funnit det ändamålsenligt att knyta avgränsningen till just materialets struktur.

65

Ut-

redningen är dock medveten om att det är problematiskt att göra så. Det visar redan de tillämpningsproblem som uppkom särskilt på senare år med det registerbegrepp som användes i datalagen.

66

Pro-

blemen hänger mycket samman med den tekniska utvecklingen och datorteknikens inneboende egenskaper. Allt som finns i digital form i t.ex. datorer och skall användas måste i någon mening vara strukturerat. Och utvecklingen går emot att struktureringen omfattar allt mer och blir mer automatiserad och avancerad. Funktioner som automatiskt indexerar varje teckensträng i ordbehandlingsdokument är t.ex. redan standard.

Den tekniska utvecklingen på området medför att varje avgränsning som görs får ses som ett provisorium som måste bli föremål för dels anpassning i rättstillämpningen, dels översyn efter ett tag. Vad man kan göra är att utforma en teknikneutral men beskrivande lagtext och samtidigt – mot bakgrund av de tekniska tillämpningar som är mera allmänt förekommande i dag – ange utgångspunkter för bedömningen och exempel. Sedan får det ankomma på rättstillämpningen att bedöma nya eller mera speciella tillämpningar. Och efter ett tag måste lagregeln och rättstillämpningen ses över mot bakgrund av den tekniska utvecklingen.

Det bör hållas i minnet att eventuella svårigheter att i gränsfall bedöma om hanteringsreglerna skall tillämpas eller inte måste jämföras med de problem det innebär att tillämpa hanteringsreglerna i personuppgiftslagen på ostrukturerat material. Enligt utredningens mening är de sistnämnda svårigheterna i allmänhet mer besvärande än de förstnämnda. Skulle någon vara av motsatt uppfattning, innebär dock utredningens förslag att han eller hon kan fortsätta att tillämpa hanteringsreglerna. Har hanteringsreglerna faktiskt följts, kan det nämligen enligt utredningens förslag inte vara fråga om ett missbruk av personuppgif terna, se vidare avsnitt 7.7.4. Den som är osäker på hur en viss behandling skall bedömas kan alltså välja att följa hanteringsreglerna för att därmed uppfylla det som krävs enligt både dessa regler och de föreslagna reglerna. Utredningens förslag innebär således bara en möjlighet till lättnader vid behandling av personuppgifter i ostrukturerat material för den som vill. Det är

65

Jämför också vad som sägs avslutningsvis i avsnitt 7.2.

66

Det bör redan här betonas att utredningens förslag inte utgår från det registerbegrepp

som fanns i datalagen.

också rimligt att den som vill utnyttja en regel om undantag från de normala hanteringsreglerna sätter sig närmare in i förutsättningarna för att regeln skall kunna tillämpas. Det får inte heller glömmas bort att regeln om undantag från hanteringsreglerna faktiskt har ett tydligt kärnområde – när ett material är helt ostrukturerat – som är enkelt att tillämpa i praktiken i de allra flesta fall.

Utgångspunkter och riktlinjer för avgränsningen

När det gäller utformningen av avgränsningen av vad som bör vara undantaget från respektive omfattas av hanteringsreglerna har utredningen haft följande utgångspunkter och riktlinjer.

Avgränsningen bör som nämnts anknyta till materialets struktur. Behandling av personuppgifter som ingår i en struktur, t.ex. ett regelrätt personregister eller en databas, bör omfattas av hanteringsreglerna, medan behandling av övriga personuppgifter undantas. Dock bör inte varje strukturering av ett material med personuppgifter innebära att hanteringsreglerna skall tillämpas på behandlingen av personuppgifterna i materialet. Det bör krävas att det finns en tydlig personuppgiftsanknuten struktur för att hanteringsreglerna skall tillämpas.

En generell strukturering av ett material bör alltså inte medföra att hanteringsreglerna skall tillämpas. Enbart det förhållandet att alla teckensträngar i t.ex. ordbehandlingsdokument på en eller flera hårddiskar har indexerats eller enkelt kan indexeras bör exempelvis inte medföra att hanteringsreglerna blir tillämpliga. Funktioner för automatisk sådan allmän indexering är nämligen som nämnts redan standard. Ett annat exempel är s.k. sökmotorer på Internet där teckensträngar m.m. i material som finns tillgängligt på Internet indexeras. Indexering som tar sikte på just personuppgifter, dvs. en märkning av att vissa uppgifter är just personuppgifter, t.ex. ett personnamn eller ett personnummer, innebär dock att en personuppgiftsanknuten struktur skapats. Då har man ju skapat en registerstruktur avseende, inte alla teckensträngar eller vilka teckensträngar som helst utan, just personuppgifter. Med generell strukturering menar utredningen alltså att ett material har strukturerats, t.ex. genom indexering, med avseende på flera olika slags uppgifter utan att just personuppgifter har markerats som sådana.

En mer utvecklad form av strukturering är verksamhetsanknuten strukturering. Ett typexempel är de dokument- och ärendehanteringssystem som används av t.ex. företag och myndigheter. I dessa

system används oftast inte bara en generell struktur med indexering av det material som ingår i strukturen utan det utmärkande är att det beträffande åtminstone en del av de uppgifter som ingår i strukturen har markerats vad uppgifterna avser, t.ex. ärendenummer, kundnummer, adress, produkt, kontaktperson, författare av ett dokument osv. Typexempel på sådan strukturering är den som förekommer i register och databaser där det finns fält där olika kategorier av uppgifter fylls i.

För att hanteringsreglerna skall tillämpas bör det krävas att struktureringen är personuppgiftsanknuten. Det är fråga om en personuppgiftsanknuten strukturering om materialet, t.ex. det som ingår i ett dokument- och ärendehanteringssystem, har strukturerats för att underlätta sökning efter och sammanställning av just personuppgifter. Det är fallet om det i ett register eller en databas finns fält där just personuppgifter har fyllts i, exempelvis fält för namn, personnummer, avsändare, handläggare, anhörig osv. Med personuppgiftsanknuten strukturering menar utredningen alltså att ett material har strukturerats så att just personuppgifter har markerats som sådana; dessutom kan flera andra slags uppgifter i materialet ha markerats.

Även i system för strukturering som inte är särskilt inriktade på att hantera information om personer – exempelvis datoriserade system för hantering av tillverkningsprocesser eller för hantering av försäljning till företagskunder – finns det som regel åtminstone någon kategori av uppgifter som särskilt markerats som just personuppgifter, t.ex. fält i en databas för handläggare, författare av ett dokument, kontaktperson vid ett företag och vem som ändrat en viss uppgift i systemet. I en myndighets diarium över allmänna handlingar skall det t.ex. anges från vem handlingen har kommit in eller till vem den har expedierats.

67

Och i datoriserade dokument-

hanteringssystem torde det också vara vanligt med särskilda fält för t.ex. ingivare, mottagare och författare. Därmed finns det också en personuppgiftsanknuten struktur även om systemet inte är särskilt inriktat på att hantera information om personer.

I sådana system för strukturering som inte är särskilt inriktade på att hantera information om personer utgör personuppgifterna ofta biinformation även om uppgifterna i och för sig har strukturerats på ett sådant sätt att det finns en personuppgiftsanknuten struktur. De strukturerade personuppgifterna utgör i dessa fall inte

67

15 kap. 2 § första stycket 3 sekretesslagen (1980:100), jämför SOU 2002:97.

huvudföremålet för systemet eller behandlingen av uppgifterna i systemet, men det är möjligt att använda strukturen också för att söka fram och sammanställa just personuppgifter. Det kan t.ex. gälla inte särskilt kvalificerade sökningar efter de ärenden som en person handlägger, de dokument som sänts till respektive mottagits från en person eller de företag som en person är kontaktperson för. Men det kan också gälla mer kvalificerade sökningar och sammanställningar med sikte på enskilda personer där flera olika slags uppgifter kombineras, t.ex. sammanställningar av inte bara de ärenden en person handlägger utan också hans eller hennes genomsnittliga handläggningstid. Ett annat exempel är när det i ett system för säljstöd vid försäljning uteslutande till juridiska personer finns uppgifter om kontaktpersoner hos företagen som omfattar inte bara sedvanliga kontaktuppgifter (funktion, adress, minnesanteckningar från kontakttillfällen osv.) utan även uppgifter om kontaktpersonerna som inte har direkt samband med huvudföremålet för systemet, t.ex. uppgifter om anhöriga och fritidsintressen.

System för registrering av enskilda personers användning av tjänster eller liknande har som regel en personuppgiftsanknuten strukturering. Det rör sig här om olika former av loggar och elektroniska spår vid användning av tjänster och liknande, t.ex. en loggfil med uppgifter om vilka webbplatser enskilda användare vid ett företag besökt eller vilka meddelanden de sänt eller mottagit eller registrering av vilka personer som med hjälp av inpasseringskort har öppnat en dörr.

En avgränsning som enbart tar hänsyn till om struktureringen av ett material är personuppgiftsanknuten eller inte är förhållandevis enkel att använda. Utredningen anser emellertid att bara en sådan avgränsning inte är tillräcklig, eftersom den skulle medföra att alltför mycket av harmlös eller inte personuppgiftsinriktad behandling skulle omfattas av hanteringsreglerna till förfång för informations- och yttrandefriheten.

Utredningen anser därför att inte varje personuppgiftsanknuten strukturering av ett material bör innebära att hanteringsreglerna skall tillämpas på behandlingen av personuppgifter i materialet. Det bör krävas att den personuppgiftsanknutna struktureringen av materialet har uppnått en viss nivå eller kvalitet för att hanteringsreglerna skall tillämpas, dvs. att materialet har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Och det är här som avgränsningssvårigheterna gör sig särskilt gällande. Särskilt i denna del får man lita till utvecklingen i rättstillämpningen och återkommande översyn. Det är med hänsyn

till den tekniska utvecklingen och det förhållandet att datortekniken kommer till allmän användning på alltfler områden svårt att uttömmande ange fasta hållpunkter för vilken nivå eller kvalitet på den personuppgiftsanknutna struktureringen som bör krävas för att hanteringsreglerna skall tillämpas. Vad utredningen kan göra är att mot bakgrund av dagens situation ange vissa utgångspunkter och exempel. Avsikten är att det som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter skall vara undantaget från hanteringsreglerna.

Det är främst ett par olika typer av personuppgiftsanknuten strukturering som utredningen anser inte bör medföra att hanteringsreglerna skall tillämpas. Den första gäller banal personuppgiftsanknuten strukturering. Den andra gäller utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad.

Med banal personuppgiftsanknuten strukturering avser utredningen sådana situationer där datorteknikens fördelar i fråga om strukturering i förhållande till manuell hantering egentligen inte använts. I dessa fall gör sig också informations- och yttrandefrihetsintressena särskilt gällande. Det kan t.ex. handla om en lista med personuppgifter – t.ex. avseende Nobelpristagare eller världsrekordhållare – som skrivits in i bokstavsordning efter efternamn i ett ordbehandlingsdokument eller på en webbsida. Har personuppgifterna inte strukturerats på annat sätt än att de registrerats så att de står i en viss ordning (eventuellt under olika rubriker) är det fråga om en banal personuppgiftsanknuten strukturering som bör vara undantagen från hanteringsreglerna. Vad som nu sagts gäller naturligtvis inte om listan med personuppgifter producerats med hjälp av en databas eller något annat system för strukturering av personuppgifter. I sådant fall skall de regler tillämpas på produktionen av listan som är tillämpliga på behandlingen av personuppgifter i det material som ingår i systemet för strukturering av personuppgifter (databasen).

I fråga om sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad kan följande sägas.

Det handlar i denna situation om sedvanligt utnyttjande av vardagsfunktioner där det med hänsyn till informations- och yttrandefrihetsintressena inte är rimligt att hanteringsreglerna skall tillämpas. Dessa fall ligger nära den banala personuppgiftsanknutna

struktureringen som tidigare berörts. Utredningen har i detta hänseende mot bakgrund av dagens situation identifierat två situationer av personuppgiftsanknuten strukturering som inte bör medföra att hanteringsreglerna skall tillämpas.

Den första situationen gäller sedvanlig användning av datorns filsystem. Det är inte ovanligt att en användare eller organisation systematiskt namnger filer och mappar eller kataloger i datorns filsystem med hjälp av personuppgifter. Det kan t.ex. handla om en mapp med ett personnamn som innehåller filer med korrespondens i datumordning med den aktuella personen eller att filer som berör en person namnges efter dennes namn. I sådana fall har man skapat ett system för personuppgiftsanknuten strukturering (som måhända är vad utredningen tidigare kallat banal) som dock inte bör medföra att hanteringsreglerna skall tillämpas på personuppgifterna i materialet, eftersom det skulle få oönskade konsekvenser för informations- och yttrandefriheten. Vad som nu sagts gäller dock inte om filerna (oavsett hur de namngetts) i sig ingår i ett mer kvalificerat system för personuppgiftsanknuten strukturering, t.ex. ett kvalificerat dokument- eller ärendehanteringssystem; det avgörande är då vilka regler som är tillämpliga på behandlingen av personuppgifter i det systemet.

Den andra situationen gäller sedvanlig användning av datorstödd kommunikation, där det också finns en tydlig koppling till informations- och yttrandefrihetsintressena. Vid datorstödd kommunikation är det oftast på grund av teknikens inneboende egenskaper nödvändigt att registrera uppgifter om såväl mottagare som avsändare, annars kan kommunikationen inte förmedlas. Dessa uppgifter utgör för det mesta personuppgifter som automatiskt hamnar i en personuppgiftsanknuten struktur som gör det lätt för användaren att t.ex. söka fram meddelanden till eller från en användare. Ett exempel utgör e-postprogram. Genom ett musklick kan man som regel få fram de meddelanden som sänts till eller mottagits från en viss person (eller i vart fall dennes e-postadress, vilken uppgift normalt utgör en personuppgift). En enskild medarbetares egen sedvanliga användning av t.ex. e-postprogram för sin kommunikation bör dock inte medföra att hanteringsreglerna skall tillämpas. Vad som nu sagts gäller inte om meddelandena ingår i ett mer kvalificerat system för personuppgiftsanknuten strukturering, t.ex. ett dokument- eller ärendehanteringssystem; det avgörande är då vilka regler som är tillämpliga på behandlingen av personuppgifter i det systemet. Man kan utgå från att vid marknadsföring ingår personuppgifterna i praktiken alltid i ett sådant system som medför att

hanteringsreglerna skall tillämpas på den behandlingen.

68

Det bör

också framhållas att de loggfiler med uppgifter om medarbetarnas kommunikation som en organisation kan spara inte avses med det som nu sagts. Avsikten är att undanta medarbetarnas egen sedvanliga användning av datorstödd kommunikation, inte att undanta organisationens registrering av medarbetarnas kommunikation.

Frågan om vilka situationer i övrigt som kan anses avse sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad på ett sådant sätt att hanteringsreglerna – av hänsyn till informations- och yttrandefrihetsintressena – inte skall tillämpas får överlämnas till rättstillämpningen.

Det är således bara behandling av personuppgifter i ett material som har en personuppgiftsanknuten strukturering som når upp till en viss nivå eller kvalitet som bör omfattas av hanteringsreglerna. Om materialet som sådant (hela samlingen av uppgifter) har strukturerats så att hanteringsreglerna är tillämpliga, skall hanteringsreglerna tillämpas vid behandling av alla personuppgifter – strukturerade och ostrukturerade – som finns i materialet oberoende av att vissa personuppgifter i materialet inte har strukturerats. Personuppgifterna kan nämligen finnas t.ex. i ordbehandlingsdokument, i inskannade dokument och i ljud- och bildupptagningar som i och för sig kan vara ostrukturerade men som ingår i den strukturerade samlingen av uppgifter, t.ex. ett ärendehanteringssystem. Det är själva samlingen av uppgifter (t.ex. ärendehanteringssystemet) som skall vara strukturerad på visst sätt, inte varje personuppgift eller handling som ingår i samlingen. I ett försäkringsbolags ärendehanteringssystem avseende enskilda personers försäkringar kan det t.ex. ingå ordbehandlingsdokument eller e-post med korrespondens med den försäkrade eller annan och inskannade läkarintyg m.m., och genom en enkel sökning på den försäkrades namn kan alla dessa dokument och andra personuppgifter som strukturerats sammanställas. För tydlighets skull bör det nämnas att hanteringsreglerna i detta fall naturligtvis bör tillämpas vid behandling av alla personuppgifter oavsett vilken person – den försäkrade, läkaren, försäkringshandläggaren osv. – uppgifterna rör.

När det gäller att avgöra vad som ingår i det strukturerade materialet (samlingen av uppgifter) får man använda ett naturligt betrak-

68

Särskilt vid direkt marknadsföring med hjälp av e-post kan också andra regler vara till-

lämpliga, jämför t.ex. prop. 2003/04:43 och SOU 2002:109 om genomförandet av det s.k. kommunikationsdataskyddsdirektivet 2002/58/EG.

telsesätt. Eftersom det krävs att materialet har strukturerats, ligger det i sakens natur att strukturen har sina gränser, dvs. att materialet utgörs av en på något sätt avgränsad mängd uppgifter (de uppgifter som med hjälp av strukturen kan hänföras till varandra). Och eftersom det krävs att struktureringen är personuppgiftsanknuten, ingår helt enkelt alla de uppgifter som kan hänföras till de strukturerade personuppgifterna. Det får överlämnas till rättstillämpningen att med ledning av ett naturligt betraktelsesätt från fall till fall bedöma vilka uppgifter som kan hänföras till de strukturerade personuppgifterna.

Som en sammanfattning av det som berörts i detta underavsnitt kan följande sägas.

Det är bara behandling av personuppgifter i ett material som har en personuppgiftsanknuten strukturering som bör omfattas av hanteringsreglerna. En struktur är personuppgiftsanknuten om materialet har strukturerats så att just personuppgifter har markerats som sådana.

För att hanteringsreglerna skall tillämpas bör det vidare krävas att den personuppgiftsanknutna struktureringen av materialet har uppnått en viss nivå eller kvalitet. Samlingen av personuppgifter skall nämligen ha strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter.

En banal personuppgiftsanknuten strukturering där personuppgifterna inte har strukturerats på annat sätt än att de registrerats så att de står i en viss ordning (t.ex. en lista med namn i bokstavsordning som skrivits in i ett ordbehandlingsdokument eller på en webbsida) når inte upp till den nivå som krävs.

Inte heller sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad når upp till den nivå som krävs. Det gäller t.ex. sedvanlig användning av datorns filsystem för att namnge filer och mappar eller kataloger och sedvanlig användning av datorstödd kommunikation såsom e-post.

Om ett material således har en personuppgiftsanknuten strukturering som når upp till en viss nivå eller kvalitet, bör hanteringsreglerna tillämpas vid behandling av alla personuppgifter som finns i materialet oberoende av att vissa personuppgifter i materialet inte har strukturerats (t.ex. personuppgifter i inskannade dokument i ett ärendehanteringssystem). I materialet ingår alla de uppgifter som kan hänföras till de strukturerade personuppgifterna.

Utredningens förslag innebär i korthet att hanteringsreglerna i personuppgiftslagen inte skall tillämpas på sådan vardaglig hanter-

ing som produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte skall infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem.

Den som i sin dator vill hantera personuppgifter i löpande text, t.ex. enkla meddelanden eller kortare och längre texter, eller i ljud och bild eller i e-post behöver således normalt inte bry sig om hanteringsreglerna i personuppgiftslagen. Det är bara om han eller hon vill infoga materialet i någon form av databas som det behövs ytterligare överväganden. Har databasen en personuppgiftsanknuten struktur, där just personuppgifter har markerats som sådana, måste hanteringsreglerna tillämpas.

Utformningen av lagtexten

Utredningen har prövat olika sätt att utforma den lagtext som bäst uttrycker det som angetts i närmast föregående underavsnitt. Utredningen har sammanfattningsvis funnit att det lämpligaste är att föreslå en lagtext om att från hanteringsreglerna undantas ”behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter”.

Utredningen har bl.a. övervägt att utgå från den definition av register som i praktiken redan finns i 5 § andra stycket personuppgiftslagen och som avser manuell (icke automatiserad) behandling av personuppgifter. Undantaget från hanteringsreglerna skulle t.ex. kunna omfatta behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Den definitionen härrör emellertid från EGdirektivet. Det innebär att det ytterst är EG-domstolen som bestämmer vad definitionen innebär. Utredningen anser att det är olämpligt att i ett läge där vi själva får välja använda en definition som vi inte kan råda över. Det är bättre och ger oss i Sverige mera frihet om vi väljer att ha en egen, inhemsk definition. Härtill kommer att definitionen i EG-direktivet inte kan anses helt otvetydig, jämför om rättspraxis kring definitione n avsnitt 5.2.

I fråga om manuella register och definitionen i 5 § andra stycket personuppgiftslagen bör här vidare nämnas att personuppgifter

som finns i en sådan samling som avses i 5 § andra stycket alltid får anses ingå i en sådan samling som avses i den definition som utredningen föreslår. Det innebär att det undantag som utredningen föreslår bara har betydelse för automatiserad behandling av personuppgifter (eftersom manuell behandling av personuppgifter över huvud taget omfattas av lagen bara om uppgifterna ingår i ett register i enlighet med 5 § andra stycket).

Hanteringsreglerna i personuppgiftslagen omfattar hela kedjan av behandlingar av en viss personuppgift från det att uppgiften samlas in till dess den utplånas. Det är anledningen till att undantaget föreslås gälla för behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Om det finns flera avsikter med en enda insamling eller annan behandling av personuppgifter, skall lagens hanteringsregler naturligtvis tillämpas på den behandling av personuppgifter som inte är undantagen.

Av vad som anförts i avs nitt 7.3.8 framgår att det inte är möjligt att göra något undantag från bestämmelserna i artikel 7 i EGdirektivet om när behandling av personuppgifter är tillåten. Däremot är det enligt utredningens mening möjligt att med stöd av bestämmelsen om en intresseavvägning i artikel 7 f införa en bestämmelse i personuppgiftslagen som uttryckligen tillåter behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter i de fall behandlingen inte utgör ett missbruk av personuppgifterna. Utredningen har därför utformat förslaget till undantagsbestämmelse på det nämnda sättet. Därmed framgår också att den registrerade enligt 12 § andra stycket personuppgiftslagen inte har rätt att motsätta sig sådan behandling som är tillåten.

Särskilda undantag för information, debatt och opinionsbildning behövs inte

Enligt utredningsdirektiven skall utredningen särskilt analysera om det är lämpligt med vissa undantag för information, debatt och opinionsbildning. Utredningen anser mot bakgrund av det allmängiltiga undantag avseende personuppgifter som inte ingår i personregister som således föreslås och den tolkning av artikel 7 i EGdirektivet och 7 § personuppgiftslagen som Högsta domstolen

gjort i rättsf allet NJA 2001 s. 409 (se avsnitt 5.2.1) att det inte är nödvändigt med uttryckliga bestämmelser om att behandling av personuppgifter för just ändamålen information, debatt och opinionsbildning är tillåten. Den uttolkning som antyds i utredningsdirektiven av bestämmelsen om en intresseavvägning i 10 § f personuppgiftslagen – att personuppgifter får behandlas om det är nödvändigt för information och debatt eller opinionsbildning, om det inte finns risk för otillbörligt intrång i den personliga integriteten eller om det finns ett allmänintresse som överväger integritetsintrånget – är för övrigt enligt utredningens mening så självklar att någon uttrycklig bestämmelse inte bör vara nödvändig.

Särskilt om sökning efter personuppgifter i ostrukturerat material

Många har, bl.a. vid Justitiedepartementets offentliga utvärdering

69

,

pekat på att det med dagens och framtidens informationsteknik kan vara enkelt att även i ostrukturerat material söka efter och ställa samman personuppgifter. Det är en riktig iakttagelse. En utvecklingslinje är som redan nämnts att struktureringen omfattar allt mer och blir mer automatiserad. En annan, parallell utvecklingslinje är emellertid att verktygen för att få fram relevant information ur ett ostrukturerat material blir allt bättre och allmänt använda.

Att det kan vara förhållandevis enkelt att söka efter personuppgifter i ostrukturerat material innebär i sig en integritetsrisk. Det är emellertid enligt utredningens mening inte något bärkraftigt argument mot att undanta all behandling av personuppgifter i ostrukturerat material. Argumentet träffar nämligen inte sådan behandling avseende ostrukturerat material som faktiskt inte avser sökning efter eller sammanställning av personuppgifter. Vad man kan överväga är att ha särskilda restriktioner för behandling som avser sökning efter eller sammanställning av personuppgifter som finns i ostrukturerat material.

Sökning efter just personuppgifter även i ostrukturerat material innebär typiskt sett sådana särskilda integritetsrisker som skulle kunna mötas med sådana hanteringsregler som finns i personuppgiftslagen. En möjlighet vore därför att inte undanta just sådan behandling från hanteringsreglerna. Det skulle emellertid vara onödigt komplicerat och i vissa helt harmlösa fall obefogat att helt plötsligt vid en sökning tillämpa alla hanteringsregler på redan in-

69

Ds 2001:27.

samlat eller producerat ostrukturerat material med personuppgifter.

En annan möjlighet vore att föreskriva att sökning efter eller sammanställning av personuppgifter som finns i ostrukturerat material är tillåten bara i vissa befogade fall t.ex. efter en intresseavvägning exempelvis motsvarande den som finns i 10 § f personuppgiftslagen.

Utredningen har prövat dessa möjligheter, men funnit dels att en sådan reglering riskerar att bli onödigt krånglig och svår att få genomslag för i praktiken, dels att de regler som föreslås till skydd mot missbruk (se avsnitt 7.7.4) bör vara tillräckliga för att skydda mot obefogade integritetskränkningar till följd av sökningen efter och sammanställning av personuppgifte r.

70

70

Av förslaget i avsnitt 15.2 framgår att bestämmelserna i personuppgiftslagen inte skall

tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att söka efter, sammanställa och lämna ut personuppgifter.

7.7.3. Vilka bestämmelser i personuppgiftslagen bör undantaget omfatta?

Utredningens förslag: Undantag görs från bestämmelserna i personuppgiftslagen om

a) grundläggande krav på behandlingen av personuppgifter (9 §)

b) när behandling av personuppgifter är tillåten (10 §)

c) förbud mot behandling av känsliga personuppgifter (13 §)

d) förbud för andra än myndigheter att behandla personuppgifter

om lagöverträdelser m.m. (21 §)

e) information till den registrerade i samband med att personupp-

gifter samlas in (23 och 24 §§)

f) rättelse (28 §)

g) förbud mot överföring av personuppgifter till tredje land (33 §)

h) upplysningar till allmänheten om behandlingar som inte anmälts

till tillsynsmyndigheten (42 §) Utredningens bedömning: Den registrerade skall på begäran ha rätt att få ett s.k. registerutdrag med bl.a. de personuppgifter som behandlas (26 §). Personnummer och samordningsnummer bör få behandlas utan samtycke bara när det är klart motiverat med hänsyn till något beaktansvärt skäl (22 §).

I avsnitt 7.3 har det angetts i vilken utsträckning det enligt utredningens mening är möjligt att göra undantag eller motsvarande från hanteringsreglerna i EG-direktivet. Utredningen anser att undantagsmöjligheterna bör utnyttjas i så stor utsträckning som möjligt för att underlätta harmlös hantering av personuppgifter i ostrukturerat material.

De bestämmelser i personuppgiftslagen som man med hänsyn till EG-direktivet kan överväga att göra undantag från är enligt utredningens mening följande:

a) 9 § om grundläggande krav på behandlingen av personuppgifter

b) 13 § om förbud mot behandling av känsliga personuppgifter

c) 21 § om förbud för andra än myndigheter att behandla person-

uppgifter om lagöverträdelser m.m.

d) 22 § om restriktioner för behandling av uppgifter om person-

nummer och samordningsnummer

e) 23 och 24 §§ om information till den registrerade i samband

med att personuppgifter samlas in

f) 26 § om information som skall lämnas efter ansökan (s.k. regis-

terutdrag)

g) 28 § om rättelse

h) 33 § om förbud mot överföring av personuppgifter till tredje

land

i) 42 § om upplysningar till allmänheten om behandlingar som inte

anmälts till tillsynsmyndigheten

Punkterna a–c, e och h i uppräkningen ovan (avseende 9, 13, 21, 23, 24 och 33 §§personuppgiftslagen) avser helt klart sådana hanteringsregler som undantaget bör omfatta. Det är fråga om regler som den personuppgiftsansvarige på eget initiativ har att iaktta och uppfylla och som anger när och hur personuppgifter får behandlas.

Reglerna i punkterna f, g och i i uppräkningen ovan (avseende 26, 28 och 42 §§personuppgiftslagen) är av en något annan natur. Det är nämligen fråga om regler som den personuppgiftsansvarige bara behöver beakta när någon begär det i ett enskilt fall. Reglerna är således i allmänhet inte lika betungande för den personuppgiftsansvarige, eftersom han eller hon inte behöver beakta dem vid den dagliga hanteringen av ostrukturerat material utan bara när någon begär det. Det bör därför särskilt övervägas om dessa regler bör omfattas av undantaget.

Vad först gäller skyldigheten enligt 26 § personuppgiftslagen att efter ansökan lämna ett s.k. registerutdrag kan följande sägas.

Rätten till registerutdrag kan sägas ha dels en kontrollfunktion, dels en funktion som självständig rättighet.

Genom rätten till registerutdrag har den registrerade en möjlighet att själv kontrollera att behandlingen av hans eller hennes uppgifter är lagenlig och att, om så inte skulle vara fallet, utnyttja sina övriga rättigheter för att få till stånd rättelse. Om nu viss behandling skall vara undantagen från de flesta ”vanliga” regler, skulle man kunna sätta i fråga om inte rätten till registerutdrag också är överflödig. Det finns ju då inte särskilt många regler att kontrollera och rättigheter att bevaka. Men så länge regler till skydd mot missbruk skall gälla, fyller rätten till registerutdrag en kontrollfunktion. Utan den rätten skulle det vara svårare för den registrerade att kunna konstatera om missbruk förekommit och avgöra om åtgärder bör vidtas med anledning av ett missbruk. Möjligheten att vända sig till Datainspektionen, som i sin tillsynsfunktion har rätt att få ta del av de behandlade personuppgifterna, kan inte helt ersätta en egen rätt för den registrerade att få ta del av sina uppgifter.

Rätten att få ta del av de uppgifter om en själv som någon annan behandlar har också ett självständigt värde för den registrerade även när det gäller ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar. Genom den rätten kan den registrerade

få reda på hur han eller hon återspeglas i de uppgifter som finns registrerade. Därigenom kan den registrerade också framställa invändningar om det som registrerats inte stämmer överens med den egna självbilden. Det kan t.ex. gälla vilka uppgifter som legat till grund för ett beslut som påverkar den registrerade. Enligt Europadomstolen ingår i rätten till skydd för privatlivet enligt artikel 8 i Europakonventionen en positiv skyldighet att i vissa fall ge den registrerade tillgång till sina egna uppgifter.

71

Både Europarådets da-

taskyddskonvention och OECD:s riktlinjer innehåller vidare bestämmelser om rätt till tillgång till sina uppgifter, trots att dessa instrument inte egentligen innehåller materiella regler om när behandling av personuppgifter är tillåten eller förbjuden.

Rätten att få ta del av sina egna uppgifter framstår således som grundläggande och av väsentlig och självständig betydelse för den registrerade. Den rätten är internationellt erkänd och har funnits i den svenska datalagen sedan 1973. Frågan är då närmast vilka beaktansvärda motstående intressen som kan tala för en inskränkning av den rätten i fråga om personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar.

Den personuppgiftsansvariges intresse av att få ha ofärdiga alster och minnesanteckningar i fred och av sekretess har redan i dag beaktats genom bestämmelserna i 26 § tredje stycket och 27 § personuppgiftslagen. Det ytterligare intresse för den personuppgiftsansvarige som kan vara värt att beakta är att det är betungande att på begäran söka fram personuppgifter i material som inte har strukturerats för att underlätta sökning efter eller sammanställning av just personuppgifter. Såsom framgår av avsnitt 11 föreslår utr edningen i den delen dock att registerutdrag inte skall behöva lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Utredningen anser att denna bestämmelse, som får särskild betydelse vid ostrukturerat material, innebär att den personuppgiftsansvariges intressen i nu berört hänseende beaktas i tillräcklig grad. Utredningen kommer därför fram till att något undantag inte bör göras från bestämmelsen i 26 § om registerutdrag.

Vad därefter gäller skyldigheten enligt 42 § personuppgiftslagen att på begäran lämna upplysningar till allmänheten om behandlingar anser utredningen att den skyldigheten inte har sådan praktisk betydelse för de registrerade som uppväger besväret för den person-

71

Se t.ex. Europadomstolens dom den 7 juli 1989 i målet Gaskin ./. Förenade kungariket

och dom den 24 september 2002 i målet M.G. ./. Förenade kungariket.

uppgiftsansvarige att lämna upplysningarna. Ett undantag bör således göras från bestämmelsen i 42 §.

I fråga om bestämmelsen i 28 § personuppgiftslagen om rättelse kan det naturligtvis vara ett väsentligt intresse för den registrerade att t.ex. felaktiga personuppgifter även i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar på begäran korrigeras. Att den personuppgiftsansvarige fortsätter att behandla direkt felaktiga personuppgifter trots att den registrerade begärt rättelse får dock i regel betraktas som ett otillbörligt integritetsintrång som bör vara förbjudet enligt huvudregeln såsom ett missbruk av personuppgifterna. Bestämmelsen i 28 § är dessutom formulerad på ett sådant sätt att den inte utan vidare kan användas i fråga om behandling som är undantagen