SOU 2012:90
Överskottsinformation vid direktåtkomst
Till statsrådet och chefen för Justitiedepartementet
Regeringen beslutade den 6 oktober 2011 att tillkalla en särskild utredare med uppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor. Syftet är att skapa rättsliga förutsättningar för en mer effektiv e-förvaltning, där såväl den enskildes rätt till personlig integritet som allmänhetens berättigade anspråk på insyn i den offentliga verksamheten tillgodoses (dir. 2011:86).
Till särskild utredare förordnades från och med den 25 oktober 2011 justitierådet Henrik Jermsten.
Som sakkunnig förordnades från och med den 16 januari 2012 ämnesrådet, numera rättschefen Eva Lenberg, Utbildningsdepartementet. Som experter förordnades från och med samma datum juristen Malgorzata Drewniak, Lantmäteriet, advokaten Per Furberg, Setterwalls Advokatbyrå, ämnessakkunniga Anneli Hagdahl, Näringsdepartementet, chefsjuristen Per Hultengård, Tidningsutgivarna, enhetschefen Torbjörn Hörnfeldt, Riksarkivet, rättssakkunniga Maria Jonsson, Justitiedepartementet, förvaltningsjuristen Linn Kempe, Bolagsverket, chefsjuristen Hans-Olof Lindblom, Datainspektionen, förbundsjuristen Irene Reuterfors-Mattsson, Sveriges Kommuner och Landsting, analytikern Svante Nygren, Myndigheten för samhällsskydd och beredskap, professorn Cecilia Magnusson Sjöberg, Stockholms universitet, områdesexperten Kjell-Åke Sjödin, Transportstyrelsen, ombudsmannen Per Trehörning, Svenska Journalistförbundet och rättsliga experten Maria Östgren, Skatteverket.
Som ledamöter att ingå i utredningens parlamentariska referensgrupp förordnades från och med den 16 januari 2012 riksdagsledamoten Phia Andersson, jur. kand. Jonas Eklund, journalisten Inger Fredriksson, politiske sekreteraren Jonas Rydfors, riksdagsledamoten Karl Sigfrid, riksdagsledamoten Christer Winbäck, f.d. riksdags-
ledamoten Alice Åström och från och med den 17 januari 2012 riksdagsledamoten Tuve Skånberg.
Som sekreterare anställdes från och med den 1 februari 2012 rådmannen Anna Tansjö och från och med den 16 januari 2012 kammarrättsassessorn Katarina Dunnington.
Utredningen har antagit namnet Informationshanteringsutredningen (Ju 2011:11).
Härmed överlämnas delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90).
Arbetet fortsätter i enlighet med direktiven.
Stockholm i januari 2013
Henrik Jermsten
/Anna Tansjö
Katarina Dunnington
Sammanfattning
Vårt uppdrag
Vårt huvuduppdrag är att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor. Vi ska bl.a. utarbeta en generell modell för reglering av registerfrågor samt lämna konkreta förslag till registerförfattningar inom särskilt utvalda verksamhetsområden.
I detta delbetänkande redovisar vi vårt uppdrag när det gäller följande delfrågor.
- Om överskottsinformation vid direktåtkomst och liknande elektronisk tillgång till annan myndighets elektroniska informationssamling bör undantas från begreppet allmän handling.
- Om – för det fall överskottsinformation inte undantas från begreppet allmän handling – de bestämmelser som förts in i offentlighets- och sekretesslagen (2009:400; OSL) med anledning av den nuvarande ordningen (bl.a. 11 kap. 4 § och 25 kap. 2 § OSL) har en lämplig utformning eller om de bör justeras.
- Om det finns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande.
Redovisningen i detta betänkande är således enbart inriktad på frågeställningar som gäller elektroniskt utlämnande från eller inhämtande till myndigheter genom direktåtkomst eller liknande. Bakgrunden till uppdraget i denna del är de problem som genom åren uppmärksammats i bl.a. ett antal lagstiftningsärenden och i samband med olika myndighetsöverskridande informationsutbytesprojekt, dels beträffande sådant utlämnande sett i förhållande till tryckfrihetsförordningen (TF), dels beträffande svårigheterna att avgränsa det i olika registerförfattningar förekommande begreppet direktåtkomst från
annat elektroniskt utlämnande, ofta kallat utlämnande på medium för automatiserad behandling.
Frågan om en grundlagsändring
Uppdraget i grundlagsfrågan är avgränsat till att vi ska överväga en inskränkning i handlingsoffentligheten såvitt avser överskottsinformation vid direktåtkomst. Med överskottsinformation avses i detta sammanhang externt tillgänglig information som en mottagande myndighet (mottagarmyndighet) vid direktåtkomst eller liknande elektronisk tillgång till en annan myndighets (värdmyndighet) elektroniska informationssamling tekniskt sett har tillgång till men som mottagarmyndigheten, av hänsyn till värnandet om enskilda registrerades personliga integritet, inte får använda i ett enskilt fall eller ta del av utan att t.ex. vissa förutsättningar är uppfyllda. Med överskottsinformation avses också information som mottagarmyndigheten visserligen får men ännu inte har använt i sin verksamhet. Överskottsinformation uppstår därför att det när en direktåtkomst etableras inte går att på förhand avgöra exakt vilka specifika uppgifter i en värdmyndighets informationssamling som en mottagarmyndighet i konkreta fall vid ärendehandläggning m.m. kommer att behöva ta del av. En mottagarmyndighet kan alltså ofta ha direktåtkomst till uppgifter om personer som visar sig aldrig bli aktuella i mottagarmyndighetens verksamhet.
Enligt tryckfrihetsförordningens definition av begreppet allmän handling spelar det ingen roll om mottagarmyndigheten i ett enskilt fall utnyttjar sin tekniska möjlighet att ta fram vissa uppgifter för t.ex. läsning eller fortsatt lagring i det egna informationssystemet. Redan möjligheten att göra detta medför att uppgifterna anses vara inkommen allmän handling.
Det kan få negativa konsekvenser för enskildas personliga integritet att överskottsinformation på detta sätt blir allmän handling hos mottagarmyndigeter redan då den tekniska möjligheten att ta fram och ta del av informationen uppstår. Problemet ligger främst i den ökade allmänna tillgängligheten av information om enskilda som vidarespridning över myndighetsgränser av stora mängder personuppgifter innebär. Vidare är det knappast en tillfredsställande ordning att en mottagarmyndighet är skyldig enligt tryckfrihetsförordningen att söka fram, sekretesspröva och kanske lämna ut överskottsinformation trots att mottagarmyndigheten själv inte har eller har haft
något intresse av informationen i sin verksamhet och kanske inte heller ens har laglig rätt att för egen del ta del av den i sin verksamhet.
Enligt vår mening talar principiella skäl för att överskottsinformation vid direktåtkomst borde undantas från att vara allmän handling hos mottagarmyndigheter. Vi har därför ingående övervägt olika alternativa sätt att införa ett undantag.
Ett begränsat undantag för överskottsinformation vid direktåtkomst kan emellertid inte fogas in i tryckfrihetsförordningens redan svårgripbara regelkomplex av uppställda rekvisit för vad som konstituerar en allmän handling och olika undantag härifrån utan en betydande risk för att begripligheten av regelkomplexet sett som helhet ytterligare försämras. Vidare är samtliga alternativa undantagslösningar som vi har analyserat förenade med olika avgränsningssvårigheter och befarade tillämpningsproblem. Vid en samlad bedömning har vi därför funnit att övervägande skäl talar mot att föreslå en grundlagsändring som skulle innebära en särskild reglering vad gäller överskottsinformation vid direktåtkomst. Vi lämnar därför inget sådant förslag.
I vårt arbete har vi emellertid stött på en rad ytterligare tveksamheter och problemställningar när det gäller begreppet allmän handling i den elektroniska miljön än de som omfattas av vårt uppdrag i grundlagsfrågan. Vi förordar därför att den grundläggande konstruktionen beträffande vad som konstituerar en inkommen allmän handling ses över i ett bredare sammanhang, i vilket frågan om överskottsinformation vid direktåtkomst bör kunna bli föremål för fortsatta överväganden tillsammans med övriga frågor. I ett sådant arbete bör det finnas bättre förutsättningar för att skapa enhetliga helhetslösningar som inte ytterligare ökar komplexiteten i regleringen.
Sekretessregleringen
I offentlighets- och sekretesslagen finns bestämmelser som på olika sätt begränsar insynen i överskottsinformation vid direktåtkomst.
I några fall har det införts bestämmelser som föreskriver absolut sekretess för överskottsinformation inom vissa områden, dels bestämmelsen i 15 kap. 1 a § OSL om utrikessekretess vid direktåtkomst till en utländsk eller internationell databas, dels bestämmelsen i 25 kap. 2 § OSL om absolut sekretess för ospärrade patientuppgifter vid sammanhållen journalföring.
Därutöver finns det en generell bestämmelse i 11 kap. 4 § OSL om överföring av värdmyndighetens sekretessreglering vid direktåtkomst som införts för att tillse att uppgifter som en mottagarmyndighet visserligen har teknisk tillgång till men som inte förs in i den verksamhet som omfattas av myndighetens primära sekretessbestämmelser, ska ha ett fortsatt sekretesskydd hos mottagarmyndigheten. Enligt 11 kap. 8 § OSL ska dock en primär sekretessbestämmelse hos mottagarmyndigheten alltid ha företräde och tillämpas i en konkurrenssituation med en från värdmyndigheten överförd sekretessbestämmelse.
En utvärdering av sekretessbestämmelserna om absolut sekretess för överskottsinformation vid direktåtkomst
De bestämmelser om absolut sekretess som införts för att skydda överskottsinformation vid direktåtkomst till utländsk eller internationell databas samt vid sammanhållen journalföring ger ett gott skydd för uppgifterna i överskottsinformationen. Den absoluta sekretessen innebär bl.a. att mottagarmyndigheten inte behöver ta del av en uppgift för att göra en sekretessprövning mot ett skaderekvisit i samband med en begäran enligt tryckfrihetsförordningen om utfående av allmän handling. Vi ser inget behov av en justering av dessa bestämmelser.
Vi har däremot övervägt men avfärdat tanken på att införa en primär sekretessbestämmelse med räckvidd hos alla mottagarmyndigheter och med absolut sekretess för överskottsinformation vid direktåtkomst. En sådan bestämmelse vore enligt vår mening inte förenlig med kraven i 2 kap. 2 § TF på att undantag från handlingsoffentligheten genom sekretess ska vara påkallade och noga preciserade.
En justering av konkurrensregeln i 11 kap. 8 § OSL
Konstruktionen av bestämmelserna i 11 kap. 4 och 8 §§ OSL om överföring av sekretess vid direktåtkomst medför att det finns en risk för att en tillämpning av bestämmelserna i vissa fall leder till att det sekretesskydd som gäller hos värdmyndigheten försvagas eller upphör hos mottagarmyndigheten på ett sätt som inte är motiverat beträffande överskottsinformation vid direktåtkomst. Detta är från
integritetsskyddssynpunkt otillfredsställande. Sådan information som utgör överskottsinformation bör enligt vår mening åtminstone ha ett sekretesskydd hos mottagarmyndigheten som motsvarar det sekretesskydd den har hos värdmyndigheten.
Mot denna bakgrund föreslår vi att en mottagarmyndighets primära sekretessbestämmelser inte längre bör ha företräde framför den från värdmyndigheten överförda sekretessen avseende sådana uppgifter som en mottagarmyndighet enligt lag eller förordning inte får behandla. En konkurrenssituation mellan en primär sekretessbestämmelse hos en mottagarmyndighet och den från värdmyndigheten överförda sekretessen för en sådan uppgift bör i stället lösas i enlighet med offentlighets- och sekretesslagens huvudregel i 7 kap. 3 § OSL som föreskriver att den av flera tillämpliga sekretessbestämmelser enligt vilken uppgiften är sekretessbelagd ska ha företräde, oavsett om det handlar om en primär eller överförd sekundär sekretess. För att åstadkomma detta föreslår vi en ändring av 11 kap. 8 § OSL.
Vårt förslag innebär att samtliga slag av begränsningar som finns intagna i lag eller förordning och som innebär att en mottagarmyndighet inte får behandla en uppgift via direktåtkomst ska beaktas vid tillämpning av 11 kap. 8 § OSL. Begränsningarna måste inte nödvändigtvis handla endast om personuppgifter, dvs. uppgifter om fysiska personer. Ytterst blir det en fråga för rättstillämpningen att avgöra vilka begränsningar som innebär hinder för en myndighet att behandla en uppgift.
Vårt förslag innebär inte något införande av sekretess för nya uppgiftsslag. Den föreslagna ändringen innebär endast en mer preciserad avvägning av i vilka fall huvudregeln i 7 kap. 3 § OSL ska stå tillbaka för undantagsregleringen i 11 kap. 8 § OSL.
Enligt vår mening finns det inget bärande skäl att avvakta med en justering av 11 kap. 8 § OSL till dess att vi har slutfört vårt återstående uppdrag med översynen av registerförfattningarna. Vi bedömer att ikraftträdande bör kunna ske den 1 januari 2014. Inga övergångsbestämmelser behövs.
Begreppsbildningen i registerförfattningarna vad avser olika former av elektroniskt utlämnande
Det står klart att de begrepp som idag används i registerförfattningarna, dvs. direktåtkomst och utlämnande på medium för automatiserad behandling, inte är entydiga och att gränsdragningen mellan begreppen i många fall är oklar. Detta är problematiskt, inte minst vid informationsutbyten mellan myndigheter. Ett klargörande av frågan om det även fortsättningsvis bör göras åtskillnad mellan olika elektroniska utlämnandeformer i registerförfattningarna och, om så är fallet, vilka begrepp som ska användas och hur de ska avgränsas är av stor betydelse såväl för effektiviteten i myndigheternas informationsutbyte som för frågan om adekvat integritetsskydd. Det finns således ett behov av reformer på området.
Eftersom vi inte föreslår någon grundlagsändring i syfte att undanta överskottsinformation vid direktåtkomst från begreppet allmän handling är det emellertid inte påkallat att redan nu göra några slutgiltiga ställningstaganden eller lägga fram några separata förslag angående frågan om begreppsbildningen för elektroniska utlämnandeformer. Vår bedömning är att det är bättre att den frågan kan behandlas som en integrerad del i vårt kommande arbete med att skapa en bättre och mer renodlad registerlagstiftning genom utarbetande av modellregleringar. Vi kommer därför att återkomma till frågan om begreppsbildningen i vårt slutbetänkande.
Författningsförslag
1. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 11 kap. 8 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
11 kap.
8 §
De sekretessbestämmelser som avses i 1–7 §§ ska, med undantag från vad som anges i 7 kap. 3 §, inte tillämpas på en uppgift när det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5 och 7 §§ till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten.
Första stycket tillämpas inte på en uppgift som är tillgänglig för en myndighet på sätt som anges i 4 § första stycket och som den mottagande myndigheten enligt lag eller förordning inte får behandla.
Denna lag träder i kraft den 1 januari 2014.
1. Vårt uppdrag och arbete
1.1. Uppdraget
Vi har som huvuduppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor. Bland annat ska vi utarbeta en generell modell för reglering av registerfrågor samt lämna konkreta förslag till registerförfattningar inom särskilt utvalda verksamhetsområden. Syftet härmed är att skapa rättsliga förutsättningar för en mer effektiv e-förvaltning, där såväl den enskildes rätt till personlig integritet som allmänhetens berättigade anspråk på insyn i den offentliga verksamheten tillgodoses. Målsättningen med utredningsarbetet ska vara att tryckfrihetsförordningen, offentlighets- och sekretesslagen och registerregleringen tillsammans ska utgöra en tydligare och mer lättillämpad helhet.
I uppdraget ingår ett antal särskilda delfrågor. Två av dessa ska redovisas i ett delbetänkande, nämligen följande.
- Vi ska överväga om definitionen av begreppet ”allmän handling” i tryckfrihetsförordningen är lämpligt utformad när det gäller sådana uppgifter som en myndighet har tillgång till genom s.k. direktåtkomst hos en annan myndighet eller genom liknande former av elektroniskt utlämnande och, om vi anser att definitionen bör ändras, lämna förslag till ändring av denna samt konsekvensändringar i offentlighets- och sekretesslagen. Om vi bedömer att grundlagen inte bör ändras, ska vi utvärdera om de bestämmelser som förts in i offentlighets- och sekretesslagen med anledning av den nuvarande ordningen (11 kap. 4 § och 25 kap. 2 § OSL) har en lämplig utformning eller om de bör justeras.
- Vi ska vidare överväga om det finns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande.
Detta delbetänkande innehåller följaktligen vår redovisning i dessa frågor.
Uppdraget ska i resterande delar slutredovisas senast den 1 december 2014.
Regeringens direktiv (dir. 2011:86) finns intagna i betänkandet som bilaga.
1.2. Utredningsarbetet
Vårt första sammanträde med experterna hölls den 17 februari 2012. Därefter har ytterligare sju expertsammanträden hållits. Sammanträdena har i stor utsträckning gällt frågor som behandlas i delbetänkandet. Även informella kontakter inom utredningen har förekommit.
Sammanlagt tre sammanträden har hållits med den till utredningen knutna parlamentariska referensgruppen. Därvid har samråd skett rörande uppdraget med grundlagsfrågan om definitionen av begreppet allmän handling såvitt avser överskottsinformation vid direktåtkomst.
På sekretariatsnivå har under arbetets gång skett visst samråd med Statistikutredningen 2012 (Fi 2011:05). Samråd har vidare skett med E-delegationen (N Fi 2009:01) och med de övriga myndigheter som anges i direktiven.
Sekretariatet har vidare deltagit i konferenser med anknytning till uppdraget.
Arbetet har bedrivits med aktivt deltagande av och i samråd med experterna. Med hänsyn till detta redovisas arbetet i denna del av vårt uppdrag med användande av vi-form, även om det inte finns fullständig samsyn i alla delar.
Arbetet med vårt huvuduppdrag att se över registerlagstiftningen och återstående delfrågor fortsätter i enlighet med direktiven.
1.3. Avgränsningen av grundlagsfrågan
Vårt huvuduppdrag är övergripande och mycket omfattande. Det kan sägas avse statliga och kommunala myndigheters informationshantering i stort inom registerförfattningsreglerade verksamheter. Förenklat uttryckt handlar den regleringen i huvudsak om att ange
ramarna för under vilka förutsättningar och för vilka syften myndigheter får samla in personuppgifter och sedan fortsättningsvis använda uppgifterna i sin verksamhet. Vanligt är vidare att det i den regleringen – vid sidan av vad 2 kap. tryckfrihetsförordningen föreskriver om myndigheters skyldighet att på begäran lämna ut allmänna handlingar – finns bestämmelser om i vilken mån insamlade uppgifter får lämnas ut till andra enskilda eller offentliga aktörer. Inte sällan regleras också i vilken utsträckning informationsutbyte och annat utlämnande får ske i elektronisk form eller inte. I det sammanhanget förekommer begreppet direktåtkomst i regleringen. Annat elektroniskt utlämnande beskrivs i allmänhet med begreppet utlämnande på medium för automatiserad behandling.
Den del av vårt uppdrag som vi redovisar i detta betänkande är enbart inriktad på frågeställningar som gäller elektroniskt utlämnande från eller inhämtande till myndigheter genom direktåtkomst eller liknande. Bakgrunden till uppdraget i denna del är de problem som genom åren uppmärksammats i bl.a. ett antal lagstiftningsärenden och i samband med olika myndighetsöverskridande informationsutbytesprojekt, dels i förhållande till tryckfrihetsförordningen, dels beträffande svårigheterna att avgränsa begreppet direktåtkomst från annat elektroniskt utlämnande.
Även om direktivens formulering om att vi ska överväga ”definitionen av begreppet allmän handling” kan ge intrycket av ett brett anslag, framgår emellertid att vårt uppdrag i grundlagsfrågan är klart begränsat. Enligt direktiven ska vi överväga om s.k. överskottsinformation – information som en mottagande myndighet vid direktåtkomst eller liknande till en annan myndighets elektroniska informationssamling rent teknisk får tillgång till men inte får använda eller får men ännu inte har använt i sin verksamhet – även i fortsättningen bör anses utgöra allmän handling hos den mottagande myndigheten eller om det finns skäl att ändra definitionen av begreppet allmän handling i detta avseende.
Vi har alltså inte fått i uppdrag att göra någon allmän översyn av tryckfrihetsförordningens grundläggande konstruktion när det gäller begreppet allmän handling och vad som ska anses vara en förvarad och inkommen elektronisk handling hos en myndighet. Inte heller har vi något mandat att överväga och lämna förslag till grundlagsändringar när det gäller andra slags frågeställningar rörande tryckfrihetsförordningens tillämpning som kan uppkomma vid myndigheters informationshantering i andra avseenden, t.ex. vid service åt
privatpersoner och företag genom elektroniska självbetjäningstjänster eller andra slags e-tjänster, förmedling av information till och från myndigheter i samarbete över myndighetsgränser i gemensamma portaler osv.
1.4. Delbetänkandets disposition
Efter detta inledande kapitel och allmänna bakgrundskapitel (kapitel 2–4) innehåller återstående kapitel i betänkandet en närmare redovisning av vårt arbete med delbetänkandets delfrågor. I kapitel 5 redogörs för bl.a. gällande rätt beträffande handlingsoffentligheten m.m. samt tidigare behandling i några lagstiftningsärenden av frågan om handlingsoffentlighet vid myndighetsövergripande informationsutbyten. I kapitel 6 beskrivs ett antal problem som är förknippade med överskottsinformation vid en myndighets direktåtkomst till annan aktörs elektroniska informationssamlingar. I kapitel 7 och 8 redovisas våra överväganden när det gäller uppdraget i fråga om begreppet allmän handling samt frågeställningar om sekretess när det gäller överskottsinformation vid direktåtkomst. Kapitel 9 innehåller våra överväganden när det gäller begreppsbildningen i registerförfattningar av olika former av elektroniskt utlämnande. Ikraftträdande och konsekvenser av vårt förslag behandlas i kapitel 10. En författningskommentar finns i kapitel 11.
I viss utsträckning förekommer en del upprepningar i senare kapitel, det gäller särskilt delar av redovisningen av gällande rätt i kapitel 8. Avsikten med detta är att underlätta separat läsning av det kapitlet utan alltför omfattande hänvisningar till tidigare kapitel i betänkandet.
ALLMÄN BAKGRUND
2. It-politik, strategier och initiativ – en kort lägesbeskrivning m.m.
2.1. Informationssamhället och den offentliga förvaltningen
Vid tiden för millennieskiftet konstaterade regeringen i propositionen Ett informationssamhälle för alla (prop. 1999/2000:86 s. 13) att samhället stod mitt uppe i en samhällsomvandling som gick under namn som ”Den digitala revolutionen” eller ”IT-revolutionen”. Regeringen konstaterade vidare att informationstekniken snart skulle komma att finnas representerad överallt i samhället, ”informationssamhället”. Som it-politiskt mål sattes att Sverige som första land skulle bli ett informationssamhälle för alla (a. prop. s. 24).
Nu, tretton år senare, kan konstateras att vi i hög grad lever i ett informationssamhälle där digital informations- och kommunikationsteknik (it) är en del av vardagen för de allra flesta. Sverige har en stark position inom it-området och står sig mycket väl i internationella jämförelser vad gäller de nationella förutsättningarna och användningen av it hos individer och företag samt inom den offentliga förvaltningen (se bl.a. prop. 2012/13:1 Utgiftsområde 22 s. 109). Exempelvis hade år 2011 93 procent av befolkningen tillgång till internet i hemmet och 86 procent tillgång till bredband i hemmet vilket är mycket höga siffror internationellt sett (SCB, Privatpersoners användning av datorer och internet 2011). Inom den offentliga förvaltningen sker numera den mesta informationshanteringen i elektronisk form.
Sverige blev tidigt ett föregångsland för digitalisering av offentlig förvaltning. Välfärdsstatens socialförsäkringsprogram förutsatte bl.a. en automatiserad registerföring av hög standard. Myndigheterna byggde därför tidigt upp olika typer av dataregister som blev centrala i kärnverksamheten. Utveckling av s.k. e-förvaltning blev också tidigt ett viktigt medel för att genomföra besparingar
och effektiviseringar i förvaltningen. När internet introducerades på 1990-talet hade myndigheterna redan en relativt hög teknikmognad och e-tjänster blev ett sätt att underlätta kontakten utåt. Elektroniskt informationsutbyte kunde vidare ersätta andra metoder att utbyta information mellan myndigheter (se bl.a. SOU 2009:86 s. 33 f.).
År 2000 fastslogs strategin för 24-timmarsmyndigheter som är elektroniskt tillgängliga dygnet runt för informationsinhämtande, ärendehantering eller annan service (prop. 1999/2000:86 s. 100 f.). Syftet var att myndigheterna skulle öka tillgängligheten av tjänsteutbudet. Strategin byggde på en redan framgångsrik tradition där myndigheterna själva bestämde hur it bäst skulle användas för att utveckla sin verksamhet. De allra flesta myndigheter har idag webbaserade e-tjänster som vänder sig till medborgare och företag. Några exempel är Skatteverkets och Försäkringskassans e-tjänster för skattedeklarationer, begäran om sjukpenning m.m. Hos många kommuner kan invånarna via internet välja skola, ha kontakt med vården, ansöka om ekonomiskt bistånd eller bygglov m.m.
Flera myndigheter, t.ex. Försäkringskassan, Migrationsverket och polismyndigheterna, har vidare möjligheter att arbeta med digitala ärendehanteringssystem. I en elektronisk akt samlas all information i ett ärende i digital form. Ett digitalt ärendehanteringssystem består normalt av ett elektroniskt diarium, ett elektroniskt system för handläggning i elektroniska akter, där även skannade inlagor på papper lagras, och ett digitalt arkiv. Inom den offentliga hälso- och sjukvården sker vårddokumentation med patientjournalföring m.m. med hjälp av elektroniska informationssystem.
Den snabba utvecklingen inom it fortsätter att påverka och förändra samhället på alla nivåer, även den offentliga förvaltningen. I de följande avsnitten i detta kapitel lämnas en kort redogörelse för några aktuella mål för it- och förvaltningspolitiken av särskild relevans för utvecklingen av den offentliga förvaltningens informationshantering. Vidare redogörs mycket kortfattat för några exempel på viktiga aktörer samt olika initiativ eller utvecklingsprojekt inom e-förvaltningen. Det bör observeras att beskrivningen inte gör anspråk på att vara heltäckande i något avseende utan ska ses mest som en mycket översiktlig lägesbeskrivning.
Avslutningsvis tar vi upp några rättsliga frågeställningar som uppmärksammats i anslutning till vårt arbete med uppdraget i grundlagsfrågan om överskottsinformation vid direktåtkomst och
begreppet allmän handling. Frågorna är kopplade till olika företeelser inom e-förvaltningen.
2.2. It-politik och strategier
Ett nytt mål för it-politiken beslutades av riksdagen 2011 (prop. 2011/2012:1, 2011/12:TU1). Målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att uppnå detta krävs ökad digital delaktighet så att fler vill och vågar använda digitala tjänster. Det krävs även fler tjänster som gör att kvinnor och män upplever att de verkligen har nytta av att använda internet. Ett delmål är att Sverige ska ha bredband i världsklass. Alla hushåll och företag bör ha goda möjligheter att använda sig av elektroniska samhällstjänster och service via bredband (prop. 2009/2010:193, 2009/10:TU18).
Den 29 september 2011 beslutade regeringen om en ny strategi för it-politiken, It i människans tjänst – en digital agenda för Sverige (dnr N2011/342/ITP). Agendan är en sammanhållen strategi som syftar till att statens befintliga resurser ska utnyttjas bättre. Den digitala agendan är en bred och sammanhållen strategi för it-politiken där regeringen presenterar ambitioner och insatser som tillvaratar de möjligheter som digitaliseringen ger. För att nå det ovannämnda it-politiska målet har med utgångspunkt i it-användarens perspektiv fyra strategiska områden identifierats i agendan: 1. lätt och säkert att använda, 2. tjänster som skapar nytta, 3. det behövs infrastruktur och 4. it:s roll för samhällsutvecklingen.
I juni 2012 tillsatte regeringen Digitaliseringskommissionen som har i uppdrag att verka för att det it-politiska målet i agendan uppnås och att regeringens ambitioner inom området fullföljs (dir. 2012:61). En del av kommissionens uppdrag är att ta fram indikatorer för att mäta måluppfyllelsen. Slutredovisning av uppdraget ska ske senast den 31 december 2015.
2.3. Förvaltningspolitik och e-förvaltning
Hur den offentliga förvaltningen utvecklas, organiseras och styrs har stor betydelse. I 2010 års förvaltningspolitiska proposition lade regeringen fram mål och riktlinjer för det fortsatta arbetet med i första hand den statliga förvaltningen. Det övergripande målet för
förvaltningspolitiken ska vara ”en innovativ och samverkande statsförvaltning som är rättssäker och effektiv, har en väl utvecklad kvalitet, service och tillgänglighet och därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete.” Målet har antagits av riksdagen (prop. 2009/10:175, 2009/10:FiU38). Samverkan, inte minst myndigheter emellan, ska ytterligare utvecklas, dels av effektivitetsskäl, dels för att medborgare, företagare och andra förväntar sig att staten uppträder samordnat. Förstärkt samverkan mellan statsförvaltningen och kommunerna inom vissa områden finns också på den förvaltningspolitiska dagordningen.
Elektronisk förvaltning (e-förvaltning) ska bidra till det förvaltningspolitiska målet. E-förvaltning är ett begrepp som används för att beskriva en form av verksamhetsutveckling inom den offentliga förvaltningen som innebär att myndigheterna drar nytta av it och kombinerar den nya tekniken med organisatoriska förändringar och satsningar på kompetensutveckling i syfte att förbättra effektiviteten i sina respektive verksamheter. Benämningen e-förvaltning används också för att beskriva statsförvaltningens användning av it för utbyte av information och tjänster med medborgare, företag och andra delar av förvaltningen. E-förvaltning är också en viktig del i den digitala agendans strategiska område 2. tjänster som skapar nytta.
I januari 2008 fastställde regeringen en nationell handlingsplan för den svenska e-förvaltningen (Fi2008/491). I denna anges det övergripande målet för e-förvaltningen vara att arbetet ska leda till att ”det ska vara så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service.” Service till medborgare och företag står i fokus. Det övergripande målet ska uppnås med hjälp av insatser inom följande fyra områden; regelverk för myndighetsövergripande samverkan och informationshantering, tekniska förutsättningar och it-standardisering, gemensamma verksamhetsstöd, kompetensförsörjning och samlad uppföljning samt förvaltningens kontakter med medborgare och företag. Det gemensamma arbetet är inriktat mot tre målbilder; en enklare vardag för företag och privatpersoner, en öppnare och smartare förvaltning som stödjer innovation och delaktighet samt en effektivare offentlig verksamhet (prop. 2011/12:1 Utgiftsområde 22 s. 85). I mars 2009 tillsattes E-delegationen som ett led i genomförandet av handlingsplanen för e-förvaltning.
Den 17 december 2012 presenterade regeringen en ny strategi: ”Med medborgaren i centrum – Regeringens strategi för en digitalt
samverkande statsförvaltning”. I strategin beskrivs regeringens målsättningar för arbetet med att styra och förstärka myndigheternas förmåga att samverka digitalt i förvaltningsgemensamma it-frågor. Den enskilda medborgarens och företagarens behov ska därvid vara i centrum för utvecklingen av framtidens digitala samhällsservice. Fler förvaltningsgemensamma digitala tjänster ska bidra till att förenkla vardagen för privatpersoner och företag. De ska utformas efter användarnas behov, vara enkla och säkra att använda och lätta för medborgare att hitta. Genom att göra det lättare att hitta och använda sådan statlig information som kan vidareutnyttjas och sådana statliga tjänster som har gränssnitt som kan användas av andra system ska innovation stödjas. Publicering av offentlig information via internet och användning av sociala medier ska öka möjligheterna till insyn och delaktighet. Kvaliteten och effektiviteten i statsförvaltningen ska öka genom standardiserad informationshantering, förbättrad informationssäkerhet och digitaliserade processer. En viktig utgångspunkt i all utveckling av statsförvaltningens tjänster är att effektivitet och service alltid måste vägas mot skyddet för den enskildes integritet och behov av sekretesskydd. Målen ska ligga till grund för regeringens koordinering och prioritering av förvaltningsgemensamma utvecklingsprojekt.
2.4. Exempel på olika specifika insatser m.m.
E-delegationen
E-delegationens uppdrag är att samordna myndigheternas it-baserade utvecklingsprojekt och skapa goda möjligheter för myndighetsövergripande samordning. Delegationen koordinerar dessutom vissa it-standardiseringsfrågor samt bistår regeringen i det internationella arbetet på området (dir. 2009:19 och dir. 2010:32). Ledamöterna i delegationen representerar myndigheter som är viktiga aktörer i e-förvaltningsarbetet. Vidare finns bl.a. en arbetsgrupp samt expertgrupper och utskott som bildats kring särskilda frågor. Sammantaget deltar representanter från en mängd olika aktörer i samhället, inte bara från staten, landsting och kommuner utan även från näringsliv, universitet och högskola m.m.
E-delegationen har lämnat förslag till strategi för myndigheternas arbete med e-förvaltningsprojekt i sitt första delbetänk-
ande (SOU 2009:86). Därefter har E-delegationen arbetat mer operativt och har löpande redovisat sitt arbete i hittills ytterligare sex delbetänkanden (SOU 2010:20, SOU 2010:62, SOU 2011:27, SOU 2011:67, SOU 2012:18 och SOU 2012:68). E-delegationen bedriver en omfattande verksamhet och har bl.a. tagit fram olika vägledningar och riktlinjer som ska underlätta för aktörerna i eförvaltningen. Vidare har ett antal förstudier om olika slags förvaltningsgemensamma tjänster bedrivits. Bland dessa kan nämnas Mina meddelanden som förmedlar elektroniska meddelanden mellan aktörer i offentlig förvaltning, privatpersoner och företag. Genomförande och införande pågår med Skatteverket som ansvarig myndighet (5 § förordningen [2003:770] om statliga myndigheters elektroniska informationsutbyte). Andra tjänster som fortfarande är i planerings- eller uppstartsfas är Min ärendeöversikt, Mina fullmakter, Effektiv informationsförsörjning och e-arkiv och e-diarium. Se nyssnämnda delbetänkanden från år 2012 för en beskrivning av de olika tjänsterna m.m. Se även www.edelegationen.se för mer information om E-delegationens verksamhet.
Sammantaget kan sägas om de förvaltningsgemensamma etjänsterna som riktas till allmänheten att utvecklingen av dessa sker i linje med målet för e-förvaltningspolitiken om att det ska vara så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service. För både företagare och privatpersoner finns situationer där ett antal olika delar av förvaltningen är inblandad trots att den enskilde kan se situationen som en enda process. Den organisatoriska och sakliga uppdelningen mellan myndigheter försvårar för den enskilde som måste hålla reda på vilken myndighet som gör vad och medför även en hel del dubbelarbete för såväl den enskilde som myndigheterna. Utvecklandet av e-tjänster i samverkan mellan myndigheter sker därför med ambitionen att möta användarnas behov av sammanhållna processer, se även den ovan nämnda strategin Med medborgaren i centrum – Regeringens strategi för en digitalt samverkande statsförvaltning.
E-delegationen ska slutredovisa sitt arbete senast den 31 december 2014.
E-legitimationsnämnden
En av hörnstenarna för att kunna utveckla en effektiv och framgångsrik e-förvaltning är att det finns väl fungerande tjänster för elektronisk identifiering, signering och validering (e-legitimationer). Med hjälp av en e-legitimation kan en användare av elektroniska tjänster både bevisa sin identitet och med elektronisk signatur bekräfta lämnade uppgifter. E-legitimationsnämnden inrättades den 1 januari 2011 och har till uppgift att stödja och samordna den offentliga sektorns behov av säkra metoder för elektronisk identifiering och signering i förvaltningens e-tjänster.
Utvecklingsmyndigheterna
Regeringen har utsett fyra myndigheter att vara utvecklingsmyndigheter med uppdrag att samordna strategiprocesser inom sina respektive intresse- och målgruppsområden (Regeringsbeslut 2011-03-03 N2011/1368/ITP, Uppdrag att samordna och främja myndigheternas arbete med e-förvaltning.) De fyra myndigheterna (och målgrupperna) är Skatteverket (privatpersoner), Lantmäteriet (geografisk information och fastighetsinformation), Bolagsverket (företag och företagande) samt Transportstyrelsen (fordon och förare). Samtliga myndigheter har pågående projekt inom sina respektive områden (se bl.a. SOU 2012:68 s. 68).
Verksamt.se
Bolagsverket, Skatteverket och Tillväxtverket har i samarbete utvecklat webbplatsen www.verksamt.se som riktar sig till den som driver eller vill starta företag. Utöver vägledande information finns ett antal e-tjänster som ska förenkla för företagare i olika avseenden. Exempelvis kan den enskilde efter inloggning med e-legitimation på Mina sidor registrera nytt företag, ansöka om F-skatt, skapa en affärsplan, ändra företagets uppgifter hos Bolagsverket eller Skatteverket samt avveckla företaget. Tjänsterna är i drift.
Uppgiftslämnarutredningen
Under våren 2012 tillsatte regeringen Uppgiftslämnarutredningen (N 2012:01) som ska utreda och föreslå lösningar som leder till ett minskat och förenklat uppgiftslämnande för företagen. Syftet med utredningen är att företagen som regel bara ska behöva lämna uppgifter till statliga myndigheter en gång och till ett ställe. Uppgiften ska i första hand efterfrågas mellan myndigheterna. På så sätt ska företagens administration minska samtidigt som kvaliteten på informationen och samverkan mellan myndigheterna ökar (dir. 2012:35). Ett delbetänkande med utkast till förslag om hur uppgiftslämnande till statliga myndigheter som regel bara ska göras en gång och till ett ställe samt hur samordningen av detta kan organiseras och finansieras ska lämnas senast den 1 mars 2013. Slutbetänkande ska lämnas den 29 november 2013.
Nationell ehälsa
Nationell eHälsa är en strategi för tillgänglig och säker information inom vård och omsorg. Strategin som antogs år 2010 leds av Socialdepartementet i samarbete med Socialstyrelsen, Sveriges Kommuner och Landsting, Vårdföretagarna samt Famna. Begreppet eHälsa omfattar all användning av it inom vård och omsorg. Exempel är elektroniska patientjournaler, elektroniska recept och webbportaler med hälsoinformation riktad till invånarna. Strategins allmänna inriktning är att reformera och förbättra informationshanteringen inom hälso- och sjukvården och socialtjänsten till gagn för individen, personalen och beslutsfattarna. Ledorden i det pågående arbetet med Nationell eHälsa är införande, användning och nytta. För mer information se www.nationellehalsa.se.
Sveriges Kommuner och Landstings strategi för eSamhället
Styrelsen för Sveriges Kommuner och Landsting (SKL) har i april 2011 beslutat om en strategi för eSamhället som ska stödja utvecklingen av e-förvaltning inom den kommunala sektorn, dvs. kommuner, landsting och regioner. På det kommunala området är gemensamma mål och ökad samverkan central för utvecklingen eftersom många kommuner har begränsade resurser och kompetens att själva driva igenom utvecklingen av e-förvaltningen.
Center för eSamhället (CeSam) är ett programkontor inom SKL som syftar till innovation och verksamhetsutveckling som tar stöd av it. Arbetet bedrivs i nära samarbete med SKL:s övriga verksamhetsdelar inom följande programområden: eHälsa, skola, näringsliv och arbete, samhällsbyggnad, transporter och miljö, kultur och fritid, demokrati och delaktighet samt gemensamma tjänster och funktioner. Målen är att skapa enklare vardag för privatpersoner och företag samt en smartare och öppnare förvaltning som stödjer innovation och delaktighet.
2.5. E-förvaltning inom EU
Även inom EU bedrivs ett aktivt arbete med att främja utvecklingen av informationssamhället inom Europa. Den 29 april 2010 lade Europeiska kommissionen fram en digital agenda för Europa som är ett av sju ”flaggskeppsinitiativ” i EU:s övergripande strategi för tillväxt EU2020. Det huvudsakliga målet med agendan är att utveckla en digital inre marknad för att styra Europa mot en smart och hållbar tillväxt för alla. Utvecklandet av en modern eförvaltning är, precis som på den nationella nivån i Sverige, en viktig del i den digitala agendan.
Den 15 december 2010 lade kommissionen fram en handlingsplan 2011–2015 för e-förvaltning (COM (2010) 743). Syftet med planen är att främja framväxten av en ny generation av öppna, flexibla och samverkande e-förvaltningstjänster för medborgare och företag. Dessa tjänster ska kunna öka medborgarnas och företagarnas egenmakt, öka rörligheten på den inre marknaden på 2000-talet och sörja för att den offentliga sektorn stödjer en ekonomi baserad på framtida nätverk. Handlingsplanen identifierar fyra politiska prioriteringar. Medlemsstater ska använda e-förvaltning för följande ändamål. 1. Öka medborgares och företags egenmakt. 2. Öka rörligheten på den inre marknaden. 3. Öka effektiviteten i offentlig sektor. 4. Skapa nödvändiga möjliggörare och förutsättningar för att detta ska kunna ske.
Utöver här nämnda digital agenda och handlingsplan finns ett antal EU-direktiv och andra rättsakter, ytterligare handlingsplaner eller rekommendationer och pågående projekt och andra samarbeten mellan EU:s medlemsstater som påverkar e-förvaltningen i Sverige.
2.6. Vissa rättsliga frågeställningar som har bäring på e-förvaltningen
2.6.1. Beskrivning av frågeställningarna
Det har i utredningsarbetet framkommit att tillämpningen av 2 kap. tryckfrihetsförordningen i den moderna elektroniska miljön vållar osäkerhet och medför problem inte bara i fråga om överskottsinformation vid direktåtkomst utan även beträffande andra aspekter, framför allt när det gäller frågan om och i så fall när uppgifter får status som allmän handling hos en myndighet som i servicesyfte hanterar uppgifterna elektroniskt.
I avsnitt 5.2 redogör vi tämligen ingående för gällande rätt i fråga om 2 kap. tryckfrihetsförordningen och dess regler om vad som konstituerar elektronisk information till allmän handling hos en myndighet och olika relevanta undantag härifrån. Redan här kan dock påpekas att osäkerheten om vad som generellt följer av tryckfrihetsförordningens tillgänglighetsrekvisit i 2 kap. 3 § andra stycket första meningen TF och dess samordning med inkommanderekvisitet i 6 § första stycket andra meningen samma kapitel och i vilken mån uppgifter får status som allmän handling eller inte kan utgöra en hämmande och försvårande faktor vid utformande av arbetsmetoder för informationsutbyte och samverkan över myndighetsgränser. Det ska samtidigt framhållas att även andra faktorer som t.ex. rörande informationsansvar och finansiering eller samordning av utvecklingsinsatser m.m. vållar problem. Till detta kommer att oklarheter i registerförfattningar och en invecklad sekretessreglering ytterligare ökar komplexiteten. Det finns indikationer på att det har skapats komplicerade och dyrbara tekniska lösningar för att komma runt problem som vållas av den nuvarande regleringen. Detta är givetvis negativt för strävandena när det gäller utvecklandet av en modern e-förvaltning.
E-tjänster finns, som tidigare nämnts, på olika områden inom kommuner, landsting och staten. Syftet är i allmänhet både att ge medborgarna eller näringslivet en ökad service och att öka effektiviteten i förvaltningen. E-tjänster kan exempelvis innebära att enskilda, privatpersoner eller företag, lämnar uppgifter, t.ex. i en elektronisk ansökan, via en myndighets elektroniska portal eller liknande. Den enskilde har därvid ofta möjligheter att i ett serviceläge arbeta med handlingen under en tid innan han eller hon bestämmer sig för att definitivt lämna in den för fortsatt hantering
av myndigheten, exempelvis genom att klicka på en sändikon. I detta initiala läge förekommer även att myndigheten tillhandahåller service genom hjälp för den enskilde ingivaren med att t.ex. upprätta en bygglovsansökan, en elektronisk årsredovisning, göra beräkningar (beräkningsprogram), påpekande av brister i ansökan, möjlighet att kontrollera uppgifter m.m. Tekniskt är upptagningar ofta tillgängliga för den ansvariga myndigheten (i vart fall någon tekniker) även om den enskilde fortfarande arbetar med att upprätta handlingen. Den utgör därmed en inkommen allmän handling hos myndigheten om inget undantag i 2 kap. tryckfrihetsförordningen anses tillämpligt (se Ds 2012:29 s. 52).
Vidare uppfattas det som svårbedömt i vilken mån handlingsbegreppet har betydelse beträffande bl.a. sammanställningar över information, översikter, från flera myndigheter som tillhandahålls enskilda (privatpersoner eller företag) i digitala presentationsvyer. Till denna kategori hör även central förmedling och lagring av meddelanden mellan olika myndigheter och enskilda. Till detta kommer att det är en komplikation vid myndighetssamverkan att det alltid finns någon eller ett fåtal tekniker hos de involverade myndigheterna som av drifts- eller säkerhetsskäl och liknande måste kunna ha tillgång till all information, även andra myndigheters eller enskilda företags eller privatpersoners uppgifter.
Gemensamt för nu angivna ”problemområden” kan sägas vara att det genomgående handlar om information som inte är avsedd att vara eller i vart fall inte ännu bli en del av myndigheternas verksamhetsinformation.
Det kan inte uteslutas att ovan nämnda rättsliga osäkerhet angående konsekvenser av tryckfrihetsförordningens tillgänglighetsrekvisit kan påverka allmänhetens förtroende för och benägenhet att använda e-tjänster. Inte minst torde detta gälla vid planerade e-tjänster inom hälso- och sjukvården där patienter ska kunna kommunicera med vårdansvarig personal m.m.
Inom den kommunala sektorn har det vidare hävdats att tryckfrihetsförordningens myndighetsbegrepp och regleringen i 2 kap. 8 § TF om utväxling av handlingar inom en myndighet försvårar införandet av e-tjänster och samverkan mellan och inom olika nämnder i en kommun. Anledningen till det sägs vara att det framstår som svårt att avgöra t.ex. om och i så fall när olika inrättningar under samma nämnd uppträder som självständiga organ i förhållande till varandra. E-förvaltning inom kommuner leder därmed till särskilda problem när det gäller att avgöra i vilken mån allmänna
handlingar uppkommer på grund av tillgänglighetsrekvisitets tidiga förläggning av tidpunkten för när en handling ska anses inkommen.
Det har också framhållits att otydligheten i begreppet allmän handling leder till att det framstår som särskilt komplicerat att leva upp till kraven på en god offentlighetsstruktur vad gäller registrering, arkivering och gallring då information samlas på gemensamma digitala samverkansplattformar eller i s.k. molntjänster m.m.
2.6.2. Några kommentarer
Som har framhållits när det gäller e-tjänster – t.ex. olika självbetjäningstjänster med kvalificerade stödsystem, servicemässiga tillhandahållanden av olika slags sammanställda översikter eller gemensamma digitala portaler för kommunikation med flera olika myndigheter – kan det rent generellt i informationshanteringens olika skeenden vara svårt att avgöra vilken status, i tryckfrihetsförordningens mening, en upptagning har uppnått. Särskilt gäller detta vid myndighetsövergripande samarbeten hos den myndighet som är central aktör med administrativa eller tekniska uppgifter och som i sin faktiska informationshantering tillhandahåller viss service, sammanställer uppgifter från olika myndigheter, lagrar eller förmedlar information och liknande utan att för egen del ha något intresse av eller för den delen någon befogenhet att i den egna myndighetens verksamhet ta fram eller använda informationen ifråga.
Nu berörda frågeställningar och problem rörande handlingsbegreppet faller emellertid utanför de frågeställningar rörande överskottsinformation vid direktåtkomst som beskrivs i våra direktiv när det gäller uppdraget i fråga om begreppet allmän handling. Frågeställningarna tycks i stället närmast avse huruvida en myndighets faktiska behandling av uppgifter verkligen avser sådan teknisk bearbetning eller lagring som enligt 2 kap. 10 § första stycket TF är undantagen från att vara allmän handling eller sådan postförmedling som avses i 2 kap. 11 § första stycket 1 TF och som utgör ett annat undantag från status som allmän handling.
Därutöver tycks frågeställningarna också röra huruvida vid vissa tillfällen gjorda sammanställningar i sig blir upprättade allmänna handlingar enligt 2 kap. 7 § TF hos en myndighet med centrala funktioner för en e-tjänst eller digital portal av något slag.
En särskild fråga är också om 2 kap. 10 § TF är lämpligt utformad såvitt avser myndighetsövergripande samarbeten där enstaka tekniker har en vidsträckt tillgång till information, en tillgång som ibland kan vara svår att hävda att den ”endast” sker ”för annans räkning”, såsom föreskrivs i paragrafens första stycke och som krävs för att undantaget från allmän handling avseende teknisk bearbetning och lagring ska bli tillämpligt.
De särskilda problemen när det gäller e-förvaltningen hos kommuner vid elektroniskt informationsflöde mellan och inom kommunala nämnder i samma kommun väcker frågeställningar beträffande bl.a. 2 kap. 8 § TF om utväxling av handlingar inom en myndighet i kombination med den tidigt förlagda tidpunkt då handlingar anses vara inkomna på grund av tillgänglighetsrekvisitet i 2 kap. tryckfrihetsförordningen.
Vårt uppdrag när det gäller definitionen av allmän handling är emellertid, som redan har framhållits i avsnitt 1.3, tämligen snävt avgränsat. Det gäller enbart den specifika frågan om överskottsinformation vid direktåtkomst. Vi kommer därför inte att vidare i detta betänkande penetrera de ytterligare frågeställningar om tryckfrihetsförordningens tillämpning som nämnts ovan.
3. Rättslig reglering till skydd för personuppgifter
3.1. Inledning
Varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet personlig integritet. Den personliga integriteten har uppmärksammats i flera statliga utredningar och varit föremål för analys i många sammanhang. Integritetsskyddskommittén har framhållit att det är svårt för att inte säga omöjligt att komma fram till en entydig och allmänt accepterad definition av begreppet personlig integritet (SOU 2007:22 s. 52). Kommittén påpekade att utformandet av integritetsskyddet i praktiken inte heller synes ha tagit utgångspunkt i en viss definition av begreppet integritet, utan arbetet har varit inriktat på att från fall till fall förbjuda sådana företeelser som inte ansetts försvarbara med hänsyn till dels skadan för den personliga integriteten, dels den skada som ett upprätthållande av integriteten skulle åsamka andra beaktansvärda intressen. I rättsordningen har med andra ord den faktiska omfattningen av den skyddade personliga integriteten kommit att bestämmas inte genom sofistikerade definitioner utan genom summan av ett stort antal skyddsregler av mycket varierande slag (a. a. s. 52). I syfte att skydda den personliga integriteten har det såväl i internationella sammanhang som i nationell lagstiftning utarbetats regler om behandling av personuppgifter.
3.2. Internationella åtaganden avseende persondataskyddet
3.2.1. Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna m.m.
Förenta nationernas (FN) generalförsamling antog år 1948 en universell deklaration om de mänskliga rättigheterna – Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna. Deklarationen är inte formellt bindande för medlemsstaterna, men har betydelse som ett uttryck för vad den internationella opinionen kräver. I artikel 12 sägs att ingen ”må utsättas för godtyckliga ingripanden i fråga om privatliv, familj, hem eller korrespondens, ej heller angrepp på heder och anseende” samt att envar ”har rätt till lagens skydd mot sådana ingripanden eller angrepp”. Vidare sägs i artikel 29 att endast sådana inskränkningar i de i deklarationen angivna fri- och rättigheterna är tillåtna som fastställts i lag ”i uteslutande syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose det demokratiska samhällets rättmätiga krav på moral, allmän ordning och allmän välfärd”.
Inom FN har också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av generalförsamlingen år 1966. Sverige anslöt sig till konventionen år 1971, varefter konventionen trädde i kraft år 1976. I konventionen behandlas vad som hör till skyddet för den personliga integriteten främst i artikel 17. Enligt denna artikels punkt 1 bör ingen ”utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens, ej heller för olagliga angrepp på sin heder och sitt anseende”. Vidare sägs i punkt 2 att envar ”har rätt till lagens skydd mot sådana ingripanden eller angrepp”. De stater som har tillträtt konventionen åläggs således vissa skyldigheter. Ett särskilt inrättat organ benämnt Kommittén för de mänskliga rättigheterna (Human Rights Committee) övervakar att de till konventionen anslutna staterna efterlever sina skyldigheter. Förenta nationernas generalförsamling antog även år 1990 riktlinjer om datoriserade register med personuppgifter.
3.2.2. Europakonventionen
Den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är från och med den 1 januari 1995 inkorporerad i svensk rätt och gäller här i landet som lag (prop. 1993/94:117, 1993/94:KU24). Den har alltså inte getts ställning som grundlag. I 2 kap. 19 § RF har emellertid införts en bestämmelse om att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.
Av betydelse för skyddet för den personliga integriteten är framför allt artikel 8 i konventionen. I artikel 8 stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Primärt innebär artikel 8 att staten ska avhålla sig från ingrepp i den skyddade rättigheten. Artikeln innebär även en skyldighet för staten att vidta positiva åtgärder för att skydda den enskildes privatsfär. Sådana positiva åtgärder kan utgöras av lagstiftning, men också ha till ändamål att på annat sätt tillförsäkra medborgarna skydd mot övergrepp i särskilda situationer (Hans Danelius, Mänskliga rättigheter i europeisk praxis, 2012, s. 347). I sin praxis har Europadomstolen också framhållit att kravet på att ingreppet ska vara nödvändigt inte är synonymt med ”oundgängligt”. Vad som krävs är däremot att det finns ett ”angeläget samhälleligt behov”. Inskränkningen i den grundläggande rättigheten måste vidare stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Varje konventionsstat har själv en viss frihet att avgöra om en inskränkning är nödvändig. Europadomstolen förbehåller sig dock rätten att övervaka om denna frihet utnyttjas på ett rimligt sätt.
EU-domstolen har ansett att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av det s.k. dataskyddsdirek-
tivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter1.
3.2.3. Europarådets Dataskyddskonvention
Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen (se prop. 1981/82:189). Konventionen trädde i kraft den 1 oktober 1985. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. I konventionen anges krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får undergå automatisk databehandling om inte den nationella lagen ger ett ändamålsenligt skydd, samt att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse. Inom Europarådet pågår en översyn av denna konvention. Inom Europarådet har vidare utarbetats ett flertal rekommendationer på dataskyddsområdet.
1 EU-domstolens dom den 20 maj 2003 i mål nr C-465/00, C-138 och 139/01, Österreichischer Rundfunk m.fl.
3.2.4. Riktlinjer från OECD
Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna2. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa denna. Riktlinjerna är tillämpliga på personuppgifter inom både den offentliga och privata sektorn. De gäller både för uppgifter som lagras automatiskt och som förs manuellt. Syftet med riktlinjerna är att undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av de sammanhang i vilka de används. OECD:s rekommendation finns i sin helhet återgiven i Datalagskommitténs betänkande SOU 1997:39 s. 168. Där finns också en samlad redovisning av OECD:s riktlinjers innehåll (s. 170–172). Se även redovisningen i SOU 2004:6 s. 41–44.
3.2.5. Europeiska unionens stadga om de grundläggande rättigheterna
Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, numera är rättsligt bindande. En referens till stadgan har införts i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58). I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.
I stadgans artikel 7 föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 föreskrivs vidare att var och en har rätt till skydd av de
2 OECD grundades år 1960 och är ett samarbetsorgan för 34 länders regeringar.
personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
Stadgan riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten (artikel 51).
När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.
3.2.6. Dataskyddsdirektivet m.m.
Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte för sådan behandling av personuppgifter som faller utanför unionsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar alltså inte statens behandling av personuppgifter i brottsbekämpande verksamhet.
Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör alltså inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling,
utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Direktivet omfattar inte behandling av personuppgifter för privat bruk.
Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.
Personuppgifter får enligt direktivet behandlas bara i vissa fall. Personuppgifter får bl.a. behandlas om den registrerade otvetydigt har lämnat sitt samtycke, om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna väger tyngre än den registrerades intresse av att de inte behandlas.
Vissa särskilda i direktivet angivna kategorier av uppgifter får som huvudregel inte behandlas. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I direktivet görs dock undantag från denna regel i vissa särskilt angivna situationer, bl.a. med uttryckligt samtycke från den registrerade.
Dataskyddsdirektivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige dock inte lämna någon information, om den registrerade redan känner till informationen eller om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Direktivet innehåller även regler om säkerhet vid behandlingen.
På EU-nivå finns även kompletterande rättsakter till dataskyddsdirektivet, bl.a. det s.k. dataskyddsrambeslutet3med särskilda regler om skydd för personuppgifter i frågor som rör polisiärt och straffrättsligt samarbete.
Den 25 januari 2012 presenterade Europeiska kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär att dataskyddsdirektivet ska ersättas av en ny allmän dataskyddsförordning. I reformen ingår också förslag till direktiv som ska ersätta dataskyddsrambeslutet. Det huvudsakliga syftet med kommissionens förslag är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Eftersom regleringen föreslås få formen av en förordning och en sådan är direkt tillämplig i medlemsstaterna kommer regleringen, om förslaget genomförs, att ersätta dataskyddsdirektivet och därigenom också personuppgiftslagen (1998:204). Förslaget till förordning lämnar dock ett visst utrymme för att behålla registerförfattningar på vissa områden4.
3.3. Regeringsformen
Grundläggande bestämmelser om skydd för den personliga integriteten finns i regeringsformen. I målsättningsstadgandet i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. I 2 kap. 4 och 5 §§ finns bestämmelser om absolut skydd mot allvarliga fysiska integritetsintrång bl.a. döds- och kroppsstraff. Enligt 6 § samma kapitel är var och en därutöver skyddad gentemot det allmänna mot påtvingande kroppsliga ingrepp.
Den 1 januari 2011 trädde en ny bestämmelse, 2 kap. 6 § andra stycket RF, i kraft (prop. 2009/10:80, 2009/10KU19 och 2010/11:KU4). Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen innebär alltså att enskilda är skyddade mot åtgärder från det all-
3 Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. 4 Regeringskansliets Faktapromemoria 2011/12:FPM117 s. 1.
männas sida men träffar inte åtgärder som en enskild vidtar i förhållande till en annan enskild. Bakgrunden till bestämmelsen är att det ansågs finnas vissa brister i lagstiftning som innefattade intrång i den enskildes personliga integritet. Dessa brister bestod i att de avvägningar mellan olika motstående intressen som normalt ska göras i lagstiftningsärenden i vissa fall var bristfälligt redovisade och att det i första hand var de negativa effekterna av olika integritetsbegränsande åtgärder som var knapphändigt belysta (prop. 2009/10:80 s. 175 f.). Av bl.a. dessa skäl ansågs det därför finnas ett behov av att stärka skyddet av den personliga integriteten i grundlag. Det stärkta grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som anges 2 kap. 21–22 §§ RF.
3.4. Personuppgiftslagen
Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Både den tidigare datalagen (1973:289)och den nu gällande personuppgiftslagen utgör en generellt tillämplig skyddsreglering som gäller både för myndigheter och enskilda som behandlar personuppgifter. Rent privat behandling av personuppgifter har traditionellt varit undantagen denna skyddslagstiftning.
Personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning (2 §). Vid lagens införande anfördes att det traditionella svenska systemet med särregler i särskilda författningar var att föredra framför generella undantag från den nya lagen (prop. 1997/98:44 s. 41).
Personuppgiftslagen, som i huvudsak följer dataskyddsdirektivets text och disposition, omfattar all helt eller delvis automatiserad behandling av personuppgifter (5 § första stycket). Lagen är teknikoberoende i den meningen att den i fråga om automatiserad behandling inte begränsas till dataregister. All automatiserad behandling omfattas, alltså även personuppgifter som framgår av bilder och ljud. Begreppet register saknar vidare betydelse för lagens tillämpning på behandling utan det avgörande är att personuppgifterna är föremål för automatiserad behandling, inte om de är ordnade i ett register eller inte. Det är vidare tillräckligt att
behandlingen av personuppgifter delvis är automatiserad för att den ska falla under lagens bestämmelser. Om uppgifter samlas in manuellt och sedan behandlas automatiserat är även insamlandet en sorts behandling som omfattas av lagen. På samma sätt faller ett utlämnande genom manuella utskrifter från ett automatiserat register under lagens bestämmelser. Personuppgiftslagen gäller även för manuella register med personuppgifter som är strukturerade eller ordnade så att de är sökbara på person (5 § andra stycket).
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Begreppet behandling av personuppgift är ett vitt begrepp och omfattar varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte. Exempel på behandling av personuppgifter är insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (3 §).
Det finns några viktiga undantag från personuppgiftslagens tillämpningsområde. Lagen gäller t.ex. inte vid behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Bestämmelserna i lagen tillämpas inte heller i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet (7 § första stycket). I princip ska inte heller personuppgiftslagens bestämmelser tillämpas för journalistisk, konstnärlig eller litterär verksamhet (7 § andra stycket). Vidare anges i personuppgiftslagen att lagen inte gäller i den mån det skulle inskränka offentlighetsprincipen (8 § första stycket)5.
Behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökningen efter eller sammanställningen av personuppgifter omfattas inte av flertalet av de hanteringsregler som anges i personuppgiftslagen. Det som i stället avgör om en sådan behandling är tillåten eller inte är om behandlingen innebär en kränkning av den registrerades personliga integritet – en s.k. missbruksmodell ska tillämpas (5 a §).
5 En närmare redogörelse för den diskussion om förhållandet mellan personuppgiftslagen och offentlighetsprincipen som förekom vid lagens införande finns i E-offentlighetskommitténs slutbetänkande Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4 s. 119 f).
I 9 § ges vissa grundläggande krav på all behandling av personuppgifter som omfattas av lagen. Den personuppgiftsansvarige, vilket oftast är den organisation där personuppgifterna behandlas, ska se till att personuppgifter behandlas bara om det är lagligt samt att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed. Vidare ska personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Den personuppgiftsansvarige ska definiera avsikten med insamlingen och användningen av personuppgifterna på ett så precist sätt som möjligt. Personuppgifterna får inte sedan behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen). Det sistnämnda kan bli aktuellt att pröva när personuppgifter lämnas ut till tredje man. Ett sådant utlämnande får alltså inte vara oförenligt med det ändamål för vilket uppgifterna ursprungligen samlades in.
Om personuppgifter lämnas ut i form av allmänna handlingar med stöd av bestämmelserna i 2 kap. tryckfrihetsförordningen blir en sådan prövning dock inte aktuell.
De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Med detta krav avses att personuppgifterna ska vara av sådant slag att de hör till saken (relevanta) och är ägnade att uppnå det mål man har med behandlingen (adekvata). Inte heller får fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därutöver ska de uppgifter som behandlas vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte heller bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Varje behandling av personuppgifter måste kunna hänföras till någon av de situationer som anges i personuppgiftslagens regler om när behandling av personuppgifter är tillåten. Av 10 § följer att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, den personuppgiftsansvarige ska kunna fullgöra en rättsligskyldighet, vitala intressen för den registrerade ska kunna
skyddas, en arbetsuppgift av allmänt intresse ska kunna utföras, den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Enligt 11 § får inte personuppgifter behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Inte heller får personuppgifter behandlas i de fall där behandling bara är tillåten när den registrerade har lämnat sitt samtycke och han eller hon har återkallat detta (12 §). Utöver vad som följer av 11–12 §§ har den enskilde ingen rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen.
Enligt 13 § är det generellt sett förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses sådana personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening eller som rör hälsa eller sexualliv. Från förbudet att behandla känsliga personuppgifter finns, utöver när den registrerade har lämnat sitt samtycke (15 §), vissa undantag (16–20 §§).
Särskilda bestämmelser om uppgifter om lagöverträdelser och behandling av personnummer finns i 21 och 22 §§.
Bestämmelser om i vilka fall information om behandling av personuppgifter ska lämnas till den enskilde finns i 23–29 §§ och föreskrifter om säkerheten vid behandling av personuppgifter finns i 30–32 §§.
Enligt 33 § är det förbjudet att till tredje land, dvs. ett land utanför EU eller ESS, föra över personuppgifter som är under behandling, om landet inte har en adekvat nivå för skydd av personuppgifter. Förbudet gäller i princip alla slag av personuppgifter och är alltså inte begränsat till exempelvis kategorierna känsliga personuppgifter eller uppgifter om lagöverträdelser. Trots förbudet i 33 § är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredje land men det förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den
registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. Regeringen får meddela föreskrifter om ytterligare undantag från förbudet mot överföring (35 §).
Vidare finns det bl.a. bestämmelser om anmälan till tillsynsmyndigheten, skadestånd och straff.
I offentlighets- och sekretesslagen finns bl.a. bestämmelser om sekretess till skydd för uppgift om enskilds personliga eller ekonomiska förhållanden. I 21 kap. 7 § OSL finns ett allmänt sekretesskydd för personuppgifter. Enligt bestämmelsen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Bestämmelsen tar inte sikte på uppgifterna som sådana utan på vad sökanden tänker göra med dem. Bestämmelsen avser alltså att ge ett skydd mot otillåten behandling av personuppgifter. Bestämmelsen är tillämplig på alla utlämnanden som innefattar personuppgifter men den risk för skada som anges i bestämmelsen aktualiseras främst vid utlämnanden av en större mängd uppgifter i form av massuttag. Också ett utlämnande av selekterade uppgifter, t.ex. uppgifter om personer med viss inkomst eller med viss politisk tillhörighet, kan indikera risk för den skada som anges i bestämmelsen.
3.5. Registerförfattningar
Registerförfattningarna har till huvudsakligt syfte att reglera inrättandet och användningen av viktigare register eller andra personuppgiftssamlingar inom den offentliga sektorn. Den bakomliggande tanken är att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt genom lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11, se även prop. 1997/98:44 s. 41).
Registerförfattningarna reglerar myndigheternas behandling av personuppgifter och är tänkta att ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter då behov finns att avvika från eller komplettera det integritetsskydd som personuppgiftslagen annars ger.
Alltsedan 1960-talet har myndigheternas hantering av särskilt integritetskänsliga eller kontroversiella dataregister reglerats genom lag eller förordning. Exempel på detta är den särskilda reglering
som sedan länge funnits kring det statliga person- och adressregistret, SPAR, samt register hos domstolar och hos polisen. Den största andelen registerförfattningar härstammar dock från 1990- talet och framåt. Vissa författningar har enbart bestämmelser om myndigheters informationsbehandling. Andra författningar har en del bestämmelser om informationsbehandling, men också om annat. Ytterligare en grupp författningar handlar i huvudsak om något annat, men har någon enstaka inskjuten regel om hantering av information.
En utgångspunkt vid utarbetandet av registerförfattningar är att regleringen så långt som möjligt ska vara i överensstämmelse med personuppgiftslagen och därmed med dataskyddsdirektivets materiella bestämmelser samt att behovet av särregler i förhållande till personuppgiftslagen bör övervägas noga (prop. 1997/98:44 s. 41 och Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 694 f.).
En omständighet som kan tala för en särreglering i förhållande till personuppgiftslagen är att en särskild författning under vissa förutsättningar anses innebära en bättre garanti för utformningen av integritetsskyddet vad gäller särskilt känsliga register eller andra personuppgiftssamlingar.
Exempel på fall då en särskild författningsreglering i form av en registerförfattning kan anses motiverad är vidare när en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, när personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen, när personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser, när det finns anledning att begränsa möjligheterna till behandling av uppgifter av integritetsskäl i fråga om myndigheters registrering och åtkomst till stora och känsliga uppgiftsmängder, eller när det finns anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.
4. Elektroniskt informationsutbyte mellan myndigheter m.m.
4.1. Elektroniskt informationsutbyte
I takt med att tekniken för att dels hantera information automatiserat inom den egna myndigheten, dels elektroniskt överföra information mellan myndigheter har blivit mer avancerad och förfinad har den automatiserade informationshanteringen blivit mer regel än undantag. Utvecklingen har gått från manuella utlämnanden av information mellan myndigheter, t.ex. genom brev- eller telefonförfrågningar, till elektroniska former av informationsutbyten, t.ex. via e-post, elektronisk åtkomst till varandras informationssamlingar m.m. Varje statlig myndighet har ett krav på sig att i sin verksamhet främja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte i den offentliga förvaltningen (2 § förordningen [2003:770] om statliga myndigheters elektroniska informationsutbyte).
I offentlighets- och sekretesslagstiftningskommitténs delbetänkande Data och Integritet (SOU 1972:47) beskrevs möjligheten att utbyta information mellan datorer år 1972 som att det var tekniskt möjligt att koppla samman datamaskiner med hjälp av tele- och radioteknik (a.a. s. 38). Enligt kommittén var denna form av samkörning relativt oprövad i Sverige. Någon särskild reglering av utlämnande med hjälp av ADB-teknik fanns inte. I datalagen, som trädde i kraft 1973 och som sedermera ersattes av personuppgiftslagen, uppställdes krav om tillstånd för register som skulle innehålla personuppgifter som inhämtats från något annat personregister. Det innebar att det normalt uppställdes krav på tillstånd från Datainspektionen för s.k. samkörningar. Med begreppet samkörning avsågs maskinell bearbetning av uppgifter i ett personregister tillsammans med uppgifter i ett annat personregister hos den registeransvarige eller annan registeransvarig. Även annan direkt överföring
av uppgifter från ett personregister till ett annat innefattades i begreppet (prop. 1981/82:189 s. 53).
Att en eller flera myndigheter har elektronisk åtkomst till varandras register, databaser eller informationssamlingar är idag en integrerad del i informationsutbytet mellan myndigheter.
Formerna eller sätten för elektroniskt informationsutbyte mellan myndigheter kan se olika ut. Vanliga begrepp som används i registerförfattningar är direktåtkomst och utlämnande på medium för automatiserad behandling. Innebörden av dessa begrepp behandlar vi närmare i kapitel 9. Vissa elektroniska informationsutbyten är alltså reglerade i författning medan andra inte är det. Författningar som styr det elektroniska informationsutbytet mellan myndigheter är främst offentlighets- och sekretesslagen samt dataskyddsregleringar, t.ex. personuppgiftslagen eller registerförfattningar. De uppgifter som utbyts elektroniskt mellan myndigheterna kan avse såväl offentliga som sekretessreglerade uppgifter.
Det är inte bara inom och mellan myndigheter som informationstekniken haft betydelse för sättet eller formen att utbyta information. Tekniken har även fått betydelse i kommunikationen mellan myndigheter och enskilda. Idag är det inte bara myndigheter som har åtkomst till varandras informationssamlingar utan numera tillhandahåller myndigheter e-tjänster som en serviceåtgärd till enskilda innebärande bl.a. att enskilda i vissa fall kan ha åtkomst till uppgifter om sig själva som finns lagrade hos en myndighet.
4.2. Elektroniskt informationsutbyte mellan myndigheter – några exempel
Att en myndighet har elektronisk åtkomst till en annan myndighets register, databas eller informationssamlingar är alltså numera en naturlig del i en myndigheternas verksamhet. Ett exempel på ett register som ett stort antal myndigheter men även företag och andra enskilda har direktåtkomst till är det statliga personadressregistret, SPAR1. Det är ett offentligt register som omfattar alla personer som är folkbokförda i Sverige. I registret ingår även personer som fått samordningsnummer och vars identitet är fastställd. Uppgifterna i SPAR uppdateras varje dygn med uppgifter från folkbokföringsregistret. För att få ta del av folkbokföringsuppgifter i SPAR finns
1 Lag (1998:527) om det statliga personadressregistret.
olika behörighetsnivåer. Grundbehörigheten ger tillgång till aktuella uppgifter om namn, person- eller samordningsnummer, födelsetid, adress och folkbokföringsort. I denna behörighet ingår även att kunna ta del av förekommande historikuppgifter, maximalt tre år bakåt i tiden. Kreditupplysningsföretag, banker, myndigheter med flera kan ges tillgång till ytterligare vissa folkbokföringsuppgifter i SPAR, medan endast Polisen och Tullverket har tillgång till samtliga uppgifter i registret.
Skatteverkets beskattningsdatabas2är ett annat exempel på en databas som omfattar uppgifter om ett stort antal personer och som används inte bara av Skatteverket utan även andra myndigheter får ha direktåtkomst till databasen. Kronofogdemyndigheten får t.ex. ha tillgång till databasen för att kunna ta fram vissa angivna uppgifter i ett pågående skuldsaneringsärende. Även Tullverket och socialnämnder får under vissa i lag angivna förutsättningar ha direktåtkomst till databasen.
Ett annat exempel på en databas som innehåller uppgifter om många individer är socialförsäkringsdatabasen3. Myndigheter som får ha direktåtkomst till databasen under vissa i lag angivna förutsättningar är bl.a. Centrala studiestödsnämnden, arbetslöshetskassor och socialnämnder.
Det finns även s.k. myndighetsgemensamma databaser som flera myndigheter såväl har tillgång till som möjlighet att komplettera med egna uppgifter. Ett exempel är regleringen om sammanhållen journalföring i patientdatalagen (2008:355). Regleringen innebär en möjlighet för vårdgivare, även privata sådana, att både ge och få elektronisk tillgång till uppgifter om patienter som finns hos annan vårdgivare, dvs. uppgifter som finns i varandras journalhandlingar eller i annan vårddokumentation.
Elektroniskt informationsutbyte mellan vissa utpekade myndigheter har berörts i olika lagstiftningsärenden, t.ex. beträffande informationsutbyte mellan myndigheter med ansvar för trygghetssystemen (prop. 2007/08:160). Här kan även nämnas att rättsväsendet sedan 1996 har ett uppdrag att införa ett elektroniskt informationsflöde i brottmålsprocessen. Idag är det elva myndigheter som har regeringens uppdrag att verkställa strategin för samordning av rättsväsendets informationsförsörjning (RIF) – Rikspolisstyrelsen, Åklagarmyndigheten, Domstolsverket, Kriminalvården, Ekobrottsmyndigheten, Skatteverket, Brottsförebyggande rådet, Tullverket,
2 Lag (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. 3114 kap. socialförsäkringsbalken.
Kustbevakningen, Rättsmedicinalverket och Brottsoffermyndigheten4.
4.3. Elektroniskt informationsutbyte inom EU
Det elektroniska informationsutbytet är inte nationellt begränsat utan förekommer även inom EU och mellan medlemsstaterna i EU. Inom ramen för EU-samarbetet har flera rambeslut och rådsbeslut som rör informationsutbyte förhandlats och antagits under de senaste åren. Ett exempel är rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, det s.k. Prümrådsbeslutet. Det är ett system med automatiskt utbyte mellan EU-ländernas brottsbekämpande myndigheter av DNAprofiler och fingeravtrycks- och fordonsregistreringsuppgifter i brottsutredningssyfte. Författningsändringar som möjliggör sådant uppgiftsutbyte har genomförts i svensk rätt.
Ett annat exempel är att EU medlemsstaterna genom Europaparlamentets och rådets direktiv 2011/82/EU av den 25 oktober 2011 om underlättande av ett gränsöverskridande informationsutbyte om trafiksäkerhetsrelaterade brott kommit överens om att ge varandra direktåtkomst till sina vägtrafikregister i syfte att förbättra trafiksäkerheten.
4 Regeringsbeslut 1996-11-21 dnr JU96/3163, 050421 Ju2004/11719/PO 021221 dnr JU2006/10392/PO.
NÄRMARE OM DELBETÄNKANDETS FRÅGESTÄLLNINGAR
5. Överskottsinformation vid direktåtkomst – gällande rätt beträffande handlingsoffentlighet m.m.
5.1. Inledning
Vi ska enligt våra direktiv överväga om begreppet ”allmän handling” i tryckfrihetsförordningen är lämpligt utformat när det gäller sådan överskottsinformation som en myndighet har teknisk tillgång till genom s.k. direktåtkomst hos en annan myndighet eller genom liknande former av elektroniskt utlämnande. Anser vi att definitionen bör ändras i nu aktuellt hänseende, ska vi lämna förslag till ändring av denna.
Detta kapitel innehåller en redogörelse för relevant lagstiftning i tryckfrihetsförordningen m.m. som är av särskild betydelse för frågan om handlingsoffentligheten vid myndigheters elektroniska tillgång till andra myndigheters elektroniskt lagrade information. Redogörelsen har viss bäring även på frågorna om begreppet direktåtkomst samt åtskillnaden mellan direktåtkomst och andra former av elektroniskt utlämnande som vi behandlar mer ingående i kapitel 9. Redan här kan påtalas att i det följande används ibland ordet ”elektroniskt” och ibland begreppet ”automatiserad behandling” utan någon avsedd betydelseskillnad.
I kapitlet lämnas i avsnitt 5.2 en översiktlig redogörelse för tryckfrihetsförordningens regler om upptagningar som allmänna handlingar och tillgång till andra myndigheters upptagningar. Utlämnandefrågor behandlas i avsnitt 5.3. Därefter behandlas i avsnitt 5.4 särskilt betydelsefulla bestämmelser i annan lagstiftning, såsom offentlighets- och sekretesslagen och arkivlagen (1990:782) samt i avsnitt 5.5 sekretessregleringen vid direktåtkomst.
Frågan om handlingsoffentlighet och myndigheters yttre gränser vid myndighetsöverskridande elektronisk informationshantering har behandlats i ett antal tidigare lagstiftningsärenden. En redogörelse för de mera centrala förarbetsuttalandena ges i den återstående delen av detta kapitel. I avsnitt 5.6 redogörs kortfattat för handlingsoffentlighetens syften och det reformarbete på tryckfrihetsförordningens område som genererats av utvecklingen mot en ständigt ökad och förändrad elektronisk informationshantering inom den offentliga förvaltningen. Vidare berörs i avsnitt 5.7 den för handlingsoffentligheten viktiga s.k. likställighetsprincipen som aktualiserats i samband med att utvecklingen av modern informationsteknik genererat frågeställningar i olika avseenden om handlingsoffentlighetens räckvidd och tillämpning på elektroniska upptagningar. I avsnitt 5.8 redogörs för några utredningsförslag och lagstiftningsprojekt där frågan om offentlighetsprincipens myndighetsövergripande räckvidd diskuterats. Slutligen i avsnitt 5.9 behandlas ett par lagstiftningsärenden där frågan om handlingsoffentlighet vid en myndighets direktåtkomst till annan myndighets informationssamlingar har diskuterats samt redovisas ett förslag från E-delegationen om rutinmässig hantering av elektroniskt utlämnande mellan myndigheter på ett sådant sätt att handlingsoffentlighetens räckvidd begränsas.
5.2. Allmänt om elektroniska upptagningar som allmänna handlingar
5.2.1. Om upptagningar och handlingsbegreppet
5.2.1.1 Allmänt om handlingsbegreppet
Begreppet handling definieras i 2 kap. 3 § första stycket TF.
Med handling avses framställningar i skrift eller bild, som kan uppfattas visuellt utan tekniskt hjälpmedel, s.k. konventionella handlingar. Det kan röra sig om skrivelser, tabeller, blanketter och protokoll men även om kartor, ritningar och bilder på papper eller på annat material som är direkt uppfattbart.
Handlingsbegreppet omfattar även upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En upptagning är alltså en handling där informationen inte kan uppfattas eller förstås utan tekniskt hjälpmedel. Exempel på upptagningar är datorlagrad information samt uppgifter på t.ex.
usb-minne, dvd-skivor eller magnetband men även icke elektroniska lagringsmedia omfattas, exempelvis vinylskivor. Det är dock inte usb-minnet, skivan, magnetbandet eller någon annan fysisk bärare av informationen som utgör handlingen i rättslig bemärkelse. Det är i stället de lagrade uppgifterna (informationsinnehållet) som konstituerar en handling.
5.2.1.2 ”Upptagningar för automatiserad behandling” –
handlingar i elektronisk miljö
En speciell sorts upptagning är vad som i lagtexten benämns som ”upptagning för automatiserad behandling”. Tidigare användes såväl i lagtext som i förarbeten begreppet ”upptagning för automatisk databehandling” (ADB). Någon skillnad i sak mellan de båda begreppen föreligger dock inte (se prop. 2001/02:70 s. 23). Med upptagning för automatiserad behandling avses uppgift som är fixerad på någon form av datamedium och som antingen finns i eller kan matas in i en dator (Bohlin, Offentlighetsprincipen, 8 uppl. 2010, s. 45). En upptagning för automatiserad behandling kan bestå av allt från enstaka uppgifter till mycket stora informationssamlingar. Varje konstellation av sakligt sammanhängande uppgifter ses som en upptagning för sig och det spelar en underordnad roll om information utgör urval ur en större datamängd, t.ex. en sammanställning av data från skilda register, eller är ett resultat av en annan bearbetning (se prop. 1975/76:160 s. 90).
I den elektroniska informationsbehandlingsmiljön finns inget absolut samband mellan informationsinnehållet och bestämda fysiska lagringsmedier. Handlingar i elektronisk form ser inte likadana ut i lagrad respektive läsbar form. Som Offentlighets- och sekretesskommittén (OSEK) påpekade i sitt betänkande Offentlighetsprincipen och den nya tekniken (SOU 2001:3 s. 114 f.) är en offentlighetsinsyn baserad på handlingar i elektronisk miljö fullt möjlig eftersom beskrivningen av en handling tar sikte på originalinnehållet. Något krav på ett fysiskt föremål att knyta insynsrätten till uppställs inte i 2 kap. tryckfrihetsförordningen utan det är tillräckligt att det är frågan om ”en form för att lagra och bevara upplysningar” (s. 115 och 117). Även om handlingsbegreppet i 2 kap. tryckfrihetsförordningen kommit att kritiseras genom åren i takt med den offentliga verksamhetens datorisering har dock begreppet behållits (se prop. 2001/02:70 s. 13 f.).
I den elektroniska miljön blir därmed snarast logisk i stället för fysisk uppdelning av informationen avgörande. Exempelvis kan ett dagboksblad i den elektroniska miljön ställas samman genom att uppgifter hämtas från olika håll i datasystemet och presenteras på skärmen eller i utskrift. Det förhållandet att det i it-sammanhang råder ett logiskt handlingsbegrepp medför att begreppet handling kan få en mycket varierande innebörd. En handling i form av en upptagning för automatiserad behandling kan, som påpekats tidigare, bestå av endast några få uppgifter eller av ett mycket stort antal uppgifter inhämtade från olika håll i systemet. Det finns emellertid också handlingar i form av upptagningar som i hög grad liknar konventionella handlingar genom att de har ett fixerat informationsinnehåll som kan återskapas gång på gång. Detta har medfört att man numera sorterar in upptagningar för automatiserad behandling i två olika rättsliga handlingsslag eller begrepp, potentiella handlingar och färdiga elektroniska handlingar. Någon legaldefinition av de båda handlingsslagen finns dock inte och avgränsningen mellan dem kan i praktiken vara ganska svår att göra. Åtskillnaden mellan handlingsslagen kan emellertid ha betydelse för frågan om en upptagning är allmän handling eller inte, se nedan i avsnitt 5.2.2.
5.2.1.3 Potentiell handling
Den omständigheten att en sammanställning av uppgifter inte behöver existera på förhand för att kunna tillhandahållas som allmän handling, har gett upphov till begreppet ”potentiell handling”. Alltsedan 1970-talet har det enligt praxis förelegat en skyldighet för myndigheter att använda sitt befintliga datasystem för att ta fram begärda uppgifter, oavsett om framtagningen av efterfrågade uppgifter innefattar en bearbetning eller en särskild sammanställning av information. Varje tänkbar sammanställning av uppgifter ur en eller flera upptagningar kan således utgöra en handling, en potentiell handling, trots att den vid en viss tidpunkt, t.ex. då en sökande med stöd av 2 kap. tryckfrihetsförordningen begär att få del av sammanställningen, inte existerar i sammanställd form. För skyldigheten att lämna ut informationen och för handlingsbegreppet som sådant saknar det betydelse om myndigheten faktiskt själv har tagit fram uppgifterna eller inte. Inte heller spelar det någon roll om myndigheten har anledning att ta fram en viss sammanställning av uppgifter för att använda i sin egen verksamhet. I
avsnitt 5.2.2.1 finns en redogörelse för bl.a. vissa begränsningar när det gäller vilka potentiella handlingar som också utgör allmänna handlingar.
5.2.1.4 Färdig elektronisk handling
När myndigheter ursprungligen började använda sig av datalagrat material handlade det i rättslig mening enbart om potentiella handlingar, dvs. möjliga sammanställningar av uppgifter ur stora databaserade register. I förarbetena till 2002 års ändringar i 2 kap. tryckfrihetsförordningen påtalade regeringen emellertid att den elektroniska informationen i allt större utsträckning har blivit handlingsbaserad genom att mängder av traditionella handlingar – t.ex. promemorior, protokoll och beslut – som är avsedda att ha ett bestämt, fixerat innehåll, skapas på elektronisk väg och lagras elektroniskt (prop. 2001/02:70 s. 15). I det sammanhanget introducerades det då nya begreppet ”färdig elektronisk handling”.
Med färdig elektronisk handling avses alltså sådana elektroniska handlingar där utställaren (myndigheten eller den som lämnat in handlingen till myndigheten) har gett handlingen ett bestämt, fixerat innehåll som går att återskapa gång på gång. Till skillnad från en potentiell handling består därför en färdig elektronisk handling av redan existerande upptagningar som finns slutligt utformade hos myndigheten.
Exempel på färdiga elektroniska handlingar är e-postmeddelanden, promemorior, protokoll och beslut i elektronisk form (se prop. 2001/02:70 s. 22). Också i rättspraxis har getts exempel på färdiga elektroniska handlingar. I RÅ 1998 ref. 44 konstaterade Högsta förvaltningsdomstolen att datalagrade förteckningar över in- och utgående meddelanden (e-postloggar) hos kommunala tjänstemän utgjorde färdiga elektroniska handlingar. Vidare har datalagrade meddelanden i form av s.k. cookiefiler (dvs. textfiler med information som läggs in i och sparas på den egna datorns hårddisk när man besöker vissa webbplatser på internet) respektive global/historikfiler (dvs. filer som skapas automatiskt av programmen för sökning på internet och är ett hjälpmedel för att hitta tillbaka till en viss webbsida) ansetts utgöra färdiga elektroniska handlingar (se RÅ 1999 ref. 18 I och II). Skannade kopior av konventionella handlingar på papper, t.ex. undertecknade domar eller handskrivna skrifter från en part, är ytterligare exempel på hand-
lingar som bör falla in under begreppet färdiga elektroniska handlingar.
5.2.2. När är en elektronisk upptagning en allmän handling?
Förutsättningarna för att en handling ska vara allmän anges i 2 kap. 3–11 §§ TF. Grundkraven för vad som konstituerar en handling som allmän ges i 2 kap. 3 § första stycket andra meningen.
- För det första krävs det att handlingen förvaras hos myndigheten.
- Dessutom uppställs ett krav på att handlingen har nått ett sådant stadium i handläggningen eller hanteringen att den kan betraktas som allmän. En handling måste i linje härmed antingen vara inkommen till eller upprättad hos myndigheten för att en rätt till insyn ska föreligga.
5.2.2.1 Förvaringskriteriet och tillgänglighetsrekvisitet
En första principiell utgångspunkt för vad som konstituerar en handling som allmän är alltså att handlingen är knuten till myndigheten genom förvaring, den ska förvaras hos myndigheten. När det gäller konventionella handlingar är förvaringskriteriet i princip knutet till om handlingen fysiskt finns hos myndigheten. I fråga om upptagningar har begreppet förvar emellertid getts följande särskilda innebörd (2 kap. 3 § andra och tredje stycket TF).
En upptagning som avses i första stycket anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person.
Tillgänglighetsrekvisitet
Frågan om kravet på förvaring av en upptagning är uppfyllt ska alltså bedömas bl.a. med hänsyn till om myndigheten faktiskt disponerar över möjligheten att överföra upptagningen till läsbar eller annan uppfattbar form. Utgångspunkten är att det saknar betydelse var den begärda elektroniska handlingen rent fysiskt befinner sig. I stället ska frågan om förvaring avgöras utifrån ett tillgänglighetsrekvisit där myndighetens möjligheter att förfoga över upptagningen och inte dess fysiska förvaring är av grundläggande betydelse. Exempelvis kan en upptagning som finns hos ett privaträttsligt subjekt anses förvarad hos myndigheten, nämligen om myndigheten förfogar över den (Bohlin, Offentlighetsprincipen, 8 uppl. s. 54). Även information som rent fysiskt befinner sig utanför Sverige eller för vilken det över huvud taget inte går att avgöra var den finns kan vara förvarad hos en eller flera svenska myndigheter (Lenberg m.fl. Offentlighets- och sekretesslagen, en kommentar, s. Appendix 1:4).
Tillgänglighetsrekvisitet (och därmed kravet på förvaring) kan vara uppfyllt i diverse olika situationer. I de nu över 35 år gamla förarbetena som ligger till grund för bestämmelserna angavs följande fyra exempel då förvaringskriteriet är uppfyllt (prop. 1975/76:160 s. 89).
En upptagning är tillgänglig för en myndighet för överföring till läsbar form först och främst när upptagningen lagras i anslutning till myndighetens egen datorutrustning. Men också upptagning som myndigheten kan ta del av i läsbar form via terminalförbindelse eller annan förbindelse med dator hos annat organ är allmän hos myndigheten. Detsamma gäller, för det tredje, upptagning som enligt avtal med annan lagras hos denne och på begäran överförs till skriftlig handling som sänds till myndigheten. För det fjärde avses regeln också omfatta myndigheter, främst arkivmyndighet, som själv har hand om datamediet, oaktat myndigheten inte har vare sig egen dator eller stående avtal om körning på annans datamaskin.
Det ska dock observeras att det år 1991 gjordes ett tillägg i 2 kap. 3 § andra stycket TF genom vilket förvaringskriteriet begränsades till att bara gälla att upptagningen ska vara tillgänglig med tekniskt hjälpmedel som myndigheten själv utnyttjar. Tillägget har betydelse för det fjärde exemplet i det citerade förarbetsuttalandet. En myndighet är alltså inte skyldig att t.ex. använda datorkapacitet som en sökande tillhandahåller och som möjliggör en överföring av en
upptagning som myndighetens egen datorkapacitet inte klarar. Däremot innefattar det tillagda uttrycket den datorkapacitet som finns hos en extern servicebyrå eller liknande som myndigheten anlitar eller hos en sido-, över- eller underordnad myndighet liksom den utrustning som på annat sätt står till myndighetens förfogande (prop. 1990/91:60 s. 74).
För att närmare kunna avgöra om en upptagning för automatiserad behandling är tillgänglig för myndigheten (och därmed förvarad hos denna) måste emellertid en uppdelning göras mellan potentiella handlingar och färdiga elektroniska handlingar.
Särskilt om potentiella handlingar
Den potentiella handlingen är, som framgått ovan, en sammanställning av uppgifter ur en eller flera upptagningar för automatiserad behandling. Varje sådan sammanställning av uppgifter anses vara en hos myndigheten förvarad handling alldeles oavsett huruvida sammanställningen gjorts tidigare och oavsett huruvida myndigheten i sin egen verksamhet har anledning att göra en sådan sammanställning eller inte. Det innebär att myndigheten måste använda sina datorsystem för att ta fram en begärd sammanställning av uppgifter även om framtagningen innefattar en bearbetning eller en särskild sammanställning av informationen.
Detta förhållande är ett uttryck för den för offentlighetsprincipen viktiga likställighetsprincipen. Den innebär att allmänheten ska ha tillgång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten (förutsatt att sekretess inte begränsar tillgången till informationen). Likställighetsprincipen kommer att behandlas närmare i avsnitt 5.7.
Dock har möjligheten för allmänheten att ta del av potentiella handlingar kritiserats genom åren. Kritiken har bl.a. bestått i att denna innebörd av handlingsbegreppet medför att myndigheter inte kan överblicka och uppge vilka handlingar de har i sina datasystem, samtidigt som en enskild som lämnar uppgifter till en myndighet inte kan förutse hur uppgifterna i framtiden kan komma att användas, se bl.a. SOU 1988:64 s. 89.
Det finns emellertid två inskränkningar som tar sikte på sammanställningar av uppgifter, potentiella handlingar, nämligen kravet på tillgänglighet med rutinbetonade åtgärder respektive den s.k. begränsningsregeln.
Kravet på tillgänglighet med rutinbetonade åtgärder
Den första inskränkningen föreskrivs i 2 kap. 3 § andra stycket sista meningen TF och innebär att en sammanställning av uppgifter ur en upptagning anses förvarad hos myndigheten, bara om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Kravet på rutinbetonade åtgärder infördes genom 2002 års ändringar i 2 kap. tryckfrihetsförordningen. Ändringen var emellertid en kodifiering av den praxis som under åren utbildats på området, bl.a. på grundval av förarbetsuttalanden (se prop. 1975/76:160 s. 90). Frågan om en åtgärd är rutinbetonad ska avgöras utifrån dels den allmänna tekniska utvecklingen, dels den tekniska nivån och kompetensen hos den aktuella myndigheten.
En av flera aspekter av potentiella handlingar som diskuterats i juridisk doktrin – se Per Furberg och Cecilia Magnusson Sjöberg, FT 2011 s. 261 – är frågan om vad som utgör underlaget för en sammanställning i form av en potentiell handling. Svaret på den frågan har nämligen betydelse för preciseringen av handlingsoffentlighetens räckvidd när det gäller potentiella handlingar. I lagstiftningsärendet som ledde till 2002 års ändringar i 2 kap. 3 § andra stycket sista meningen TF anförde regeringen att det av tryckfrihetsförordningen klart borde framgå att allmänhetens insynsrätt i myndigheternas digitalt lagrade information omfattar dels färdiga elektroniska handlingar, dels sammanställningar av uppgifter ur allmänna handlingar inom ramen för vad som kan göras tillgängligt med rutinbetonade åtgärder. Sammanställningen ska således avse uppgifter ur en upptagning som enligt övriga regler i 2 kap. tryckfrihetsförordningen är att anse som allmän handling (prop. 2001/02:70 s. 22 f.). En sammanställning av uppgifter ur en upptagning som i sig är förvarad hos myndigheten men inte är inkommen till myndigheten enligt 2 kap. 6 § TF eller upprättad hos myndigheten enligt 2 kap. 7 § är alltså inte att anse som en allmän handling som en myndighet är skyldig att på begäran lämna ut (a. prop. s. 37).
I den nyss nämnda artikeln pekar författarna på behovet, vid en begäran om utfående av en sammanställning, av ett närmare ställningstagande bl.a. till vilka tillgängliga handlingar som anses inkomna eller upprättade i myndighetens it-miljö enligt 2 kap. 6 eller 7 § TF och därmed allmänna. Det ställningstagandet kan dock inrymma en mängd komplicerade frågeställningar, t.ex. när det gäller automatiska loggar som skapas utan myndighetens vetskap i
förhållande till bestämmelsen om upprättandetidpunkten för fortlöpande förteckningar i 2 kap. 7 § andra stycket 1 TF. Härutöver uppstår gränsdragningsproblem i datamängden mellan a) underlaget för den potentiella handlingen (de allmänna handlingarna),
b) delmängderna ur underlaget för den potentiella handlingen (av artikelförfattarna kallat elektroniska mellanprodukter) samt c) den färdigställda potentiella handlingen. En ytterligare fråga är vilka eventuella manuella m.fl. åtgärder som innefattas i rekvisitet rutinbetonade åtgärder.
Begränsningsregeln
Den andra inskränkningen beträffande förvaringskriteriet i fråga om sammanställningar följer av 2 kap. 3 § tredje stycket TF och innebär att en sammanställning – en potentiell handling – inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning inte har rättslig befogenhet att göra sammanställningen tillgänglig. Denna regel brukar kallas begränsningsregeln. Begränsningsregeln gäller även om sammanställningen kan tas fram med rutinbetonade åtgärder.
Med personuppgifter avses i bestämmelsen all slags information som direkt eller indirekt kan hänföras till en fysisk person. Till skillnad från motsvarande begrepp enligt 3 § personuppgiftslagen (1998:204) spelar det ingen roll om personen är i livet eller är avliden.
Syftet med begränsningsregeln är att hindra allmänheten från att kunna göra anspråk på att få ta del av information hos myndigheten som myndigheten själv, av hänsyn till skyddet för enskildas integritet, är rättsligen förhindrad att ta fram i sin egen verksamhet. Även begränsningsregeln kan alltså ses som ett uttryck för likställighetsprincipen (SOU 2001:3 s. 144). Endast begräsningar i lag eller förordning – t.ex. förbud i s.k. registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram sammanställningar genom att samköra olika register – är relevanta. Nedan i avsnitt 5.9 kommer begränsningsregelns innebörd att ytterligare belysas.
Färdiga elektroniska handlingar
Färdiga elektroniska handlingar omfattas inte av någon av de ovan nämnda två inskränkningarna. En sådan handling är alltid att anse som förvarad hos en myndighet så länge som den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Detta gäller alltså även om det krävs mer än rutinbetonade åtgärder för att göra den tillgänglig (se prop. 2001/02:70 s. 38). I lagstiftningsärendet rörande 2002 års ändringar av 2 kap. tryckfrihetsförordningen anmärktes att det vore otillfredsställande om en färdig elektronisk handling ska anses förvarad hos en myndighet endast om den kan tas fram med rutinbetonade åtgärder. En sådan ordning skulle i praktiken innebära att det kan finnas färdiga elektroniska handlingar hos myndigheten som inte anses förvarade hos denna på grund av att myndigheten har organiserat sitt datasystem på sådant sätt att det inte går att finna handlingen med rutinbetonade åtgärder (a. prop. s. 18 ff.).
En färdig elektronisk handling är vidare förvarad alldeles oavsett om handlingen innehåller personuppgifter och det i lag eller förordning finns ett förbud för myndigheten att behandla personuppgiften genom t.ex. förbud att använda vissa sökbegrepp vid sökning efter handlingen (a. a. s. 38). Begränsningsregeln har alltså inte någon betydelse för frågan om färdiga elektroniska handlingar är allmänna eller inte.
Som redan nämnts kan det ibland vara en svår uppgift att fastställa gränsen mellan en färdig elektronisk handling och en potentiell handling. Mot bakgrund av bl.a. kravet på rutinbetonade åtgärder i samband med frågan om förvaring av potentiella handlingar får denna gränsdragning dock stor betydelse för om en handling betraktas som allmän eller inte. Det har inte ansetts lämpligt att i grundlagen förtydliga var gränsen mellan färdiga och potentiella handlingar går. Ledning får i stället hämtas i detaljerade arkivregler om hur allmänna handlingar i elektronisk form ska bevaras (se SOU 2001:3 s. 139 f. och prop. 2001/02:70 s. 21 f.).
5.2.2.2 Inkommen eller upprättad handling
Som tidigare angetts är det inte tillräckligt att förvaringskriteriet är uppfyllt för att en handling ska vara en allmän handling hos myndigheten. Dessutom uppställs ett krav på att handlingen har nått ett sådant stadium i handläggningen eller hanteringen att den kan betraktas som allmän. En handling måste i linje härmed antingen vara inkommen till eller upprättad hos myndigheten för att en rätt till insyn ska föreligga.
Inkommen handling
En hos myndigheten förvarad handling blir allmän om den är att betrakta som inkommen till myndigheten. En konventionell handling är inkommen när den har anlänt till myndigheten eller tagits emot av behörig befattningshavare (2 kap. 6 § första stycket första meningen TF). I fråga om upptagningar gäller att en sådan anses som inkommen till en myndighet i samma ögonblick som den är att anse som förvarad hos myndigheten på sätt som anges i 2 kap. 3 § andra stycket TF under förutsättning att det är någon utanför myndigheten, dvs. en annan myndighet eller en enskild som har vidtagit den åtgärd som gjort handlingen tillgänglig för myndigheten (2 kap. 6 § första stycket andra meningen TF). Bestämmelsen infördes i samband med de ändringar i 2 kap. tryckfrihetsförordningen som trädde i kraft år 1976. Innebörden av bestämmelsen är att en upptagning för automatiserad behandling som av en myndighet tillförts ett för flera myndigheter gemensamt informationssystem blir att betrakta som inkommen hos övriga myndigheter som har tillgång till systemet. Begreppen ”förvarad handling” och ”inkommen handling” är alltså samordnade. På detta vis görs således i tryckfrihetsförordningen ingen skillnad mellan en mottagande myndighets tillgång till dels elektronisk information som samlats in av den egna myndigheten i och för den egna verksamheten, dels elektronisk information som samlats in av en annan myndighet (värdmyndighet) för denna värdmyndighets verksamhet men som genom direktåtkomst är tekniskt sett åtkomlig för mottagarmyndigheten.
Man ska dock observera att det varken i 2 kap. 3 eller 6 § talas om direktåtkomst och inte heller om utlämnanden på medium för automatiserad behandling. Dessa på registerförfattningsområdet
etablerade begrepp (men med ofta oklar innebörd och gränsdragning) har ingen självständig betydelse för huruvida tillgängliga uppgifter blir allmänna handlingar hos en mottagande myndighet eller inte. Hur informationsutbyte mellan myndigheter klassificeras i en registerförfattning saknar alltså rättslig betydelse för vad som konstituerar en allmän handling enligt tryckfrihetsförordningen. Det är i stället den faktiska tillgängligheten, den tekniska möjligheten att förfoga över upptagningar för överföring till läsbar form, som styr huruvida det uppstår elektronisk information som i tryckfrihetsförordningens mening är förvarad och inkommen hos en mottagande myndighet eller inte. Den frågan får avgöras utifrån en bedömning av förhållandena, inte minst tekniska sådana, i det enskilda fallet.
Sammanställningar av uppgifter ur en värdmyndighets upptagningar för automatiserad behandling, potentiella handlingar, vilka i samband med direktåtkomst görs tekniskt tillgängliga för den mottagande myndigheten, utgör alltså som huvudregel allmänna handlingar hos mottagarmyndigheten. Kravet är dock att mottagarmyndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Färdiga elektroniska handlingar hos en värdmyndighet som i samband med direktåtkomst görs tekniskt tillgängliga för en mottagarmyndighet anses utgöra inkomna och därmed allmänna handlingar hos mottagarmyndigheten även om det krävs mer än rutinbetonade åtgärder för att ta fram dem. Är upptagningen en färdig elektronisk handling hos värdmyndigheten, så är den det även hos mottagarmyndigheten.
Som framgår av våra direktiv aktualiseras i samband med s.k. direktåtkomst till uppgifter myndigheter emellan frågan om vilken information som anses som inkommen till den mottagande myndigheten. Ofta har den mottagande myndigheten tekniskt sett tillgång till fler uppgifter hos den utlämnande myndigheten än vad som i realiteten kommer att användas i ärenden eller viss verksamhet hos den mottagande myndigheten (se prop. 2007/08:160 s. 67 och 70). Bestämmelser om direktåtkomst stipulerar därför i regel begränsningar av den mottagande myndighetens rätt att använda eller annars behandla de uppgifter som myndigheten rent tekniskt har tillgång till. I motivuttalanden har emellertid framhållits att de begränsningar som anges i bestämmelser om direktåtkomst till uppgifter myndigheter emellan dock inte utgör sådana rättsliga begränsningar som avses i begränsningsregeln i 2 kap. 3 § tredje stycket TF (a. prop. s. 70 f.). Följden blir att all information som
finns tekniskt tillgänglig för den mottagande myndigheten, dvs. även potentiella handlingar, som utgångspunkt också är att anse som inkommen och därmed utgör allmän handling.
Från de här angivna bestämmelserna om vad som ska anses utgöra inkommen handling finns vissa undantag i bl.a. 2 kap. 4 och 6 §§ andra och tredje styckena TF. Av intresse nu är främst undantaget i 2 kap. 6 § tredje stycket som behandlas nedan i avsnitt 5.2.3.
Upprättade handlingar
Handlingar som utarbetats eller framställts inom en myndighet blir inte allmänna förrän de enligt en relativt komplicerad reglering är att anse som upprättade. Genom ordet upprättad har markerats att handlingar ska bli allmänna, och därmed i princip tillgängliga för allmänheten, först då de föreligger i sitt definitiva skick. Dessförinnan utgör handlingarna arbetsmaterial. Myndigheten anses ha rätt att själv bilda sig en uppfattning innan den måste ställa de handlingar som återspeglar myndighetens överväganden till allmänhetens förfogande (prop. 1975/76:160 s. 72).
Bestämmelser om upprättandetidpunkten finns i 2 kap. 7 § TF. Beträffande upprättandetidpunkten finns ingen särreglering för upptagningar utan samma regler gäller som för konventionella handlingar. Huvudregeln är att en handling anses upprättad hos myndigheten när den har expedierats eller annars föreligger i slutligt skick på sätt som närmare anges i paragrafen och med vissa där angivna undantag. Med expediering åsyftas att handlingen skickas till enskild eller till annan myndighet. Vid expediering av en handling utgör det original eller den kopia som myndigheten behåller en upprättad och därmed allmän handling. En upptagning för automatiserad behandling anses expedierad antingen när myndigheten vidtagit sådana tekniska åtgärder att utomstående kan få tillgång till informationen i läsbart skick eller då det tekniska mediet har översänts till annan.
I HFD 2011 ref. 52 hade en länspolismyndighet fört in uppgifter i en databas. Vissa befattningshavare hos Rikspolisstyrelsen hade i enlighet med behörighetsvillkoren för databasen kunnat ta del av uppgifterna i läsbart skick. Genom att uppgifterna på detta sätt hade gjorts tillgängliga för en annan myndighet ansåg Högsta förvaltningsdomstolen att de måste anses expedierade av länspolismyndigheten i den mening som avses i 2 kap. 7 § TF. De utgjorde
därmed allmänna handlingar enligt 2 kap. 3 § TF hos länspolismyndigheten. Att syftet med åtkomsten bl.a. var att framställa statistik och rapportera till Arbetsmiljöverket ansågs medföra att undantaget i 2 kap. 10 § TF om teknisk bearbetning och lagring för annans räkning inte var tillämpligt. Se mer om detta rättsfall nedan i avsnitt 5.2.3.
När det gäller elektroniska informationssystem som flera myndigheter är anslutna till och som innehåller uppgiftssamlingar som är gemensamt åtkomliga för de anslutna myndigheterna fungerar regelverket i tryckfrihetsförordningen således på följande sätt. När myndigheten A för in en uppgift i systemet så att den blir tillgänglig för de andra myndigheterna, blir det en upptagning som utgör en förvarad och en genom expedieringen upprättad allmän handling hos myndigheten A. Hos myndigheterna B, C, D osv., blir uppgifterna – i samma ögonblick som dessa får teknisk tillgång till uppgifterna – en upptagning som utgör en förvarad och inkommen allmän handling hos respektive myndighet B, C, D osv.
Det ska anmärkas att det i 2 kap. 7 § TF finns bestämmelser som gör undantag från huvudregeln om expediering såsom den åtgärd som konstituerar en handling som upprättad. Vidare finns i 2 kap. 9 § TF särbestämmelser om att minnesanteckningar, mellanprodukter m.m. som huvudregel inte är allmänna handlingar. Dessa undantag är dock inte av särskilt intresse i detta sammanhang. Däremot finns det generella undantag av större intresse nu, nämligen undantagen i 2 kap. 10 och 11 §§ TF som båda kan vara av betydelse när det handlar om upptagningar som är tekniskt tillgängliga över myndighetsgränser.
5.2.3. Några generella undantag från begreppet allmän handling
Det finns alltså tillfällen då en handling – trots att den kan vara både förvarad hos myndigheten samt inkommen eller upprättad – ändå inte är att anses om en allmän handling. Sådana generella undantagsbestämmelser finns i 2 kap. 10 och 11 §§ TF. Som har framgått görs vidare undantag från vad som ska anses vara en inkommen handling i 2 kap. 6 § tredje stycket TF.
5.2.3.1 Handling som återkommit till myndighet efter teknisk bearbetning eller lagring
I 2 kap. 6 § tredje stycket TF anges att åtgärd som någon vidtar med en handling, som en myndighet har tillhandahållit endast som led i teknisk bearbetning eller teknisk lagring av handlingen, inte ska leda till att handlingen är inkommen till den myndigheten. Undantaget – som inte bara avser upptagningar för automatiserad behandling utan även exempelvis upptagning på magnetband eller på analoga informationsbärare såsom filmrullar eller manuskript på papper – möjliggör att en myndighet anlitar annan, t.ex. en extern datacentral, en fotograf eller ett tryckeri för teknisk bearbetning eller teknisk lagring, utan att upptagningen vid den faktiska återkomsten till myndigheten i bearbetat skick blir att se som en till myndigheten inkommen handling. Enligt förarbetena till bestämmelsen är det naturligt att se saken så att upptagningarna i dessa situationer aldrig har befunnit sig utanför myndigheten (prop. 1975/76:160 s. 137). För den motsatta situationen, att myndigheten endast för teknisk bearbetning eller lagring förvarar handling för annans räkning, finns ett korresponderande undantag i 2 kap. 10 § TF, se nästa avsnitt.
5.2.3.2 Teknisk bearbetning och teknisk lagring för annans räkning
I 2 kap. 10 § första stycket TF föreskrivs att en handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning inte utgör en allmän handling hos den myndigheten. Stadgandet, som sätter förvaringskriteriet ur spel, har tillkommit mot bakgrund av att offentlighetsprincipen inte har ansetts kräva att allmänheten ska ha tillgång till en upptagning hos en myndighet som endast tar teknisk befattning med handlingen för annans räkning (prop. 1975/76:160 s. 87). Föredragande departementschef anförde att när upptagningen används av myndigheten är det fullt tillräckligt att den finns tillgänglig hos den handläggande myndigheten. Vidare påtalade han att det inte kan vara lämpligt att t.ex. en datacentral, som kanske har ett stort antal upptagningar för skilda myndigheters räkning om hand, ska pröva frågor om upptagningarnas offentlighet.
Bestämmelsen i 2 kap. 10 § första stycket TF är tillämplig inte bara på upptagningar utan också på konventionella handlingar, vilka kan ha överlämnats till myndigheten för t.ex. kopiering eller överföring till datamedium. Undantaget gäller även i de fall myndigheten utför teknisk bearbetning av en handling för enskilds räkning (Bohlin, Allmänna handlingar, 1988, s. 216).
I rättsfallet RÅ 1994 ref. 64 hade Högsta förvaltningsdomstolen att ta ställning till om 2 kap. 10 § TF var tillämplig i ett fall där en klagande hade begärt att Riksrevisionsverket skulle lämna ut uppgifter om vilka utbetalningar som olika myndigheter hade gjort till ett visst företag. I målet framkom att en rad myndigheter hade valt att lagra sina ekonomidata i Riksrevisionsverkets datoriserade ekonomisystem. Högsta förvaltningsdomstolen fann dock att Riksrevisionsverket inte disponerade över myndigheternas redovisningsdata. I stället var det fråga om en rent teknisk hantering eller lagring av uppgifterna. De handlingar i vilka de begärda uppgifterna förekom var därför inte att anse som allmänna hos Riksrevisionsverket.
I rättsfallet RÅ 1999 ref. 18 (I) uppkom frågan om teknisk lagring eller bearbetning för annans räkning var för handen. I avgörandet – som rörde frågan om s.k. cookiefiler utgör allmänna handlingar – konstaterade Högsta förvaltningsdomstolen att det saknades stöd för att anse att cookiefilen skulle vara förvarad hos myndigheten endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning. Även om det kunde vara fråga om teknisk lagring i någon mening, kunde det inte sägas att denna skedde för någon annans räkning, mottagaren av cookiefilen hade bl.a. möjlighet att avstå från att ta emot informationen och att radera den.
I det i det föregående nämnda rättsfallet HFD 2011 ref. 52 framkom att databasen i fråga var ett för polismyndigheterna gemensamt webbaserat arbetsskadesystem som administrerades av Rikspolisstyrelsen. Varje polismyndighet hade sina administratörer med behörighet för tillgång till all lagrad data som rörde den egna myndigheten. Ingen åtkomst förekom mellan polismyndigheterna. Dock hade tre befattningshavare på Rikspolisstyrelsen rikstäckande administratörsbehörighet för att ta fram nationell statistik, lägga in behörigheter, rapportera till Arbetsmiljöverket och bistå polismyndigheterna med hjälp av teknisk natur. Högsta förvaltningsdomstolen anförde att i vart fall användningen för framställning av nationell statistik samt rapporteringen till Arbetsmiljöverket med-
förde att undantaget i 2 kap. 10 § första stycket TF för teknisk bearbetning eller lagring inte var tillämpligt. Något uttalande om huruvida befattningshavarnas övriga användning, dvs. för att lägga in behörigheter och att bistå polismyndigheterna med hjälp av teknisk natur, utgjorde sådan teknisk bearbetning eller teknisk lagring, gjordes alltså inte.
5.2.3.3 Säkerhetskopior
Genom en grundlagsändring som trädde i kraft den 1 januari 2011 infördes ett nytt andra stycke i 2 kap. 10 § TF enligt vilket ytterligare en kategori handlingar undantas från att vara allmänna handlingar, nämligen säkerhetskopior. Reformen hade sin bakgrund i de frågeställningar om säkerhetskopiors rättsliga ställning som uppkom i samband med uppmärksamheten kring de magnetband som Regeringskansliet förvarade med bl.a. e-post och trafikinformation från tiden för tsunamikatastrofen i Asien år 2004.
Med säkerhetskopior avses enligt bestämmelsen handlingar som en myndighet förvarar enbart i syfte att kunna återskapa information som ofrivilligt har gått förlorad i myndighetens ordinarie system för automatiserad behandling av information, t.ex. vid ett datorhaveri, brand eller liknande. Undantaget är inte tillämpligt om säkerhetskopiorna lagras eller används för andra ändamål eller om de tas om hand för arkivering. Om information i en säkerhetskopia återförs för användning i en myndighets verksamhet blir undantaget för säkerhetskopior alltså inte längre tillämpligt. I stället blir övriga bestämmelser i 2 kap. tryckfrihetsförordningen tillämpliga beträffande den handling eller upptagning som informationen är knuten till. Undantaget är utformat så att det även möjliggör att en myndighet framställer eller förvarar säkerhetskopior för en annan myndighets räkning utan att de därmed blir allmänna handlingar (prop. 2009/10:58 s. 38).
5.2.3.4 Befordran av meddelande
I 2 kap. 11 § TF föreskrivs vissa generella undantag från vad som ska anses utgöra allmän handling. Utöver biblioteksregeln, se nedan, kan särskilt nämnas bestämmelsen i första stycket 1 enligt vilken brev, telegram, eller annan sådan handling som har lämnats
in till eller upprättats hos myndighet endast för befordran av meddelande inte ska anses utgöra allmän handling. Bedriver en myndighet postverksamhet eller liknande blir alltså sådana försändelser som omfattas av den verksamheten inte allmänna handlingar.
5.2.3.5 Biblioteksregeln
Ett praktiskt betydelsefullt undantag från vad som är en allmän handling finns i 2 kap. 11 § TF första stycket 3, den s.k. biblioteksregeln. Av betydelse är också det anknytande undantaget från undantaget i paragrafens andra stycke.
Biblioteksregeln syftar till att från de hos myndigheten förvarade allmänna handlingarna undanta en viss kategori av handlingar, nämligen sådana som ska anses ingå i myndighetens bibliotek. Med ett bibliotek avses en samling handlingar som är organiserade på ett sådant sätt att samlingen enligt vanligt språkbruk är att betrakta som ett bibliotek (prop. 1975/76:160 s. 179 f.). Bestämmelsen tar sikte både på sådana myndigheter som har biblioteksverksamhet till huvuduppgift och på andra myndigheters hand- eller referensbibliotek. Enligt biblioteksregeln anses följande kategorier av handlingar inte som allmänna handlingar:
tryckt skrift, ljud- eller bildupptagning eller annan handling som ingår i bibliotek,
tryckt skrift, ljud- eller bildupptagning eller annan handling som från enskild har tillförts allmänt arkiv (dvs. arkivmyndighet) uteslutande för förvaring och vård eller forsknings- och studieändamål,
privata brev, skrifter eller upptagningar som annars har överlämnats till myndighet uteslutande för förvaring och vård eller forsknings- och studieändamål.
Även upptagningar i form av databaser omfattas av biblioteksregeln. Kravet är att myndigheten använder upptagningen på samma sätt som man använder litteratur i ett bibliotek, dvs. för att söka information (se RÅ 1986 not. 290). Detsamma gäller sådan information som myndigheten har tillgång till via internet. Även om mycket talar för att dessa informationsmängder rättsligt sett är att betrakta som såväl förvarade som inkomna handlingar hos myndigheterna, används informationen av myndigheterna på samma sätt
som andra databaser som ingår i en myndighets bibliotek, t.ex. för att söka referens- och faktamaterial (prop. 2001/02:70 s. 24 f.). Skulle det dock vara så att myndigheten hämtar in information från internet för att använda i handläggningen av ett mål eller ärende, blir materialet allmän handling hos myndigheten. Upptagningen som inhämtas ska då även tillföras handlingarna i ärendet i läsbar form (4 kap. 3 § OSL).
Enligt 2 kap. 11 § andra stycket TF ska vad som sägs i biblioteksregeln dock inte tillämpas på upptagning i databas som en myndighet har tillgång till enligt avtal med annan myndighet, om upptagningen är allmän handling hos denna utlämnande värdmyndighet. Handlingar i sådana databaser anses alltså som allmänna även hos den anslutna myndigheten. En ansluten myndighets tillgång till referensdatabas som producerats av en enskild och som hos värdmyndigheten omfattas av biblioteksregeln blir däremot inte en inkommen allmän handling hos den anslutna myndigheten. I den situationen gäller alltså biblioteksregeln även hos den anslutna myndigheten. Regeln är till för att begränsa tredje mans åtkomst till rent kommersiella databastjänster via myndigheterna genom åberopande av offentlighetsprincipen (prop. 1990/91:60 s. 75).
5.3. Något om utlämnande av allmän handling
Av grundläggande betydelse för systemet med handlingsoffentlighet är att var och en som önskar ta del av en allmän handling har rätt att göra detta om inte sekretess helt eller delvis hindrar det. Rätten att ta del av allmänna handlingar kan utverkas på två olika sätt. För det första kan sökanden avgiftsfritt ta del av handlingen genom att myndigheten genast eller så snart det är möjligt tillhandahåller den på stället (2 kap. 12 § första stycket TF). Sökanden kan också ta del av handlingen genom att mot avgift få den utlämnad till sig i avskrift eller kopia (2 kap. 13 § TF). Sökanden har alltså i princip rätt att välja mellan att studera handlingen i myndighetens lokaler eller att beställa en utskrift eller kopia av handlingen mot betalning.
Utgångspunkten är att rätten att få del av en allmän handling – och en myndighets skyldighet att lämna ut en sådan handling – enbart gäller i förhållande till myndighet som förvarar handlingen på sätt som följer av förvaringskriteriet i 2 kap. 3 § TF, se 2 kap.
14 § första stycket TF. I fråga om upptagningar gäller dock, som framgått ovan, att de samtidigt kan vara förvarade allmänna handlingar hos flera olika myndigheter, t.ex. i fråga om ett för flera myndigheter gemensamt informationssystem där alla myndigheter har tillgång till uppgifterna i systemet. Det finns vidare en mängd andra typer av tekniska arrangemang som innebär att tillgänglighetsrekvisitet i 2 kap. 3 eller 6 § TF är uppfyllt, se ovan. En sökande som vill få del av en upptagning som är en allmän handling hos flera myndigheter har i sådant fall rätt att vända sig till vilken av dessa myndigheter han eller hon vill för att få del av upptagningen, oavsett till vilken myndighets verksamhet upptagningen sakligt sett hör. Varje myndighet är vidare skyldig att självständigt pröva utlämnandefrågan, se 2 kap. 14 § andra stycket TF.
Det finns dock i 2 kap. 12 § andra stycket TF en regel som anger att en myndighet inte är skyldig att till en sökande tillhandahålla en upptagning, om sökanden utan beaktansvärd olägenhet kan ta del av upptagningen hos en närbelägen myndighet. Denna möjlighet att hänvisa en sökande till en annan myndighet torde emellertid numera ha ett mycket begränsat tillämpningsutrymme. Syftet med bestämmelsen är att den myndighet till vilken sökanden har vänt sig – och som i och för sig förvarar den begärda upptagningen – inte ska vara skyldig att göra en kanske både arbetskrävande och kostsam utskrift av upptagningen, om en sådan utskrift redan finns hos en närbelägen myndighet för läsning på stället. Sökanden kan då hänvisas att vända sig till den närbelägen myndighet (prop. 1973:33 s. 82 f. och Petrén/Ragnemalm, Sveriges grundlagar, 1980, s. 405 f.). Någon motsvarande begränsning, som ger myndighet möjlighet att i vissa fall hänvisa sökanden till en annan myndighet, finns emellertid inte när det gäller sökandens rätt enligt 2 kap. 13 § TF att mot avgift få, och myndighetens skyldighet att tillhandahålla, en utskrift av upptagningen.
5.4. Vissa bestämmelser i offentlighets- och sekretesslagen samt arkivlagen av särskilt intresse nu
För att syftet med offentlighetsprincipen ska få genomslag och för att offentligheten i praktiken ska kunna utnyttjas när det gäller allmänna handlingar räcker det inte med den grundlagsfästa principen om var och ens rätt att ta del av allmänna handlingar och att
dessa såsom utgångspunkt är offentliga. Därutöver krävs att myndigheternas verksamhet och information dokumenteras i handlingar. Det krävs vidare att dessa handlingar sedan hålls ordnade så att de kan överblickas och vid önskemål återfinnas och tas fram. Offentlighetsprincipen kräver också att allmänna handlingar bevaras även efter det att deras omedelbara nytta eller annan betydelse för myndigheten i fråga eller andra direkt berörda intressenter har upphört.
För att säkerställa det nyss sagda finns generella regler i bl.a. 4 kap. offentlighets- och sekretesslagen om myndigheters hantering av allmänna handlingar som går ut på att tillse att myndigheterna ska hålla en god offentlighetsstruktur. Bestämmelserna är numera teknikneutrala men avsåg tidigare enbart myndigheternas it-verksamhet. I 4 kap. 2 § OSL föreskrivs exempelvis att myndigheterna ska upprätta en beskrivning som bl.a. ger information om olika sökmedel till myndighetens allmänna handlingar. Något undantag för sådana allmänna handlingar hos andra myndigheter som en myndighet har tillgång till via exempelvis direktåtkomst finns inte. Det finns vidare ett åläggande i samma paragraf om att myndigheten i beskrivningen ska ge information om uppgifter som myndigheten regelbundet hämtar från eller lämnar till andra myndigheter samt hur och när detta sker. Beskrivningen ska således innehålla information om i vilken mån direktåtkomst till upptagningar eller filöverföringar av upptagningar regelmässigt förekommer. Detta gäller uppgiftsflöden både till och från myndigheten i fråga.
I 4 kap. 3 § OSL finns den viktiga bestämmelsen om att, för det fall en myndighet för handläggningen av ett mål eller ärende använder sig av automatiserad behandling, upptagningen ska tillföras handlingarna i läsbar form, om det inte finns särskilda skäl mot det. Detta gäller även i fråga om upptagning som den handläggande myndigheten har tillgång till via direktåtkomst till en annan myndighets informationssamling. Den mottagande myndigheten är alltså skyldig att – då direktåtkomsten de facto används i ett mål eller ärende på så sätt att den mottagande myndigheten bereder sig tillgång till upptagningen – ”hämta hem” upptagningen genom att t.ex. göra en utskrift eller en elektronisk kopia som bifogas den egna akten eller dokumentationen i ärendet.
Även i 5 kap. offentlighets- och sekretesslagen om registrering av allmänna handlingar samt i arkivlagen finns några bestämmelser som bör nämnas här.
Allmänna handlingar ska som huvudregel registreras så snart de kommit in till eller upprättats hos en myndighet, se 5 kap. 1 § OSL. Vissa undantag härifrån gäller dock. Av intresse i detta sammanhang är undantaget i paragrafens andra stycke. Enligt detta gäller att en upptagning som är en allmän handling och som en myndighet har elektronisk tillgång till hos en annan myndighet endast ska registreras av den myndighet som gjort upptagningen tillgänglig för den andra myndigheten. Skälet härtill är att mottagande myndighet inte nödvändigtvis känner till att upptagningen har gjorts tillgänglig och därför i praktiken inte har någon möjlighet att fullgöra en registreringsskyldighet för egen del. Vid direktåtkomst och liknande finns således ingen omedelbar skyldighet för mottagande myndigheter att registrera varje åtkomlig upptagning, så länge som åtkomsten avser annan svensk myndighets upptagning. Däremot följer, som nyss framgått, av 4 kap. 2 § OSL att varje mottagande myndighet måste informera om direktåtkomsten i sina respektive beskrivningar av myndighetens allmänna handlingar.
Slutligen kan här nämnas att allmänna handlingar, inklusive upptagningar, enligt arkivlagens huvudregel ska bevaras. Denna huvudregel är dock inte utan undantag. För elektronisk information gäller ett undantag som är av särskilt intresse för myndighetsövergripande informationssystem, direktåtkomstlösningar och liknande. Upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, ska bilda arkiv endast hos en av myndigheterna (3 § arkivlagen). Samma upptagning ska alltså inte bevaras och bilda arkiv hos alla myndigheterna. I första hand ska arkivbildning ske hos den myndighet som svarar för huvuddelen av upptagningen. Av förarbetena framgår emellertid att andra lösningar är tillåtna och att beslut om var arkivering ska ske får fattas av vederbörande arkivmyndighet (prop. 1989/90:72 s. 70).
Bestämmelsen i 3 § arkivlagen var när den tillkom 1991 i första hand avsedd för de fall då en central myndighet delade ett system med lokala och regionala myndigheter inom samma organisation. Den myndighet som ansvarar för utveckling, drift och dokumentation av ett system har enligt bestämmelsen ansvaret för att bevara upptagningar och sammanställningsmöjligheter i systemet. Undantaget avser inte handlingar som inhämtas från en annan myndighet eller motsvarande för att utgöra underlag i ärendehandläggningen. I sådana fall gäller att handlingarna ska bevaras hos den handläggande
myndigheten i sådan form att de utan omgång kan presenteras tillsammans med övriga handlingar i ärendet.
Någon specialreglering av hos vilken myndighet arkivbildning ska ske finns inte för det fall flera myndigheter har elektronisk tillgång till en enskilds eller en utländsk myndighets upptagning på ett sätt som medför att den blir allmän handling hos alla anslutna svenska myndigheter. Arkivbildning ska i princip ske hos endast en av myndigheterna.
5.5. Direktåtkomst och sekretess
Uppgifter kan lämnas ut från myndigheter på olika sätt, t.ex. via pappersutskrifter av elektroniskt lagrade uppgifter som postas eller skickas med telefax. Utlämnande kan också ske i elektronisk form. Den elektroniska formen inrymmer i sig ett stort antal variationer såsom användning av e-post, direktöverföring mellan elektroniska informationssystem via telenätet eller genom att mottagaren ges möjlighet att själv bereda sig elektronisk tillgång till och ta del av den utlämnande myndighetens elektroniska informationssamlingar, antingen i dess helhet eller i förutbestämda delar eller enbart utifrån på förhand fastställda kriterier för tillgång till vissa kategorier av uppgifter. Det förekommer också myndighetsgemensamma register eller andra informationssystem där de deltagande myndigheterna dels registrerar och lagrar egna uppgifter, dels har möjlighet att ta del av uppgifter som andra myndigheter har registrerat i det myndighetsgemensamma systemet. I många registerförfattningar och andra författningar som reglerar personuppgiftsbehandling hos myndigheter finns bestämmelser av vilka framgår inte bara för vilka ändamål personuppgifter som behandlas elektroniskt hos myndigheten får lämnas ut till andra myndigheter utan som också anger i vilken mån detta får ske elektroniskt, vanligen genom direktåtkomst eller genom utlämnande på medium för automatiserad behandling.
Personuppgiftslagen och det underliggande s.k. dataskyddsdirektivet saknar emellertid särskilda bestämmelser om, eller under vilka förutsättningar, uppgifter får lämnas ut i elektronisk form. Någon principiell åtskillnad mellan utlämnande av personuppgifter genom direktåtkomst eller utlämnande genom att en pappersutskrift av elektroniskt lagrad information skickas i väg med posten görs inte. Båda varianterna utgör behandling av personuppgifter
enligt begreppets definition i 3 § PUL. Genom att utlämnandeformen direktåtkomst allmänt sett anses innebära särskilda risker för otillbörliga integritetsintrång har det dock i en mängd lagstiftningsärenden ansetts att direktåtkomsten bör särregleras i registerförfattningar. Det ska dock påpekas att direktåtkomst till personuppgifter förekommer även utan stöd i registerförfattningar.
För en närmare analys av själva begreppet direktåtkomst, olika varianter på författningsregleringar samt avgränsningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling hänvisas till kapitel 9.
5.5.1. Sekretessbrytande regler som tar sikte på utlämnande genom direktåtkomst
Bestämmelser om direktåtkomst i registerförfattningar brukar formuleras s å att en myndighet ges rätt att få ha direktåtkomst till ett visst register eller vissa uppgifter hos en annan myndighet eller, omvänt, att en myndighet får medge annan myndighet direktåtkomst till sina elektroniska register eller andra informationssamlingar. Sådana bestämmelser innebär dock bara en specialreglering i detta avseende av formen för hur uppgifter får lämnas ut. Eftersom själva utlämnandeformen i sig anses medföra särskilda risker för intrång i enskildas personliga integritet förekommer författningsreglering som begränsar utrymmet för direktåtkomst även såvitt avser personuppgifter som är offentliga.
Bestämmelser om direktåtkomst anses inte ha någon sekretessbrytande verkan (se t.ex. prop. 2004/05:164 s. 83). Avser direktåtkomst uppgifter som omfattas av sekretess hos den utlämnande myndigheten krävs därför författningsstöd i någon sekretessbrytande regel eftersom sekretess även gäller mellan myndigheter (se 8 kap. 1 § OSL). Sådana sekretessbrytande regler måste omfatta hela det initiala tillgängliggörandet eftersom, som tidigare framgått, redan detta tillgängliggörande för andra myndigheter innebär ett utlämnande i tryckfrihetsförordningens och offentlighets- och sekretesslagens mening.
Sekretessregleringen styr således i vilken mån uppgifter över huvud taget får lämnas ut från en myndighet till en annan myndighet, medan bestämmelser om direktåtkomst enbart tar sikte på att reglera formen för utlämnandet. Det sagda har därför i ett flertal lagstiftningsärenden vid reglering av informationsutbyte mellan
myndigheter inneburit att bestämmelserna om direktåtkomst har kompletterats med sekretessbrytande bestämmelser. Dessa har i allmänhet getts formen av sådana föreskrifter i lag eller förordning om uppgiftsskyldighet som avses i 10 kap. 28 § OSL. Det är vanligt att de sekretessbrytande bestämmelserna formulerats som en rätt för mottagande myndighet att ta del av uppgifter, se t.ex. 2 kap. 16 § polisdatalagen (2010:361) och 4 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Den sekretessbrytande uppgiftsskyldigheten får således utläsas motsatsvis.
Det förekommer emellertid även registerförfattningsreglerad direktåtkomst till sekretessbelagda personuppgifter med stöd av den sekretessbrytande generalklausulen i 10 kap. 27 § OSL. Generalklausulen föreskriver sekretessgenombrott om det vid en bedömning framstår som uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda. Ett exempel på detta är Rikspolisstyrelsens, polismyndigheternas och utlandsmyndigheternas direktåtkomst till Migrationsverkets verksamhetsregister, se 6 § förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Denna bestämmelse om direktåtkomst saknar alltså någon korresponderande bestämmelse om uppgiftsskyldighet från Migrationsverket till nämnda myndigheter trots att uppgifterna normalt omfattas av stark sekretess enligt 37 kap. 1 § OSL. En sådan korresponderande bestämmelse om uppgiftsskyldighet föreslogs av Utlänningsdatautredningen i betänkandet Utlänningsdatalag, se SOU 2003:40. Utlänningsdatautredningens förslag har dock inte lett till lagstiftning.
Det är vanligt förekommande att registerförfattningar stadgar att en myndighet får ha direktåtkomst endast till vissa angivna typer av uppgifter hos en annan myndighet beträffande personer som är aktuella i ärenden hos den mottagande myndigheten. Detta innebär att myndigheten bara får söka efter uppgifter om en person efter det att personen har blivit aktuell i ett ärende hos myndigheten. Rent tekniskt måste dock myndigheten normalt ges möjlighet att ta del av sådana uppgifter beträffande alla personer som är registrerade hos den utlämnande myndigheten. Detta då varken den utlämnande eller den mottagande myndigheten i förväg kan veta vilka personer som kan komma att bli aktuella i ärenden hos den mottagande myndigheten. Tolkningen av begränsningsregeln i 2 kap. 3 § tredje stycket TF har därför behandlats i flera lagstift-
ningsärenden rörande elektroniskt informationsutbyte mellan myndigheter. Det har då konstaterats att som huvudregel blir sådan överskottsinformation som en myndighet rent tekniskt har tillgång till hos en annan myndighet i samband med direktåtkomst att betrakta som en allmän handling hos den mottagande myndigheten, även om den mottagande myndigheten enligt den tillämpliga registerförfattningen vid ett givet tillfälle inte har rätt att behandla uppgifterna för egen del. Det sagda anses dock inte gälla beträffande uppgifter som omfattas av ett absolut s.k. sökförbud enligt den aktuella registerförfattningen (prop. 2007/08:126 s. 120 f. och prop. 2007/08:160 s. 66 f.). Resonemangen bakom denna bedömning kommer att närmare redovisas nedan i avsnitt 5.9.1 och 5.9.2. De sekretessbrytande regler som ska möjliggöra uppgiftsutbytet måste bl.a. av detta skäl normalt omfatta även sådan överskottsinformation som den utlämnande myndigheten rent tekniskt gör tillgänglig för den mottagande myndigheten i samband med direktåtkomst (prop. 2007/08:160 s. 70 f.). Sådana sekretessbrytande bestämmelser har således ett relativt omfattande tillämpningsområde.
5.5.2. Sekretesskydd hos mottagande myndighet
5.5.2.1 Allmänt om behovet av sekretesskydd hos mottagande myndighet
En annan fråga vid myndighetsövergripande informationsutbyten genom direktåtkomst till integritetskänsliga personuppgifter är vilket sekretesskydd, om något, som de genom direktåtkomsten tillgängliggjorda uppgifterna får hos en mottagande myndighet. Att frågan är central beror främst på det som tidigare sagts om att alla tekniskt sett åtkomliga upptagningar med personuppgifter inklusive överskottsinformation normalt sett blir allmän handling hos mottagande myndighet redan i och med att det tekniska tillgängliggörandet etableras.
Begränsningar i registerförfattningar angående t.ex. villkor som måste vara uppfyllda för att den mottagande myndigheten ska få använda direktåtkomst och ta del av tillgängliga upptagningar anses, som nyss sagts, inte utgöra sådana begränsningar som avses i begränsningsregeln i 2 kap. 3 § TF som alltså styr om en sammanställning utgör en allmän handling eller inte.
Det är vidare en huvudregel i sekretesslagstiftningen att sekretess normalt sett inte ”följer med” uppgifter när de lämnas ut från en myndighet till en annan myndighet. Anledningen till detta är att inskränkningar i offentlighetsprincipen inte enbart bör bestämmas med hänsyn till sekretessintresset. Sekretessintresset måste vid utformningen av regleringen vägas mot insynsintresset i en myndighets verksamhet. En sådan avvägning kan medföra att samma uppgift omfattas av sekretess hos en viss myndighet men inte när den förekommer i en annan myndighets verksamhet (prop. 1979/80:2 Del A s. 75 f.).
Förekomsten av direktåtkomst och problemet med överskottsinformation har emellertid föranlett införandet av tre specialbestämmelser i offentlighets- och sekretesslagen, 11 kap. 4 §, 25 kap. 2 § samt 15 kap. 1 a §, vilka behandlas i det följande.
5.5.2.2 Den generella regeln om överföring av sekretess till mottagande myndighet vid direktåtkomst
Eftersom det inte alltid finns sekretessbestämmelser som är tillämpliga på sådan överskottsinformation som myndigheten får teknisk tillgång till vid direktåtkomst har det vidare, för det fall uppgifterna omfattas av sekretess hos den utlämnande myndigheten, införts en generell bestämmelse om överföring av sekretess vid direktåtkomst, numera intagen i 11 kap. 4 § OSL. I bestämmelsens ordalydelse används dock inte begreppet direktåtkomst utan där anges att om ”en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten”. Med detta menas att upptagningen ska vara tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § TF (prop. 2007/08:160 s. 164). Sekretessen överförs dock inte när det gäller tillgängliga uppgifter som tas in i beslut hos den mottagande myndigheten. Vidare gäller enligt 11 kap. 8 § OSL att sekretess som är direkt tillämplig hos den mottagande myndigheten, s.k. primär sekretess, har företräde framför överförd sekretess och det oavsett om den primära sekretessen är starkare eller svagare än den överförda sekretessen. Även uttryckliga undantag från den primära sekretessbestämmelsens tillämpningsområde har företräde framför den överförda sekretessen.
I praktiken syftar regleringen till att överskottsinformation, alltså sådan information som är tillgänglig för men inte används av en mottagande myndighet, ska behålla sin sekretessreglering genom den överförda sekretessen ifall det inte finns någon primär sekretessbestämmelse hos mottagarmyndigheten som är tillämplig på överskottsinformationen. I de fall direktåtkomsten faktiskt används av den mottagande myndigheten till att bereda sig tillgång till uppgifter, t.ex. genom läsning eller uttag ur en tillgänglig upptagning, så medför konstruktionen att dessa uppgifter normalt omfattas av en för den mottagande myndighetens verksamhet tillämplig primär sekretessbestämmelse. I samband med införandet av de nu aktuella bestämmelserna gjordes bedömningen att undantagsregeln innebar att bestämmelsen om överföring av sekretess vid direktåtkomst inte rubbade den grundläggande principen i sekretesslagstiftningen att sekretessbehovet alltid ska vägas mot insynsintresset samt att denna avvägning kan utfalla på skilda sätt hos olika myndigheter och inom olika områden (prop. 2007/08:160 s. 34 och 75 f.).
Om uppgifterna har ett svagare sekretesskydd hos den mottagande myndigheten än hos den utlämnande myndigheten kan dock undantagsregeln i 11 kap. 8 § OSL, beroende på hur sekretesskyddet hos den mottagande myndigheten är konstruerat, i vissa fall medföra att stora delar av den utlämnande myndighetens databas får ett svagare sekretesskydd hos den mottagande myndigheten, trots att detta svagare skydd är motiverat bara beträffande de uppgifter som faktiskt används i den mottagande myndighetens verksamhet.
Detta kan föranleda att ytterligare överväganden görs för att åstadkomma ett skydd för sådan överskottsinformation som i och för sig är tekniskt tillgänglig för den mottagande myndigheten men som denna inte använder i sin verksamhet.
I vissa fall anses problemet kunna åtgärdas genom att en teknisk spärr införs mellan den mottagande myndighetens teknikavdelning och handläggarna i den aktuella verksamheten. Spärren gör att handläggarna bara kan få tillgång till uppgifter om sådana personer som faktiskt är aktuella i verksamheten. I motiven till de utökade möjligheterna till elektroniskt informationsutbyte mellan myndigheter som handhar de ekonomiska trygghetssystemen anfördes att den utlämnande myndighetens starkare sekretess kommer i sådana fall att överföras till teknikavdelningen enligt överföringsbestämmelsen i 11 kap. 4 § OSL. Uppgifter som passerar den tekniska spärren för att faktiskt användas i den aktuella verksamheten
kommer dock att omfattas av den svagare sekretessen i denna verksamhet (se prop. 2007/08:160 s. 95 f.).
5.5.2.3 Absolut sekretess för överskottsinformation vid sammanhållen journalföring
Eftersom s.k. överskottsinformation som blir tekniskt tillgänglig för den mottagande myndigheten i samband med direktåtkomst normalt är allmän handling hos den mottagande myndigheten, kan allmänheten begära att få ta del av även sådana uppgifter hos den mottagande myndigheten som den mottagande myndigheten annars av integritetsskäl skulle vara förhindrad att ens titta på. En sådan situation förutsågs i samband med antagandet av patientdatalagen (2008:355). Vid sammanhållen journalföring mellan flera olika vårdgivare – vilket kan innebära olika slags systemlösningar där vårdgivare kan ge och få direktåtkomst till varandras patientinformation – kan en mottagande vårdgivare (vårdgivare A) enligt patientdatalagen som huvudregel bara ta del av patientuppgifter som andra vårdgivare lagt in i systemet om a) vårdgivare A har en aktuell patientrelation med patienten i fråga, b) uppgifterna kan antas ha betydelse för vården och c) patienten dessutom lämnar sitt aktiva samtycke till att vårdgivare A tar del av andra vårdgivares uppgifter. Även om dessa förutsättningar inte är uppfyllda och vårdgivare A därför inte har rätt att titta på andra vårdgivares uppgifter, är dessa andra vårdgivares uppgifter allmänna handlingar hos vårdgivare A förutsatt att denna är en hälso- och sjukvårdsmyndighet eller annat organ som har att tillämpa 2 kap. tryckfrihetsförordningen. Enskilda har därmed rätt att vända sig till vårdgivare A och begära att få ta del av upptagningar som andra vårdgivare gjort tekniskt tillgängliga för vårdgivare A. Med anledning av att en sekretessprövning mot ett skaderekvisit normalt kräver att befattningshavare granskar den handling som begärs ut, infördes därför en ny sekretessbestämmelse av innebörd att det gäller absolut sekretess för andra vårdgivares uppgifter som en vårdgivare har teknisk tillgång till, men som vårdgivaren inte har rätt att titta på enligt patientdatalagen. Bestämmelsen återfinns numera i 25 kap. 2 § OSL.
Konstruktionen innebär att hälso- och sjukvårdspersonalen hos vårdgivare A vid en begäran om utfående av sådana uppgifter inte behöver, i strid med bestämmelserna i patientdatalagen, ta del av de
begärda uppgifterna för att kunna avgöra sekretessfrågan (se prop. 2007/08:126 s. 126 f.). I de fall vårdgivare A däremot har rätt enligt patientdatalagen att ta del av andra vårdgivares uppgifter, dvs. förutsättningarna enligt patientdatalagen är uppfyllda, eller vårdgivare A tidigare har tagit del av uppgifterna med stöd av patientdatalagens bestämmelser om sammanhållen journalföring, gäller i stället sekretess för andra vårdgivares uppgifter med ett omvänt skaderekvisit, dvs. med samma slags sekretess som enligt ordinär hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. De resonemang som låg bakom införandet av denna nya konstruktion kommer att ytterligare beröras i avsnitt 5.9.1.
5.5.2.4 Absolut sekretess för överskottsinformation vid direktåtkomst till utländska eller internationella databaser
Vidare finns en nyligen införd bestämmelse (15 kap. 1 a § OSL) om absolut sekretess för sådan uppgift som en myndighet har elektronisk tillgång till i en upptagning för automatiserad behandling hos en annan stat eller mellanfolklig organisation, om myndigheten inte får behandla uppgiften enligt en bindande EU-rättsakt eller av Sverige eller EU ingånget avtal med annan stat eller mellanfolklig organisation. Bestämmelsen trädde i kraft den 1 december 2012.
I motiven (prop. 2011/12:157 s. 8) konstaterades att uppgifter i utländska databaser, som i samband med direktåtkomst görs elektroniskt tillgängliga för den mottagande myndigheten, är allmänna handlingar hos den svenska myndigheten, även om myndigheten till följd av ändamålsbegränsningar eller villkorade sökbegränsningar inte har rätt att behandla uppgifterna. Vid en begäran om att få ta del av en allmän handling enligt 2 kap. tryckfrihetsförordningen är den svenska myndigheten således skyldig att söka fram och i vissa fall lämna ut uppgifter som inte omfattas av överenskommelsen om informationsutbyte, eftersom uppgifterna är tekniskt tillgängliga för myndigheten och därmed utgör allmänna handlingar.
Syftet med bestämmelsen är att säkerställa att svenska myndigheter inte ska behöva göra sådana sökningar i databaser hos andra stater eller mellanfolkliga organisationer som skulle kunna anses vara i strid med unionsrätten eller våra folkrättsliga förpliktelser. För att bestämmelsen ska fylla sitt syfte i detta avseende, framhöll
regeringen, måste den utformas så att den kan tillämpas utan att en sökning måste göras. Det krävdes därför att bestämmelsen skulle innebära absolut sekretess för de uppgifter som den svenska myndigheten har tillgång till i den utländska databasen men som myndigheten inte får behandla (a. prop. s. 11 f.). Eftersom det aktuella problemet uppstår vid de flesta fall av internationellt uppgiftsutbyte genom direktåtkomst, har bestämmelsen gjorts generell. I motiven ges följande exempel på informationsutbyten som bestämmelsen förutsatts omfatta (a. prop. s. 12 f.).
- EU:s viseringsdatabas. Sökningar i EU:s viseringsdatabas får enligt VIS-rådsbeslutet endast ske för vissa närmare angivna ändamål.
- Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, det s.k. Prümrådsbeslutet. Enligt Prümrådsbeslutet ska medlemsstaterna ge varandra direktåtkomst till sina DNA-, fingeravtrycks- och fordonsregister. Författningsändringar som möjliggör sådant uppgiftsutbyte har genomförts i lagen (2000:343) och förordningen (2010:705) om internationellt polisiärt samarbete.
- Transportstyrelsens direktåtkomst till övriga EU-medlemsstaters register över vägtransportföretag enligt Europaparlamentets och rådets förordning (EG) nr 1071/2009 av den 21 oktober 2009 om gemensamma regler beträffande de villkor som ska uppfyllas av personer som bedriver yrkesmässig trafik och om upphävande av rådets direktiv 92/26/EG.
- EU medlemsstaterna har genom Europaparlamentets och rådets direktiv 2011/82/EU av den 25 oktober 2011 om underlättande av ett gränsöverskridande informationsutbyte om trafiksäkerhetsrelaterade brott kommit överens om att ge varandra direktåtkomst till sina vägtrafikregister i syfte att förbättra trafiksäkerheten.
5.5.2.5 Databassekretess i särskilda fall
Utöver de ovan nämnda sekretessbestämmelserna kan pekas på att det finns särskilda materiella sekretessbestämmelser som reglerar sekretess i verksamhet som avser förande av eller uttag ur ett visst
angivet register eller en viss databas, se t.ex. 25 kap. 16 § (donationsregistret), 27 kap. 1 § (beskattningsdatabasen), 27 kap. 3 § (tulldatabasen) eller 35 kap. 3 § (belastningsregistret). Sådana bestämmelser är primära sekretessbestämmelser såväl hos en registerförande myndighet som hos myndigheter som genom direktåtkomst har tillgång till registren. Sekretessen gäller dock bara så länge uppgifter finns kvar i registren. Görs ett uttag av en uppgift eller uppgiften på annat sätt används i en myndighets verksamhet, upphör den särskilda registersekretessen att vara tillämplig på uppgiften. Då kan i stället andra sekretessbestämmelser som gäller i de aktuella verksamheterna bli tillämpliga på uppgiften.
5.6. Allmänt om handlingsoffentlighetens syften och reformarbetet med anledning av den elektroniska informationshanteringen
Offentlighetsprincipen – som handlingsoffentligheten är en del av – beskrivs ofta som den grundsats enligt vilken samhällsorganen verksamhet ska ske under allmän insyn och kontroll. Genom tillgången till allmänna handlingar får allmänheten och massmedierna en allsidig och objektiv information om myndigheternas handläggning av ärenden och verksamhet i stort. Handlingsoffentligheten möjliggör en fri och konstruktiv debatt i skilda samhällsfrågor samtidigt som den är en väsentlig förutsättning för den medborgerliga kontrollen av att den offentliga makten utövas under lagarna. Sammanfattningsvis brukar syftet härmed sägas vara att garantera rättssäkerheten samt effektiviteten i förvaltningen och folkstyret (se t.ex. prop. 2001/02:70 s. 9). Av 2 kap. 1 § TF framgår emellertid att handlingsoffentligheten även har ett vidare syfte, nämligen att främja ett fritt meningsutbyte och en allsidig upplysning. Handlingsoffentligheten fyller därmed ett syfte som informationsförsörjare i vid mening.
I en rapport från år 1988 författad av professor Peter Seipel (ADB-upptagningars offentlighet, IRI-rapport 1988:1, Institutet för rättsinformatik, Stockholms universitet, bilaga 2 till SOU 1988:64) fångades det nyss sagda genom följande kategorisering av tre olika inslag i handlingsoffentligheten; ärendeinsyn, verksamhetsinsyn och kunskapsinsyn. Medan ärendeinsyn avser insyn i handlingar hänförliga till vissa ärenden avser verksamhetsinsyn något mer omfattande, nämligen insyn i syfte att ge inblick i myndigheternas
verksamhet över huvud taget och inte endast i deras ärenden. Verksamhetsinsynen är dock begränsad genom att insynen ska syfta till att ge möjlighet till inblick i just myndigheternas verksamhet, t.ex. för att kunna bedöma lämpligheten i myndighetens åtgärder i vid mening. Den för offentlighetsprincipen mest vidsträckta insynskategorin är kunskapsinsynen. Med kunskapsinsyn avses att myndigheternas informationssamlingar ses som en gemensam tillgång som står till allmänhetens fria förfogande alldeles oberoende av syfte. I den nämnda rapporten beskrevs den svenska handlingsoffentligheten som en verksamhetsinsyn på gränsen mot kunskapsinsyn. Genom informationsteknikens snabba utveckling har allmänheten successivt fått en alltmer effektiv tillgång till myndigheternas information. På det sättet kan sägas att inslaget av kunskapsinsyn i handlingsoffentligheten snarare har ökat än minskat de senaste årtiondena.
En grundsats i det reformarbete som pågått alltsedan början av 1970-talet har varit att övergången till ny informationsteknik inte ska leda till någon inskränkning i offentlighetsprincipen. Handlingsoffentligheten bör i den meningen vara teknikoberoende. Ambitionen har i stället snarare varit att allmänhetens insynsrätt ska utökas i takt med de utökade möjligheter som tekniken ger. Parallellt med denna ambition har dock eftersträvats att offentlighetsprincipens tillämpning på elektroniskt lagrad information inte ska hota enskildas berättigade krav på skydd mot otillbörliga intrång i deras personliga integritet. Vidare har beaktats att allmänna intressen inte ska motverkas i någon betydande mån genom offentlighetsprincipens tillämpning på elektronisk informationsteknik.
I reformarbetet har likställighetsprincipen genomgående betraktats som en hörnsten när det gäller modern informationsteknik och allmänhetens tillgång till myndigheters elektroniska informationssamlingar. Utvecklingen av den elektroniska informationshanteringen med enormt utökade möjligheter att samla, söka, sammanställa och lämna ut även stora mängder information har genererat olika frågeställningar om hur den nya tekniken förhåller sig till offentlighetsprincipen och till 2 kap. tryckfrihetsförordningens begreppsapparat. Bland annat har möjligheten och lämpligheten i att applicera tryckfrihetsförordningens handlingsbegrepp på elektroniskt lagrad information diskuterats och övervägts genom åren. I flera lagstiftningsärenden har exempelvis diskuterats om begreppet ”handling” som tryckfrihetsförordningens minsta byggsten bör bytas ut mot begreppet ”uppgift” och därmed om ”allmän uppgift” i stället
för ”allmän handling” bör vara objektet för allmänhetens rätt till insyn. Även förvaringskriteriet har diskuterats i olika avseenden när det gäller elektroniskt lagrad information (se närmare om förvaringskriteriet ovan i avsnitt 5.2.2). I det sammanhanget har även offentlighetsprincipens räckvidd beträffande det som kommit att kallas potentiella handlingar varit en särskilt komplicerad fråga (se i avsnitt 5.2.1 ovan om begreppet potentiell handling). Härutöver har det förhållandet att offentligheten kan sägas ha räckvidd över myndighetsgränserna behandlats och ifrågasatts genom åren. Formerna för utlämnande av allmänna handlingar har också diskuterats från tid till annan.
Något förenklat kan sägas att det i diskussionerna förefaller ha rått en relativ samsyn om att det finns problem med den under 1970-talet utformade regleringen i 2 kap. tryckfrihetsförordningen men att många ansett att man riskerar att skapa nya problem om den grundläggande konstruktionen eller begreppsapparaten ändras.
5.7. Om likställighetsprincipen
Med likställighetsprincipen avses i detta sammanhang den för handlingsoffentligheten grundläggande principen om att allmänheten ska ha tillgång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten själv (bortsett från eventuell sekretess som kan gälla). Likställighetsprincipen anses gälla oavsett om myndigheten faktiskt själv har tagit fram en begärd upptagning eller inte och oberoende av om myndigheten har anledning eller ens intresse av att framdeles ta fram informationen i fråga (SOU 1988:64 s. 70 f.).
Likställighetsprincipen kan sägas ha lanserats av Offentlighets- och sekretesslagstiftningskommittén (OSK) som i början av 1970talet hade i uppdrag att behandla frågor om offentlighetsprincipen och ADB-tekniken. Kommittén övervägde bl.a. behovet av skydd mot opåkallade ingrepp i den personliga integriteten som ADBtekniken riskerade att föra med sig. Genom OSK:s arbete kom upptagningar att inordnas i 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet.
Utgångspunkten för OSK:s förslag när det gäller 2 kap. tryckfrihetsförordningen var alltså principen att ADB-lagrad information hos myndighet borde vara tillgänglig för enskilda i samma utsträckning som den är det för myndigheten själv. Här formu-
lerades sålunda likställighetsprincipen för första gången i utredningssammanhang. Till stöd för denna princip anförde OSK att det är den information som myndigheten har tillgång till som är av betydelse för kontrollen av myndigheterna, för bedömningen av kritik mot myndigheterna och för att tillgodose behovet av underlag för samhällsdebatten, dvs. för de skäl som bär upp offentlighetsprincipen (SOU 1972:47 s. 66). OSK anförde vidare följande angående de praktiska konsekvenser som likställighetsprincipen medför (a. a. s. 66).
Har uppgifter matats in i datamaskin och lagras de i oförändrat skick i ett dataminne, finns i praktiken alltid möjlighet för myndighet som förfogar över den upptagning som har ägt rum att ta del av uppgiftsinnehållet. Samma möjlighet bör den enskilde ha. Om uppgifterna inte finns kvar oförändrade utan har gjorts till föremål för bearbetning – exempelvis på det sättet att de sammanställts på särskilt sätt eller sammanförts med andra utom eller inom myndigheten tillgängliga data – är det resultatet av bearbetningen som allmänheten har anspråk på att få del av under förutsättning att detta finns bevarat på datamedium.
Av uttalandet framgår att resonemangen om likställighetsprincipen redan från början har varit knutna till frågeställningar om offentlighetsprincipens räckvidd såvitt avser det som så småningom kommit att kallas för potentiella handlingar. I den proposition som efter OSK:s slutbetänkande föregick 1976 års ändringar av 2 kap. tryckfrihetsförordningen formulerades därefter tesen om att potentiella handlingar är allmänna handlingar bara om de kan tas fram med rutinbetonade åtgärder, se prop. 1975/76:160 s. 90.
Som framgått i avsnitt 5.2.2 förtydligades och lagfästes detta ställningstagande på förslag av Offentlighets- och sekretesskommittén (OSEK) genom 2002 års ändringar av 2 kap. 3 § TF. Enligt föredragande departementschef i 1976 års lagstiftningsärende bör myndighetens egen användning av upptagningar lika lite som beträffande konventionella pappershandlingar generellt sätta någon gräns för allmänhetens informationstillgång. ”Uppgifter som i mera faktisk bemärkelse är tillgängliga för en myndighet bör i princip vara det också för allmänheten, vare sig uppgifterna är fixerade i en vanlig handling eller i ett dataminne” (a. prop. s. 88).
Likställighetsprincipen har alltsedan den formulerades i början på 1970-talet varit en utgångspunkt i olika lagstiftningsärenden då offentlighetsprincipens räckvidd diskuterats och då inte bara utifrån de problem som är förknippade med potentiella handlingar.
Redan i 1976 års lagstiftningsärende kan principen sägas ha fått genomslag även i samband med införandet av den s.k. begränsningsregeln i 2 kap. 3 § TF, dvs. den bestämmelse som från förvaringskriteriet och därmed från begreppet allmänna handlingar undantar personuppgifter som en myndighet är rättsligt förhindrad att göra tillgängliga. Här kan dock påpekas att begränsningsregeln i sin ursprungliga lydelse och fram t.o.m. år 2002 enbart rörde begränsningar genom lag, förordning eller Datainspektionens föreskrifter att ta fram uppgifter i personregister. När det gällde begränsningsregeln anförde föredragande departementschefen i 1976 års lagstiftningsärende att det kan finnas behov av att förbjuda en handläggande myndighet att för eget bruk ta fram uppgifter av visst slag eller i vissa kombinationer trots att dessa är tekniskt tillgängliga för myndigheten i den mening som avses med tillgänglighetsrekvisitet. Så kunde t.ex. vara fallet när flera myndigheter var för sig är anslutna till ett databassystem som innehåller data för skilda användningsområden. Om sådana rättsliga befogenhetsbegränsningar inte skulle få genomslag också i en motsvarande begränsning i offentlighetsprincipens räckvidd, kunde man, menade departementschefen, räkna med återkommande krav på sekretessbeläggning av personuppgifter, vilket inte torde tjäna offentlighetens sak. Vidare skulle begränsningsregeln inte inkräkta på den viktiga funktionen hos offentlighetsprincipen att ge insyn i myndighetens eget beslutsunderlag. Därför borde förbud för myndigheten att använda vissa söknycklar eller att annars ta ut viss information ha verkan att inte heller allmänheten hos den myndigheten kan göra anspråk på samma information. Departementschefen påpekade vidare att förbud för myndigheten utan denna verkan på allmänhetens möjligheter knappast skulle kunna upprätthållas mot den användande myndigheten (prop. 1975/76:160 s. 87 f.). Dessa förarbetsuttalanden kan sägas vara ett exempel på att likställighetsprincipen inte bara tillämpats för att i någon mening vidga offentlighetsprincipens räckvidd utan även för att snäva in den på så sätt att begränsningar för myndigheten också ska gälla för allmänheten.
Ett annat exempel på resonemang utifrån likställighetsprincipen är övervägandena bakom införandet år 1992 av inskränkningen av begreppet förvar i 2 kap. 3 § andra stycket TF om att en upptagning är förvarad hos myndigheten bara om den är tillgänglig för myndigheten för överföring till uppfattbar form med tekniskt hjälpmedel som myndigheter själv utnyttjar. Dessförinnan gällde att en enskild kunde med stöd av 2 kap. tryckfrihetsförordningen ställa
egen datorkapacitet eller programvara till en myndighets förfogande och begära att myndigheten bearbetade sina informationssamlingar med hjälp av denna. Enligt Data- och offentlighetskommittén (DOK), på vars förslag ändringarna gjordes, stred denna möjlighet mot likställighetsprincipen. Vidare innebar förslaget, menade DOK, ingen begränsning i offentlighetsprincipens syfte att tillgodose kontroll- och insynsintresset. Genom förslaget ökade vidare förutsebarheten när det gäller potentiella handlingar samt skapades garantier för att datalagens regler inte åsidosattes när det gäller personregister (SOU 1988:64 s. 133 f.). I den efterföljande propositionen anfördes att en offentlighetsinsyn som bara omfattar handlingar som myndigheten använder i sin verksamhet eller enkelt kan framställa med egen datorutrustning eller programvara skulle innebära en ökad likställighet mellan myndigheten och den enskilde i förhållande till den tidigare lydelsen av tillgänglighetsrekvisitet i det avseendet, som alltså inte var begränsat till att omfatta sådant som var tillgängligt för myndigheten med tekniskt hjälpmedel som myndigheten själv förfogade över (prop. 1990/91:60 s. 29 f.).
Likställighetsprincipen har också åberopats i rättstillämpningen. Ett exempel är ett regeringsbeslut från mitten av 1980-talet (1984-05-17, Justitiedepartementet dnr 2136-83). I det ärendet hade Datainspektionen med stöd av datalagen beslutat begränsande föreskrifter om vilka bearbetningar en länsstyrelse fick göra av folkbokföringsregistret i ”sitt arbete enligt 2 kap. 1 och 13 §§ TF”. Motsvarande föreskrifter gavs inte för länsstyrelsens egen verksamhet. Regeringen undanröjde föreskriften eftersom den begränsade allmänhetens tillgång till allmänna handlingar i förhållande till länsstyrelsens egen tillgång. Den stred således mot likställighetsprincipen.
Likställighetsprincipen har även diskuterats i Datalagskommitténs arbete och i OSEK:s översyn av bl.a. 2 kap. tryckfrihetsförordningens begreppsapparat. Se nästföljande avsnitt.
Likställighetsprincipen diskuterades också i samband med den ändring i 2 kap. 10 § TF som innebar att säkerhetskopior undantogs från att vara allmänna handlingar. Enligt E-offentlighetskommittén innebar det faktum att säkerhetskopierad information hanteras utanför myndigheternas egentliga verksamhet och med syftet att vid behov kunna användas för att återställa förlorad information från verksamhets- och driftsmiljön, att något befogat insynsintresse inte skulle trädas för när om säkerhetskopierad information inte längre skulle omfattas av allmänhetens rätt till insyn. Så
länge syftet med säkerhetskopieringen enbart är att kunna återställa förlorade data åsidosattes enligt kommittén inte likställighetsprincipen (SOU 2009:5 s. 125). Först om en säkerhetskopierad handling faktiskt används och överförs för att användas i myndighetens verksamhets- eller driftsmiljö uppstår något egentligt insynsintresse. Vissa remissinstanser ifrågasatte dock om det föreslagna undantaget inte var ett ingrepp i likställighetsprincipen. Regeringen höll med om att ett undantag i viss utsträckning innebär ett ingrepp i likställighetsprincipen. Regeringen ansåg dock att skälen mot insynsrätt motiverade ett sådant ingrepp (prop. 2009/10:58 s. 24).
5.8 2 kap. tryckfrihetsförordningen och frågan om myndigheternas yttre gränser
Den utredning som senast föreslog mer omfattande förändringar i 2 kap. tryckfrihetsförordningen var Datalagskommittén (SOU 1997:39 Integritet Offentlighet Informationsteknik). Förutom förslaget till en ny persondatalag, som kom att genomföras genom införandet av personuppgiftslagen, lämnades flera förslag till ändringar i 2 kap. tryckfrihetsförordningen. Till en början föreslogs att grundbegreppet för offentlighetsinsynen i 2 kap. tryckfrihetsförordningen skulle vara ”allmän uppgift” i stället för ”allmän handling”. Sådana uppgifter som förvaras hos myndigheten i ”handlingar” eller ”databaser” skulle vara allmänna. Begreppen handling och databas skulle alltså närmast vara ”förvaringsplatser” för uppgifter.
Datalagskommittén fann vidare att gällande rätts tillgänglighetsrekvisit såvitt avser förvaringskriteriet för upptagningar (se 2 kap. 3 § TF andra stycket första meningen) med den tekniska utvecklingen hade blivit orimligt då myndigheter, t.ex. via internet, numera har tillgång till ofantliga mängder information som enligt tryckfrihetsförordningens regelverk blir förvarade och inkomna allmänna handlingar hos varje myndighet. När reglerna i 2 kap. tryckfrihetsförordningen och tillgänglighetsrekvisitet utformades hade en myndighet bara åtkomst till sådana uppgifter som hade anknytning till myndighetens verksamhet. I allt större utsträckning förekommer emellertid att myndigheter är uppkopplade till andra myndigheters eller enskildas databaser, t.ex. via internet. Tillgänglighetsrekvisitet, konstaterade kommittén, hade därmed med tiden fått helt andra konsekvenser än vad som var avsett från början.
Enligt kommittén är det en förutsättning för att offentlighetsprincipen ska kunna fungera i praktiken att gränserna mellan myndigheterna och deras informationstillgångar upprätthålls. Myndigheterna kan annars inte hålla en god offentlighetsstruktur beträffande all extern men i formell mening tillgänglig information, vilket försämrar förutsättningarna för att allmänheten ska kunna få tillgång till informationen. Kommittén föreslog därför en ny reglering i 2 kap. tryckfrihetsförordningen som innebar att det till skillnad från tidigare skulle sättas upp gränser för vad som är en myndighets information. Detta skulle ske genom att tillgänglighetsrekvisitet utmönstrades från 2 kap. 3 § TF liksom den särskilda regeln i 2 kap. 6 § TF om när en upptagning ska anses ha kommit in till en myndighet. I stället föreslogs en regel om att en uppgift anses förvarad hos en myndighet, om den fysiskt finns hos myndigheten eller om den finns i myndighetens elektroniska arkiv, dvs. om den finns i ett ”utrymme” som tillhör myndigheten. Med elektroniskt arkiv kunde t.ex. avses en dator i myndighetens lokaler eller ett elektroniskt förvar som tillhör myndigheten men som finns på annan plats. På så sätt uppnåddes en samordning mellan konventionella och elektroniska handlingar. En handling skulle vidare anses inkommen när den anlänt till myndighetens lokaler eller nått fram till ett elektroniskt förvar som tillhör myndigheten. Beträffande hur den föreslagna nyordningen skulle falla ut när det gäller gemensamma databaser anförde kommittén följande (SOU 1997:39 s. 515 f.).
En databas kan vara gemensam för flera myndigheter. Det kan t.ex. finnas ett centralt register som regionala myndigheter inom samma organisation har helt eller delvis tillgång till. På motsvarande sätt kan myndigheter ha åtkomst till varandras databaser. Vem anses i dessa fall förvara databasen? Var basen finns rent fysiskt har enligt vårt resonemang ingen betydelse. Den omständigheten att en myndighet kan ”se” eller hämta uppgifter från t.ex. ett nationellt register medför inte att det anses förvarat hos myndigheten (givetvis blir de uppgifter som väl hämtas till myndigheten tillhöriga denna). Om myndigheten däremot kan påverka innehållet i databasen genom att självständigt föra in eller ta bort uppgifter får situationen anses vara den omvända. Den myndigheten får anses ha registret i sitt förvar. För myndigheten in uppgifter i en databas uteslutande enligt instruktioner av den myndighet som administrerar databasen kan emellertid inte den förstnämnda myndigheten sägas förvara databasen. Sådana osjälvständiga uppdateringar kan bestå i att en myndighet – i stället för att t.ex. expediera beslut till en annan myndighet – skickar uppgifter i elektronisk form till en annan myndighets dator i det format som den sistnämnda myndigheten bestämmer.
I det fallet kan man inte tala om att den uppgiftslämnande myndigheten skulle ha databasen i sitt förvar. Det kan även tänkas förekomma fall där flera myndigheter helt eller delvis har samma databas i sitt förvar (på motsvarande sätt kan samma handling förekomma hos flera myndigheter). I det fallet prövar var myndighet för sig utlämnanden av uppgifter ur hela databasen. Varje myndighet har därvid att tillämpa de sekretessbestämmelser som gäller för den myndigheten. Sammantaget skall den myndighet (eller de myndigheter) som ansvarar för databasen anses förvara den.
Beträffande inkomna handlingar anförde kommittén bl.a. följande (a. a. s. 518).
Vår syn på förvaring gör det möjligt att såsom i traditionell miljö knyta inkommandepunkten till huruvida uppgifter har nått fram till ett ”utrymme” som tillhör myndigheten. Överlämnas elektroniskt material genom att en databärare överbringas till myndigheten, t.ex. med vanlig post eller bud, bör materialet anses inkommet när databäraren anländer till myndigheten. På motsvarande sätt bör IT-material som överförs elektroniskt anses ha kommit in när de elektroniska impulser som representerar handlingen har nått fram till myndighetens elektroniska arkiv – antingen till en dator i myndighetens lokaler eller till ett elektroniskt förvar som tillhör myndigheten men som finns på annan plats. En sådan reglering blir enkel att tillämpa eftersom den följer samma principer som för traditionella handlingar. Lagtekniskt krävs, beträffande databärare som överbringas till myndigheten, endast att den nuvarande tillgänglighetsprincipen tas bort så att huvudregeln för traditionella handlingar blir tillämplig också på IT-material. Beträffande material som överförs elektroniskt kan inkommandepunkten i princip bestämmas på samma sätt som IT-utredningen har föreslagit för den processuella regleringen, dvs. att data skall ha nått myndighetens elektroniska adress. Även i denna del blir regleringen alltså mer lättbegriplig. Den som handlägger en fråga om utlämnande har, i analogi med vad som redan gäller för traditionell miljö, att utgå från de lagringsenheter som finns hos myndigheten, inte vilka uppgifter som tekniskt kan nås oberoende av fysiska och logiska gränser mot andra myndigheters och enskildas informationstillgångar. För att göra regleringen så enkel som möjligt bör samma terminologi användas i 2 kap. TF för såväl förvaring som inkommande. Elektroniskt material som överlämnas genom att en databärare överbringas till myndigheten (t.ex. en diskett) anses enligt detta resonemang inkommet när databäraren anländer till myndigheten, medan material som överförs elektroniskt (t.ex. via e-post) anses ha kommit in när data som representerar handlingen har nått fram till ett elektroniskt arkiv som tillhör myndigheten.
Enligt kommittén innebar förslagen ett återskapande av de myndighetsgränser som borde upprätthållas. Vidare framhöll kommittén att förslagen inte utgjorde någon inskränkning av allmänhetens rätt till insyn, eftersom allmänheten alltid kan vända sig till den myndighet som har uppgifterna bland sina informationstillgångar. Vidare föreslog kommittén att en myndighet A, som hade teknisk tillgång till myndighet B:s information, skulle vara skyldig att såsom en serviceåtgärd enligt dåvarande 15 kap. 4 § sekretesslagen (motsvarar i detta hänseende 6 kap. 4 § OSL) förmedla myndighet B:s information till en enskild, dock utan att informationen som sådan blev inkommen allmän uppgift hos A. Enligt kommittén var det en fördel att den myndighet som hade en naturlig anknytning till informationen var den som hade att göra sekretessprövningen innan informationen lämnades ut via den förmedlande myndigheten (s. 539).
Datalagskommitténs förslag genomfördes inte men blev föremål för ytterligare överväganden av Offentlighets- och sekretesskommittén (OSEK) i delbetänkandet Offentlighetsprincipen och den nya tekniken, SOU 2001:3.
OSEK fann emellertid till skillnad från Datalagskommittén att begreppet ”handling” borde behållas som det centrala grundbegreppet i grundlagsreglerna om allmänna handlingar. Vidare föreslog OSEK att det uttryckligen skulle framgå att allmänhetens insynsrätt omfattar dels sammanställningar av uppgifter som kan göras tillgängliga med rutinbetonade åtgärder, dels befintliga allmänna handlingar – eller färdiga elektroniska handlingar som det kommit att kallas – alldeles oberoende av om de kan tas fram med rutinbetonade åtgärder eller inte. Någon ändring av handlingsoffentlighetens räckvidd i förhållande till gällande rätt avsågs alltså inte, vare sig när det gäller färdiga elektroniska handlingar eller potentiella handlingar, eftersom en sådan inte skulle vara förenlig med likställighetsprincipen. När det gäller likställighetsprincipen och potentiella handlingar utvecklade OSEK sitt resonemang enligt följande (a. a. s. 137 f.)
Likställighetsprincipen är enligt vår mening den ”rågång” som skall avgränsa myndigheters skyldigheter enligt 2 kap. TF från andra mer servicebetonade plikter att bistå allmänheten med information från myndigheterna. Av detta skäl föreslår vi ingen ändring när det gäller den principiella uppdelningen av möjligheterna till insyn enligt 2 kap. TF respektive enligt 15 kap. 4 § SekrL; det förstnämnda skall ta sikte på rätten att ta del av allmän handling och det andra på rätten att ta del av uppgift ur allmän handling.
När det gäller de konventionella handlingarna är den nämnda ”rågången” av naturliga skäl tydlig. Att myndigheterna skulle vara skyldiga att sammanställa uppgifter ur de konventionella handlingarna framstår enligt vår uppfattning som ett klart avsteg från likställighetsprincipen, eftersom det skulle innebära att en myndighet inte längre hade rätt att neka till att utföra särskilt arbete. Det kan inte anses rimligt att lägga ett sådant omfattande merarbete på myndigheterna. Till skillnad från Datalagskommitte
́n föreslår vi därför ingen ändring i gällande bestäm-
melser i detta avseende. I fråga om den datalagrade information är ”rågången” dock långtifrån lika tydlig och klar. Kritikerna hävdar att den nu gällande grundlagsfästa skyldigheten för myndigheterna att tillhandahålla ett visst informationsuttag befinner sig på fel sida om denna ”rågång”. Vid ett närmare betraktande av vilken rätt till insyn som blir kvar om man skulle gå kritikerna till mötes, förefaller det dock som om man inte bara hamnar på andra sidan ”rågången” utan dessutom en avsevärd bit ifrån denna. Om den grundlagsfästa rätten till insyn i den datalagrade informationen enbart skulle ta sikte på de handlingar som faktiskt existerar vid tidpunkten för en begäran, lämnas ju de möjligheter till lättåtkomlig information som den nya tekniken medger helt utan avseende. En sådan hållning förefaller alltså inte nödvändig för att i den elektroniska miljön upprätthålla principen att myndigheter skall ha rätt att neka till att utföra särskilt arbete. Resultatet skulle i stället enligt vår mening bli att likställighetsprincipen långt ifrån kan anses uppfylld. Den avgränsning som hitintills gällt genom kriteriet ”rutinbetonade åtgärder” uttrycker i stället en bättre avvägning för att ”rågången” skall framstå som tillfredsställande tydlig och klar. Enligt vår uppfattning skall handlingsoffentligheten alltså även i fortsättningen ha den räckvidd som den har i dag. Allmänhetens nu gällande rätt att inom handlingsoffentlighetens ram erhålla en begärd sammanställning av uppgifter, om den kan göras tillgänglig med rutinbetonade åtgärder, bör således behållas. Handlingsoffentligheten kan härigenom sägas ha inslag av en insynsrätt som tar sikte på uppgifter. De begärda uppgiftssammanställningar som det här blir fråga om ligger dock så ”nära till” för myndigheterna att det inte finns skäl att skilja allmänhetens tillgång till dem från dess tillgång till redan existerande allmänna handlingar.
När det gäller begränsningsregeln i nuvarande 2 kap. 3 § tredje stycket TF – som innebär att information i upptagning som myndigheten saknar rättslig befogenhet att ta fram i sin verksamhet inte ens anses förvarad hos myndigheten – konstaterade OSEK att den kan sägas vara ett uttryck för likställighetsprincipen. Skälet härtill är att regelns syfte är att allmänheten inte med stöd av offentlighetsprincipen ska kunna göra anspråk på att få ta del av information hos myndigheten som myndigheten av hänsyn till skyddet för den personliga integriteten själv är förhindrad att använda sig av
(a. a. s. 144). Enligt OSEK fanns det fog för fortsatta begränsningar i offentlighetens räckvidd, dock med vissa moderniseringar, främst med hänsyn till att datalagen ersatts av personuppgiftslagen. Vad gäller den sistnämnda lagen bedömde OSEK att begränsningar till följd av personuppgiftslagen aldrig kunde slå igenom som sådana begränsningar som avses i 2 kap. 3 § TF; detta med tanke på vad 8 § PUL anger om att lagen inte är tillämplig i den mån den skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Vidare föreslog OSEK att det uttryckligen skulle framgå av begränsningsregeln att den endast kan avse begränsningar i lag eller förordning att göra sammanställningar av uppgifter. Förslaget – som alltså genomfördes genom en ändring i tryckfrihetsförordningen som trädde i kraft år 2003 – innebar således att det skulle stå klart att en inkommen eller upprättad färdig elektronisk handling är en allmän handling hos en myndighet alldeles oavsett om det i en registerförfattning som gäller för myndigheten föreskrivs ett sökförbud eller liknande som innebär att myndigheten inte själv får använda ett sökbegrepp för att söka fram handlingen i fråga. En motsatt regel skulle, påpekade OSEK, annars medföra att en färdig elektronisk handling i en elektronisk akt på grund av begränsningar i tillämplig registerlag aldrig skulle utgöra en allmän handling (a. a. s. 145).
OSEK resonerade vidare om de problem med att definiera myndigheters yttre gränser som Datalagskommittén hade behandlat i sitt betänkande (SOU 1997:39). OSEK fann dock inte skäl till att föreslå någon ändring i 2 kap. tryckfrihetsförordningens begreppsapparat på sätt Datalagskommittén föreslagit. OSEK ansåg således att begreppet förvar borde behållas såsom det använts tidigare, dvs. med dess tillgänglighetsrekvisit. Vidare ansåg OSEK att biblioteksregeln i 2 kap. 11 § TF (se avsnitt 5.2.3) ger en tillräcklig garanti för att den insyn som handlingsoffentligheten innebär får en rimlig proportion i det avseendet när det gäller insyn i externa databaser hos enskilda organ. När det gäller information som myndigheter har tillgång till via anslutning till andra myndigheters databaser ansåg OSEK, till skillnad från Datalagskommittén, att en inskränkning av begreppet förvar i flera avseenden skulle innebära en försämring av insynsrätten och ett avsteg från likställighetsprincipen (a. a. s. 170). Allmänheten skulle alltså i fråga om upptagningar inte längre ha tillgång till den externa informationen hos andra myndigheter i samma utsträckning som den är tillgänglig för den anslutna myndigheten själv. Om möjligheten till insyn i stället knöts
till servicebestämmelserna i 15 kap. sekretesslagen skulle det innebära en försvagad insyn i och med att myndighetens ställningstaganden inte skulle kunna gå att överklaga. För den enskilde skulle det vidare bli omständligare att behöva vända sig till flera olika myndigheter än till en enda. Det skulle vidare leda till effektivitetsförluster för såväl den enskilde som för myndigheterna, som var och en skulle behöva vidta olika åtgärder för att ta fram önskad informationsmängd. Datalagskommitténs förslag skulle dessutom, framhöll OSEK, innebära att de möjligheter till lättåtkomlig information som tekniken medger inte utnyttjas. Det sagda skulle även gälla integrerat informationsutbyte mellan myndigheter. På det viset skulle en inskränkning av begreppet förvar inte heller ligga i linje med den pågående utvecklingen av it-användningen på myndighetsområdet, menade OSEK.
OSEK:s bedömningar och förslag i här nämnda hänseenden delades av regeringen i den proposition där de ändringar av 2 kap. 3 § TF som trädde i kraft den 1 januari 2003 föreslogs (prop. 2001/02:70).
När det gäller frågeställningar kring de ibland diskuterade problemen med att sekretessbestämmelser kan vara så utformade att de inte alltid är tillämpliga hos myndigheter som är anslutna till en annan myndighets databas eller att begränsningar i registerförfattningar inte alltid gäller för anslutna myndigheter ansåg OSEK att en begränsning av begreppet förvar inte utgjorde någon lösning (a. a. s. 178 f.). Enligt OSEK borde problemen i stället lösas genom att en viss försiktighet iakttas innan spridning av uppgifter utanför ett sekretessområde eller utanför en registerförfattnings tillämpningsområde medges. Även om begreppet förvar skulle begränsas, innebär en myndighets anslutning till en annan myndighets databas att uppgifterna sprids eller görs tillgängliga för sökning eller sammanställning utanför det område där uppgifterna var tänkta att skyddas. Det bör, menade OSEK, hållas i åtanke när man ska ta ställning till om en myndighet ska medges åtkomst till en annan myndighets datasystem eller ett för flera myndigheter gemensamt datasystem ska upprättas. Behov av fortsatt skydd för vissa uppgifter kan då föranleda ändringar av sekretessbestämmelser eller registerförfattningar.
5.9. Senare års diskussion om överskottsinformation i några lagstiftningsärenden m.m.
Som anges i våra direktiv har konsekvenserna av den nuvarande innebörden av begreppet förvar och frågan om s.k. överskottsinformation diskuterats tämligen ingående i några lagstiftningsärenden. Som kommer att framgå har diskussionen till stor del handlat om huruvida begränsningsregeln i 2 kap. 3 § tredje stycket TF är tillämplig på överskottsinformation eller inte. Det är vidare genom dessa lagstiftningsärenden som de särskilda sekretessbestämmelserna i 11 kap. 4 § och 25 kap. 2 § OSL som tar sikte på överskottsinformation har införts, se vidare ovan i avsnitt 5.5.2.
Utöver nu nämnda lagstiftningsärenden kan erinras om den ovan berörda nya bestämmelsen i 15 kap. 1 a § OSL om sekretess för uppgifter i utländska databaser. I motiven till den bestämmelsen konstaterades att uppgifter i utländska databaser som en svensk myndighet har direktåtkomst till får anses vara allmänna handlingar hos myndigheterna om uppgifterna ingår i en färdig elektronisk handling eller om de kan sammanställas med rutinbetonade åtgärder och utan användning av förbjudna sökbegrepp (prop. 2011/12:157 s. 8).
5.9.1. Patientdata
Genom patientdatalagen har olika vårdgivare (varmed kan förstås olika landsting, kommuner, statliga myndigheter som bedriver hälso- och sjukvårdsverksamhet eller enskilda vårdbolag m.m.) getts rättsliga möjligheter att skapa informationssystem för sammanhållen journalföring där de kan ge och få direktåtkomst till varandras patientjournalinformation eller annan vårddokumentation som inte spärrats av patienter. Direktåtkomsten får dock bara användas under vissa begränsade förutsättningar. För det första krävs, som har framgått ovan, för att en befattningshavare hos en vårdgivare A ska få lov att ta fram information hos en annan vårdgivare (B, C osv.), att det ska finnas en aktuell patientrelation med patienten i fråga och att de efterfrågade uppgifterna kan antas ha betydelse för vården av patienten. Dessutom krävs antingen att patienten lämnar sitt aktiva samtycke till att direktåtkomsten används eller att det är fråga om en nödsituation. Enligt en uttrycklig bestämmelse får direktåtkomsten inte användas under några andra förut-
sättningar, inte ens om patienten i och för sig skulle samtycka till det (6 kap.3–5 §§patientdatalagen).
I förarbetena konstaterades att redan en teknisk möjlighet att ta fram andra vårdgivares ospärrade vårddokumentation innebär att dokumentationen utgör allmänna handlingar hos samtliga myndigheter som är anslutna till ett informationssystem för sammanhållen journalföring som på något sätt innebär faktisk tillgång till informationen. Med anledning därav föreslogs en sekretessbrytande bestämmelse som omfattar alla de uppgifter som görs tekniskt tillgängliga för andra vårdgivare (numera 25 kap. 11 § OSL). Vidare diskuterades i förarbetena i vilken mån begränsningsregeln i 2 kap. 3 § tredje stycket TF kunde vara tillämplig i fråga om framtagning av sammanställningar av andra vårdgivares ospärrade uppgifter enligt bestämmelserna om sammanhållen journalföring. I denna del anförde Patientdatautredningen i sitt huvudbetänkande Patientdatalag bl.a. följande (SOU 2006:82 s. 314 f.).
Från integritetssynpunkt är det bra om regler som föreskriver villkor om en aktuell patientrelation m.m. för att en vårdgivare skall få göra en begärd sammanställning, innebär att sammanställningen anses förvarad hos vårdgivaren endast om villkoren är uppfyllda. Samtidigt är det för de intressen som bär upp offentlighetsprincipen viktigt med en restriktiv tolkning av tryckfrihetsförordningens bestämmelser om när handlingar inte skall anses vara allmänna. Med vägledning av begränsningsregelns ordalydelse – som inte inskränker sig till endast vissa slags befogenhetsbegränsningar – finns utrymme, menar vi, att hävda att de förutsättningar som vi föreskrivit utgör sådana rättsliga begränsningar som avses i tryckfrihetsförordningen. Det är dock inte självklart att begränsande rättsliga regler som är villkorade på något sätt – t.ex. att en patientrelation eller ett samtycke skall föreligga för att myndigheten A skall få ha rätt att söka efter och bereda sig tillgång till en journalhandling som upprättats hos myndigheten B eller en privat vårdgivare – utgör sådana begränsningsregler som avses i tryckfrihetsförordningen. Av tryckfrihetsförordningens förarbeten framgår att lagstiftaren hade ovillkorade förbud och begränsningar, såsom förbud i fråga om sökbegrepp och samkörning, i åtanke när bestämmelsen formulerades (prop. 1975/76:160 s. 87 f.). En tolkning i linje med intentionerna i förarbetena är dock, som nyss framhållits, inte alldeles given med tanke på bestämmelsens ordalydelse. Det kan också påpekas att begränsningar som fanns i åtanke då bestämmelsen formulerades för 30 år sedan handlade i huvudsak om rättsliga begränsningar att ta fram information från den egna verksamheten. Enligt vår mening får rättsläget anses oklart. Vi vill framhålla att det finns system som är uppbyggda på ett sätt som väl passar in med vårt sätt att tolka begränsningsregeln i 2 kap. 3 §
tredje stycket tryckfrihetsförordningen och med våra förslag till rättsliga förutsättningar för användning av direktåtkomsten. Ett sådant är den Nationella Patientöversikten som administreras av Carelink. I denna översikt har hälso- och sjukvårdspersonal hos några myndigheter getts direktåtkomst till uppgifter om patienter som finns journalförda hos några andra myndigheter. För att åtkomst skall beviljas i systemet krävs att befattningshavaren antingen registrerar att en patient samtyckt till åtkomsten eller registrerar att ett nödläge föreligger. Registrerar befattningshavaren inte att någon av dessa förutsättningar finns, kan direktåtkomsten inte användas; åtkomst nekas av systemet. Befattningshavaren i detta fall förfogar visserligen över möjligheten att falskeligen påstå att förutsättningarna finns och har därmed teknisk åtkomst till uppgifterna. Förvaringskriteriet i 2 kap. 3 § första stycket och andra stycket första meningen tryckfrihetsförordningen torde alltså vara uppfyllt som vi ser det. Om system för sammanhållen journalföring konstrueras på det sätt som här beskrivits, menar vi emellertid att rättstillämpningen kan te sig egendomlig, om våra förslag till rättsliga förutsättningar inte skulle godtas som sådana rättsliga begränsningar som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. Tryckfrihetsförordningen skulle i ett sådant fall inte godta annat än att myndigheten A, vid en begäran till myndighet A om utfående av allmän handling avseende en journalhandling som upprättats hos myndigheten B, falskeligen i informationssystemet påstår att rättsliga krav är uppfyllda trots att så inte är fallet. Den för offentlighetsprincipen viktiga likställighetsprincipen – som innebär att allmänheten skall ha tillgång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten – upprätthålls knappast med en annan tolkning av begränsningsregeln än den vi förordar.
I den efterföljande propositionen gjorde regeringen emellertid en annan bedömning än Patientdatautredningen och anförde bl.a. följande (prop. 2007/08:126 s. 125).
Som framgått av redovisningen av gällande rätt ovan tar begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen sikte på förbud i lag eller förordning för en myndighet att göra vissa sammanställningar eller att använda vissa sökbegrepp. Bestämmelsen om förbjudna sökbegrepp i 2 kap. 8 § i den föreslagna lagen är ett exempel på en sådan inskränkning. När det gäller bestämmelser om s.k. ändamålsbegränsningar som finns i särskilda registerförfattningar, dvs. bestämmelser om för vilka ändamål personuppgifter får behandlas i en myndighets verksamhet, gäller enligt personuppgiftslagen, till den del den är tillämplig, den s.k. finalitetsprincipen. Denna princip innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlats in (9 § första stycket d). I förarbetena till personuppgiftslagen har dock uttalats att en myndighets utlämnande av personuppgifter med stöd av offentlighetsprin-
cipen inte kan anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in (prop. 1997/98:44 s. 44). Regler om ändamålsbegränsningar i särskilda registerförfattningar anses inte heller i sig inskränka myndigheters skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter (SOU 2004:6 s. 246). Eventuellt samtycke från enskilda anses vidare generellt sakna betydelse för frågan om en handling är allmän eller inte. De aktuella villkoren för behandling av personuppgifter i 6 kap.3 och 4 §§patientdatalagen kan således inte anses utgöra sådana rättsliga begränsningar som bestämmelsen i 2 kap. 3 § tredje stycket tryckfrihetsförordningen avser. En sammanställning av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för en vårdgivande myndighet är således förvarad hos myndigheten, och därmed en allmän handling, i den mån sammanställningen kan göras tillgänglig med rutinbetonade åtgärder (se 2 kap. 3 § andra stycket andra meningen tryckfrihetsförordningen) och utan användning av förbjudna sökbegrepp (2 kap. 3 § tredje stycket tryckfrihetsförordningen och 2 kap. 8 § patientdatalagen).
Av uttalandet i propositionen framgår således att uppställda villkor för en mottagande myndighets rättsliga befogenheter att i det konkreta fallet använda direktåtkomsten för att behandla personuppgifter närmast ses som ändamålsbegränsningar, vilka inte omfattas av begränsningsregeln i 2 kap. 3 § TF, och inte som sådana sökbegränsningar som avses i begränsningsregeln (jfr prop. 1990/91:60 där det angavs att dåvarande 10 § utsökningsregisterlagen [1986:617] – i vilken föreskrevs att bearbetningar bara fick göras i enlighet med registrets föreskrivna ändamål – utgjorde en sådan rättslig befogenhetsbegränsning som omfattades av begränsningsregeln). I stället infördes alltså en regel om absolut sekretess för sådan ospärrad vårddokumentation som gjorts tillgänglig men inte har behandlats av en ansluten hälso- och sjukvårdsmyndighet, dvs. som utgör överskottsinformation, se ovan avsnitt 5.5.2. Eftersom sekretessen är absolut, behöver vårdgivaren inte ta del av informationen för att avgöra sekretessfrågan vid en eventuell begäran om utfående av allmän handling.
5.9.2. Informationsutbytesutredningen
Informationsutbytesutredningen föreslog i sitt betänkande Utökat elektroniskt informationsutbyte (SOU 2007:45) en reglering om utökade möjligheter till elektroniska informationsutbyten, bl.a. genom direktåtkomst, som är av omedelbar betydelse för utbetalningen av allmänna medel från trygghetssystemen. Utbyte genom
direktåtkomst föreslogs få ske genom särskild reglering och med stöd av en författningsreglerad uppgiftsskyldighet. Bestämmelser om tillåten direktåtkomst formulerades så att direktåtkomsten endast fick förekomma för ändamål som innebär att uppgifterna behövs inom den mottagande myndigheten, t.ex. som underlag för beslut om och kontroll av förmåner, ersättningar och annat stöd. En sådan formulering innebar alltså att uppgifterna skulle ha betydelse i ärende eller i viss verksamhet hos mottagande myndighet. Enligt utredningen medförde denna reglering att mottagande myndighet saknade rättslig befogenhet att genom direktåtkomst inhämta personuppgifter som inte behövs i ett ärende eller viss verksamhet hos myndigheten. På grund av begränsningsregeln i 2 kap. 3 § TF ansåg utredningen vidare att sammanställningar med sådana personuppgifter inte kan anses förvarade hos den mottagande myndigheten. Sådana uppgifter, överskottsinformation, skulle alltså enligt Informationsutbytesutredningen inte bli allmänna handlingar hos mottagande myndigheter på grund av begränsningsregeln. Den föreslagna regleringen om direktåtkomst innebar enligt utredningen alltså inte att tillgängligheten till uppgifterna skulle öka (SOU 2007:45 s. 196 f.). Vidare framhöll utredningen att sökbegränsningar i en registerförfattning måste, om inte annat uttryckligen framgår i regleringen, gälla även för mottagande myndigheter som har direktåtkomst till uppgifterna. Inte heller i det avseendet ansåg utredningen således att tillgängligheten till uppgifter hos en utlämnande myndighet ökade (a. a. s. 199).
I den efterföljande propositionen gjorde emellertid regeringen, i linje med uttalandena i propositionen till patientdatalagen, en annan bedömning och fann att de av utredningen påtalade rättsliga begränsningarna var sådana ändamålsbegränsningar som inte avses med rättsliga befogenhetsbegränsningar i begränsningsregeln i 2 kap. 3 § TF (prop. 2007/08:160 s. 69 f.). Sammanställningar med uppgifter som direktåtkomsten avser utgör därmed allmänna handlingar även hos en mottagande myndighet förutsatt att de kan göras tillgängliga med rutinbetonade åtgärder. Av denna anledning infördes den generella bestämmelsen om överföring av sekretess som numera finns i 11 kap. 4 § OSL, se avsnitt 5.5.2.
Vidare infördes mera vidsträckta sekretessbrytande bestämmelser om uppgiftsskyldighet än de Informationsutbytesutredningen hade föreslagit. I motiven anfördes att det visserligen är tekniskt möjligt att utforma system som innebär att mottagande myndighet vid direktåtkomst kan söka på uppgifter om en viss person hos utläm-
nande myndighet enbart om den mottagande myndigheten har ett ärende avseende denna person. Eftersom en sådan spärr förutsätter kännedom om vilka personer som är aktuella i ärenden hos den mottagande myndigheten, måste spärren finnas inom den mottagande myndigheten. Även om en sådan spärr är effektiv gentemot handläggare av enskilda ärenden räcker det att det finns en person hos den mottagande myndigheten, t.ex. på teknikavdelningen, som har tekniska möjligheter att överföra samtliga de uppgifter som den mottagande myndigheten har teknisk tillgång till i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas för att sammanställningar av dessa uppgifter ska utgöra allmänna handlingar hos den mottagande myndigheten (prop. 2007/08:160 s. 71).
5.9.3. E-delegationens vägledning
Som beskrivits i avsnitt 2.4 ingår det i E-delegationens verksamhet att ta fram olika vägledningar och riktlinjer som ska underlätta för aktörerna i e-förvaltningen. En sådan är rapporten Direktåtkomst och utlämnande på medium för automatiserad behandling. Rapporten har tagits fram av E-delegationens expertgrupp för juridiska frågor och innehåller en rådgivande juridisk modell för on-lineliknande utlämnanden i realtid som
- inte kommer i konflikt med de krav i författning som gäller för direktåtkomst,
- uppfyller erforderliga krav på persondataskydd och informationssäkerhet, och
- inte för med sig det överskott av allmänna handlingar hos mottagande myndighet som direktåtkomst anses leda till.
Enligt rapporten är det rättsligt möjligt att skapa system för utlämnande på medium för automatiserad behandling som inte utgör direktåtkomst även utan att utlämnandet innefattar prövning av en fysisk person hos utlämnaren och utan att utlämnandet sker med den hypotetiska kontrollmöjlighet som en tidsfördröjning skulle ha gett. Detta gäller under förutsättning att begärande och utlämnande myndigheters informationssystem och tekniska och administrativa rutiner har utformats så att
a) begärande myndighet för varje enskilt fall ansöker om att få ut
vissa angivna uppgifter,
b) ansökan kommer in till den utlämnande myndighetens elektro-
niska brevlåda,
c) beslutsstödssystem införts i behörig ordning hos utlämnande
myndighet, som automatiserat för varje enskilt fall
1. utför motsvarande kontroller som en befattningshavare skulle
ha utfört vid en manuell prövning från rättssäkerhetssynpunkt (behörighet och liknande) persondataskyddssynpunkt (t.ex. att uppgifterna behövs i ett ärende),
2. fattar individuella men automatiserade förvaltningsbeslut, för
varje enskild begäran, som kan leda till bifall eller avslag,
3. expedierar beslut och begärda uppgifter till den begärande
myndigheten, och
4. bevarar enligt arkivförfattningarna de handlingar som in-
kommer och upprättas.
Det understryks i rapporten att samtliga villkor enligt modellen måste vara uppfyllda. Vidare framhålls att olika kontroller därutöver behövs, t.ex. en automatiserad kontroll mot den begärande myndighetens diarium för att få bekräftat att ärendet finns och avser den aktuella personen, att handläggaren hos den begärande myndigheten anger diarienummer eller på annat sätt gör ett intygande. Kontrollerna bör ingå i den utlämnande myndighetens automatiserade beslutssystem och kunna resultera i att den sökande myndighetens begäran bifalls, avslås eller avskiljs för fortsatt manuell hantering. Det anges även att ett automatiserat beslutsfattande inte kan införas om utlämnande måste föregås av en sekretessprövning med en menbedömning.
När en myndighet inte ges direktåtkomst till handlingar utan den utlämnande myndigheten i varje enskilt fall beslutar om handlingen ska lämnas ut enligt den ovan beskrivna modellen, blir, enligt rapporten, de handlingar som förvaras hos den utlämnande myndigheten inte på förhand tekniskt tillgängliga för den begärande myndigheten. Sådana handlingar blir därmed inte allmänna hos den mottagande myndigheten förrän den utlämnande myndigheten har lämnat ut handlingen. Genom att fatta automatiserade individuella förvaltningsbeslut förfogar den mottagande myndigheten inte över
uppgifterna förrän de nått myndighetens elektroniska brevlåda (rapporten s. 7 och 13).
6. Överskottsinformation vid direktåtkomst – en problembeskrivning
6.1. Vad följer av det nuvarande rättsläget?
6.1.1. Allmänt
Som framgått av redovisningen i bl.a. avsnitt 5.2.2 innebär bestämmelserna i 2 kap. 3 och 6 §§ TF att all elektroniskt lagrad information hos annan, t.ex. en annan myndighet (värdmyndighet), som en myndighet (mottagarmyndighet) har möjlighet att, med hjälp av utrustning som mottagarmyndigheten förfogar över, överföra till läsbar, hörbar eller annan uppfattbar form, utgör allmän handling hos mottagarmyndigheten. Detta gäller redan i och med att överföringsmöjligheten uppstår. Så kan t.ex. ske genom att det etableras elektroniska kommunikationslänkar som ger mottagarmyndigheten möjlighet att, när den så önskar eller behöver det, söka fram önskade uppgifter. Detta är en följd av det tillgänglighetsrekvisit i 2 kap. 3 § andra stycket första meningen TF som styr vad som blir en förvarad och enligt 2 kap. 6 § TF inkommen handling hos en mottagarmyndighet.
För frågan om vad som utgör en inkommen allmän handling hos mottagarmyndigheten spelar det ingen roll om mottagarmyndigheten i ett enskilt fall faktiskt använder sig av möjligheten att söka fram en uppgift i den hos värdmyndigheten tillgängliga informationen. Det räcker att denna latenta möjlighet finns.
Det förhållandet att värdmyndighetens information också blir allmän handling hos mottagarmyndigheten innebär att mottagarmyndigheten, i den mån en begäran om det görs hos den myndigheten, har en skyldighet att pröva en fråga om utlämnande av
allmän handling trots att det som begärs utlämnat egentligen är en upptagning i värdmyndighetens elektroniska informationssystem.
På motsvarande vis gäller att även allt som är tillgängligt för en mottagarmyndighet via internet, liksom för alla andra internetanvändare, uppfyller kraven på att vara förvarade och inkomna handlingar hos mottagarmyndigheten. Normalt anses dock information som är öppet tillgänglig för envar utgöra sådant referensmaterial som omfattas av det särskilda undantaget i 2 kap. 11 § första stycket 3 TF (den s.k. biblioteksregeln) och som därför inte anses som allmänna handlingar hos en mottagarmyndighet (prop. 2001/02:70 s. 25). Biblioteksregeln är vidare tillämplig då en mottagarmyndighet genom avtal har direktåtkomst till en värdmyndighets referensdatabas som upprättats av enskild och som omfattas av biblioteksregeln hos värdmyndigheten. I annat fall skulle enskilda via en mottagarmyndighet kunna få tillgång till referensdatabaser som inte utgör allmänna handlingar hos värdmyndigheten.
Biblioteksregeln är däremot inte tillämplig då en mottagarmyndighet i särskild ordning – med eller utan stöd i uttrycklig författningsreglering om direktåtkomst eller liknande – getts elektronisk tillgång till en värdmyndighets elektroniska allmänna handlingar i dess databas, register, ärendehanteringssystem osv. på sätt som uppfyller tillgänglighetsrekvisitet i 2 kap. 3 och 6 §§ TF. Det framgår bl.a. av 2 kap. 11 § andra stycket TF. Något annat undantag i 2 kap. tryckfrihetsförordningen är inte heller tillämpligt, i vart fall inte om syftet med tillgången är att den ska kunna användas i mottagarmyndighetens verksamhet.
6.1.2. Potentiella handlingar
Om en begäran om utfående av allmän handling innebär att mottagarmyndigheten ska lämna ut en sammanställning av uppgifter ur en eller flera tillgängliga och därmed inkomna upptagningar hos värdmyndigheten, en potentiell handling, gäller att mottagarmyndigheten är skyldig att göra de sökningar i och bearbetningar av värdmyndighetens information som myndigheten kan göra med vad som kan bedömas vara rutinbetonade åtgärder. Krävs det mer än mottagarmyndighetens rutinbetonade åtgärder för att ta fram sammanställningen, är den inte förvarad hos mottagarmyndigheten (2 kap. 3 § andra stycket andra meningen TF) och en begäran om
utfående av allmän handling kan därmed avslås redan på den grunden att sammanställningen inte är en förvarad handling hos mottagarmyndigheten.
Innehåller den begärda sammanställningen personuppgifter gäller därutöver att mottagarmyndigheten inte får bryta mot i lag eller förordning förbjudna sökbegrepp eller andra absoluta sökbegränsningar som gäller för mottagarmyndigheten för att ta fram sammanställningen (den s.k. begränsningsregeln, 2 kap. 3 § tredje stycket TF). Även en sådan begäran kan alltså avslås redan på den grunden att den begärda sammanställningen inte är en förvarad handling hos mottagarmyndigheten.
Det är emellertid en omdiskuterad fråga vilken betydelse s.k. absoluta sökförbud – dvs. förbud mot användning av vissa sökbegrepp eller vissa sambearbetningar – i en värdmyndighets registerförfattning har för frågan om vilka sammanställningar av personuppgifter som utgör allmänna handlingar hos en mottagarmyndighet. Registerförfattningar är ofta konstruerade på det sättet att författningen i fråga anges gälla för behandling av personuppgifter i värdmyndighetens verksamhet av visst slag. Frågan är alltså huruvida även en mottagarmyndighet, som bedriver verksamhet av annat slag, utan särskild reglering omfattas av ett sådant sökförbud i en värdmyndighets registerförfattning.
Informationsutbytesutredningen behandlade frågan och konstaterade att för det fall frågan besvaras nekande, skulle det innebära att mottagarmyndigheten har rätt att i sin egen verksamhet använda direktåtkomsten för att ta fram sådana sammanställningar som på grund av begränsningsregeln inte skulle vara allmänna handlingar hos värdmyndigheten. Allmänheten skulle alltså kunna vända sig till mottagarmyndigheten och begära sammanställningar av uppgifter hos värdmyndigheten som värdmyndigheten själv inte lagligen skulle ha kunnat ta fram. Informationsutbytesutredningen ansåg att en sådan tolkning av rättsläget inte är rimlig och inte kan ha varit lagstiftarens mening. Det ligger i sakens natur, framhöll utredningen, att en myndighet som ges direktåtkomst till uppgifter hos en annan myndighet aldrig kan ha vidare sökmöjligheter än värdmyndigheten själv eller rätt att ta del av sammanställningar av uppgifter som inte anses förvarade hos värdmyndigheten. Bestämmelser om sökbegrepp i registerförfattningar avseende viss angiven verksamhet måste därför, fortsatte utredningen, även utan särskild reglering gälla vid mottagarmyndighetens direktåtkomst till uppgifterna (SOU 2007:45 s. 198 f.). I ett remissyttrande efterlyste
Kammarrätten i Jönköping en närmare analys av frågan. Den lämnades dock okommenterad i efterföljande proposition och utskottsbetänkande (prop. 2007/08:160 s. 66 f. och 2008/09:KU2).
Det ingår i vårt uppdrag att ta ställning till vad som bör gälla i detta avseende och vi kommer att återkomma till frågan i vårt slutbetänkande.
Det råder däremot knappast någon tvekan om att en mottagarmyndighet är skyldig att göra en sökning och ta fram och lämna ut en sammanställning av tillgängliga personuppgifter, en potentiell handling, trots att mottagarmyndigheten i sin egen verksamhet inte får lov att använda sin direktåtkomst till värdmyndighetens personuppgifter i fråga enligt någon villkorad sökbegränsning eller s.k. ändamålsbegränsning i en registerförfattning.
Som exempel kan nämnas om det av en registerförfattning följer att mottagarmyndigheten bara får använda sin direktåtkomst för att söka efter uppgifter om personer som är aktuella hos mottagarmyndigheten samt i en viss beskriven typsituation eller för ett visst användningsändamål (se t.ex. direktåtkomst till ospärrade patientuppgifter vid sammanhållen journalföring enligt 6 kap. 3 § och 4 § andra stycket patientdatalagen). Ett annat exempel är en begränsning som innebär att det i en registerförfattning anges att en tillåten direktåtkomst bara får avse personer som är aktuella i ärenden hos mottagarmyndigheten (se t.ex. 2 kap. 8 § lagen [2001:181] om behandling av uppgifter i Skatteverkets beskattningsverksamhet).
Begränsningar av denna typ innebär alltså ingen inskränkning av vilka sammanställningar en mottagarmyndighet på begäran är skyldig att göra om uppgifter om alla registrerade i värdmyndighetens databas har gjorts tekniskt tillgängliga för mottagarmyndigheten.
6.1.3. Färdiga elektroniska handlingar
Beträffande sådana färdiga elektroniska handlingar hos en värdmyndighet som är tekniskt tillgängliga för en mottagarmyndighet, gäller att de alltid är färdiga elektroniska handlingar också hos mottagarmyndigheten. Mottagarmyndigheten har alltså motsvarande skyldigheter som värdmyndigheten att ta fram och lämna ut sådana handlingar. Vid en begäran om utfående av värdmyndighetens färdiga elektroniska handlingar är mottagarmyndigheten således skyldig att leta fram handlingen hos värdmyndigheten även om det kräver mer
än rutinbetonade åtgärder och även om det är oförenligt med någon villkorad sökbegränsning som gäller för mottagarmyndigheten.
I vilken mån eventuella absoluta sökförbud i en registerförfattning är tillämpliga då en myndighet ska leta fram en färdig elektronisk handling som en enskild begärt att få ta del av enligt 2 kap. tryckfrihetsförordningen framstår som oklart (se SOU 2010:4 s. 283 f. och Per Furbergs rättsutredning i samma betänkande s. 489 f.). Offentlighets- och sekretesskommittén (OSEK) uttalade för sin del att en begräsning i rätten att använda ett visst sökbegrepp torde ha (kurs. här) betydelse för en myndighets skyldighet att ”leta fram” handlingar, där begäran om att få ta del av de färdiga elektroniska handlingarna inte har preciserats närmare än att handlingarna exempelvis ska innehålla ett ord som omfattas av sökbegränsningen (SOU 2001:3 s. 145).
6.1.4. Begreppen överskottsinformation och direktåtkomst
I våra direktiv sägs att en mottagarmyndighet vid registerförfattningsreglerad direktåtkomst till en annan myndighets uppgifter rent tekniskt måste ha möjlighet att ta del av uppgifter rörande alla personer som är registrerade hos värdmyndigheten därför att mottagarmyndigheten inte i förväg kan veta vilka personer som kan komma att bli aktuella hos myndigheten (dir. 2011:86 s. 12). Uppgifter som genom direktåtkomst har överförts till den mottagande myndigheten i ett enskilt fall, t.ex. i ett ärende, anses insamlade hos mottagarmyndigheten enligt personuppgiftslagen och tillämplig registerförfattning. Överskottsinformation beskrivs i direktiven som uppgifter som mottagarmyndigheten rent tekniskt har tillgång till i samband med direktåtkomst men som mottagarmyndigheten vid ett givet tillfälle inte har rätt att behandla enligt den tillämpliga registerförfattningen, t.ex. därför att myndigheten inte har något ärende rörande aktuella personer. Sådana uppgifter är inte insamlade i personuppgiftslagens mening hos mottagarmyndigheten. Detsamma anges i direktiven gälla uppgifter som visserligen avser personer som är aktuella hos myndigheten, men där uppgifterna ännu inte behandlats genom att faktiskt överföras till mottagarmyndighetens verksamhet. Icke överförda men tillgängliga personuppgifter är alltså inte insamlade eller annars behandlade av mottagarmyndigheten bara därför att de är inkomna och förvarade handlingar i tryckfrihetsförordningens mening.
En aktiv överföring till mottagarmyndigheten i någon form krävs också för att upptagningarna ska bli att betrakta som i förvaltningsrättslig mening inkomna till mottagarmyndigheten, dvs. för att beaktas i ärendehandläggning eller för myndighetens dokumentation av faktisk verksamhet. Som exempel innebär Kronofogdemyndighetens tekniska tillgång genom direktåtkomst till Skatteverkets databaser alltså inte att de endast latent tillgängliga uppgifterna anses inkomna i förvaltningslagens mening till Kronofogdemyndigheten. Inte heller innebär enbart själva tillgängligheten att uppgifterna behandlas i Kronofogdemyndighetens verksamhet på ett sådant sätt som omfattas av Kronofogdemyndighetens registerförfattning, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
I nu aktuella hänseenden kan det alltså föreligga en väsentlig diskrepans i fråga om tidpunkten för när värdmyndighetens upptagningar också blir att anse som mottagarmyndighetens. Tryckfrihetsförordningens inkommandetidpunkt ligger normalt långt tidigare än vad som följer av förfarande- och registerförfattningsregleringen eftersom det i sistnämnda hänseenden krävs något slags faktisk överföringsaktivitet från mottagarmyndighetens sida för att konstituera informationen som i förvaltningsrättslig mening inkommen till eller insamlad av mottagarmyndigheten, dvs. för att den ska anses utgöra en del av mottagarmyndighetens verksamhetsinformation.
Vidare ska framhållas att för frågan om vad som i tryckfrihetsförordningens mening blir allmänna handlingar hos en mottagarmyndighet vid olika slags elektroniska informationsutbyten saknar det självständig betydelse huruvida det är eller inte är fråga om ett utlämnande där formen för utlämnandet från värdmyndigheten är särskilt reglerad i registerförfattning. Inte heller har det någon avgörande betydelse om utlämnandet är reglerat som direktåtkomst, utlämnande på medium för automatiserad behandling eller med användande av något annat begrepp. Det är den faktiska tillgängligheten, den tekniska möjligheten att förfoga över upptagningen för överföring till läsbar form, som styr huruvida informationen i tryckfrihetsförordningens mening är förvarad och inkommen hos en mottagande myndighet eller inte. Den frågan får avgöras utifrån en bedömning av de faktiska förhållandena i det enskilda fallet.
Det kan alltså i princip tänkas förekomma författningsreglerat informationsutbyte som visserligen benämns direktåtkomst men där systemen för informationsutbytet är så pass finmaskigt kalibrerade
att det inte uppstår någon sådan överskottsinformation som mottagarmyndigheten enligt någon absolut eller villkorad sökbegränsning inte får ta del av, utan där mottagarmyndighetens åtkomst faktiskt har begränsats till enbart uppgifter som konkret behövs (eller kommer att behövas) i verksamheten. Det kan å andra sidan på inget sätt uteslutas att det förekommer informationsutbyte som visserligen klassificerats som uppgiftsutlämnande på medium för automatiserad behandling men som närmare betraktat visar sig generera överskottsinformation av det slag som nyss beskrivits.
Över huvud taget är begreppet direktåtkomst svårt att avgränsa sakligt och rättsligt i förhållande till annat näraliggande elektroniskt utlämnande. Begreppet direktåtkomst kommer att behandlas närmare i kapitel 9.
I det följande används begreppet för att beskriva sådant elektroniskt utlämnande av information från en värdmyndighet till en mottagarmyndighet som sker i särskild ordning – genom medvetet upprättade ”kanaler” som syftar till en effektiv och säker informationsförsörjning – och som innebär att informationen görs tillgänglig för mottagarmyndigheten i den mening som avses i 2 kap. 3 § andra stycket och 6 § TF.
Det ska vidare framhållas att inte heller termen överskottsinformation har någon i rättslig mening bestämd innebörd. Även sakligt sett är begreppet svårt att bestämma. I lagstiftningssammanhang används termen allmänt för att beskriva irrelevant, icke efterfrågad eller i vart fall primärt överflödig information. Inte sällan förekommer termen i samband med diskussioner kring olika problem från bl.a. integritetssynpunkt som tillgång till sådan information kan medföra. Särskilt omdiskuterat har t.ex. varit huruvida brottsbekämpande myndigheter ska få använda sig av överskottsinformation vid användning av hemliga tvångsmedel (se t.ex. regleringen i 27 kap. 23 a § rättegångsbalken). Det torde närmast vara i det sammanhanget som termen har haft mer vedertagen användning. Men även i andra sammanhang har termen överskottsinformation haft ett vidare användningsområde, bl.a. i förarbeten som rört dataskyddsreglering eller annan integritetsskyddsreglering, t.ex. i förarbetena till lagstiftningen om genetisk integritet (prop. 2005/06:64 s. 73) och om förstärkt integritetsskydd i försäkringssammanhang (prop. 2009/10:241 s. 22).
När vi i det följande talar om överskottsinformation avses, om inget annat anges, genom direktåtkomst tillgänglig information som en mottagarmyndighet endera inte har rätt att ta del av eller
som den visserligen får ta del av men där detta ännu inte har skett i den meningen att mottagarmyndigheten har vidtagit någon åtgärd i syfte att överföra informationen till sig. Överskottsinformation i nu angiven mening omfattar således dels sådana uppgifter som en mottagarmyndighet saknar rätt att ta fram i sin verksamhet, dels sådana uppgifter som den visserligen får men ännu inte har tagit fram eller kanske aldrig kommer att behöva ta fram i sin verksamhet. Med överskottsinformation avses vidare sådana uppgifter som mottagarmyndigheten visserligen tidigare haft rätt att ta del av men där rätten att göra detta har upphört, t.ex. därför att det inte längre finns något pågående ärende som tillgängliga uppgifter behövs i.
I begreppet överskottsinformation inkluderar vi således inte sådan allmänt tillgänglig ”överflödig” information som envar kan ha tillgång till, t.ex. information som en värdmyndighet håller tillgänglig på sin externa webbplats. Som har framgått ovan anses information av det slaget normalt omfattas av den s.k. biblioteksregeln i 2 kap. 11 § första stycket 3 TF vilket innebär att sådant material, trots att det är både förvarat och inkommet enligt huvudreglerna i 2 kap. 3 och 6 §§ TF, undantas från att vara allmänna handlingar (se även SOU 2001:3 s. 174).
I det följande beskrivs en mottagarmyndighets tillgång till överskottsinformation som en passiv uppgiftstillgång till skillnad från den aktiva tillgång myndigheten har till sina egna informationssamlingar eller till den del av värdmyndighetens information som faktiskt används på något sätt av mottagarmyndigheten. Detta gäller oavsett om det är fråga om oreglerad eller reglerad direktåtkomst och oberoende av hur tillgängligheten i det senare fallet benämns.
6.2. Vilka problem finns med överskottsinformation vid direktåtkomst och 2 kap. tryckfrihetsförordningen?
6.2.1. Förekomsten av överskottsinformation vid direktåtkomst m.m.
Vi har inte bedömt det som meningsfullt att försöka göra någon närmare kartläggning av omfattningen av förekomsten av överskottsinformation vid statliga eller kommunala myndigheters tillgång till information genom direktåtkomst. Det är emellertid uppenbart att
överskottsinformation i nu aktuell mening förekommer i tämligen stor omfattning.
Man kan i vart fall utgå från att överskottsinformation förekommer i den mån det föreligger reglering i registerförfattningar genom bestämmelser i lag eller förordning om direktåtkomst till personuppgifter. Sådan reglering har tillkommit efter avvägningar mellan, å ena sidan, de effektivitetsskäl som talar för fritt elektroniskt informationsbyte mellan myndigheter och, å andra sidan, de integritetsskyddsaspekter som talar mot att mer eller mindre ömtåliga uppgifter om kanske en större mängd personer görs tillgängliga för andra myndigheter trots att något konkret behov av flertalet av de utlämnade uppgifterna kanske aldrig kommer att uppstå. Det förekommer därför att direktåtkomstregleringen förenas med villkor om sökförutsättningar, behörighetsbegränsningar eller liknande som syftar till att garantera att direktåtkomsten inte medför obefogade intrång i de registrerades personliga integritet.
Som har framgått förekommer det emellertid även oreglerat elektroniskt utlämnande av personuppgifter genom direktåtkomst. Avvägningarna får i de fallen förutsättas ha skett av den personuppgiftsansvariga värdmyndigheten inom ramen för vad personuppgiftslagen eller eventuell tillämplig registerförfattning medger.
Vilka avvägningar som ligger bakom förekomsten av regler om direktåtkomst eller liknande utlämnandeformer i specifika fall har ingen omedelbar betydelse i det nu aktuella sammanhanget och vi har inte anledning att närmare gå in på detta. Avvägningarna kan nämligen inte göras utifrån generella utgångspunkter utan olika faktorer spelar in. Integritetskänsligheten i värdmyndighetens personuppgiftssamlingar är exempelvis en viktig faktor som inte kan bedömas generellt utan är i hög grad varierande. Sekretessförhållanden spelar också in. Ett annat exempel på en faktor som kan inverka på avvägningar av det nu aktuella slaget är vilket sakligt samband det finns mellan värdmyndigheten och tilltänkta mottagarmyndigheter och deras respektive verksamheter. Relationen mellan värdmyndighet och mottagarmyndighet kan i vissa fall präglas av ett nära samband, som t.ex. i fråga om olika polismyndigheters direktåtkomst till varandras personuppgifter som behandlas för det övergripande ändamålet brottsbekämpning. I ett annat fall kan avståndet mellan myndigheterna tyckas större, exempelvis i fråga om socialnämnders direktåtkomst till Skatteverkets beskattningsdatabas. Karaktären på det behov mottagarmyndigheten kan ha av direktåtkomsten är ytterligare ett exempel på en inverkande faktor.
I vissa fall syftar direktåtkomsten till ökad övervakning och kontroll medan den i andra fall kanske syftar till att öka förutsättningarna för mottagarmyndigheten att lämna bättre service till enskilda. Likaså varierar tyngden i mottagarmyndighetens behov av direktåtkomsten. Hur stor nytta medför direktåtkomsten jämfört med andra tänkbara utlämnandeformer? Handlar det ”bara” om effektivitetsvinster i form av resurs- och tidsbesparingar eller leder direktåtkomsten till exempelvis ökad rättssäkerhet eller patientsäkerhet?
Det förhållandet att överskottsinformation vid direktåtkomst kan utgöra allmän handling hos mottagarmyndigheter förefaller, såvitt vi har kunnat bedöma det, i praktiken hittills inte ha vållat några mer påtagliga olägenheter för enskilda registrerade i form av oavsiktlig spridning av uppgifter. En förklaring till detta är att det normalt finns ett tillfredsställande integritetsskydd även hos mottagarmyndigheten genom sekretessreglering. Man kan emellertid anta att det även i någon mån sammanhänger med att insikten om att även latent eller passivt tillgänglig information hos en värdmyndighet kan vara allmän handling även hos mottagarmyndigheter kanske inte är så utbredd. Såvitt vi har erfarit förfaller det som att allmänheten vanligen i första hand vänder sig till värdmyndigheten för att få del av sådana allmänna handlingar som genererats i värdmyndighetens verksamhet.
Det förekommer emellertid att en begäran om att få ut allmän handling riktas till en mottagarmyndighet men avser en värdmyndighets upptagningar. Att så sker kan, enligt vad vi har erfarit, ha flera förklaringar. Det kan t.ex. bero på att avgiftsuttaget för utfående av kopior av allmänna handlingar i elektronisk form varierar mellan myndigheterna. Ytterligare ett skäl kan vara att myndigheternas handläggningstider varierar. Det kan t.ex. vara så att det är känt att det brukar ta längre tid att få ut uppgifterna från en viss värdmyndighet än från en mottagarmyndighet. Det kan förstås också vara så att enskilda ibland helt enkelt inte vet vilken myndighet de ska vända sig till med sin begäran.
Att enskilda vänder sig till ”fel” myndighet kan ge upphov till merarbete i form av bl.a. mer komplicerade sekretessprövningar men förefaller hittills inte ha vållat några mer påtagliga praktiska eller resursmässiga problem för myndigheterna.
6.2.2. Allmänna integritetsskyddsaspekter på överskottsinformation vid direktåtkomst
Den huvudsakliga komplikationen med överskottsinformation vid direktåtkomst som avser personuppgifter är att den allmänna tillgängligheten till uppgifterna ökar på ett sätt som ett tekniskt tillgängliggörande eller regler om direktåtkomst inte har åsyftat. Syftet med direktåtkomsten är att förbättra och effektivisera myndigheternas samarbete och informationsutnyttjande, inte att ge ökad spridning åt kanske integritetskänsliga personuppgifter. Detta förklarar varför direktåtkomst till personuppgifter sedan länge setts som en speciellt integritetskänslig form av elektroniskt utlämnande.
Det förhållandet att värdmyndigheten inte har kontroll över vilka uppgifter mottagarmyndigheten vid varje enskilt tillfälle tar del av, har i ett antal olika lagstiftningsärenden åberopats som grund för att direktåtkomst till personuppgifter utifrån integritetssynpunkt är en särskilt känslig elektronisk utlämnandeform som bör särregleras i registerlagstiftning (se t.ex. prop. 2000/01:129 s. 74, prop. 2001/02:144 s. 35 f. och prop. 2005/06:52 s. 8).
Att överskottsinformation också blir allmän handling hos mottagande myndighet har däremot inte närmare berörts eller helt lämnats därhän i flera lagstiftningsärenden där direktåtkomst övervägts. Regler i registerförfattningar om direktåtkomst, villkorade sökförutsättningar, behörighetsbegränsningar och liknande har alltså bedömts vara relevanta även frånsett det förhållandet att genom direktåtkomsten genererad överskottsinformation kommit att utgöra allmän handling hos mottagarmyndigheten. I vissa fall har det emellertid setts som ett särskilt problem från integritetssynpunkt att överskottsinformation normalt sett blir allmän handling hos mottagarmyndigheter (se t.ex. prop. 2007/08:126 och prop. 2007/08:160). Den aspekten kan alltså vara en av flera orsaker till att direktåtkomst i ett visst fall har setts som en särskilt känslig utlämnandeform.
I sammanhanget finns det vidare skäl att erinra om att anledningen till att sekretess gäller även mellan myndigheter är att ett fullgott skydd för information om enskilda hos en myndighet i princip ställer krav på att informationen inte vidarebefordras utanför den verksamhet i vilken den har inhämtats. Också den omständigheten att ett större antal tjänstemän får kunskap om ett känsligt förhållande kan upplevas som menligt av den som uppgiften rör. Vidare ökar risken för obehörig vidarespridning även om de funk-
tionärer hos den andra myndigheten som får del av informationen har tystnadsplikt (prop. 1979/80:2 Del A s. 90).
Det sagda får enligt vår mening anses ha bäring även på det förhållandet att andra myndigheter (mottagarmyndigheter) och dess personal av effektivitetsskäl genom etablering av direktåtkomst ges möjlighet att söka sig fram till en större mängd information om enskilda än vad som egentligen är motiverat med hänsyn till mottagarmyndighetens verksamhet. Redan risken för att överskottsinformationen utnyttjas för obehörig informationsspridning innebär alltså ett integritetsproblem i sig.
Det ligger i sakens natur att det förhållandet att en mottagarmyndighet ges teknisk tillgång till en värdmyndighets informationssamlingar innebär att värdmyndigheten varken har anledning eller möjlighet att ha någon kontroll över mottagarmyndighetens användning av direktåtkomsten vid enskilda tillfällen. Om en mottagarmyndighet t.ex. har getts direktåtkomst till samtliga uppgifter i ett visst register eller en viss databas hos en värdmyndighet, så är det mottagarmyndigeten som väljer om och när uppgifter ur registret eller databasen ska överföras utan att den myndighet som ansvarar för registret eller databasen i fråga först fattar beslut om att de efterfrågade uppgifterna ska lämnas ut. Hur stora delar av den totala mängden tillgängliggjord information som för mottagarmyndigheten utgör överskottsinformation är således inget som värdmyndigheten kan råda över.
Direktåtkomst förutsätter därför att någon sekretessprövning inte ska behöva ske varje gång mottagarmyndigheten använder direktåtkomsten för att ta del av eller överföra uppgifter till sig. Omfattas den tillgängliga informationen av sekretess hos värdmyndigheten sker sekretessprövningen därför i stället då värdmyndigheten bestämmer vilka uppgiftsmängder eller uppgiftskategorier som ska göras möjliga för mottagarmyndigheten att ta fram via direktåtkomsten. Direktåtkomst förutsätter således normalt att det redan finns eller införs sekretessbrytande bestämmelser i lag eller förordning om sådan uppgiftsskyldighet som omfattar alla de sekretesskyddade uppgifter som görs tillgängliga genom direktåtkomsten, dvs. inklusive den del som kommer att utgöra överskottsinformation. Det förekommer även utlämnande genom direktåtkomst till sekretessbelagda uppgifter med stöd av den sekretessbrytande s.k. generalklausulen i 10 kap. 27 § OSL.
I fråga om sekretesskyddade uppgifter hos värdmyndigheten kan för övrigt påpekas att behovet av sekretessbrytande bestämmelser
för att möjliggöra att värdmyndigheten gör sekretessbelagda uppgifter tillgängliga genom direktåtkomst inte påverkas av huruvida uppgifterna blir allmän handling hos mottagarmyndigheten eller inte. Redan tillgängliggörandet innebär att uppgifterna är utlämnade av värdmyndigheten i tryckfrihetsförordningens mening. Bestämmelsen i 2 kap. 7 § första stycket TF om när en handling anses upprättad genom expediering är inte beroende av att handlingen har nått en mottagande myndighet och blivit en förvarad och inkommen handling där enligt 2 kap. 3 och 6 §§ TF. Detta gäller oberoende av om det handlar om konventionella eller elektroniska handlingar.
Även andra integritetsskyddande åtgärder förekommer vid direktåtkomst, t.ex. att mottagarmyndigheten inför tekniska spärrar mellan myndighetens teknikavdelning och handläggare som medför att handläggarna inte har praktisk möjlighet att ta fram överskottsinformation, något som däremot är möjligt för driftsteknikerna vid teknikavdelningen. Sådana tekniska spärrar inom en myndighet har en integritetsskyddande funktion på så sätt att antalet personer inom mottagarmyndigheten med tillgång till överskottsinformation minimeras. Inre tekniska spärrar saknar dock betydelse för vad som blir eller inte blir att betrakta som allmänna handlingar hos en mottagarmyndighet. För status som allmän handling räcker det med att en enda befattningshavare inom en myndighet har tillgång till uppgifterna i fråga. En annan sak är att en teknikavdelning och en handläggningsenhet, beroende på omständigheterna i det enskilda fallet, möjligen skulle kunna anses utgöra självständiga organ i förhållande till varandra i den mening som avses i 2 kap. 8 § TF. I sådant fall skulle teknikavdelningen och handläggningsenheten kunna anses utgöra självständiga verksamhetsgrenar av olika slag vilket bl.a. skulle innebära att det finns en sekretessgräns finns mellan dem (se 8 kap. 2 § OSL).
Det förekommer författningsreglerade krav på inre spärrar hos mottagarmyndigheter. Så är fallet beträffande socialnämnders direktåtkomst till bl.a. Skatteverkets, Försäkringskassans och Centrala studiestödsnämndens uppgiftssamlingar i samband med nämndernas handläggning av frågor om ekonomiskt bistånd. I de aktuella värdmyndigheternas registerförfattningar anges att direktåtkomsten får medges först sedan värdmyndigheten har försäkrat sig om att handläggare hos socialnämnden bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden (se t.ex. 2 kap. 8 a § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet
eller 13 § studiestödsdataförordningen). Enligt motivuttalanden räcker det med att värdmyndigheten inhämtar en försäkran från socialnämnden om att kraven är uppfyllda (prop. 2007/08:160 s. 150 och 170).
Datainspektionen har i ett tillsynsärende granskat vissa socialnämnders direktåtkomst och konstaterat ett fall där en socialnämnd underlåtit att på plats införa tekniska begränsningar för handläggarnas åtkomst. Inspektionen har i det aktuella fallet förelagt värdmyndigheter att upphöra med att lämna ut personuppgifter via direktåtkomst samt förelagt den aktuella socialnämnden att införa tekniska begränsningar för handläggarna (Datainspektionens beslut 2011-04-01 dnr 1523-2010, 1579-2010 och 1735-2010).
De aktuella bestämmelserna om socialnämnders direktåtkomst och kraven på tekniska begränsningar torde inte vara att se som en konsekvens av att tekniskt tillgängliga uppgifter blir allmän handling hos socialnämnderna. Snarare handlar det om att det är ett integritetsproblem i sig om handläggare vid en socialnämnd i en kommun har obegränsade tekniska möjligheter att ta fram uppgifter om samtliga registrerade i t.ex. Försäkringskassans socialförsäkringsdatabas, som omfattar i princip hela landets befolkning (prop. 2007/08:160 s. 148 f.).
6.2.3. Konsekvenserna av att överskottsinformation normalt är allmän handling hos mottagarmyndigheter
I förarbeten till bestämmelser om direktåtkomst har det alltså ibland setts som ett särskilt problem från integritetssynpunkt att överskottsinformation normalt sett blir allmänna handlingar hos mottagarmyndigheter (se t.ex. prop. 2007/08:126 och prop. 2007/08:160). Att överskottsinformationen omfattas av offentlighetsprincipen hos mottagarmyndigheter innebär nämligen en potentiell risk för oavsiktlig spridning av personuppgifter långt bortom det scenario som kunde förutses när uppgifterna ursprungligen samlades in.
Denna risk har också varit skälet till införandet i sekretesslagstiftningen av den generella bestämmelsen om överföring av eventuell sekretess vid direktåtkomst och liknande (11 kap. 4 § OSL) samt bestämmelserna om absolut sekretess för ospärrade patientuppgifter vid sammanhållen journalföring (25 kap. 2 § OSL) se ovan i avsnitt 5.5.2. Även i samband med införandet av de särskilda bestämmelserna om databassekretess i vissa fall, t.ex. i 27 kap. 1 §
OSL (Skatteverkets beskattningsdatabas) eller 3 § (Tullverkets tulldatabas) eller 34 kap. 2 § (Kronofogdemyndighetens utsöknings- och indrivningsdatabas), har frågor om sekretesskydd vid olika myndigheters tillgång till överskottsinformation behandlats (jfr prop. 1981/82:160 s. 11 f., prop. 1985/86:155 s. 22 f. och från senare tid prop. 2010/11:78 s. 23).
Handlar det om hos värdmyndigheten sekretessreglerade uppgifter finns således oftast möjlighet även för mottagarmyndigheten att också åberopa sekretessbestämmelser som hinder vid en begäran hos mottagarmyndigheten om utfående enligt 2 kap. tryckfrihetsförordningen av överskottsinformation. Som framgått i avsnitt 5.5.2 ger den generella bestämmelsen i 11 kap. 4 § OSL om överföring av sekretess till en mottagarmyndighet dock ingen garanti för att sekretesskyddet blir detsamma hos mottagarmyndigheten som hos värdmyndigheten. Primära sekretessbestämmelser hos mottagarmyndigheten, som på grund av undantagsregeln i 11 kap. 8 § OSL har företräde, kan nämligen vara så utformade att sekretesskyddet för överskottsinformationen blir sämre hos mottagarmyndigheten än hos värdmyndigheten. Detta trots att det svagare skyddet för de genom direktåtkomst utlämnade uppgifterna är motiverat bara beträffande de uppgifter som faktiskt överförs till och används i mottagarmyndighetens verksamhet, dvs. som inte utgör överskottsinformation (dir. 2011:86 s. 15).
Men även i de fall överskottsinformationen inte får ett sämre sekretesskydd hos mottagarmyndigheten – t.ex. därför att det är fråga om en särskild databassekretess eller den primära sekretessen hos mottagarmyndigheten är lika stark eller t.o.m. starkare än hos värdmyndigheten – medför sekretessreglerad överskottsinformation att mottagarmyndigheten i allmänhet måste överföra till sig och ta del av överskottsinformationen vid ett begärt utlämnande. En beslutsfattare måste nämligen vare sig det handlar om att tillämpa en primär eller en sekundär sekretessbestämmelse normalt ta del av uppgifterna för att kunna göra en sekretessprövning enligt föreskrivna skaderekvisit. Det blir då fråga om en överföring och övergång till ”aktiv” tillgänglighet som mottagarmyndigheten annars inte skulle ha haft någon befogad anledning – och kanske inte heller hade haft rättsligt stöd för – att själv göra i sin verksamhet.
Från integritetsskyddssynpunkt kan det uppfattas som otillfredsställande att överskottsinformation behöver överföras till mottagarmyndigheten enbart i detta syfte.
Det får vidare betraktas som en komplikation att det kan vara svårare för en mottagarmyndighet att tillämpa överförda sekundära sekretessbestämmelser, bestämmelser som kanske har utformats särskilt för värdmyndighetens förutsättningar. Omfattas uppgifter i överskottsinformationen av sekretess enligt någon för värdmyndigheten utformad sekretessbestämmelse som mottagarmyndigheten ska tillämpa enligt 11 kap. 4 § OSL, kan sekretessprövningen således bli komplicerad, vilket kan medföra fördröjningar i hanteringen. Det kan inte heller uteslutas att detta kan leda till att utfallet av skadeprövningen kan bli i viss mån osäkert.
En ytterligare konsekvens av att överskottsinformation utgör allmän handling hos mottagarmyndigheter är att de grundläggande kraven på en god offentlighetsstruktur som följer av 4 och 5 kap. offentlighets- och sekretesslagen och kraven på bevarande enligt arkivlagstiftningen i princip blir tillämpliga även i fråga om överskottsinformationen.
I den mån det är fråga om överskottsinformation som tillgängliggjorts av någon annan svensk myndighet är en mottagarmyndighet visserligen inte skyldig att registrera eller i sitt arkiv bevara informationen. Det följer av 5 kap. 1 § andra stycket OSL att registrering i sådana fall bara ska göras av värdmyndigheten. Vidare är huvudregeln enligt 3 § arkivlagen att elektroniska upptagningar som är tillgängliga för flera myndigheter, så att de utgör allmänna handlingar hos alla dessa myndigheter, ska bevaras och bilda arkiv bara hos en av myndigheterna, i första hand den som svarar för huvuddelen av upptagningen, vilket i fråga om överskottsinformation vid direktåtkomst normalt är värdmyndigheten. Arkivmyndighet kan dock besluta om andra lösningar (prop. 1989/90:72 s. 70, se även avsnitt 5.4).
Handlar det däremot om att en mottagarmyndighet har direktåtkomst till en utländsk eller internationell databas gäller som utgångspunkt huvudreglerna om en grundläggande registrerings- och arkiveringsskyldighet hos mottagarmyndigheten även för tillgänglig överskottsinformation. Det säger sig självt att det kan innebära praktiska och andra svårigheter för en svensk myndighet med direktåtkomst till olika utländska organs databaser att fullgöra sina skyldigheter i dessa avseenden. Detsamma gäller om en myndighet har direktåtkomst till en enskild aktörs databas och biblioteksregeln inte är tillämplig.
Vi vill avslutningsvis också peka på det förhållandet att det inte kan uteslutas att det faktum att överskottsinformation normalt ut-
gör allmän handling kan ha hämmande effekter för den samhällsnyttiga utvecklingen av såväl myndighetsövergripande informationsutbyte som myndigheternas service till enskilda. Det finns indikationer på att tryckfrihetsförordningens komplexitet och tillämpning beträffande överskottsinformation vid direktåtkomst torde vara i vart fall en delförklaring till att informationsteknikens möjligheter att t.ex. underlätta för enskilda att lämna uppgifter till myndigheter inte alltid har realiserats fullt ut. Vi har vidare fått det intrycket att regleringen är resurskrävande i så måtto att den kan leda till en strävan att hitta lösningar som hindrar att överskottsinformation uppstår hos inblandade myndigheter när olika informationsutbyten planeras.
7. Överskottsinformation vid direktåtkomst – våra överväganden
7.1. Inledning
Vårt uppdrag är att överväga om definitionen av begreppet ”allmän handling” i tryckfrihetsförordningen är lämpligt utformad när det gäller sådana uppgifter som en myndighet har tillgång till genom s.k. direktåtkomst hos en annan myndighet eller genom liknande former av elektroniskt utlämnande. Om vi anser att definitionen bör ändras, ska vi lämna författningsförslag. Uppdraget i denna del tar enbart tar sikte på frågan om överskottsinformation – i form av färdiga eller potentiella elektroniska handlingar som i samband med elektroniskt informationsutbyte av tekniska skäl görs tillgängliga för den mottagande myndigheten – även i fortsättningen bör anses utgöra allmänna handlingar hos den mottagande myndigheten.
Vi har i det föregående redogjort för relevant reglering i bl.a. 2 kap. tryckfrihetsförordningen och tidigare behandling av frågan om en eventuell begränsning av handlingsoffentlighetens räckvidd på grund av informationsteknikens utveckling. Vi har också beskrivit de problem som är förknippade med överskottsinformation vid direktåtkomst och på vilka sätt dessa är kopplade till den nuvarande regleringen i 2 kap. tryckfrihetsförordningen.
I detta kapitel redovisas våra överväganden i grundlagsfrågan.
7.2. Allmänna utgångspunkter
När tillgänglighetsrekvisitet i 2 kap. 3 § TF utformades under 1970-talet som grundläggande för begreppet förvar kunde lagstiftaren knappast förutse den informationstekniska utvecklingen
och de vittgående konsekvenser denna har haft för myndigheters informationshantering. Med den utveckling av myndigheternas elektroniska informationshantering som ägt rum under senare årtionden menar vi, liksom andra utredningar före oss, att det framstår som allt mer befogat att diskutera lämpligheten i att handlingsbegreppet i 2 kap. tryckfrihetsförordningen inte gör någon skillnad mellan, å ena sidan, en myndighets tillgång till information som genererats eller samlats in i en myndighets egen verksamhet och, å andra sidan, tillgång till extern information som myndigheten enbart har en teknisk möjlighet att genom en framtida aktivitet överföra och då föra in i sin verksamhet.
Man torde t.ex. kunna utgå från att den grundläggande konstruktionen av vad som utgör inkomna allmänna handlingar hade utformats på ett annat sätt om t.ex. internetanvändning hade varit en realitet under 1970-talet. Den nuvarande situationen, där all den enorma mängd information från hela världen som är allmänt åtkomlig via internet i och för sig uppfyller tryckfrihetsförordningens grundkriterier på att vara förvarade och inkomna handlingar hos varje svensk myndighet, ter sig minst sagt märklig från rent systematisk synpunkt. Det rör sig om en i realiteten oändlig volym av teoretiskt sett till myndigheterna inkomna och förvarade handlingar och det är en vittgående tolkning av undantaget i den s.k. biblioteksregeln som tillämpas för att ge handlingsoffentligheten rimliga proportioner.
Biblioteksregeln avsågs ursprungligen ha ett tämligen snävt och avgränsat tillämpningsområde vid sådana myndigheter som inte har egentlig biblioteksverksamhet som sin huvuduppgift, se avsnitt 5.2.3. Numera anses den träffa i princip oändliga informationsmängder. Det kan alltså knappast sägas att bestämmelsen tillämpas i enlighet med lagstiftarens intentioner vid dess tillkomst.
Från principiell synpunkt kan det vidare te sig diskutabelt om det verkligen är rimligt att handlingsoffentligheten ska omfatta sådan överskottsinformation som en mottagarmyndighet över huvud taget aldrig har tagit någon faktisk befattning med och som myndigheten kanske inte heller får ta del av i sin egen verksamhet.
Frågan om handlingsoffentligheten och myndigheters yttre gränser har behandlats tidigare av Datalagskommittén och av Offentlighets- och sekretesskommittén (OSEK), se redogörelsen för deras överväganden i avsnitt 5.8. Som framgår där föreslog Datalagskommittén en ändring av begreppet förvar genom ett avskaffande
av det tillgänglighetsrekvisit som 2 kap. 3 § TF bygger på när det gäller elektroniska handlingar.
OSEK avvisade dock en inskränkning i begreppet förvar, bl.a. därför att det skulle leda till en omotiverad försämring av insynen i den information som myndigheterna har tillgång till via anslutning till andra myndigheters databaser, en försämring som dessutom skulle innebära ett frångående av likställighetsprincipen. Allmänheten skulle inte längre ha tillgång till informationen i samma utsträckning som den är tillgänglig för myndigheten. Dessutom skulle ett ändrat begrepp innebära att enskilda måste vända sig till flera myndigheter vilket skulle medföra ett ineffektivt förfarande för såväl allmänheten som förvaltningen i stort och att teknikens möjligheter inte utnyttjades (SOU 2001:3 s. 170 f.).
Man kan ha sympati för OSEK:s grundläggande principiella ställningstagande. Vårt uppdrag är emellertid att ta ställning till en betydligt mer begränsad fråga än den OSEK hade att överväga, nämligen vad som ska gälla beträffande överskottsinformation vid direktåtkomst, dvs. för sådana uppgifter som en mottagarmyndighet bara passivt förvarar genom den tekniska tillgängligheten. I den delen anser vi att resonemanget inte nödvändigtvis behöver landa i bedömningen att en ändring i tryckfrihetsförordningen som undantar överskottsinformation från att vara allmän handling hos en mottagarmyndighet skulle utgöra en omotiverad försämring av allmänhetens insyn eller ett frångående av likställighetsprincipen.
En eventuell grundlagsändring kräver emellertid att en analys av andra möjliga lösningar leder till bedömningen att sådana inte tillfredsställande löser det aktuella problemet. Den analysen görs i nästa avsnitt.
I avsnitt 7.4 utvecklar vi vår närmare syn på sådana principiella aspekter som bör läggas på frågan om en grundlagsändring. Där analyserar vi även tyngden i allmänhetens insynsintresse såvitt avser överskottsinformation. Mot de skäl som kan tala för en begränsning av handlingsoffentlighetens räckvidd när det gäller överskottsinformation vid direktåtkomst måste nämligen ställas den principiella rätten till insyn i myndigheternas handlingsbestånd.
En grundlagsändring förutsätter dessutom att det går att hitta en tillfredsställande lagteknisk lösning som inte ytterligare försvårar tillämpningen av en redan komplicerad reglering. Den frågan behandlas i avsnitt 7.5. Vårt slutliga ställningstagande redovisas i avsnitt 7.6.
7.3. Finns alternativa lösningar?
Det har under åren gjorts såväl grundlagsändringar som ändringar i vanlig lag för att tillse att verkningarna av den långtgående handlingsoffentligheten i fråga om elektronisk information inte ska få proportioner som bedömts som orimliga eller olämpliga.
Utformningen av bestämmelserna i 2 kap. tryckfrihetsförordningen och deras anpassning under 1970-talet till den då nya elektroniska informationstekniken ansågs – genom bl.a. begränsningsregeln i 2 kap. 3 § och undantagen i 6 och 10 §§ för teknisk bearbetning eller lagring – ge handlingsoffentligheten rimliga proportioner när det gäller just elektronisk informationshantering. Den ändring i 2 kap. 3 § andra stycket som gjordes 1991 och som innebar att begreppet förvar i fråga om upptagningar inskränktes till att avse tillgänglighet ”med tekniskt hjälpmedel som myndigheten själv utnyttjar” är också ett exempel på en grundlagsändring som hade samband med informationsteknikens ökade användning i samhället (se prop. 1990/91:60 s. 28 f). Det undantag för säkerhetskopior som gäller sedan den 1 januari 2011 är också ett exempel på en grundlagsändring med direkt koppling till informationsteknikens utveckling.
I övrigt har det i allt väsentligt varit genom ändringar i sekretessregleringen och genom införande av eller ändringar i registerförfattningar som integritetsskydd skapats för att minska handlingsoffentlighetens reella räckvidd i fråga om myndigheters informationshantering avseende personuppgifter.
Frågan nu är om det finns någon annan metod än en grundlagsändring för att komma till rätta med de problem som är förenade med att överskottsinformation utgör allmän handling hos mottagarmyndigheter.
7.3.1 ”Förbud” mot överskottsinformation?
Det torde rent tekniskt och administrativt finnas förutsättningar att anordna informationsförsörjning på sätt som innebär att uppgifter inte anses tekniskt tillgängliggjorda för mottagarmyndigheter i den mening som avses i 2 kap. 3 och 6 §§ TF. Ett exempel skulle kunna vara administrativa spärrar i värdmyndighetens system som innebär att en mottagarmyndighet inte kan överföra en uppgift utan värdmyndighetens föregående kontroll eller i vart fall auto-
matiserade prövning (se exempelvis redogörelsen i avsnitt 5.9.3 för E-delegationens rapport Direktåtkomst och utlämnande på medium för automatiserad behandling). Betydelsen av sådana arrangemang för frågan om vad som utgör allmän handling hos en mottagande myndighet kan emellertid inte bedömas generellt utan blir ytterst beroende av omständigheterna i det enskilda fallet.
I nuläget framstår det dock inte som praktisk genomförbart att ställa generella krav på att den offentliga sektorn tekniskt utformar sina informationssystem på det sättet att informationsutbyte kan ske utan att överskottsinformation i tryckfrihetsförordningens mening uppstår vid direktåtkomst och några indikationer på att förekomsten av överskottsinformation vid direktåtkomst kommer att minska kan vi inte se. Utvecklingen går snarare mot en ökande myndighetsöverskridande informationshantering. Man eftersträvar t.ex. att en återanvändning av redan insamlad information i en myndighets verksamhet kan ske i andra myndigheters verksamheter eftersom det kan kombinera ökad effektivitet i förvaltningen med bättre service åt enskilda vid deras kontakter med det allmänna. Det finns vidare skäl att framhålla behovet av informationsutbyte inom ramen för internationellt samarbete som Sverige deltar i, inte minst gäller detta beträffande EU.
Att genom någon form av reglering ”förbjuda” överskottsinformation ter sig alltså sammantaget svårt att förena med strävandena att använda och utveckla informationstekniken på ett sätt som ökar nyttan för både samhället och individen. Vi ser inte ett ”förbud” som ett alternativ.
7.3.2. En generell sekretesslösning?
Som ett annat alternativ till en grundlagsändring har vi övervägt om det skulle gå att införa en primär sekretessbestämmelse med räckvidd hos alla mottagarmyndigheter som föreskrev absolut sekretess för överskottsinformation vid direktåtkomst motsvarande den befintliga särbestämmelsen om absolut sekretess vid sammanhållen journalföring enligt 25 kap. 2 § OSL eller den nya sekretessbestämmelsen för utländska databaser i 15 kap. 1 a § OSL, se ovan i avsnitt 5.5.2.
Syftet med en sådan bestämmelse skulle i första hand vara att generellt ge överskottsinformationen ett avsevärt bättre integritetsskydd än vad som normalt gäller idag. Sekretesskyddet skulle då bli
det starkast tänkbara. I praktiken skulle sekretesskyddet i det närmaste eliminera den risk för spridning av personuppgifter till allmänheten via tillgänglighet hos mottagarmyndigheter som är en följd av att värdmyndigheters information blir allmänna handlingar även hos mottagarmyndigheter. Detta gäller i synnerhet om bestämmelsen kombinerades med en inskränkning i personalens rätt att straffritt meddela och offentliggöra uppgifter för publicering i massmedia m.m., den s.k. meddelarfriheten.
Därutöver skulle en sådan bestämmelse i betydande mån minska mottagarmyndigheters skyldigheter att söka fram överskottsinformation hos en värdmyndighet och i sin egen verksamhet utföra den behandling av överskottsinformationen som en begäran enligt tryckfrihetsförordningen om utfående av allmän handling föranleder. Gällande rätt innebär nämligen att mottagarmyndigheten normalt före ett eventuellt utlämnande måste ta del av överskottsinformationen om uppgifterna är sekretessreglerade, eftersom det då krävs en sekretessprövning gentemot ett skaderekvisit som innebär att man ska pröva om det kan förutses någon risk för skada eller men eller att en sådan risk för det skyddade sekretessintresset kan uteslutas som en konsekvens av att en uppgift lämnas ut. Redan risken för att vissa uppgifter kan vara sekretessreglerade kan medföra ett behov av att mottagarmyndigheten tar del av överskottsinformationen för att se om uppgifter ska sorteras så att de som är offentliga och utan vidare kan lämnas avskiljs från uppgifter som måste sekretessprövas före ett eventuellt utlämnande.
En ny sekretessbestämmelse som föreskriver absolut sekretess hos alla mottagarmyndigheter för uppgifter som är tekniskt tillgängliga hos en värdmyndighet genom direktåtkomst eller liknande men som ingår i överskottsinformation skulle alltså begränsa mottagarmyndigheternas skyldigheter att – kanske i strid mot gällande sök- eller ändamålsbegränsningar för myndighetens egen personuppgiftsbehandling – till sig överföra och ta del av överskottsinformationen med anledning av en begäran enligt tryckfrihetsförordningen för att göra en sekretessprövning. Detta skulle alltså bidra avsevärt till att förbättra integritetsskyddet. Det ska emellertid framhållas att det inte kan uteslutas att överföring ibland ändå skulle behöva ske, t.ex. för att ta ställning till om en viss sekretessbrytande bestämmelse, som gör att uppgifter trots sekretess kan lämnas ut, är tillämplig. Så skulle också bli fallet i samband med ett överklagande av ett beslut rörande utfående av allmän handling.
Det finns emellertid flera problematiska faktorer med en ny sekretessbestämmelse som skulle innebära absolut sekretess för överskottsinformation och ha generell räckvidd i den meningen att den skulle vara i och för sig tillämplig hos alla myndigheter som är mottagarmyndigheter vid direktåtkomst och liknande elektroniskt utlämnande som genererar överskottsinformation.
I 2 kap. 2 § TF anges ramen för i vilka fall handlingsoffentligheten får begränsas genom införande av sekretess. I sju punkter räknas upp vilka intressen som får skyddas genom att allmänna handlingar hålls hemliga, de s.k. sekretessgrunderna. Dessa är
1. rikets säkerhet eller dess förhållande till annan stat eller mellan-
folklig organisation,
2. rikets centrala finanspolitik, penningpolitik eller valutapolitik,
3. myndighets verksamhet för inspektion, kontroll eller annan till-
syn,
4. intresset att förebygga eller beivra brott,
5. det allmännas ekonomiska intresse,
6. skyddet för enskilds personliga eller ekonomiska förhållanden,
7. intresset att bevara djur- eller växtart.
Uppräkningen är uttömmande och all handlingssekretess måste alltså grundas på sekretessbestämmelser som syftar till att skydda något av de uppräknade intressena. Det krävs även att sekretess ska vara påkallad. Dessutom föreskrivs i 2 kap. 2 § TF att begränsningar i rätten att ta del av allmänna handlingar ska anges noga i särskild lag eller, om det i visst fall är lämpligare, i annan lag till vilken den särskilda lagen hänvisar. Med den särskilda lagen avses offentlighets- och sekretesslagen. Att begränsningar ska anges noga innebär att sekretessbestämmelser måste ges ett preciserat innehåll (prop. 1975/76:160 s. 77). En grundprincip vid utformningen av varje särskild sekretessbestämmelse är vidare att man inte ska åstadkomma mer sekretess än vad som är nödvändigt för att skydda det intresse som föranlett bestämmelsen, sekretessen ska vara påkallad. Därför är sekretessbestämmelser normalt avgränsade med skaderekvisit (prop. 1979/80:2 Del A s. 78). Behovet av och styrkan i en sekretess kan dock inte bestämmas enbart med hänsyn till sekretessintresset. Detta måste i varje sammanhang vägas mot
intresset av insyn i myndigheternas göranden och låtanden (a. prop. s. 75 f.).
Den enda sekretessgrund som skulle kunna åberopas till stöd för en inom hela den offentliga verksamheten tillämplig generell bestämmelse om absolut sekretess för mottagarmyndigheters överskottsinformation vid direktåtkomst är punkten 6 som avser skyddet för enskilds personliga eller ekonomiska förhållanden. Som vi tidigare konstaterat är det huvudsakligen på grund av risken för obefogade integritetsintrång som det är problematiskt att överskottsinformation vid direktåtkomst blir allmän handling hos alla mottagarmyndigheter redan vid det passiva tillgängliggörandet. Av det sagda följer att en generell bestämmelse knappast kan avse annat än uppgifter om enskildas personliga förhållande, dvs. personuppgifter om fysiska personer. En absolut sekretess hos mottagarmyndigheter skulle dock inte kunna anpassas till hur känsliga personuppgifterna i fråga är. Ingen skillnad skulle gälla mellan uppgifter som hos värdmyndigheten annars kanske är harmlösa och offentliga eller tvärtom känsliga och sekretessreglerade såvida detta inte särskilt angavs i bestämmelsen, t.ex. genom att sekretessbestämmelsen angavs omfatta bara sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen eller sådana uppgifter som är sekretessreglerade hos värdmyndigheten.
En ingående bedömning av huruvida absolut sekretess verkligen är nödvändig för att skydda uppgifter i allmänna handlingar från allmänhetens insyn snarare än att på vanligt sätt åstadkomma ett skydd genom föreskrifter om omvänt eller rakt skaderekvisit, kan emellertid, som vi ser det, inte göras generellt utan bör göras för varje verksamhetsområde för sig eller för vissa särskilda fall såsom beträffande de befintliga sekretessbestämmelserna för sammanhållen journalföring eller utländska databaser. Inte heller går det att göra någon närmare avvägning mellan skyddsintresse och insynsintresse vid en generell lösning. Till detta kommer att sekretessens föremål under alla förhållanden hade fått begränsas till uppgift om enskilds personliga förhållanden. En mottagarmyndighet skulle därmed tämligen ofta – vid en begäran om utfående av allmän handling – ändå behöva söka fram efterfrågade handlingar hos värdmyndigheten för att närmare utreda om de innehåller uppgifter om personliga förhållanden eller inte.
Enligt vår bedömning vore införandet av en generell regel om absolut sekretess för överskottsinformation inte förenlig med de krav som uppställs i 2 kap. 2 § TF på att undantag från handlings-
offentlighet ska vara påkallade och noga preciserade. Det gäller även för det fall tillämpningsområdet för en generell bestämmelse om absolut sekretess skulle begränsas till särskilt känsliga uppgiftskategorier eller redan hos värdmyndigheten sekretessreglerade uppgifter. En sådan bestämmelse kan därför redan av detta skäl inte föreslås.
7.3.3. Fortsatta sekretesslösningar från fall till fall?
Huvudregeln är att den grundlagsskyddade handlingsoffentligheten vid behov inskränks med stöd av 2 kap. 2 § TF genom införandet av verksamhets- eller myndighetsanpassade sekretessbestämmelser. Som har framgått ovan måste i princip varje gång elektronisk informationsöverföring mellan myndigheter införs eller utökas komplicerade överväganden om sekretessförhållanden göras vilket ofta leder till ändringar i offentlighets- och sekretesslagen.
Fortsatta lösningar från fall till fall med en ständig ström av nya eller utvidgade sekretessbestämmelser för att skydda överskottsinformation hos mottagarmyndigheter – kanske även sådana som föreskriver absolut sekretess för överskottsinformation på ytterligare områden – riskerar att göra en redan komplicerad lagstiftning än mer komplex och splittrad, vilket i sin tur riskerar offentlighetsprincipens genomslag. Man kan inte heller bortse från risken att de sammantagna konsekvenserna för handlingsoffentligheten som sådan inte blir tillräckligt belysta i de enskilda lagstiftningsärendena.
Visserligen ser vi en möjlighet att något förbättra möjligheterna att åstadkomma ett adekvat skydd för överskottsinformation hos mottagarmyndigheter genom en anpassning av undantagsregeln om konkurrerande sekretessbestämmelser vid direktåtkomst i 11 kap. 8 § (se kapitel 8) men i grunden bygger den regleringen alltså på fortsatta lösningar med sektors- eller verksamhetsanpassade sekretessbestämmelser.
En ändring av regleringen beträffande konkurrerande sekretessbestämmelser torde emellertid inte annat än i vissa fall ändra på det förhållandet att en mottagande myndighet vid en begäran om att få del av en värdmyndighets upptagningar många gånger måste ta fram och ta del av uppgifter för att 1) se om informationen alls är sekretessreglerad, t.ex. att den verkligen avser uppgifter om enskilds personliga eller ekonomiska förhållanden som omfattas av en
sekretessbestämmelse, och 2) göra en sekretessprövning gentemot ett skaderekvisit och detta även om myndigheten alltså annars kanske är förhindrad att ta del av informationen.
Enligt vår mening är detta en problematisk konsekvens av den nuvarande konstruktionen av begreppet allmän handling i 2 kap. tryckfrihetsförordningen som knappast står väl i samklang med samhällets skyldigheter att skydda enskildas personliga integritet genom att hindra en obefogat stor spridning av uppgifter mellan myndigheter. Ibland står framtagandet av informationen dessutom i strid mot villkorade förbud som gäller för den egna myndighetens verksamhet, förbud eller restriktioner som utformats i syfte att skapa ett integritetsskydd för enskilda registrerade som en motvikt till det tekniska tillgängliggörandet.
En ytterligare aspekt är att de splittrade lagstiftningsprocesserna sammantaget är resurskrävande för samhället i stort. Som tidigare sagts medför fortsatta särlösningar på sekretessområdet att komplexiteten i regleringen bara ökar och det kan inte uteslutas att detta kan ha en negativ betydelse för handlingsoffentlighetens genomslag. Mot den bakgrunden anser vi inte att fortsatta särregleringar på sekretessområdet innebär en alltigenom tillfredsställande lösning.
7.3.4. Sökförbud m.m.
När det gäller den andra traditionella metoden för att minska handlingsoffentlighetens räckvidd genom att införa regleringar i registerförfattning om absoluta sök- eller sambearbetningsförbud gör vi bedömningen att detta framstår som en återvändsgränd när det gäller mottagarmyndigheters överskottsinformation. Det finns två skäl till detta.
För det första skulle sådana förbud inte göra någon skillnad i fråga om en värdmyndighets färdiga elektroniska handlingar. De skulle fortsatt vara förvarade allmänna handlingar hos en mottagarmyndighet. Visserligen avser sådan myndighetsövergripande direktåtkomst som förekommer idag oftast att mottagarmyndigheter ges möjligheter att söka uppgifter i värdmyndighetens upptagningar för att göra egna sammanställningar. Direktåtkomst till en värdmyndighets färdiga elektroniska handlingar förekommer emellertid och det finns vad vi vet inget som säger att det inte kan bli vanligare framöver. För det andra skulle fler absoluta förbud samman-
taget motverka mottagarmyndigheternas rationella och flexibla informationshantering vilket i sin tur skulle stå i klar motsättning till det underliggande syftet med strävandena mot en förbättrad effektivitet och tillgänglighet när det gäller informationshanteringen inom det allmänna.
Fortsatta separata registerförfattningslösningar i syfte att minska de olägenheter från integritetsskyddssynpunkt som överskottsinformation vid direktåtkomst medför ter sig enligt vår uppfattning alltså inte som en tillfredsställande lösning. Det ter sig också som ett slags halvmesyr att genom ett ständigt växande lappverk av registerförfattningsbestämmelser m.m. lösa det grundläggande problemet med att tryckfrihetsförordningens utformning i nu aktuellt hänseende kan sägas leda till otillfredsställande konsekvenser.
7.4. Vilken avvägning bör göras?
Vi har alltså inte kunnat finna att det finns någon alternativ lösning för att komma till rätta med de problem som är förenade med överskottsinformation vid direktåtkomst. Det kan tyckas tala för en grundlagsändring. Men för att ta ställning till frågan om en grundlagsändring verkligen är motiverad måste det göras andra avvägningar, bl.a. mellan de skäl som talar för en principiell inskränkning av handlingsoffentlighetens räckvidd och tyngden i det insynsintresse som kan finnas beträffande mottagarmyndigheters överskottsinformation vid direktåtkomst.
En utgångspunkt är att det enligt vår uppfattning knappast är tillfredsställande att regleringen beträffande vad som är allmän handling medför att sådana bestämmelser i registerförfattningar som exempelvis tillåter en mottagarmyndighet att använda direktåtkomsten bara för att söka efter en värdmyndighets personuppgifter om ett visst föreskrivet villkor är uppfyllt – t.ex. att personuppgiften gäller någon som är aktuell i ett ärende hos myndigheten – helt sätts ur spel när det gäller vad som utgör hos mottagarmyndigheten förvarade allmänna handlingar. Som har framgått måste alltså en mottagarmyndighet på begäran ta fram sammanställningar med personuppgifter ur tillgängliga upptagningar hos värdmyndigheten även om de rör uppgifter om sådana personer som varken är eller har varit aktuella hos mottagarmyndigheten och detta trots att myndigheten av integritetsskyddsskäl kan ha förbjudits att för sin egen verksamhet ens söka fram dessa personuppgifter. Det före-
ligger alltså en diskrepans mellan hur myndigheten får hantera information för egen del och vad myndigheten måste göra för allmänhetens räkning. Denna inkonsekvens kan gå ut över enskilda registrerades berättigade krav på ett godtagbart integritetsskydd vid myndighetsövergripande informationshantering, en hantering som i den moderna miljön är omfattande och som för den enskilde registrerade torde framstå som i det närmaste oöverblickbar.
Vidare är detta förhållande mindre väl förenligt med den för handlingsoffentligheten grundläggande likställighetsprincipen som innebär att allmänheten ska ha samma tillgång till allmänna handlingar som myndigheten själv har. I fråga om författningsreglerad direktåtkomst med för mottagarmyndigheten föreskrivna villkorade restriktioner är situationen alltså i stället den att allmänhetens tillgång är mer vidsträckt än myndighetens. En ändring som innebär att informationen inte blir allmän handling hos mottagarmyndigheten enbart på grund av den latenta tillgängligheten, trots villkorade sökförbud, skulle alltså enligt vår mening inte medföra något reellt ingrepp i likställighetsprincipen. Detsamma gäller i fråga om sådana sökbegränsningar som anger att direktåtkomsten bara får användas av mottagarmyndigheten för vissa ändamål eller i vissa situationer. Att villkorade förbud och ändamålsbegränsningar i registerförfattningar inte bör begränsa handlingsoffentlighetens räckvidd när det gäller den egna myndighetens informationssamlingar är en helt annan sak.
Vid 2002 års ändringar i 2 kap. 3 § TF klargjordes att färdiga elektroniska handlingar ska anses vara förvarade hos en myndighet alldeles oavsett om det krävs mer än rutinbetonade åtgärder för att ta fram dem. Inte heller skulle sök- eller sambearbetningsförbud spela någon roll för frågan om de utgör allmänna handlingar eller inte. Tanken bakom denna reform var att en handling i elektronisk form i en elektronisk akt hos en myndighet annars skulle kunna riskera att inte anses förvarad hos myndigheten i 2 kap. tryckfrihetsförordningens mening. Handlingen skulle därmed inte vara en allmän handling hos myndigheten (SOU 2001:3 s. 145).
En inskränkning av handlingsoffentligheten på grund av övergång till elektronisk ärendehandläggning skulle givetvis inte vara acceptabel. Däremot menar vi att det inte framstår som självklart att ställa samma ovillkorliga krav på handlingsoffentlighetens räckvidd när det gäller en mottagarmyndighets tillgång till värdmyndighetens färdiga elektroniska handlingar så länge det handlar om överskottsinformation. Även här menar vi således att det framstår
som rimligt att hävda att likställighetsprincipen inte skulle trädas för när om ett absolut eller villkorat sökförbud eller liknande som gäller för en mottagarmyndighet skulle få genomslag även beträffande mottagarmyndighetens skyldighet att ta fram en värdmyndighets färdiga elektroniska handling.
Vi menar alltså att de skäl som ligger till grund för att färdiga elektroniska handlingar alltid – oavsett eventuella absoluta sökförbud och liknande – ska anses vara allmänna handlingar så länge som de är tekniskt tillgängliga inte väger lika tungt när det gäller en mottagarmyndighets tillgång till en värdmyndighets färdiga elektroniska handlingar förutsatt att det handlar om överskottsinformation.
Över huvud taget kan den frågan ställas i vilken mån allmänhetens insynsintresse i en mottagarmyndighets passivt tillgängliga överskottsinformation väger lika tungt som insynsintresset i myndighetens egentliga informationshantering.
Handlingsoffentlighetens centrala syften är som redovisats bl.a. i avsnitt 5.6 att dels vara en nödvändig upplysningskälla för en fri debatt i skilda samhällsfrågor, dels möjliggöra en medborgerlig insyn och kontroll bl.a. av att den offentliga makten utövas under lagarna. Sammanfattningsvis brukar syftet härmed sägas vara att garantera rättssäkerheten samt effektiviteten i förvaltningen och folkstyret (se t.ex. prop. 2001/02:70 s. 9).
Grundstenarna här är vad som brukar kallas ärendeinsyn och verksamhetsinsyn. Denna insyn är av fundamental vikt för granskningen av myndigheternas ärendehandläggning m.m. alldeles oavsett om det är en pågående verksamhet som granskas eller om det handlar om en granskning som sker i efterhand. Handlingsoffentligheten har emellertid även ett vidare syfte som informationsförsörjare i vid mening. I detta avseende brukar man tala om kunskapsinsyn där myndigheternas informationssamlingar ses som en gemensam tillgång som står till allmänhetens fria förfogande.
Insyn i en mottagarmyndighets överskottsinformation kan givetvis motiveras av olika syften, vilka kan förefalla vara mer eller mindre tungt vägande.
Enligt vår mening ter det sig långsökt att hävda att handlingsoffentligheten beträffande överskottsinformation är motiverad utifrån syftet att allmänheten via mottagarmyndigheten ska kunna granska värdmyndighetens ärendehandläggning eller övriga verksamhet. Den ärende- eller verksamhetsinsynen bör i huvudsak kunna tillgodoses genom att handlingsoffentligheten kan hävdas
direkt hos värdmyndigheten. Är det dessutom fråga om direktåtkomst till en informationssamling som hör till en privat aktör eller ett utländskt organ finns, menar vi, än mindre något befogat insynsintresse i utlämnarens verksamhet som i sig motiverar att överskottsinformation ska vara allmän handling hos en mottagarmyndighet.
I vissa avgränsade hänseenden kan man däremot hävda att det, i vart fall principiellt sett, kan finnas ett inslag av intresse av ärende- eller verksamhetsinsyn visavi mottagarmyndigheten när det gäller överskottsinformation.
Ponera att en viss myndighet har direktåtkomst till Skatteverkets beskattningsdatabas och som led i ett pågående ärende tar del av en viss mängd av Skatteverkets uppgifter om en viss gäldenär men av misstag eller förbiseende underlåter att göra ett utdrag av eller göra fullständiga egna noteringar om uppgifterna för att bifoga den egna ärendedokumentationen. I så fall kunde det hävdas att det finns ett potentiellt insynsintresse i de aktuella uppgifterna även sedan ärendet avslutats och myndigheten måhända alltså inte längre får använda sin direktåtkomst för att ta fram de aktuella uppgifterna. Uppgifterna fortsätter förvisso att vara allmän handling hos Skatteverket tills de gallras men där gäller absolut sekretess enligt databassekretessen i 27 kap. 1 § OSL. Någon möjlighet för allmänheten att få del av uppgifterna hos Skatteverket i stället finns alltså i praktiken inte.
Samtidigt kan det förhålla sig på det sättet att möjligheterna enligt gällande rätt att få del av uppgifterna hos mottagarmyndigheten också är inskränkta på grund av sekretess eftersom samma databassekretess kan gälla även hos mottagarmyndigheten. Exemplet illustrerar att frågan om undantag från vad som utgör allmän handling när det gäller överskottsinformation vid direktåtkomst från faktisk insynssynpunkt i praktiken ofta är ett nollsummespel, eftersom sekretess många gånger hindrar att överskottsinformation lämnas ut.
En annan situation där det skulle kunna hävdas att det finns ett inslag av ärendeinsyn gäller sådan överskottsinformation som en mottagarmyndighet får ta fram men där detta ännu inte har skett. För den som vill granska en mottagarmyndighets hantering av ett ärende eller en ärendekategori eller liknande kan det vara av intresse att få del också av sådan information som mottagarmyndigheten av någon anledning underlåtit att tillföra sitt beslutsunderlag trots att det genom direktåtkomsten funnits förutsättningar att enkelt göra
detta. En sådan underlåtenhet kan ju tyda på brister i mottagarmyndighetens handläggning. Vid konventionell informationshantering finns inte motsvarande möjlighet att hos den granskande myndigheten begära insyn i handlingar som myndigheten aldrig har mottagit.
Om tillgänglig och i och för sig ”tillåten” överskottsinformation vid direktåtkomst skulle undantas från att vara allmän handling hos mottagarmyndigheten kan det alltså hävdas att informationstekniken inte fullt ut tas tillvara för att skapa en bättre ärendeinsyn jämfört med hur förhållandena är vid konventionell informationshantering.
Det huvudsakliga insynsintresse som handlingsoffentligheten får anses tillgodose när det gäller en mottagarmyndighets elektroniska tillgång till överskottsinformation kan emellertid karaktäriseras som kunskapsinsyn, dvs. mottagarmyndighetens direktåtkomst till värdmyndighetens eller annan utlämnares informationssamlingar ska kunna användas för allmänhetens fria förfogande och utan att syfta till granskning av mottagarmyndighetens ärendehandläggning eller övriga verksamhet.
Det ska vidare framhållas att det ligger ett värde i att den nuvarande ordningen är smidig och enkel för den enskilde som vill få insyn i allmänna handlingar eftersom han eller hon har möjlighet att vända sig till flera olika myndigheter för att få del av information i den mån sekretess inte hindrar detta. Såsom OSEK påpekade kan den ordningen också totalt sett vara effektiv för förvaltningen i stort (SOU 2001:3 s. 170 f.). Huruvida det för en enskild myndighet finns några fördelar i effektivitetshänseende med att hantera ärenden om utfående av allmän handling som avser överskottsinformation måste däremot bedömas som i hög grad tveksamt, det torde snarare vara fråga om motsatsen.
En ändring som innebär att överskottsinformation inte längre skulle vara allmän handling hos en mottagarmyndighet skulle således, som OSEK framhållit, innebära en i någon mån försämrad insyn för allmänheten genom att den enskilde i stället skulle behöva vända sig till en eller kanske flera värdmyndigheter för att få del av samma information som tidigare kunde begäras ut från en enda mottagarmyndighet (SOU 2001:3 s. 170 f.). Såvitt vi erfarit förekommer det emellertid inte i någon större utsträckning att enskilda begär insyn i mottagarmyndigheters överskottsinformation. Till detta kommer att det numera förekommer tämligen frekvent att allmänna handlingar beställs och lämnas ut i elektronisk form, t.ex.
via e-post, på sätt som går betydligt snabbare än när allmänheten fysiskt uppsöker myndigheter för att ta del av allmänna handlingar på stället. Geografiska avstånd spelar alltså numera knappast någon större roll. En begränsning av möjligheterna att begära insyn i överskottsinformation skulle i praktiken troligen inte medföra någon beaktansvärd försämring för allmänheten.
Sammanfattningsvis finns det således vissa faktorer som från insynssynpunkt kan tala för att överskottsinformation vid direktåtkomst även fortsatt bör vara allmän handling hos mottagarmyndigheter. Mot detta ska ställas de skäl som talar för en grundlagsändring i syfte att undanta överskottsinformation vid direktåtkomst från status som allmän handling hos mottagarmyndigheter. Om och hur en sådan inskränkning kan utformas och avgränsas på ett lämpligt sätt kommer att behandlas närmare i nästa avsnitt. I avsnitt 7.6 återkommer vi med våra slutliga bedömningar och ställningstagande i grundlagsfrågan.
7.5. Hur skulle en eventuell reglering kunna utformas?
7.5.1. Några utgångspunkter
Ett undantag från begreppet allmän handling
Som vi ser det är frågan om att inskränka handlingsoffentligheten när det gäller mottagarmyndigheters tillgång till överskottsinformation vid direktåtkomst och liknande en specifik delfråga som gäller ett förhållandevis avgränsat område. Mot den bakgrunden är det mer naturligt att överväga en undantagslösning än en ändring i den grundläggande definitionen av begreppet handling och förvaringskriteriet för elektroniska upptagningar. Inte heller bör, med den begränsande inriktning det nu aktuella uppdraget har, det enligt vår mening genomföras någon generell förändring av den existerande samordningen mellan tillgänglighetsrekvisitet och inkommandetidpunkten för upptagningar som någon annan har gjort tillgänglig för en mottagarmyndighet.
En eventuell begränsning av handlingsoffentligheten för en mottagarmyndighets tillgång till överskottsinformation bör alltså lämpligen utformas som ett undantag från den generella och grundläggande konstruktionen för vad som utgör allmänna handlingar.
Vi har vidare identifierat ett antal förutsättningar för ett sådant undantag.
Endast externt tillgänglig information bör omfattas
När det gäller frågan hur ett sådant undantag kan utformas konstaterar vi till en början att ett grundläggande krav är att detta måste kunna preciseras tydligt. Räckvidden av undantaget måste kunna utläsas av bestämmelsen.
En sådan grundläggande precisering vore att uttryckligen ange att det ska vara fråga om tillgång till upptagning för automatiserad behandling hos annan. Information som den egna myndigheten i någon teknisk mening behandlar och alltså kan sägas finnas hos mottagarmyndigheten skulle då inte omfattas.
I allmänhet går det vid direktåtkomst till personuppgiftssamlingar att klart identifiera att det finns en informationssamling som hör till en viss ansvarig värdmyndighet till vilken andra myndigheter (eller ibland även enskilda) kan få direktåtkomst. De som medges direktåtkomst har i dessa fall ofta redan i författningsreglering en klart utpekad roll som mottagare. Vid mer utpräglat myndighetsgemensamma informationssystem är rollfördelningen emellertid inte alltid lika klart uttalad eller tydlig. Ett exempel härpå är förhållandet mellan landets olika sidoordnade polismyndigheter när det gäller ”gemensamt tillgängliga personuppgifter” som regleras i polisdatalagen (2010:361). Var och en av dessa polismyndigheter både bidrar med att tillgängliggöra egna uppgifter och är mottagarmyndigheter genom att ha direktåtkomst till uppgifter som andra polismyndigheter gjort gemensamt tillgängliga. I sådana myndighetsgemensamma, integrerade informationssystem kan alltså myndighet A i fråga om uppgifter som A registrerat i systemet vara värdmyndighet men samtidigt mottagarmyndighet visavi uppgifter som myndighet B registrerat i systemet. Det kan mycket väl förekomma att A ”hämtar hem” B:s uppgifter för egen användning och bearbetning varefter de på nytt, i bearbetat skick, registreras i systemet och görs tillgängliga för B och eventuella övriga anslutna.
Ett undantag måste kunna tillämpas även vid sådana gemensamma, blandade informationssystem. Det är en annan sak att det vid denna typ av blandade informationssystem kan uppkomma särskilda frågeställningar rörande arkivansvar, personuppgiftsansvar m.m.
Ett undantag bör inte knytas till vilket slags innehåll en upptagning har
Ett undantag bör också vara generellt i den meningen att det bör avse elektroniska upptagningar som sådana och alltså vara oberoende av innehållet i en upptagning. Man kan visserligen överväga att knyta ett undantag till att bara gälla upptagning som innehåller personuppgifter, eftersom integritetsskyddet är det tyngst vägande skälet som talar för införandet av ett undantag. Olägenheterna med att ha olika regler för olika upptagningar beroende på dessas innehåll är emellertid så stora att en sådan ordning vore mindre lämplig. Exempelvis skulle en mottagarmyndighet i så fall kunna bli tvungen att vid en begäran om insyn enligt tryckfrihetsförordningen, i strid mot undantagets syfte, faktiskt behöva kontrollera huruvida överskottsinformationen i fråga innehåller eller inte innehåller enbart personuppgifter.
Vidare bör undantaget gälla oberoende av om det handlar om färdiga elektroniska handlingar hos värdmyndigheten eller om det handlar om sammanställningar av uppgifter ur värdmyndighetens upptagningar.
Även tillgång till utländska eller enskildas databaser bör omfattas av ett undantag
Enligt vår uppfattning bör även överskottsinformation vid tillgång till internationella samt utländska eller enskilda aktörers databaser omfattas av ett undantag, förutsatt att detta kan avgränsas på lämpligt sätt. Vi kan nämligen inte se några bärande skäl till att handlingsoffentligheten ska vara mera vidsträckt i fråga om sådan överskottsinformation än för överskottsinformation som finns i en svensk värdmyndighets informationssamlingar. Visserligen finns inte samma principiella möjlighet som vid överskottsinformation hos en värdmyndighet att vända sig till värdmyndigheten och där begära insyn i dess allmänna handlingar. Det måste emellertid beaktas att överskottsinformation hos utländska organ, privata aktörer och liknande i grunden inte alls omfattas av offentlighetsprincipen.
7.5.2. Alternativa modeller
Under utredningarbetet har vi diskuterat olika utkast till bestämmelser som skulle kunna uppfylla de förutsättningar som vi har beskrivit ovan. Dessa utkast kan indelas i två huvudspår. Den ena modellen kan beskrivas som en ny begränsningsregel som alltså skulle bygga på rättsliga begränsningar för vad en mottagarmyndighet får eller inte får göra. Den andra modellen vore ett slags överföringsregel som skulle ta sikte på en mottagarmyndighets faktiska användning av sin direktåtkomst.
7.5.2.1 En ny begränsningsregel?
Som problemet med överskottsinformationen faktiskt ser ut faller det sig naturligt att överväga om ett undantag kan utformas så att det begränsas till att avse sådan information som en mottagarmyndighet enligt någon villkorad sökbegränsning eller liknande användningsbegränsning i en registerförfattning eller motsvarande inte får lov att ta fram i sin verksamhet såvida inte vissa förutsättningar föreligger. Det är ju främst i detta avseende som det nuvarande rättsläget ger problem från bl.a. integritetskyddssynpunkt. Vidare skulle absoluta sökbegränsningar kunna få genomslag för att även undanta värdmyndighetens färdiga elektroniska handlingar från att vara allmän handling hos en mottagarmyndighet så länge dessa är överskottsinformation.
Det skulle alltså handla om att införa en ny begränsningsregel, utöver den befintliga i 2 kap. 3 § tredje stycket TF, med sikte på att undanta just överskottsinformation som en myndighet i ett givet ögonblick inte får använda sin direktåtkomst till enligt lag eller förordning eller någon för Sverige bindande internationell rättsakt.
Man kan tänka sig några varianter av en sådan ny begränsningsregel. Den ena varianten skulle kunna vara att införa ytterligare ett undantag i 2 kap. 3 § TF genom tillägg av ett nytt fjärde stycke enligt följande skiss.
Om en upptagning hos annan är tillgänglig för myndigheten på det sätt som anges i andra stycket, anses upptagningen inte förvarad hos myndigheten om myndigheten enligt lag, förordning, bindande EUrättsakt eller för Sverige bindande internationell överenskommelse är förhindrad att överföra upptagningen till sin egen verksamhet. Detsamma gäller en sammanställning av uppgifter ur en sådan upptagning.
Den andra varianten skulle kunna vara att införa ett undantag i 2 kap. 6 § TF genom tillägg av ett nytt andra stycke enligt följande.
Upptagning för automatiserad behandling hos annan anses dock inte inkommen i den utsträckning lag eller förordning, bindande EU-rättsakt eller för Sverige bindande internationell överenskommelse begränsar myndighetens rätt att överföra upptagningen eller uppgift ur upptagningen till sin verksamhet.
Båda varianterna innebär alltså ett visst avsteg från den samordning som genom tillgänglighetsrekvisitet finns mellan förvaringskriteriet i 2 kap. 3 § TF och inkommanderekvisitet i 2 kap. 6 §.
Jämfört med den befintliga begränsningsregeln – som uttryckligen bara avser sammanställningar, potentiella handlingar, samt enligt etablerad praxis i lagstiftningssammanhang enbart avser absoluta sökbegränsningar och sambearbetningsförbud – skulle den nya begränsningsregeln innebära en mer rörlig ram för vad som skulle konstituera en allmän handling eller inte. Konstituerandetidpunkten skulle därmed knytas till något som inte går att klart säga när det sker och som hela tiden kan förändras. Genom att rättsliga faktorer skulle vara avgörande kan emellertid hävdas att det för en utomstående skulle gå att förutse hur en bedömning skulle utfalla, förutsatt att vissa faktiska förhållanden föreligger. På det sättet skulle en ny begränsningsregel vara transparent och förutsebar.
En komplikation är emellertid att den information som i och för sig får sökas fram vid en viss tidpunkt vid en senare tidpunkt kanske inte längre får tas fram, t.ex. därför att myndigheten inte längre har något pågående ärende avseende den registrerade person som är aktuell. Frågan är om en sådan flexibilitet i fråga om vad som är en allmän handling hos en myndighet är problemfri ur insynssynpunkt. En annan sak är att situationen visserligen bara uppstår i det fallet att viss information faktiskt, under den tid då den var ”tillåten”, också söktes fram och lästes av t.ex. en handläggare hos en mottagande myndighet. Om en villkorad begränsningsregel skulle innebära att informationen upphör att vara en allmän handling då ärendet slutbehandlats och handläggaren av någon anledning inte kopierat eller på annat sätt tillfört den lästa informationen till mottagarmyndighetens egen ärendedokumentation, försämras allmänhetens ärendeinsyn hos mottagarmyndigheten. Visserligen föreskrivs i 4 kap. 3 § OSL att en upptagning ska tillföras handlingarna i målet eller ärendet i läsbart skick, om myndighet för handläggning
av ett mål eller ärende använder sig av en upptagning för automatiserad behandling om det inte finns särskilda skäl mot det. Huruvida handlingsoffentlighetens centrala funktion att ge allmänheten ärendeinsyn verkligen upprätthålls vid direktåtkomst blir således helt beroende av att mottagarmyndigheter tillämpar huvudregeln i 4 kap. 3 § OSL och inte på grund av särskilda skäl eller av annan orsak, t.ex. misstag eller okunskap hos enstaka handläggare, underlåter att dokumentera värdmyndighetens uppgifter i det egna ärendet.
Möjligen skulle en ny begränsningsregel därför kunna avgränsas på så sätt att den information som mottagarmyndigheten en gång har fått söka fram inte senare skulle undantas från begreppet allmän handling även om sökförutsättningarna inte längre föreligger. ”En gång allmän handling, alltid allmän handling” skulle alltså gälla som princip. Frågan är emellertid vilka tillämpningsproblem ett sådant undantag från undantaget skulle medföra. Det skulle nämligen kräva att det går att göra en bedömning i efterhand av om en sökning hade fått eller inte hade fått göras vid ett tidigare tillfälle. Beroende på hur t.ex. olika villkorade sökbegränsningar utformats, torde det kunna vara svårt att göra en sådan bedömning i efterhand. En retroaktiv behovsbedömning skulle i vissa fall kunna bli mycket komplicerad. Ett exempel är sökförutsättningarna vid direktåtkomst till ospärrade patientuppgifter vid sammanhållen journalföring som bl.a. föreskriver att den sökta uppgiften ska kunna antas behövas för att förebygga, utreda eller behandla sjukdomar och skador hos patienten (6 kap. 3 § patientdatalagen).
Vidare kan ifrågasättas vad villkorade sökbegränsningar med ”behovskrav” – som t.ex. att uppgiften i värdmyndighetens databas bara får sökas fram om den behövs för en ärendehandläggning hos mottagarmyndigheten eller för vården av en patient – i realiteten skulle innebära vid en praktisk tillämpning av en ny begränsningsregel. Om t.ex. någon skulle vända sig till en mottagarmyndighet för att få insyn i en upptagning som myndigheten har tillgång till hos en värdmyndighet måste alltså myndigheten fråga sig om myndigheten själv för närvarande behöver uppgiften i ett pågående ärende eller för vården av en patient eller om det kanske kan förmodas dröja några timmar eller dagar innan någon handläggare eller sjuksköterska kan tänkas göra bedömningen att uppgiften behövs. Om svaret är nej, uppgiften behövs inte just nu, har mottagarmyndigheten inte rätt att göra sökningen för egen del och uppgiften skulle därmed inte vara allmän handling hos mottagarmyndigheten.
Man kan fråga sig hur ofta myndighetens behov kommer att sammanfalla med sökandens ens om det finns ett aktuellt ärende eller en aktuell patientrelation avseende den person vars uppgifter efterfrågats.
Ett annat förhållande att betänka när det gäller ett undantag knutet till vad myndigheterna vid ett givet tillfälle inte har rätt att behandla, är att det i förhållande till gällande rätt är svårt att överblicka vilken räckvidd ett sådant undantag egentligen skulle få.
Denna oklarhet sammanhänger med den splittrade strukturen och utformningen av registerförfattningarna. Ett problem är att det förhållandevis sällan finns föreskrifter om absoluta sökförbud eller sökförutsättningar, villkorade sökbegränsningar och liknande vid reglerad direktåtkomst som uttryckligen riktas till eller annars anges vara direkt tillämpliga för en mottagarmyndighet, alltså hos den i vars verksamhet frågan om att avgöra huruvida ett undantag från begreppet allmän handling är tillämpligt eller inte kan uppkomma.
En likhet mellan registerförfattningarna är nämligen att frågan om att vissa myndigheter får ha direktåtkomst i allmänhet regleras i den utlämnande myndighetens, dvs. värdmyndighetens registerförfattning. Registerförfattningar är vidare ofta utformade på det sättet att de anger lagens tillämpningsområde till att avse personuppgiftsbehandling i viss slags verksamhet bara hos värdmyndigheten. Vidare förekommer där inte sällan olika absoluta eller villkorade sökbegränsningar. Däremot saknas det ofta i anslutning till bestämmelserna om direktåtkomst några föreskrivna absoluta eller villkorade begränsningar som anger ramarna för när en mottagarmyndighet får använda sin direktåtkomst till att faktiskt behandla en personuppgift hos värdmyndigheten genom att söka sig fram till den. Även i de fall det i värdmyndighetens registerförfattning anges att direktåtkomst bara får avse uppgifter om personer som förekommer i ärenden hos mottagarmyndigheten, kan det diskuteras om sådana bestämmelser är bindande för mottagarmyndigheten eller om de är handlingsregler för värdmyndigheten att rätta sig efter i utlämnandefrågan. Många gånger är bestämmelser om direktåtkomst formulerade så att enbart värdmyndigheten framstår som den naturliga adressaten, dvs. det som regleras är förutsättningarna för värdmyndigheten att medge annan direktåtkomst.
Som ett exempel kan nämnas 10 § studiestödsdatalagen (2009:287), som bl.a. anger att lagens bestämmelser om sökförbud (8 §) måste följas vid direktåtkomst samtidigt som det bara är Centrala studiestödsnämndens (CSN) personuppgiftsbehandling som omfattas av
lagens tillämpningsområde (1 § samt prop. 2008/09:96 s. 76). Även i ett sådant fall kan fråga uppstå om bestämmelserna om sökförbud verkligen är författningsregler som gäller för en mottagarmyndighet eller om de enbart innebär en förpliktelse för CSN att t.ex. se till att mottagarmyndigheter inte kan använda sökbegrepp som CSN själv är förbjuden att använda. Det kan tyckas naturligt att se sådana sökförbud som bindande även för en mottagarmyndighet. Rättsläget måste dock betraktas som oklart. Som redan tidigare framhållits, se avsnitt 6.1.2, ingår det i vårt fortsatta uppdrag att överväga om sökförbud i värdmyndighetens registerförfattning ska gälla också för en mottagarmyndighet som har direktåtkomst. Vi återkommer alltså till frågeställningen i vårt slutbetänkande.
Liknande frågeställningar uppstår då det anges att direktåtkomst får förekomma om det behövs för vissa för värdmyndigheten föreskrivna ändamål om att personuppgifter får behandlas för att tillhandahålla annan myndighet uppgifter i vissa avseenden, se t.ex. 12 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och 2 kap. 8 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. I motiven till sådana bestämmelser brukar anges att dessa måste kompletteras med sekretessbrytande bestämmelser som avser alla uppgifter som tekniskt görs tillgängliga för mottagarmyndigheten (se t.ex. prop. 2007/08:160 s. 70 f). De uppgifter som utgör överskottsinformation omfattas alltså inte alltid av regleringen kring direktåtkomsten, vilket kan leda till tolkningsproblem i sig.
Visserligen finns fall där mottagarmyndigheten omfattas av samma registerförfattning som värdmyndigheten och där det finns avgränsade men villkorade sökbegränsningar som en mottagande myndighet måste följa då en direktåtkomst används. Likaså finns ofta i EU-rättsakter och internationella avtal tydliga regler och angivna förutsättningar som begränsar svenska myndigheters rätt att behandla tillgängliga uppgifter i utländska eller internationella databaser. Men bortsett från sådana fall är det alltså mottagarmyndighetens registerförfattning som normalt torde få vara utgångspunkten för bedömningen av vilken räckvidd en ny begränsningsregel skulle få hos en mottagarmyndighet. Det är nämligen där som det i första hand finns bestämmelser som är direkt bindande för mottagarmyndigheten.
Om mottagarmyndigheternas registerförfattningar skulle bli avgörande för en ny begränsningsregels räckvidd, torde det innebära att tillämpningsområdet för ett undantag inte borde vara begränsat
till sådan direktåtkomst som reglerats särskilt genom uttryckliga bestämmelser som tillåter värdmyndighet att ge eller mottagarmyndighet att få direktåtkomst. Även i det avseendet oreglerad direktåtkomst borde kunna omfattas förutsatt att det finns regler i registerförfattning eller motsvarande som utgör rättsliga begränsningar som kan bli tillämpliga i fråga om en mottagarmyndighets personuppgiftsbehandling genom användning av direktåtkomst, t.ex. absoluta eller villkorade sökbegränsningar. Det är däremot tveksamt i vilken mån mottagarmyndigheter vars personuppgiftsbehandling inklusive direktåtkomst enbart regleras av personuppgiftslagen skulle beröras av en ny begränsningsregel av nu aktuellt slag. Det är svårt att identifiera bestämmelser i personuppgiftslagen som skulle kunna ha direkt betydelse för gränsdragningen beträffande frågan i vilka fall överskottsinformation vid direktåtkomst ska vara allmän handling eller inte hos en mottagarmyndighet. Det ska emellertid påpekas att det i författningskommentaren till 2002 års ändringar av den befintliga begränsningsregeln i 2 kap. 3 § tredje stycket TF angavs att personuppgiftslagen kan vara en sådan lag som åsyftas i begränsningsregeln (prop. 2001/02:70 s. 38). Man kan dock fråga sig i vilken mån detta förarbetsuttalande låter sig förenas med den befintliga begränsningsregelns i övrigt strikt avgränsade tillämpningsområde.
Ytterligare en fråga är i vilken mån allmänna ändamålsbestämmelser i mottagarmyndigheternas registerförfattningar kan vara avgörande för om en ny begränsningsregel skulle bli tillämplig eller inte. Dessa ändamålsbestämmelser har tillkommit utan beaktande av att de skulle inskränka handlingsoffentlighetens räckvidd och har utformats på väldigt olika sätt.
Ändamålsbestämmelser sätter en yttre ram när det gäller för vilka syften personuppgifter får behandlas genom att samlas in i verksamheten. Ibland, men inte alltid, är ändamålsbestämmelser indelade i dels primära ändamålsbestämmelser, som anger för vilka syften personuppgifter får samlas in och fortsättningsvis behandlas av mottagarmyndigheten, dels sekundära ändamålsbestämmelser, som anger olika fall när redan insamlade personuppgifter får användas av mottagarmyndigheten för nya ändamål eller får lämnas ut till andra myndigheter m.m.
Som tidigare angetts anses passivt tillgängliga personuppgifter inte vara insamlade eller annars behandlade av mottagarmyndigheten i personuppgiftslagens mening så länge som direktåtkomsten till personuppgifterna inte utnyttjas för att ta fram uppgifterna i ett
enskilt fall. Det är alltså en annan sak att de anses vara inkomna allmänna handlingar i tryckfrihetsförordningens mening. Att i ett enskilt fall använda direktåtkomsten till uppgifter för att i samband med en sökandes begäran enligt tryckfrihetsförordningen om utfående av allmän handling söka efter och ta fram efterfrågade handlingar i överskottsinformation hos en värdmyndighet innebär emellertid en behandling av uppgifter i personuppgiftslagens mening. Även det senare utlämnandet till sökanden innebär en behandling i personuppgiftslagens mening alldeles oavsett om utlämnandet sker elektroniskt eller genom att en utskrift på papper lämnas till sökanden.
Ändamålsbestämmelser i registerförfattningar anses inte utgöra sådana begränsningar i lag eller förordning som avses i den nuvarande begränsningsregeln i 2 kap. 3 § tredje stycket TF (se SOU 2004:6 s. 246). Frågan är emellertid vad som skulle gälla om en ny begränsningsregel införs med en vidare räckvidd än den nuvarande och där ändamålsbegränsningar i mottagarmyndigheters registerförfattningar skulle tillmätas relevans. I förarbeten till registerförfattningar har ju ofta uttalats att ändamålsbestämmelserna i registerförfattningen inte kan åberopas av myndigheten för att vägra att lämna ut allmänna handlingar enligt tryckfrihetsförordningen (se t.ex. prop. 2009/10:85 s. 310).
Det normala är alltså att det i befintliga registerförfattningar inte finns någon ändamålsbestämmelse (primär eller sekundär) som tillåter den behandling av personuppgifter som en begäran enligt tryckfrihetsförordningen föranleder. Enligt gällande rätt innebär detta inget problem eftersom grundlag har företräde framför personuppgiftslagen eller registerförfattningar (jfr 8 § personuppgiftslagen) och ändamålsbestämmelser som nyss sagts inte anses kunna leda till en tillämpning av den nuvarande begränsningsregeln. En ny begränsningsregel där ändamålsbestämmelser i registerförfattningar till skillnad från enligt gällande rätt skulle ange ramarna för vad som utgör allmän handling såvitt avser överskottsinformation skulle alltså innebära att sådan information inte är allmän handling hos mottagarmyndigheten om det inte finns något primärt ändamål som omfattar behandling i samband med en begäran enligt tryckfrihetsförordningen. Tolkningsproblem skulle emellertid kunna uppkomma när det gäller sådana registerförfattningar där det inte framgår att primära ändamålsbestämmelserna är uttömmande angivna. Likaså skulle det kunna uppkomma tolkningsproblem vad gäller sådana registerförfattningar där det anges att 8 § person-
uppgiftslagen är tillämplig även vid personuppgiftsbehandling enligt registerförfattningen i fråga.
Svårigheterna att bedöma hur en ny begränsningsregel som också avser ändamålsbegränsningar i mottagarmyndigheters registerförfattningar skulle kunna tillämpas sammanhänger dock inte bara med registerförfattningarnas olikartade utformning utan även med att ändamålsbestämmelserna kan förmodas ha utformats utifrån den förutsättningen att de inte i något avseende ska begränsa handlingsoffentlighetens räckvidd genom att undanta vissa tillgängliga upptagningar med personuppgifter från att bli allmänna handlingar.
Om ändamålsbestämmelser för mottagarmyndigheterna å andra sidan inte skulle tillmätas relevans vid tillämpningen av en ny begränsningsregel i 2 kap. tryckfrihetsförordningen, torde dess tillämpningsområde bli mycket begränsat.
Oavsett vilken gränsdragning som härvidlag skulle kunna göras så är det en tillkommande komplikation av lagteknisk karaktär att det är svårt att formulera en begränsningsregel så att det av regeln tydligt framgår vad det är för slags bestämmelser om rättsliga begränsningar som avses. Den lagtekniska komplexitet som är förknippad med en begränsningsregel av det nu skisserade slaget får anses utgöra ett bekymmer i sig. Det är särskilt angeläget att bestämmelser i grundlag är så tydliga att enskilda kan ta till vara sina rättigheter samtidigt som det måste finnas förutsättningar för myndigheterna att kunna leva upp till kraven på en öppen förvaltning. En närmare precisering i lagtext kan emellertid knappast ske utan att grundlagen belastas med detaljföreskrifter som dessutom riskerar att inte vara hållbara över tid.
En jämförelse måste vidare göras med den befintliga begränsningsregeln i 2 kap. 3 § tredje stycket TF. Att uttrycket ”enligt lag eller förordning saknar befogenheter att göra sammanställningen tillgänglig” enbart syftar på absoluta sök- eller sammanställningsförbud är inget som kan utläsas ur bestämmelsens ordalydelse utan framgår endast av bestämmelsens förarbeten och motivuttalanden i samband med lagstiftningsärenden på registerområdet (se bl.a. från senare tid prop. 2007/08:126 120 f. eller 2007/08:160 s. 66 f.) Till sin ordalydelse kan den befintliga begränsningsregeln däremot synas redan omfatta den typ av villkorade sökförbud m.m. som diskuteras här. Det är således förenat med vissa svårigheter att utforma en ny begränsningsregel som skulle ha ett betydligt vidare tillämpningsområde än den befintliga. Till detta kommer att olika rättsliga
begränsningar i registerförfattningar ofta bara avser personuppgifter. Ett undantag i tryckfrihetsförordningen bör dock, som vi redan tidigare anfört, gälla oberoende av vilket slags innehåll en upptagning har. Det kan alltså inte helt uteslutas att det kan uppstå situationer där t.ex. en färdig elektronisk handling hos värdmyndigheten innehållande både personuppgifter och andra slags uppgifter bara delvis omfattas av en användningsbegränsning i en registerförfattning. Skulle en sådan handling vara bara delvis en allmän handling hos mottagarmyndigheten?
I den översyn och analys av registerförfattningarna som ingår i vårt återstående uppdrag, kommer strukturen för ändamålsbestämmelser, informationsutbyten mellan myndigheter och samordningen med tryckfrihetsförordningen och offentlighets- och sekretesslagen att vara centrala frågeställningar att ingående behandla. Det lär emellertid dröja innan en ny regleringsmodell kan genomföras på hela det område inom offentlig sektor där direktåtkomst förekommer.
7.5.2.2 En regel som bygger på faktisk överföring?
Ett alternativ till en ny begränsningsregel vore ett undantag som skulle avse all överskottsinformation alldeles oavsett om mottagarmyndigheten får eller inte får ta fram den i sin verksamhet. Det avgörande för en sådan undantagsregels tillämpningsområde skulle i stället vara det faktiska förhållandet huruvida en mottagarmyndighet har eller inte har använt sin direktåtkomst på ett sätt som kan sägas innefatta något slags behandling av informationen i fråga. Ett sådant undantag skulle därvid fungera som en generell senareläggning av inkommandetidpunkten i förhållande till vad som annars gäller enligt tryckfrihetsförordningen. Den senarelagda inkommandetidpunkten skulle då lämpligen knytas till den faktiska händelse som det innebär att direktåtkomsten används genom att upptagningen överförs till mottagarmyndigheten. Detta kan ske genom att en befattningshavare överför informationen och tar del av den genom att läsa den eller genom att informationen vid en manuellt eller automatiserat styrd process överförs för fortsatt lagring i myndighetens egna informationssamlingar eller för något slags bearbetning. Tanken skulle vara att om en upptagning eller en uppgift ur en upptagning har överförts, så blir den allmän handling hos mottagarmyndigheten. Detta skulle i sin tur innebära en
närmare samordning med vad som gäller i fråga om när en konventionell handling anses inkommen i förvaltningsrättslig mening (se 10 § förvaltningslagen) eller anses insamlad och behandlad av en myndighet i personuppgiftslagens eller en registerförfattnings mening. Vi har diskuterat olika varianter på en sådan regleringsmodell, främst i form av ändringar i 2 kap. 6 § TF innebärande en senareläggning av inkommandetidpunkten. En sådan regel skulle t.ex. kunna utformas enligt följande.
Handling anses inkommen till myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om upptagning som avses i 3 § första stycket gäller i stället att den anses inkommen till myndigheten när annan har gjort den tillgänglig för myndigheten på sätt som anges i 3 § andra stycket. Upptagning för
automatiserad behandling hos annan, som omfattas av särskild föreskrift om tillgängliggörande i lag eller förordning, bindande EU-rättsakt eller för Sverige bindande internationell överenskommelse anses dock som inkommen endast i den utsträckning som upptagningen eller uppgift ur upptagningen har överförts till myndigheten.
Gemensamt för de olika varianter av ”överföringsregler” som kan diskuteras skulle alltså vara att de skulle bygga på vad som faktiskt skett. Det är bara sådana upptagningar som inte har överförts till mottagarmyndigheten som skulle omfattas av undantaget.
Utformningen av ett undantag utifrån vad som faktiskt skett förutsätter att det går att fastställa när en mottagarmyndighet använt sin direktåtkomst för att ta del av någon uppgift hos annan. Ofta kan detta antas inte innebära något problem eftersom myndigheternas förfaranderegler ställer krav på dokumentation av verksamheten, i vart fall vid handläggning av förvaltningsärenden. I den mån uppgifter hämtas från andra myndigheter, t.ex. genom direktåtkomst, och har betydelse för mottagarmyndighetens handläggning av ärenden ska den i en eller annan form bifogas den egna ärendedokumentationen, se även 4 kap. 3 § OSL. Vid en begäran om utfående av allmän handling som syftar till att få insyn i vilka uppgifter från värdmyndigheten som använts i ett eller flera ärenden bör det alltså normalt, förutsatt att sökanden kan precisera sin begäran, gå att hitta de efterfrågade handlingarna via register och liknande rörande den egna ärendedokumentationen.
Även i sådana fall då direktåtkomst används bara för läsning utan att den åtgärden av någon anledning särskilt dokumenteras, får det förutsättas att det i princip går att utforma informationssystemen så att även en sökning av det slaget kan verifieras i efter-
hand på ett någorlunda enkelt sätt i vart fall under en rimlig tid sedan överföringen ägt rum. Förutsättningarna för detta ser förstås olika ut hos olika myndigheter. Vid t.ex. sådana myndigheter där personalen har begränsade sökbehörigheter vid direktåtkomst torde redan idag gälla att myndigheterna måste ha något slags informationssäkerhetssystem som gör att det går att följa upp vilka slagningar som skett. Annars är förutsättningarna att upptäcka och utreda eventuella dataintrång så gott som obefintliga. Men i andra fall kan incitamenten för denna typ av dokumentation vara betydligt mindre eller rent av helt saknas.
Det finns dock anledning att vara betänksam beträffande de befintliga förutsättningarna för att i efterhand kunna skilja mellan ”rörd” och ”orörd” externt tillgänglig information hos en mottagarmyndighet. Inte sällan sker t.ex. den loggning som idag görs över använd direktåtkomst av värdmyndigheten. Det skulle vara en något märklig situation om en mottagarmyndighet skulle vara beroende av en annan myndighets uppföljning av datatrafik för att kunna ta ställning till om en tillgänglig upptagning är allmän handling hos den egna myndigheten eller inte. En faktor här är att det varierar vem som är personuppgiftsansvarig för mottagarmyndigheters sökningar i värdmyndigheters databaser. Det är vanligt att frågan inte lösts i registerförfattningar utan måste bedömas utifrån vem som anses bestämma ändamålen och medlen för personuppgiftsbehandlingen. Personuppgiftsansvaret kan också vara delat och solidariskt. I de fall personuppgiftsansvaret författningsreglerats särskilt förekommer ibland att värdmyndigheter ges personuppgiftsansvaret för den behandling som mottagarmyndigheters sökningar innebär och ibland att reglerna anger att mottagarmyndigheterna är personuppgiftsansvariga för den behandling som de själva utför när en direktåtkomst används. Olikheter i dessa avseenden kan tillsammans med andra förhållanden inverka på vilka rättsliga krav på informationssäkerhetsåtgärder, spårbarhet, loggningar och kontroller som ställs på mottagarmyndigheter respektive värdmyndigheter inom sina respektive områden. Har sådana rutiner införts av säkerhetsskäl måste vidare beaktas att denna typ av loggning främst sker för att tillgodose driftsäkerhet och därför inte nödvändigtvis lämpar sig bra för att avgöra om något är allmän handling eller inte.
En undantagsregel som bygger på i vilken mån tillgänglig information faktiskt har överförts, till skillnad från vad en myndighet får göra, torde därmed i praktiken medföra att det krävs nya former
av loggning av datatrafik hos mottagarmyndigheter samt bevarande av dessa loggar i sökbar form under rimlig tid. Detta skulle vara resurskrävande utan motsvarande verksamhetsnytta.
Ytterligare en komplikation är att värdmyndighetens uppgiftssamlingar i normala fall inte är statiska utan förändras över tid. Att tillgängliga uppgifter gallras av värdmyndigheten gör givetvis att sådana inte längre tillgängliga uppgifter upphör att vara allmänna handlingar hos mottagarmyndigheten eftersom förvaringskriteriet brister. Men vad gäller om uppgifter ändras? Är den ändrade uppgiften en allmän handling hos den mottagarmyndighet som tidigare genom sin direktåtkomst överfört uppgiften för att ta del av den? Om inte, hur ska en mottagarmyndighet kunna ta reda på detta utan att behöva göra en överföring för att kontrollera saken i samband med att en enskild begär utfående av allmän handling enligt 2 kap. tryckfrihetsförordningen? Och skulle en sådan överföring i kontrollsyfte innebära att uppgiften/handlingen då om inte förr ska anses inkommen till mottagarmyndigheten och därmed bli allmän handling där?
Ett exempel kan vara en mottagarmyndighets tillgång till bilregistret som förs av Transportstyrelsen. Mottagarmyndigheten har i sin verksamhet använt direktåtkomsten till bilregistret för att ta del av vem som är registrerad ägare till ett fordon med visst registreringsnummer. Någon månad senare begär en enskild hos mottagarmyndigheten med åberopande av tryckfrihetsförordningen ut uppgift om fordonets registrerade ägare. Under mellantiden har det – mottagarmyndigheten ovetande – skett ett ägarbyte som registrerats av Transportstyrelsen. Uppgift om den nya ägaren har aldrig överförts till mottagarmyndigheten däremot har uppgift om den förre ägaren överförts, dock inte uppgiften om att han eller hon är före detta ägare.
Ett undantag som bygger på vad som faktiskt har överförts kan alltså leda till en hel del komplicerade och svårbedömda situationer med åtföljande oönskat merarbete för myndigheterna. Det ska dock betonas att ett undantag som bygger på vad som faktiskt har överförts till skillnad från vad som får överföras måste ses i relation till de legala krav med åtföljande arbetsinsatser för myndigheters del som redan i dag följer av gällande rätt. Offentlighets- och sekretesslagen föreskriver registring av allmänna handlingar som under vissa omständigheter i stället får hållas ordande så att det utan svårighet kan fastställas om de har kommit in eller upprättats (5 kap. 1 § OSL). Det finns vidare en dokumentationsskyldighet
när upptagningar för automatiserad behandling används vid ärendehandläggning (4 kap. 3 § OSL). Av central betydelse är även de åtgärder som en myndighet är skyldig att vidta för att underlätta sökande efter allmänna handlingar, m.m., dvs. en god offentlighetsstruktur. Till bilden hör även att bestämmelserna om arkivering och gallring förutsätter att myndigheterna intar ett aktivt förhållningssätt till sin digitala informationshantering (se t.ex. 6 § och 10 §arkivlagen).
Som tidigare sagts är det en utgångspunkt att en eventuell begränsning av handlingsoffentligheten inriktad på mottagarmyndigheters tillgång till överskottsinformation vid direktåtkomst bör utformas som ett undantag från den generella och grundläggande konstruktionen för vad som utgör allmänna handlingar. Vi har därvid övervägt en avgränsning genom att utforma ett undantag som senarelägger inkommandetidpunkten men bara under förutsättning att det finns särskilda föreskrifter i lag eller förordning om själva tillgängliggörandet. Härmed skulle då avses sådana uttryckliga bestämmelser om direktåtkomst eller utlämnande på medium för automatiserad behandling som ofta finns i registerförfattningar. Även andra fall av uttryckliga bestämmelser om elektroniskt tillgängliggörande skulle kunna omfattas. En anknytning till särskild reglering har den fördelen att undantagets räckvidd styrs genom statsmakternas kontroll och författningsreglering – t.ex. genom bestämmelser som i olika fall tillåter direktåtkomst eller motsvarande – vilket är av betydelse eftersom undantaget principiellt sett innebär en begränsning av den grundlagsskyddade handlingsoffentligheten. Vidare skulle en avgränsning till reglerad direktåtkomst och liknande ge mottagarmyndigheters skyldighet att hålla isär rörd och orörd extern information rimliga proportioner. På så sätt skulle alltså de problemställningar som redovisats ovan i någon mån begränsas.
Samtidigt finns det nackdelar. För det första uppkommer delvis samma svårigheter beträffande avgränsningen av vilka regler som ska vara styrande som vi har redogjort för ovan i resonemangen rörande en ny begränsningsregel. Till detta kommer att det är en komplikation att det förekommer registerförfattningar där regleringen av direktåtkomsten bara omfattar uppgifter rörande personer som förekommer i mottagarmyndighetens ärenden och där överskottsinformationen om ytterligare personer, som gjorts tekniskt tillgänglig för mottagarmyndigheten, i den meningen är oreglerad. Riskerar man inte i sådana fall att från undantaget exkludera just
den överskottsinformation som det är av huvudsakligt intresse att undanta?
Det är också en komplikation att det, enligt vad vi erfarit, förekommer att en begäran om utfående av allmän handling avser ”blandade upptagningar” i den meningen att det handlar både om sådana uppgifter som omfattas av en reglering av direktåtkomst och sådana som i det avseendet är oreglerade. Vidare förekommer myndighetsövergripande samarbeten som delvis bygger på författningsreglerat tillgängliggörande och delvis på frivillighet. I sådana fall uppkommer särskilda svårigheter att avgöra om information är eller inte är allmän handling hos de inblandade myndigheterna. I en praktisk tillämpning kan detta vålla betydande svårigheter, inte minst med att leva upp till tryckfrihetsförordningens krav på skyndsamhet vid handläggningen av en begäran om utfående av allmän handling.
Sammantaget ser vi alltså betydande svårigheter med att konstruera en undantagsregel som skulle bygga på vad som faktiskt har överförts till en mottagande myndighet. Ett alternativ för att komma runt detta vore att konstruera en överföringsregel som enbart tog sikte på vad som genom mottagarmyndighetens dokumentation av den egna ärendehandläggningen m.m. rent konkret kan konstateras ha överförts till myndigheten, dvs. att enbart sådan överföring som på ett eller annat sätt har dokumenterats i mottagarmyndighetens egna informationsmängder – och som fortfarande går att utläsa – skulle vara allmän handling. En sådan regel skulle emellertid träffa betydligt mera än överskottsinformation i den mening som är aktuell nu. Även uppgifter som mottagarmyndigheten faktiskt har tagit del av men där dokumentation av detta saknas skulle t.ex. omfattas. En regel av det slaget skulle därmed sätta tillgänglighetsprincipen ur spel. Det skulle föra alltför långt och kan knappast motiveras av de bevekelsegrunder som kan anföras för en grundlagsändring som tar sikte på just överskottsinformation.
7.5.2.3 En kombinationsregel?
Avslutningsvis ska nämnas att vi även har övervägt om en kombination av de båda modellerna skulle kunna något förbättra förutsättningarna för att hitta en godtagbar regleringsmodell.
En sådan ”kombinationsregel” skulle då kunna bygga på en prövning i två steg vid ställningstagandet av om överskottsinfor-
mation hos värdmyndigheten är undantagen från att vara allmän handling hos mottagarmyndigheten. För det första skulle bedömas om det finns någon absolut eller villkorad rättslig sökbegränsning eller liknande i en registerförfattning som innebär att mottagarmyndigheten inte har rätt behandla uppgiften genom att söka fram den och överföra den till sin verksamhet. Om svaret på den frågan är nej, är uppgiften en allmän handling hos mottagarmyndigheten. Är svaret ja, skulle prövningen gå vidare till steg två. Då skulle myndigheten ha att kontrollera om den i nuläget ”otillåtna” uppgiften tidigare har överförts till myndigheten, t.ex. därför att en handläggare använt den i ett numera avslutat ärende. Om svaret på frågan är nej, är uppgiften ingen allmän handling hos mottagarmyndigheten. Är svaret ja, skulle det motsatta gälla eftersom undantagets båda förutsättningar inte är uppfyllda. Måhända kunde detta lagtekniskt åstadkommas genom att formuleringen i den sista meningen i den andra varianten av lagtextskisser som finns intagna i avsnitt 7.5.2.1 fick tillägget ”och upptagningen eller uppgiften inte heller tidigare har överförts till myndigheten”. En sådan kombinationsregel skulle kunna beskrivas som en utbyggd ny begränsningsregel.
Genom att det uttryckligen skulle framgå att det ska ha varit fråga om en tidigare inte överförd och nu förbjuden uppgift skulle tillämpningsutrymmet för undantaget bli betydligt snävare än enligt någon variant på en renodlad överföringsregel. Det skulle också lösa problemet med att en mottagarmyndighet i enstaka fall kan behöva överföra och ta del av värdmyndighetens uppgifter för att kunna avgöra om en begärd uppgift är allmän handling hos mottagarmyndigheten eller inte. Genom att knyta överföringsrekvisitet i steg två till vad som tidigare har överförts avses en sådan överföring i samband med ett ställningstagande till en begäran om utfående av allmän handling inte i sig medföra att överförda uppgifter blir allmän handling hos mottagarmyndigheten. Avgörande i steg två skulle alltså enbart vara vad som visar sig ha tidigare överförts.
Men i stort kvarstår de grundläggande problem som påtalats med de båda ovan behandlade alternativa modellerna.
7.6. Våra slutsatser och bedömningar
Vår bedömning: Att undanta överskottsinformation vid direkt-
åtkomst från att vara allmän handling hos en mottagande myndighet är i och för sig motiverat, främst av principiella skäl. Svårigheterna att utforma ett väl avgränsat undantag som inte riskerar att leda till tillämpningsproblem och öka komplexiteten vid tillämpningen av tryckfrihetsförordningen är emellertid betydande. Vid en samlad bedömning har vi funnit att övervägande skäl talar mot att i nuläget föreslå en sådan ändring. Vi lämnar därför inget sådant förslag.
Vi förordar att en bredare översyn görs vad gäller begreppet allmän handling och då särskilt samordningen mellan tillgänglighets- och inkommanderekvisiten i 2 kap. tryckfrihetsförordningen. Inom ramen för en sådan översyn bör frågan om överskottsinformation vid direktåtkomst bli föremål för fortsatta överväganden.
Vi har alltså konstaterat att det kan få negativa konsekvenser för enskildas personliga integritet att överskottsinformation vid direktåtkomst blir allmän handling hos alla mottagarmyndigeter som har en teknisk möjlighet att ta fram och ta del av informationen. Problemet ligger främst i den ökade allmänna tillgängligheten av information om enskilda som vidarespridning över myndighetsgränser av stora mängder personuppgifter innebär. Genom en svårtillgänglig reglering i offentlighets- och sekretesslagen och i registerförfattningar med syftet att undanta överskottsinformation vid direktåtkomst från allmänhetens insyn förefaller emellertid konkreta olägenheter i form av oönskad spridning av uppgifter om enskilda registrerade inte vara vanligt förekommande.
Vi har också konstaterat att det knappast är en invändningsfri ordning att mottagarmyndigheter har en skyldighet enligt tryckfrihetsförordningen att söka fram, sekretesspröva och kanske lämna ut passivt tillgänglig överskottsinformation trots att mottagarmyndigheten själv inte har och kanske aldrig har haft något intresse av informationen i sin verksamhet och kanske heller inte annars skulle få överföra den till sin verksamhet. Ur principiell synvinkel är det inte tillfredsställande att mottagarmyndigheter kan tvingas söka fram en handling hos värdmyndigheten som myndigheten för sin egentliga verksamhet inte får överföra från värdmyndighetens
informationssamlingar. Allmänhetens tillgång till överskottsinformation är i praktiken därmed mera vidsträckt än myndigheternas.
En inskränkning i handlingsoffentligheten såvitt avser överskottsinformation vid direktåtkomst skulle därför i någon mening vara ägnad att göra allmänhetens och myndighetens tillgång jämbördig och därmed återställa likställighetsprincipens genomslag. Eftersom överskottsinformation ofta omfattas av sekretess hos mottagarmyndigheter skulle det i praktiken inte göra så stor skillnad för allmänhetens faktiska tillgång till överskottsinformation om den undantas från att vara allmän handling hos mottagarmyndigheter. I stället för att nekas insyn på grund av sekretess, skulle insyn nekas på grund av att överskottsinformationen inte är allmän handling. På vissa områden är det närmast fråga om ett rent nollsummespel från insynssynpunkt.
Enligt vår mening finns det alltså skäl, främst principiella sådana, som talar för att överskottsinformation vid direktåtkomst borde undantas från att vara allmän handling hos mottagarmyndigheter.
Vi har därför analyserat förutsättningarna för att införa en regel i 2 kap. tryckfrihetsförordningen som skulle undanta överskottsinformation vid direktåtkomst från att vara allmän handling hos mottagarmyndigheter. Vi har prövat olika alternativa metoder för att åstadkomma detta men funnit att samtliga alternativ är förknippade med en hel del svårigheter när det gäller såväl möjligheten till tydliga och rimliga avgränsningar som befarade olägenheter i den praktiska tillämpningen. Detta sammanhänger delvis med den splittrande och föråldrade strukturen i de nuvarande registerförfattningarna, något som vi förhoppningsvis kan hitta lösningar på i vårt fortsatta arbete.
Till detta kommer att tryckfrihetsförordningens begreppsapparat med uppställda rekvisit för vad som konstituerar en allmän handling och olika undantag härifrån är, som många påpekat före oss genom åren, ett svårgripbart komplex. Särskilt gäller detta när reglerna ska appliceras på en nutida, ständigt föränderlig och växande elektronisk informationshantering.
Vårt arbete med att överväga, testa och problematisera kring olika alternativa utformningar av ett undantag för överskottsinformation vid direktåtkomst har efter hand lett till insikten om att ett begränsat undantag för överskottsinformation vid direktåtkomst inte utan svårigheter kan fogas in i detta komplex. Enligt vår bedömning riskerar ett undantag som skulle störa tryckfrihetsförordningens grundläggande systematik att ytterligare försämra begrip-
ligheten av regelkomplexet sett som helhet. Den risken måste tas på allvar. Att förse 2 kap. tryckfrihetsförordningen med diverse undantag för olika situationer riskerar att förta robustheten hos den grundläggande konstruktionen för begreppet allmän handling och därmed respekten för den fundamentala grundlagsfästa principen om handlingsoffentlighet.
Till detta kommer att enligt vår bedömning är problemen med överskottsinformation vid direktåtkomst inte så pass stora eller utgör ett så konkret hot mot integritetsskyddet att en separatlösning framstår som oundgängligen påkallad.
Vi har mot den ovan angivna bakgrunden funnit att övervägande skäl talar mot att i nuläget föreslå en grundlagsändring. Vi lämnar därför inget sådant förslag.
Som vi har redovisat i avsnitt 2.6 finns det även – utöver frågan om överskottsinformation vid direktåtkomst – en rad andra tveksamheter och problemställningar när det gäller begreppet allmän handling i den elektroniska miljön. Detta talar enlig vår mening för att det nu finns skäl att på nytt se över den grundläggande konstruktionen beträffande vad som konstituerar en allmän handling. Särskilt angeläget framstår det att i ett sådant sammanhang överväga om den nuvarande samordningen mellan inkommandetidpunkten i 2 kap. 6 § TF och tillgänglighetsrekvisitet fortfarande är en lämplig ordning. Många frågeställningar förefaller nämligen vara knutna till att inkommandetidpunktens samordning med tillgänglighetsrekvisitet uppfattas leda till att status som inkommen handling i elektroniska miljön kan uppstå alltför tidigt. I samma riktning talar det enligt vår mening märkliga förhållandet att all på internet allmänt tillgänglig information får anses uppfylla tryckfrihetsförordningens grundkriterier på att vara inkomna och förvarade handlingar hos varje svensk myndighet. Att den s.k. biblioteksregeln anses leda till att detta material ändå inte får status som allmän handling ändrar inte det anmärkningsvärda i detta förhållande.
Vi förordar således att dessa frågor ses över i ett bredare sammanhang. Frågan om överskottsinformation vid direktåtkomst bör då ingå som en delfråga i den översynen och därmed kunna bli föremål för fortsatta överväganden tillsammans med övriga frågor. I ett sådant arbete bör finnas betydligt bättre förutsättningar för att skapa enhetliga helhetslösningar som inte ytterligare ökar komplexiteten i regleringen.
8. Sekretessregleringen av överskottsinformation vid direktåtkomst
8.1. Vårt uppdrag
Vi har i föregående kapitel behandlat frågan om överskottsinformation i form av färdiga eller potentiella elektroniska handlingar som i samband med ett elektroniskt utlämnande endast av effektivitets skäl görs tillgänglig för en mottagarmyndighet även i fortsättningen bör anses utgöra allmän handling hos mottagarmyndigheten. Vår samlade bedömning är att övervägande skäl talar för att en ändring i tryckfrihetsförordningen för överskottsinformation vid direktåtkomst inte bör föreslås nu. Enligt direktiven ska vi – för det fall vi anser att grundlagen inte bör ändras – utvärdera om de bestämmelser som förts in i offentlighets- och sekretesslagen (11 kap. 4 § och 25 kap. 2 §) med anledning av den nuvarande ordningen har en lämplig utformning eller om de bör justeras samt i det sistnämnda fallet lämna författningsförslag.
Förutsättningen för de fortsatta resonemangen är alltså att överskottsinformation vid direktåtkomst eller liknande elektroniska utlämnanden även fortsättningsvis normalt är att bedöma som allmän handling.
Framställningen i det följande motsvarar delvis den redovisning av sekretessregleringen rörande direktåtkomst som ges i kapitel 5. Avsikten är emellertid att kapitel 8 ska kunna läsas separat.
8.2. Allmänt om sekretessregleringen i korthet
8.2.1. Ramen för införande av sekretessbestämmelser
Rätten till insyn i allmänna handlingar gäller endast i den mån handlingen är offentlig, dvs. i den utsträckning den inte innehåller uppgifter som är hemliga till följd av en bestämmelse om sekretess. I 2 kap. 2 § TF anges ramen för i vilka fall handlingsoffentligheten får begränsas genom införande av sekretess. Varje begränsning av rätten att ta del av allmänna handlingar måste kunna motiveras med hänsyn till någon av följande punkter:
1. rikets säkerhet eller dess förhållande till annan stat eller mellan-
folklig organisation,
2. rikets centrala finanspolitik, penningpolitik eller valutapolitik,
3. myndighets verksamhet för inspektion, kontroll eller annan till-
syn,
4. intresset att förebygga eller beivra brott,
5. det allmännas ekonomiska intresse,
6. skyddet för enskilds personliga eller ekonomiska förhållanden,
7. intresset att bevara djur- eller växtart.
Uppräkningen i bestämmelsen av de intressen som får skyddas genom att allmänna handlingar hålls hemliga är uttömmande. Enligt andra stycket i bestämmelsen ska begränsningar av rätten att ta del av allmänna handlingar anges noga i bestämmelse i en särskild lag eller, om det i vissa fall är lämpligare, i annan lag som den särskilda lagen hänvisar till. Med den särskilda lagen avses offentlighets- och sekretesslagen. Efter bemyndigande i sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens tillämplighet.
8.2.2. Offentlighets- och sekretesslagens uppbyggnad
Offentlighets- och sekretesslagen har delats in i sju avdelningar. Den första avdelningen (1–3 kap.) innehåller inledande bestämmelser, dvs. lagens innehåll, dess tillämpningsområde och definitioner. Den andra avdelningen (4–6 kap.) innehåller bestämmelser om
myndigheters hantering av allmänna handlingar såsom registrering av allmänna handlingar, sekretessmarkering, utlämnande av allmänna handlingar och uppgifter, överklagande m.m. Den tredje avdelningen (7–14 kap.) innehåller allmänna bestämmelser om sekretess, bl.a. sekretessbrytande bestämmelser och överföring av sekretess. I avdelning fyra (15–20 kap.) har sekretessbestämmelser till skydd för allmänna intressen samlats. Kapitelindelningen i kapitlet följer de i tryckfrihetsförordningen angivna ändamålen med sekretess till skydd för allmänna intressen, dvs. punkterna 1–5 och 7 i 2 kap. 2 § TF. Sekretessbestämmelser till skydd för uppgifter om enskildas personliga och ekonomiska förhållanden har samlats i lagens femte avdelning (21–40 kap.). I 21 kap. finns bestämmelser om sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer. Bestämmelserna i övriga kapitel (22–40 kap.) har begränsad räckvidd, dvs. bestämmelserna gäller i en viss typ av verksamhet, i en viss typ av ärenden eller hos vissa angivna myndigheter. I den sjätte avdelningen (41–43 kap.) finns särskilda bestämmelser om sekretess hos vissa organ, bl.a. riksdagen, regeringen, Riksdagens ombudsmän, Justitiekanslern och domstolarna. Bestämmelser om i vilken mån tystnadsplikter som följer av bestämmelser i annan författning än offentlighets- och sekretesslagen inskränker rätten att meddela och offentliggöra uppgifter, har samlats i lagens sjunde och sista avdelning (44 kap.).
8.2.3. Sekretessbestämmelsernas uppbyggnad
En sekretessbestämmelse brukar bestå av tre huvudsakliga rekvisit eller förutsättningar för bestämmelsens tillämplighet. Det är rekvisit som anger föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka. Sekretessens föremål är den information som kan hemlighållas och anges i lagen genom ordet ”uppgift” tillsammans med mer eller mindre långtgående precisering av uppgiftens art, t.ex. uppgift om enskilds personliga förhållanden. Räckvidden för en sekretessbestämmelse bestäms normalt genom att det i bestämmelsen preciseras att sekretessen för de angivna uppgifterna bara gäller i viss typ av verksamhet eller i viss typ av ärende eller hos en viss myndighet. Som nämnts tidigare finns det dock i bl.a. 21 kap. offentlighets- och sekretesslagen sekretessbestämmelser som gäller för uppgift oavsett i vilken verksamhet, ärende eller hos vilken myndighet uppgiften förekommer. Sekretessens styrka bestäms
normalt med hjälp av s.k. skaderekvisit. Ett rakt skaderekvisit i en sekretessbestämmelse innebär att offentlighet är huvudregel och att sekretess endast gäller för uppgiften om det kan antas att viss skada uppkommer om uppgiften röjs. Ett omvänt skaderekvisit innebär att sekretess är huvudregel och att utlämnande av allmän handling endast medges om det står klart att uppgiften kan röjas utan att viss skada uppkommer. Sekretessen enligt en bestämmelse kan även vara absolut. I ett sådant fall ska, om uppgifterna begärs ut, de uppgifter som omfattas av bestämmelsen hemlighållas utan någon skadeprövning.
8.2.4. Sekretessbrytande bestämmelser mellan myndigheter
Huvudregeln är att sekretess inte bara gäller i förhållande till enskilda utan även mellan myndigheter samt inom en myndighet, om där finns olika verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (8 kap. 1 och 2 §§ OSL). Det gäller oberoende av om det rör sig om elektroniskt lagrade uppgifter, uppgifter på papper eller uppgifter som inte är dokumenterade alls. I vissa fall måste dock myndigheter kunna utbyta sekretessbelagda uppgifter för att utföra sina uppgifter. Sekretessregleringen innehåller därför sekretessbrytande bestämmelser som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar (3 kap. 1 § OSL). En sådan bestämmelse möjliggör således ett utbyte av uppgifter mellan myndigheter utan hinder av att uppgifterna är sekretessreglerade. En sekretessbelagd uppgift som enligt en sekretessbrytande regel får lämnas ut till en annan myndighet kan t.ex. lämnas ut muntligen, skriftligen eller elektroniskt via s.k. medium för automatiserad behandling, direktåtkomst eller på annat sätt.
En bestämmelse om direktåtkomst i en registerförfattning anses inte i sig vara en sådan sekretessbrytande regel som avses i offentlighets- och sekretesslagen (se t.ex. prop. 2004/05:164 s. 83). Om en myndighet (mottagarmyndighet) förutsätts få direktåtkomst till uppgifter som omfattas av sekretess hos en annan myndighet (värdmyndighet) måste därför bestämmelsen om direktåtkomst normalt kompletteras med en sekretessbrytande regel för att sådan åtkomst ska kunna tillåtas. Bestämmelser som endast bryter sekretess enligt en viss bestämmelse eller enligt några få bestämmelser finns i anslutning till berörda sekretessbestämmelser i lagens fjärde och femte avdelningar. Om det inte finns någon särskild sekretessbrytande
regel får en bedömning göras om någon av de generella sekretessbrytande bestämmelserna i lagens tionde kapitel är tillämpliga, exempelvis den s.k. generalklausulen i 10 kap. 27 § OSL. Enligt den bestämmelsen får – med vissa angivna undantag – en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Om en mottagarmyndighet har rätt att via direktåtkomst ta del av vissa typer av personuppgifter hos en värdmyndighet beträffande personer som är aktuella i ärenden hos mottagarmyndigheten, måste mottagarmyndigheten ofta tekniskt ha möjlighet att ta del av sådana uppgifter beträffande alla personer som är aktuella hos värdmyndigheten, eftersom mottagarmyndigheten inte i förväg kan veta vilka personer som kan komma att bli aktuella i ärenden hos myndigheten. En annan sak är att mottagarmyndigheten enligt tillämplig registerförfattning kanske endast får använda direktåtkomsten för att söka efter personuppgifter avseende personer som är aktuella i ärenden hos myndigheten. Det innebär att en sådan sekretessbrytande regel som ska möjliggöra direktåtkomst inte kan begränsas till att enbart avse uppgifter som en mottagarmyndighet i ett visst konkret fall har rätt att ta del av enligt registerförfattningen, utan bestämmelsen måste omfatta alla uppgifter som värdmyndigheten gör tekniskt tillgängliga för mottagarmyndigheten.
8.2.5. Överföring av sekretess
Sekretessbestämmelserna har normalt en begränsad räckvidd, dvs. sekretessen gäller endast i viss typ av verksamhet eller i viss typ av ärende eller hos en viss myndighet. Det vanliga är således att det inte är enbart uppgiften i sig som är avgörande för om den är sekretessreglerad eller inte utan av betydelse är även i vilken verksamhet eller hos vilken myndighet den är aktuell. En och samma uppgift kan således ha olika sekretesskydd beroende på t.ex. vilken myndighet som hanterar uppgiften eller i vilken typ av ärende uppgiften förekommer. Det kan även vara så att en och samma uppgift är sekretessreglerad hos myndigheten A men är offentlig hos myndigheten B eftersom sekretessen är knuten till att uppgiften hanteras av en viss myndighet.
När en uppgift lämnas mellan myndigheter är huvudregeln att sekretessregleringen inte följer med uppgiften. Undantag från huvud-
regeln är de sekretessbestämmelser där sekretessen endast är knuten till viss typ av uppgift oavsett i vilken verksamhet, ärende eller hos vilken myndighet den förekommer, t.ex. utrikessekretess (15 kap. 1 § OSL) eller sekretess rörande enskilds hälsa och sexualliv (21 kap. 1 § OSL). I en sådan situation kommer sekretessen att gälla hos samtliga myndigheter som hanterar sådana uppgifter som omfattas av bestämmelsen. Detsamma gäller sådana sekretessbestämmelser som gäller uppgifter som hänför sig till viss verksamhet (t.ex. 18 kap. 1 § OSL). Sådan sekretessreglering upphör således inte när uppgiften lämnas vidare till en annan myndighet.
Att sekretessregleringen som huvudregel inte följer med en uppgift när den lämnas till annan myndighet beror bl.a. på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset. Detta intresse måste vägas mot intresset av insyn i myndigheternas verksamhet. Offentlighetsintresset kan således kräva att de uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda myndigheten (prop. 1979/80:2 Del A s. 75 f.). Även om det på grund härav inte införts någon generell bestämmelse om överföring av sekretess har det införts bestämmelser om överföring av sekretess från en myndighet till en annan i särskilda fall, t.ex. vid direktåtkomst.
Vid överföring av sekretess skiljer man mellan primära och sekundära sekretessbestämmelser. Dessa begrepp och begreppet bestämmelse om överföring av sekretess definieras i 3 kap. 1 § OSL. Med primär sekretessbestämmelse avses en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten, omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns hos myndigheten. Med bestämmelse
om överföring av sekretess avses en bestämmelse som innebär att en
primär sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till eller som har elektronisk tillgång till uppgiften hos den förstnämnda myndigheten. Med sekundär sekretess-
bestämmelse avses en bestämmelse om sekretess som en myndighet
ska tillämpa på grund av en bestämmelse om överföring av sekretess. En och samma sekretessbestämmelse kan således vara en primär sådan hos värdmyndigheten men sekundär hos mottagarmyndigheten.
8.3. Bestämmelser i offentlighets- och sekretesslagen som införts för att skydda s.k. överskottsinformation vid direktåtkomst eller liknande elektroniska utlämnanden
Beträffande överskottsinformation vid direktåtkomst har det införts sekretessbestämmelser som på olika sätt begränsar insynen i dessa upptagningar. Den generella bestämmelsen i 11 kap. 4 § OSL om överföring av sekretess vid direktåtkomst har införts för att tillse att uppgifter som en mottagarmyndighet visserligen har teknisk tillgång till men som inte förs in i den verksamhet som omfattas av myndighetens primära sekretessbestämmelser, ska ha ett fortsatt sekretesskydd hos mottagarmyndigheten. Därutöver har det i några fall införts bestämmelser som föreskriver absolut sekretess för överskottsinformation inom vissa områden, dels bestämmelsen i 25 kap. 2 § OSL om absolut sekretess för ospärrade patientuppgifter vid sammanhållen journalföring, dels bestämmelsen i 15 kap. 1 a § OSL om utrikessekretess vid direktåtkomst. I sammanhanget bör även nämnas att det finns sekretessbestämmelser som gäller i verksamhet som avser förande av eller uttag ur ett visst register eller en viss databas, s.k. databassekretess.
8.3.1. Vad avses med överskottsinformation och direktåtkomst
När vi i det följande talar om överskottsinformation avses, om inget annat sägs, sådan information hos en värdmyndighet som gjorts tillgänglig för en mottagarmyndighet på sätt som anges i 2 kap. 3 § andra stycket och 6 § TF men som mottagarmyndigheten ännu inte har utnyttjat genom att vidta någon åtgärd som innebär att informationen överförs till mottagarmyndigheten t.ex. genom att läsas av en befattningshavare eller genom att ”hämtas” för att bifogas den egna verksamhetsdokumentationen. Överskottsinformation omfattar både sådana uppgifter som en mottagarmyndighet inte har rätt att ta fram i sin verksamhet och sådana uppgifter som den i och för sig får men ännu inte har eller kanske aldrig kommer att få behov av att ta fram i sin verksamhet.
Med direktåtkomst avses – liksom tidigare i framställningen – ett elektroniskt utlämnande mellan myndigheter som tekniskt innebär att överskottsinformation blir tillgänglig för mottagarmyndigheten.
8.3.2. Överföring av sekretess vid direktåtkomst (11 kap. 4 och 8 §§ OSL)
I samband med att lagändringar gjordes för att möjliggöra ett utökat elektroniskt informationsutbyte mellan några myndigheter, bl.a. Migrationsverket, Försäkringskassan, Skatteverket och Kronofogdemyndigheten, infördes en ny bestämmelse 13 kap. 3 a § i dåvarande sekretesslagen (1980:100) i syfte att uppgifter som i samband med direktåtkomst görs tillgängliga för en mottagarmyndighet ska få ett lämpligt sekretesskydd där (prop. 2007/08:160). Bestämmelsen finns numera intagen i 11 kap. 4 § OSL.
Bestämmelsen innebär att i de fall en mottagarmyndighet har direktåtkomst till en upptagning för automatiserad behandling hos en värdmyndighet och en uppgift i denna upptagning är sekretessreglerad hos värdmyndigheten, så överförs värdmyndighetens sekretess för uppgiften i upptagningen till mottagarmyndigheten (sekundär sekretess). På så sätt förhindras att uppgifter i upptagningen som är sekretessreglerade hos värdmyndigheten blir offentliga hos mottagarmyndigheten. Enligt bestämmelsen överförs dock inte värdmyndighetens sekretess när det gäller tillgängliga uppgifter som tas in i beslut hos en mottagarmyndighet.
Begreppet direktåtkomst förekommer i rubriken till bestämmelsen men inte i dess ordalydelse. I bestämmelsen talas om att ”en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling”. Härmed avses enligt motiven att upptagningen ska vara tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § andra stycket första meningen TF, dvs. upptagningen ska vara tillgänglig med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (a. prop. s. 164).
Enligt 11 kap. 8 § OSL gäller att sekretess som är direkt tillämplig hos den mottagande myndigheten, s.k. primär sekretess, har företräde framför överförd sekretess och det oavsett om den primära sekretessen är starkare eller svagare än den överförda sekretessen. Även uttryckliga undantag från den primära sekretessbestämmelsens tillämpningsområde har företräde framför den överförda sekretessen (a. prop. s. 76). I praktiken syftar konstruktionen alltså till att uppgifter som är tekniskt tillgängliga för en mottagarmyndighet men som inte omfattas av någon sekretessreglering hos den myndigheten ska, genom den från värdmyndigheten överförda sekre-
tessen, behålla sitt sekretesskydd. I de fall direktåtkomsten faktiskt används av mottagarmyndigheten till att bereda sig tillgång till uppgifter t.ex. genom läsning eller uttag ur en tillgänglig upptagning medför den aktuella lagregleringen att dessa uppgifter normalt sekretessregleras av en för mottagarmyndighetens verksamhet tillämplig primär sekretessbestämmelse.
Med hänsyn till att primära sekretessbestämmelser hos mottagarmyndigheten, enligt vad som följer av 11 kap. 8 § OSL, har företräde framför den från värdmyndigheten överförda sekretessen, gjordes i motiven till bestämmelsen bedömningen att bestämmelsen i 4 § samma kapitel om överföring av sekretess vid direktåtkomst inte rubbade den grundläggande principen i sekretesslagstiftningen att sekretessbehovet alltid ska vägas mot insynsintresset samt att denna avvägning kan utfalla på skilda sätt hos olika myndigheter och inom olika områden (a. prop. s. 34 och 75 f.).
8.3.3. Absolut sekretess (25 kap. 2 § och 15 kap. 1 a § OSL)
Den omständigheten att överskottsinformation vid direktåtkomst normalt blir allmän handling hos en mottagarmyndighet och att allmänheten därför även hos mottagarmyndigheten kan begära att få ut informationen innebär att en mottagarmyndighet, även i situationer när den av integritetsskäl egentligen kanske bör vara förhindrad att ens titta på uppgifterna i fråga, har att göra en prövning av om den begärda handlingen ska lämnas ut eller inte. Mottagarmyndigheten måste alltså ta del av uppgifterna för att pröva om de omfattas av någon sekretessreglering och, om så är fallet, göra en sekretessprövning gentemot ett skaderekvisit. Som har påpekas tidigare utgör detta en konsekvens av konstruktionen av 2 kap. tryckfrihetsförordningen som kanske inte står helt i samklang med intresset av att skydda enskildas personliga integritet genom att i möjligaste mån förhindra en obefogat stor spridning av uppgifter mellan myndigheter. För att förhindra att en mottagarmyndighet vid en begäran om utfående av allmän handling måste ta del av uppgifter i en upptagning som myndigheten visserligen har direktåtkomst till men som den enligt dataskyddsbestämmelser är förhindrad att titta på, har det därför införts bestämmelser om absolut sekretess för överskottsinformation dels vid sammanhållen journalföring (25 kap. 2 § OSL), dels för uppgifter i utländska databaser (15 kap. 1 a § OSL).
Absolut sekretess vid sammanhållen journalföring
Vid sammanhållen journalföring mellan flera olika vårdgivare – vilket kan innebära olika slags systemlösningar där vårdgivare kan ge och få direktåtkomst till varandras patientinformation – får enligt patientdatalagen (2008:355) en mottagande vårdgivare (vårdgivare A) som huvudregel bara ta del av patientuppgifter som andra vårdgivare lagt in i systemet om a) vårdgivare A har en aktuell patientrelation med patienten i fråga, b) uppgifterna kan antas ha betydelse för vården och c) patienten dessutom lämnar sitt aktiva samtycke till att vårdgivare A tar del av andra vårdgivares uppgifter. Även om dessa förutsättningar inte är uppfyllda och vårdgivare A därför inte har rätt att titta på andra vårdgivares uppgifter, är dessa andra vårdgivares uppgifter allmänna handlingar hos vårdgivare A förutsatt att denna är en hälso- och sjukvårdsmyndighet eller annat organ som har att tillämpa 2 kap. tryckfrihetsförordningen. Enskilda har därmed rätt att vända sig till vårdgivare A och begära att få ta del av upptagningar som andra vårdgivare gjort tekniskt tillgängliga för vårdgivare A. Med anledning av att en sekretessprövning mot ett skaderekvisit normalt kräver att befattningshavare granskar den handling som begärs ut, infördes i den numera upphävda sekretesslagen en sekretessbestämmelse med innebörd att det gäller absolut sekretess för andra vårdgivares uppgifter som en vårdgivare har teknisk tillgång till, men som vårdgivaren inte har rätt att titta på enligt patientdatalagen. Bestämmelsen är numera införd i 25 kap. 2 § första stycket OSL.
Konstruktionen innebär att hälso- och sjukvårdspersonalen hos vårdgivare A vid en begäran om utfående av sådana uppgifter inte behöver, i den mån det skulle stå i strid mot bestämmelserna i patientdatalagen, ta del av de begärda uppgifterna för att kunna avgöra sekretessfrågan (se prop. 2007/08:126 s. 126 f.). I de fall vårdgivare A däremot har rätt enligt patientdatalagen att ta del av andra vårdgivares uppgifter, dvs. förutsättningarna enligt patientdatalagen är uppfyllda, eller vårdgivare A tidigare har tagit del av uppgifterna med stöd av patientdatalagens bestämmelser om sammanhållen journalföring, gäller i stället enligt bestämmelsens andra stycke sekretess för andra vårdgivares uppgifter med ett omvänt skaderekvisit, dvs. med samma slags sekretess som enligt ordinär hälso- och sjukvårdssekretess (25 kap. 1 § OSL). För att en vårdgivare vid prövning av en begäran om utfående av allmän handling avseende uppgift i upptagning som gjorts tillgänglig av en annan vårdgivare ska kunna
ta ställning till om den tidigare har behandlat ospärrade uppgifter avseende patienten med stöd av patientdatalagen eller inte, dvs. om begäran ska prövas utifrån första eller andra stycket i 25 kap. 2 § OSL, krävs att vårdgivarens egen åtkomstdokumentation, dvs. den egna behandlingshistoriken eller loggen, är sökbar (a. prop. s. 132).
Bestämmelsen i 25 kap. 2 § OSL kompletteras av en bestämmelse i patientdatalagen (6 kap. 2 § sista stycket) med innebörd att en vårdgivare är skyldig att, när denne gör uppgifter om en patient tillgängliga i ett system för sammanhållen journalföring, införa en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Andra vårdgivare ska kunna ta del av denna uppgift utan att ta del av vilken vårdgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll. En vårdgivare kan således, utan att ta del av känsliga uppgifter, se om det finns ospärrade uppgifter avseende en viss person i systemet eller inte. Syftet med bestämmelsen är bl.a. att vårdgivare som är anslutna till ett system med sammanhållen journalföring ska kunna pröva om en begäran om utfående av en allmän handling avseende en viss person kan avslås redan på den grunden att det inte förvaras någon sådan handling hos myndigheten. Vid en begäran om utfående av en allmän handling räcker det således för vårdgivaren att konstatera att det saknas en anteckning om att det finns ospärrade uppgifter i systemet för att begäran ska kunna avslås på den grunden det inte förvaras någon sådan handling hos myndigheten.
Absolut sekretess för uppgifter i utländska databaser
Av 15 kap. 1 a § OSL följer att sekretess gäller för uppgift som en myndighet har elektronisk tillgång till i en upptagning för automatiserad behandling hos en annan stat eller mellanfolklig organisation, om myndigheten inte får behandla uppgiften enligt en bindande EU-rättsakt eller ett av Sverige eller EU ingånget avtal med en annan stat eller mellanfolklig organisation. Sekretessgrunden för bestämmelsen, som trädde ikraft den 1 december 2012, är skyddet för rikets förhållande till annan stat eller mellanfolklig organisation (2 kap. 2 § första stycket TF). I motiven till bestämmelsen konstateras att uppgifter i utländska databaser, som i samband med direktåtkomst görs elektroniskt tillgängliga för en svensk mottagarmyndighet, är allmän handling hos den svenska myndigheten även
om myndigheten till följd av ändamålsbegränsningar eller villkorade sökbegränsningar inte har rätt att behandla uppgifterna (prop. 2011/12:157 s. 8). Vid en begäran om att få ta del av en allmän handling enligt 2 kap. tryckfrihetsförordningen är den svenska myndigheten alltså skyldig att söka fram och i vissa fall lämna ut uppgifter som inte omfattas av överenskommelsen om informationsutbyte, eftersom uppgifterna är tekniskt tillgängliga för myndigheten och därmed utgör allmänna handlingar.
Syftet med bestämmelsen är att säkerställa att svenska myndigheter inte ska behöva göra sökningar i databaser hos andra stater eller mellanfolkliga organisationer som skulle kunna anses vara i strid med unionsrätten eller våra folkrättsliga förpliktelser. För att bestämmelsen ska fylla sitt syfte har den utformats så att den kan tillämpas utan att en sökning måste göras. Bestämmelsen föreskriver därför absolut sekretess för de uppgifter som den svenska myndigheten har tillgång till i den utländska databasen men som myndigheten inte får behandla. Den starka sekretessen anges i motiven (a. prop. s. 14) vara en förutsättning för att Sverige ska kunna ha ett effektivt och förtroendefullt internationellt samarbete.
Behovet av bestämmelsen uppkom med anledning av samarbetet inom EU mellan brottsbrottsbekämpande myndigheter. I motiven konstateras dock att det inte är enbart på detta område som det är aktuellt med direktåtkomst till utländska databaser, utan även t.ex. Transportstyrelsen har direktåtkomst till utländska databaser (a. prop. s. 12). Eftersom det aktuella problemet uppstår vid de flesta fall av internationellt uppgiftsutbyte genom direktåtkomst har bestämmelsen gjorts generell. Se avsnitt 5.5.2.4 angående exempel på sådana informationsutbyten som omfattas av bestämmelsen.
8.3.4. Databassekretess
Någon generell bestämmelse om databassekretess finns inte i offentlighets- och sekretesslagen. Sådana bestämmelser finns endast för vissa angivna register eller databaser, se t.ex. 27 kap. 1 § andra stycket (Skatteverkets beskattningsdatabas), 27 kap. 3 § (Tullverkets tulldatabas), 34 kap. 2 § (utsöknings- och indrivningsdatabasen) och 35 kap. 3 § (belastningsregistret). Styrkan i sekretessbestämmelserna är densamma som gäller hos den registerförande myndigheten. Således gäller absolut sekretess för uppgifter i t.ex. Skatteverkets
beskattningsdatabas medan styrkan på sekretessen i utsöknings- och indrivningsdatabasen är reglerad med ett omvänt skaderekvisit.
En bestämmelse om databassekretess är en primär sekretessbestämmelse såväl hos den myndighet som för databasen eller registret som hos direktanslutna myndigheter så länge dessa bara har uppgifterna tillgängliga på skärmen (prop. 2007/08:160 s. 95 f.). Mottagarmyndigheter ska således, enligt 11 kap. 8 § OSL, tillämpa bestämmelsen som en primär sekretessbestämmelse och inte som en sekundär sekretessbestämmelse. Först om en mottagarmyndighet gör ett utdrag ur registret eller databasen eller på annat sätt använder uppgifterna i sin verksamhet upphör databassekretessbestämmelsen att vara tillämplig på uppgiften hos mottagarmyndigheten. Då kan i stället andra sekretessbestämmelser som gäller i de aktuella verksamheterna vara tillämpliga på uppgiften. När det t.ex. gäller skuldsaneringsärenden hos Kronofogdemyndigheten så får myndigheten ha direktåtkomst till Skatteverkets beskattningsdatabas. Så länge Kronofogdemyndigheten inte använt sig av direktåtkomsten för att hämta in uppgifter till ett skuldsaneringsärende, dvs. när uppgifterna endast är tekniskt tillgängliga hos Kronofogdemyndigheten, gäller sekretess för dessa uppgifter enligt Skatteverkets databassekretess i 27 kap. 1 § andra stycket 1 OSL (absolut sekretess). När Kronofogdemyndigheten hämtar ut en uppgift i beskattningsdatabasen genom att t.ex. dra ut den på papper eller på annat sätt använda den i sin verksamhet upphör databassekretessen att gälla, dock blir bestämmelsen i 34 kap. 6 § OSL om sekretess i skuldsaneringsärenden (rakt skaderekvisit) hos Kronofogdemyndigheten tillämplig för uppgiften.
8.4. Ger den befintliga regleringen i offentlighets- och sekretesslagen ett tillräckligt skydd för överskottsinformation vid direktåtkomst?
8.4.1. Tillämpningen av 11 kap. 4 och 8 §§ OSL
Bestämmelsen i 11 kap. 4 § OSL om överföring av sekretess och bestämmelsen i 8 § samma kapitel syftar till att uppgifter, som är tekniskt tillgängliga för en mottagarmyndighet men som inte omfattas av någon sekretessreglering hos den myndigheten, ska behålla sitt sekretesskydd genom den från värdmyndigheten överförda sekretessen. Om uppgifterna som görs tillgängliga via direktåtkomst
är sekretessreglerade till skydd för samma intresse hos mottagarmyndigheten är dock den sekretessbestämmelse som gäller hos värdmyndigheten inte tillämplig.
Om en värdmyndighets uppgiftsskyldighet till en mottagarmyndighet tillgodoses genom direktåtkomst innebär det ofta att även överskottsinformation blir tekniskt tillgänglig för mottagarmyndigheten. Beroende på hur mottagarmyndighetens materiella sekretessbestämmelser är utformade, särskilt avseende sekretessens räckvidd, kan konstruktionen med överföring av sekretess vid en tillämpning av 11 kap. 4 § OSL tillsammans med 8 § i samma kapitel medföra att även överskottsinformationen kan komma att omfattas av mottagarmyndighetens sekretessreglering. Beroende på styrkan i mottagarmyndighetens sekretessreglering för uppgiften kan överskottsinformationen därigenom få ett svagare sekretesskydd hos mottagarmyndigheten än den har hos värdmyndigheten.
Försäkringskassans direktåtkomst till Migrationsverkets verksamhetsregister
Just den omständigheten att en tillämpning av 11 kap. 4 och 8 §§ OSL i vissa fall kan leda till att en värdmyndighets sekretesskydd för uppgifter, som är tekniskt tillgängliga för en mottagarmyndighet men som inte används i verksamheten, försvagas hos mottagarmyndigheten uppmärksammades i propositionen rörande de utökade möjligheterna till elektroniskt informationsutbyte mellan myndigheter som handhar de ekonomiska trygghetssystemen (prop. 2007/08:160 s. 95 f.). Där konstaterades att för det fall Försäkringskassan medgavs direktåtkomst till Migrationsverkets verksamhetsregister skulle det bl.a. innebära att sekretesskyddet för uppgifterna i Migrationsverkets verksamhetsregister skulle försvagas hos Försäkringskassan eftersom sekretessen för uppgifterna hos Migrationsverket gällde med ett omvänt skaderekvisit medan motsvarande sekretess för uppgifterna hos Försäkringskassan enligt en redan befintlig sekretessbestämmelse och enligt en i motiven föreslagen ändring skulle gälla med ett rakt skaderekvisit.
Försäkringskassan skulle dels använda åtkomsten i sin ärendehandläggning, dels i sin registreringsverksamhet. Olika sekretessbestämmelser var tillämpliga för dessa verksamheter hos Försäkringskassan, bl.a. var det en skillnad beträffande bestämmelsernas räckvidd. Räckvidden för sekretessbestämmelsen för uppgifter i
ärendehandläggningen var begränsad till att endast gälla uppgifter i ärenden medan någon motsvarande begränsning av räckvidden inte fanns beträffande sekretessen som gällde för registreringsverksamheten.
I samma proposition föreslogs även bestämmelsen om överföring av sekretess vid direktåtkomst i 13 kap. 3 a § sekretesslagen, dvs. nuvarande 11 kap. 4 § OSL. Den föreslagna bestämmelsen i 13 kap. 3 a § och den redan befintliga bestämmelsen i 6 § samma kapitel i sekretesslagen, nuvarande 11 kap. 4 och 8 §§ OSL, skulle enligt motiven beträffande Försäkringskassans direktåtkomst till Migrationsverkets verksamhetsregister innebära följande. Försäkringskassans svagare sekretess skulle ha företräde framför Migrationsverkets starkare sekretess dels vad gäller uppgifter som Försäkringskassan har åtkomst till och som används i ärendehandläggningen, dels vad gäller alla uppgifter som Försäkringskassan har åtkomst till i sin registreringsverksamhet. Det sistnämnda innebar, beroende på att räckvidden för Försäkringskassans sekretessbestämmelse inte var begränsad till endast uppgifter som kassan faktiskt använder i sin registreringsverksamhet, att även sådana uppgifter i Migrationsverkets verksamhetsregister som Försäkringskassan inte använder i sin registreringsverksamhet, men som kassan har tillgång till i den verksamheten, skulle komma att omfattas av kassans svagare sekretesskydd.
I resonemangen hur sekretesskyddet skulle kunna stärkas för de uppgifter i Försäkringskassans registreringsverksamhet som den skulle ha åtkomst till hos Migrationsverket men som faktiskt inte användes av kassan fördes i motiven en diskussion om en s.k. databasregel borde införas. Den skulle innebära att Migrationsverkets starkare sekretess skulle gälla för uppgifterna hos Försäkringskassan så länge kassan inte gjorde ett utdrag ur registret eller på annat sätt använde uppgifterna i sin verksamhet. Endast när Försäkringskassan gjorde ett utdrag ur databasen skulle sådana uppgifter alltså omfattas av den svagare sekretess som gällde hos Försäkringskassan. Något förslag om en databasregel lades aldrig fram eftersom en sådan ansågs medföra att den föreslagna bestämmelsen om överföring av sekretess vid direktåtkomst inte skulle få avsedd betydelse (a. prop. s. 96). I stället framfördes att man med dagens teknik kan utforma spärrar som innebär att det vid direktåtkomst bara är möjligt för handläggarna att söka efter uppgifter om en viss person om den personen är aktuell i den verksamhet där direktåtkomst tillåts. Om en sådan teknisk begränsning gjordes skulle
det enligt motiven innebära att uppgifter som inte behövs i Försäkringskassans registreringsverksamhet inte heller kommer att vara tekniskt tillgängliga för handläggarna i den verksamheten. Uppgifterna kan dock vara tekniskt tillgängliga i den del av Försäkringskassans verksamhet som hanterar de rent tekniska aspekterna på direktåtkomsten. Det sekretesskydd som således skulle följa av den föreslagna bestämmelsen om överföring av sekretess ansågs alltså räcka.
Lagrådet anförde att Försäkringskassan inte borde få medges direktåtkomst till Migrationsverkets verksamhetsregister förrän sådana tekniska begränsningar införts. Av förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen följer numera att Försäkringskassan får ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister men först sedan Migrationsverket har försäkrat sig om att handläggare hos Försäkringskassan bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verksamhet som avser registrering av enskilda hos Försäkringskassan (6 a §).
Närmare om i vilka fall en tillämpning av 11 kap. 4 och 8 §§ OSL innebär att sekretesskyddet för överskottsinformation försvagas hos en mottagarmyndighet
En värdmyndighets sekretesskydd för uppgifter, som en mottagarmyndighet visserligen har direktåtkomst till men som den inte använder i sin verksamhet och kanske inte heller får använda i sin verksamhet, kan alltså komma att försvagas hos mottagarmyndigheten.
Anta att en mottagarmyndighet har direktåtkomst till upptagningar för automatiserad behandling hos en värdmyndighet. Mottagarmyndigheten får, enligt tillämplig registerförfattning, endast använda direktåtkomsten till att ta fram uppgifter avseende personer som har ett pågående ärende hos myndigheten. Direktåtkomsten innebär dock att även uppgifter avseende andra personer blir tekniskt tillgängliga för mottagarmyndigheten – och därmed allmän handling – eftersom det inte i förväg går att veta vilka personer som kan komma att bli aktuella i ett ärende hos mottagarmyndigheten. Fråga är vilket sekretesskydd dessa uppgifter, dvs. överskottsinformationen, har vid en eventuell prövning av begäran om utfående av allmän handling hos mottagarmyndigheten. Anta
att räckvidden för en tillämplig primär sekretessbestämmelse hos mottagarmyndigheten är utformad så att den endast är tillämplig på uppgifter som ingår i myndighetens ärendehandläggning. Vid en prövning av om en uppgift som genom direktåtkomsten visserligen är tekniskt tillgänglig för myndigheten men som inte används i ärendehandläggningen innebär en tillämpning av 11 kap. 4 § OSL att mottagarmyndigheten ska tillämpa värdmyndighetens sekretessbestämmelse som en sekundär sekretessbestämmelse. Det sekretesskydd som finns för uppgiften hos värdmyndigheten överförs och bibehålls således vid informationsutbytet (jfr ovan angående Försäkringskassans direktåtkomst i sin ”ärendehandläggning” till Migrationsverkets verksamhetsregister).
Men om räckvidden för en tillämplig primär sekretessbestämmelse hos mottagarmyndigheten i stället är utformad så att den även omfattar överskottsinformation, t.ex. genom att den är tillämplig på alla uppgifter som är tillgängliga i viss verksamhet hos mottagarmyndigheten, oavsett om de används i verksamheten, kan det innebära att det för mottagarmyndigheten dels finns en primär sekretessbestämmelse, dels en sekundär sekretessbestämmelse, dvs. överförd sekretess, som är tillämplig för samma uppgift. När det uppstår en sådan konkurrens mellan primära och sekundära sekretessbestämmelser har, enligt vad som följer av 11 kap. 8 § OSL, mottagarmyndighetens primära sekretessbestämmelser företräde. Om värdmyndighetens och mottagarmyndighetens respektive primära sekretessbestämmelser för uppgiften skiljer sig åt vad gäller styrkan på sekretessen kan alltså sekretesskyddet för överskottsinformationen i ett sådant fall försvagas hos mottagarmyndigheten (jfr ovan angående Försäkringskassans direktåtkomst i sin ”registreringsverksamhet” till Migrationsverkets verksamhetsregister).
Om mottagarmyndighetens primära sekretessbestämmelse i stället är stark medan värdmyndighetens primära sekretessbestämmelse är svag blir konsekvensen vid tillämpningen av 11 kap. 4 och 8 §§ OSL den motsatta, dvs. att sekretesskyddet för överskottsinformationen blir starkare hos mottagarmyndigheten än hos värdmyndigheten.
Är sekretessens styrka densamma i båda myndigheternas primära sekretessbestämmelser får bestämmelserna om överföring av sekretess dock ingen praktisk betydelse eftersom sekretesskyddet för överskottsinformationen blir detsamma.
Om en uppgift inte är sekretessreglerad hos värdmyndigheten blir frågan om överföring av sekretess av naturliga skäl inte aktuell
eftersom det inte finns någon sekretess att överföra. Är uppgiften däremot sekretessreglerad hos värdmyndigheten men inte hos mottagarmyndigheten innebär en tillämpning av 11 kap. 4 § att mottagarmyndigheten ska tillämpa värdmyndighetens sekretessbestämmelse för uppgiften som en sekundär sekretessbestämmelse. Sekretesskyddet för överskottsinformationen överförs och bibehålls således.
Av 11 kap. 8 § OSL följer, som redovisats tidigare, att en primär sekretessbestämmelse hos mottagarmyndigheten har företräde framför den sekretess som överförs enligt 4 § i samma kapitel. Även uttryckliga undantag från den primära sekretessbestämmelsens tillämpningsområde har företräde framför den överförda sekretessen. Det innebär att om en uppgift visserligen omfattas av en primär sekretessbestämmelse hos mottagarmyndigheten men det i den primära sekretessbestämmelsen finns undantag från sekretess vilket medför att det inte råder sekretess för den aktuella uppgiften, blir uppgiften offentlig hos mottagarmyndigheten trots att sekretess för uppgiften gäller hos värdmyndigheten.
8.4.2. Tillämpningen av de särskilda bestämmelserna om absolut sekretess
Bestämmelsen om absolut sekretess för sådana ospärrade uppgifter som en vårdgivare har tillgång till i ett system för sammanhållen journalföring och som vårdgivaren, enligt bestämmelser i patientdatalagen, inte får titta på avser främst att skydda patientens integritet gentemot alla de vårdgivare som är anslutna till systemet med sammanhållen journalföring (prop. 2007/08:126 s. 130). Den absoluta sekretessen innebär att vårdgivaren inte behöver titta på uppgiften vid en prövning av utfående av allmän handling. Det ska samtidigt noteras att även om varken 25 kap. 2 § OSL eller 11 kap. 4 § OSL hade funnits, skulle allmänhetens möjligheter att få del av allmänna handlingar hos hälso- och sjukvårdsmyndigheter ändå vara små, oavsett till vilken myndighet en begäran om att få ut sådan uppgift riktas, med tanke på att sekretess för dessa uppgifter gäller med ett omvänt skaderekvisit enligt 25 kap. 1 § OSL.
Även bestämmelsen i 15 kap. 1 a § OSL om absolut sekretess för uppgifter i utländska databaser som en svensk myndighet på grund av EU-bestämmelser eller internationella avtal inte får behandla avser att begränsa myndigheters skyldighet att titta på sådana uppgifter som ett led i en sekretessprövning.
Till skillnad från bestämmelsen i 11 kap. 4 § OSL om överföring av sekretess som gäller all slags direktåtkomst, dvs. både reglerad och oreglerad sådan, gäller bestämmelsen i 15 kap. 1 a § OSL endast sådan direktåtkomst som är reglerad i en bindande EU-rättsakt eller ett av Sverige eller EU ingånget avtal med annan stat eller organisation och 25 kap. 2 § OSL gäller endast direktåtkomst vid sammanhållen journalföring enligt patientdatalagen.
8.5. Finns det behov av justeringar av befintliga bestämmelser i offentlighets- och sekretesslagen som avser att skydda överskottsinformation vid direktåtkomst?
Bedömning: Konstruktionen av bestämmelserna i 11 kap. 4 och
8 §§ OSL om överföring av sekretess vid direktåtkomst medför att det finns en risk för att en tillämpning av bestämmelserna i vissa fall kan leda till att det sekretesskydd som gäller hos värdmyndigheten försvagas hos mottagarmyndigheten på ett sätt som inte är motiverat för s.k. överskottsinformation. Det finns därför ett behov av att justera dessa bestämmelser.
Något behov av justering av övriga bestämmelser i offentlighets- och sekretesslagen som tar sikte på att skydda överskottsinformation vid direktåtkomst har inte framkommit.
I huvudsak ger bestämmelsen i 11 kap. 4 § OSL enligt vår bedömning ett tillfredsställande sekretesskydd för överskottsinformation vid direktåtkomst genom att värdmyndighetens sekretess förs över till en mottagarmyndighet. Dock innebär bestämmelsens konstruktion tillsammans med bestämmelsen i 8 § samma kapitel att sekretesskyddet för överskottsinformationen i vissa fall riskerar att bli svagare hos mottagarmyndigheten än hos värdmyndigheten. Detta skulle alltså kunna medföra att stora delar av en värdmyndighets databas får ett svagare sekretesskydd hos mottagarmyndigheten trots att mottagarmyndigheten inte använder sig av uppgifterna i sin verksamhet. I utredningens direktiv (dir. 2011:86 s. 15) anges att detta inte är lämpligt från integritetssynpunkt och att ytterligare överväganden måste göras för att åstadkomma ett skydd för sådan överskottsinformation som i och för sig är tekniskt tillgänglig för
en mottagarmyndighet men som denna inte använder i sin verksamhet.
Den frågan kan ställas i vilken mån ett krav på tekniska spärrar hos en mottagarmyndighet mellan en teknikavdelning och t.ex. den handläggande verksamheten som resonerades kring i samband med att Försäkringskassan skulle medges direktåtkomst till Migrationsverkets verksamhetsregister (se avsnitt 8.4.1 och prop. 2007/08:160 s. 97) kan vara ett alternativ. Det skulle innebära att generella krav ställs på den tekniska utformningen av system hos mottagarmyndigheter som skulle innebära att mottagarmyndigheters primära sekretessbestämmelser normalt sett inte skulle bli tillämpliga på överskottsinformationen. Det framstår emellertid som i någon mån oklart om man kan förlita sig på att sådana tekniska spärrar inom olika slags mottagarmyndigheter alltid skulle få avsedd effekt att skydda överskottsinformation från en försämring av sekretesskyddet. Förutom olika sekretessbestämmelsers utformning torde skiftande faktiska och organisatoriska förhållanden hos mottagarmyndigheter kunna påverka en bedömning av vad en inre teknisk spärr skulle medföra i fråga om sekretesskydd.
Oavsett om sådana tekniska spärrar skulle ge ett tillfredsställande skydd eller inte för överskottsinformation vid direktåtkomst så är det enligt vår mening en fördel om lagstiftningen som ska stärka integritetsskyddet i detta avseende är teknikneutral och generell. Med teknikneutral avses att integritetsskyddet ska vara tillfredsställande oavsett vilka tekniska system en mottagarmyndighet använder sig av. I att lagstiftningen bör vara generell ligger att lagstiftningen inte ska vara avhängig hur en mottagarmyndighet är organiserad internt.
I avsnitt 6.2.2 konstaterar vi att det huvudsakliga problemet från integritetsskyddssynpunkt med att även överskottsinformation vid direktåtkomst är allmän handling hos en mottagarmyndighet är att den allmänna tillgängligheten till uppgifterna ökar på ett sätt som det tekniska tillgängliggörandet genom direktåtkomsten eller regler om direktåtkomst inte har åsyftat. Detta gäller i synnerhet, men inte bara, när överskottsinformationen består av personuppgifter. Syftet med elektroniska utlämnandeformer som direktåtkomst eller motsvarande är att effektivisera och förbättra formerna för myndigheternas informationsförsörjning, inte att öka risken för att t.ex. integritetskänsliga personuppgifter eller andra uppgifter som inte utgör en naturlig del av myndighetens verksamhet får oavsiktlig spridning. Det är enligt vår uppfattning angeläget att risker för integritets-
intrång eller andra negativa konsekvenser för enskilda, t.ex. företag, minimeras.
Vid bedömningen av vilket sekretesskydd som ska gälla för en uppgift måste utöver intresset av att hemlighålla en uppgift även beaktas allmänhetens intresse av insyn i en myndighets verksamhet. Det kan hävdas att allmänhetens insynsintresse i en mottagarmyndighets passivt tillgängliga överskottsinformation från principiell synpunkt knappast kan anses väga lika tungt som intresset av insyn i myndighetens egentliga informationshantering. I linje med detta anser vi att beträffande överskottsinformation måste integritetsskyddsintresset tillmätas stor betydelse. Vi anser alltså att det finns ett behov av att se över utformningen av bestämmelserna om överföring av sekretess vid direktåtkomst i syfte att erbjuda ett bättre integritetsskydd för överskottsinformationen genom en generell och teknikneutral lagstiftning.
Regleringstekniken i 25 kap. 2 § OSL med absolut sekretess för sådan information som vårdgivande myndighet inte får behandla enligt patientdatalagen och som den inte heller tidigare har behandlat innebär, till skillnad från bestämmelsen om överföring av sekretess i 11 kap. 4 § OSL, dels att sekretesskyddet för denna information alltid är starkare hos mottagarmyndigheten (absolut sekretess) än hos värdmyndigheten (omvänt skaderekvisit), dels att mottagande vårdmyndighet, vid en begäran om utfående av allmän handling, normalt inte behöver ta del av sådan uppgift eftersom någon sekretessprövning mot ett skaderekvisit inte ska göras. Den lagtekniska konstruktion som använts i 25 kap. 2 § OSL ger, ur ett integritetsskyddsperspektiv, ett så gott som fullgott skydd för ospärrade uppgifter som mottagande vårdgivare enligt patientdatalagen inte får behandla. Något behov av justering av bestämmelsen har inte framkommit. Samma bedömning torde kunna göras beträffande den nyligen införda bestämmelsen i 15 kap. 1 a § OSL om absolut sekretess för uppgifter i utländska databaser. Även om bestämmelserna i 15 kap. 1 a § och 25 kap. 2 § OSL har olika sekretessgrunder fungerar de på samma sätt och ger ett likartat skydd för de aktuella uppgifterna.
Det ska slutligen i detta sammanhang erinras om att vi i avsnitt 7.3.2 har övervägt men avfärdat tanken på att införa en primär sekretessbestämmelse med räckvidd hos alla mottagarmyndigheter och med absolut sekretess för överskottsinformation vid direktåtkomst, dvs. en generell bestämmelse motsvarande de särbestämmelser om absolut sekretess som finns i 15 kap. 1 a § och 25 kap. 2 § OSL.
8.6. Närmare om utformningen av en justering av bestämmelserna i 11 kap. 4 och 8 §§ OSL om överföring av sekretess
8.6.1. Några allmänna utgångspunkter
Överskottsinformation vid direktåtkomst bör ha ett sekretesskydd hos mottagarmyndigheten som motsvarar det sekretesskydd den har hos värdmyndigheten
Som redogjorts för tidigare kan bestämmelserna i 11 kap. 4 och 8 §§ OSL innebära att sekretesskyddet hos en mottagarmyndighet för överskottsinformation i vissa fall försvagas eller till och med helt kan upphöra. Detta är från integritetsskyddssynpunkt otillfredsställande. Det finns därför ett behov av att justera bestämmelserna på ett sådant sätt att uppgifter, så länge de utgör överskottsinformation i nu aktuell mening, ges motsvarande sekretesskydd som de har hos värdmyndigheten. En utgångspunkt är alltså enligt vår mening att överskottsinformation vid direktåtkomst bör ha lägst det sekretesskydd som samma information har hos värdmyndigheten.
Sekretesskyddet för uppgifter som blir tillgängliga för en mottagarmyndighet genom direktåtkomst men som inte utgör överskottsinformation bör inte rubbas
Det är viktigt att en anpassning av bestämmelserna utformas så att endast överskottsinformation kommer att omfattas. Avsikten är inte att förändra sekretesskyddet för övriga uppgifter som blir tillgängliga för en mottagarmyndighet vid direktåtkomst hos en annan myndighet, dvs. uppgifter som mottagarmyndigheten använder sig av i sin ärendehantering eller i verksamheten på annat sätt. Den avvägning mellan sekretessintresset och insynsintresset som tillgodoses avseende dessa övriga uppgifter genom konstruktionen av bestämmelserna i 11 kap. 4 och 8 §§ OSL bör alltså inte rubbas.
Ytterligare en utgångpunkt är att en justering inte ska innebära att fler eller nya slag av uppgifter sekretessregleras. För att det över huvud taget ska vara fråga om överföring av sekretess enligt 11 kap. 4 § OSL krävs emellertid att den aktuella uppgiften är sekretessreglerad hos värdmyndigheten. Det är alltså endast sådana upp-
gifter som redan är sekretessreglerade hos värdmyndigheten som bör beröras av en justering av regelverket.
8.6.2. Hur bör en justering av nuvarande bestämmelser utformas?
Förslag: En mottagarmyndighets primära sekretessbestämmelser
bör inte ha företräde framför den från värdmyndigheten överförda sekretessen avseende sådana uppgifter som en mottagarmyndighet enligt lag eller förordning inte får behandla. En konkurrenssituation mellan en primär sekretessbestämmelse hos mottagarmyndigheten och den från värdmyndigheten överförda sekretessen för en sådan uppgift bör i stället lösas genom att den av sekretessbestämmelserna enligt vilken uppgiften är sekretessbelagd ska ha företräde.
En avgränsning av vad som är överskottsinformation
Bestämmelsen i 11 kap. 4 § OSL innebär att värdmyndighetens sekretess för en uppgift som är tillgänglig för en mottagarmyndighet via direktåtkomst överförs oavsett om uppgiften används av mottagarmyndigheten eller om uppgiften utgör överskottsinformation. Inte heller regleringen i 11 kap. 8 OSL gör någon skillnad på om en uppgift innefattas i överskottsinformation eller inte, utan det avgörande är hur mottagarmyndighetens sekretessreglering är utformad. Genom att mottagarmyndighetens primära sekretessbestämmelse enligt 11 kap. 8 § OSL har företräde framför den genom 11 kap. 4 § OSL överförda sekretessen tillgodoses det insynsintresse som finns hos respektive mottagarmyndighet. Denna avvägning är berättigad när det gäller uppgifter som mottagarmyndigheten har tillgång till via direktåtkomst hos en värdmyndighet och som mottagarmyndigheten använder i sin verksamhet eller ärendehantering. Men det kan alltså ifrågasättas om insynsintresset hos en mottagarmyndighet även ska ha företräde när det avser uppgifter som innefattas i sådan information vid direktåtkomst som mottagarmyndigheten inte har anledning att ta del av eller kanske inte får ta del av.
Vår uppfattning är alltså att det sekretesskydd som gäller för en uppgift hos en värdmyndighet bör fortsätta att gälla även hos mot-
tagarmyndigheten så länge uppgiften anses utgöra överskottsinformation hos denna myndighet. För att åstadkomma det krävs att det i bestämmelserna om överföring av sekretess införs en reglering som drar en gräns mellan överskottsinformation och övrig information, dvs. uppgifter som mottagarmyndigheterna behöver och använder sig av i sin verksamhet eller ärendehantering, vid direktåtkomst hos annan myndighet.
Såsom redovisas i avsnitt 7.5.2 när det gäller ett eventuellt undantag för överskottsinformation från vad som är allmän handling enligt tryckfrihetsförordningen kan man laborera med några olika alternativ när det gäller tekniken för att avgränsa vad som är överskottsinformation från övrig information. Det första alternativet är att dra gränsen mellan överskottsinformation och övrig information utifrån vad en mottagarmyndighet enligt någon villkorad sökbegränsning eller liknande användningsbegränsning inte får lov att ta fram i sin verksamhet om inte vissa förutsättningar föreligger, t.ex. att en behandling av en personuppgift måste vara nödvändig för att mottagarmyndigheten ska kunna utföra sina arbetsuppgifter inom sitt verksamhetsområde. Ett annat alternativ är att avgränsningen i stället görs utifrån vilka uppgifter en mottagarmyndighet via direktåtkomsten faktiskt har behandlat. Det tredje alternativet är en kombination av alternativen ett och två, dvs. avgränsningen görs dels utifrån vilka uppgifter i en sådan upptagning som är tillgänglig via direktåtkomst som en mottagarmyndighet får behandla enligt lag eller förordning, dels utifrån det förhållandet att en mottagarmyndighet rent faktiskt har behandlat uppgiften i fråga.
Till skillnad från den diskussion som utredningen fört i avsnitt 7.5.2 avseende olika alternativa modeller för att avgränsa vad som är överskottsinformation vid ett eventuellt undantag för överskottsinformation från vad som är allmän handling enligt tryckfrihetsförordningen, syftar övervägandena nu enbart till att möjliggöra en precisering av i vilka fall en mottagarmyndighets primära sekretessbestämmelser inte ska ha företräde framför den från värdmyndigheten överförda sekretessen. Det handlar alltså inte om gränsdragningen beträffande vad som utgör allmän handling eller inte utan om ett sätt att reglera vilken sekretessbestämmelse – den överförda sekretessen från värdmyndigheten eller mottagarmyndighetens ”egna” sekretessbestämmelser – som ska vara tillämplig på en uppgift som en mottagarmyndighet har direktåtkomst till. Det är således inte fråga om att införa sekretess för nya uppgifter utan
endast att avgöra vilken av befintliga sekretessbestämmelser som är tillämplig för en redan i och för sig sekretessreglerad uppgift.
Oavsett om uppgifter i en upptagning som en mottagarmyndighet har direktåtkomst till anses innefattas i överskottsinformation eller inte måste mottagarmyndigheten, vid en begäran om utfående av allmän handling enligt tryckfrihetsförordningen, använda direktåtkomsten för att ta del av uppgiften och göra en sekretessprövning. Mottagarmyndigheten har redan i detta skede, enligt vad som gäller enligt såväl personuppgiftslagen som registerförfattningar, behandlat uppgiften. Det innebär att om en avgränsning av vad som är överskottsinformation ska göras utifrån kriteriet att en mottagarmyndighet faktiskt har använt sig av direktåtkomsten, dvs. behandlat en uppgift, blir avgränsningen verkningslös. Mottagarmyndigheten kommer i samtliga fall redan att ha behandlat den för att över huvud taget kunna göra en sekretessprövning. Även om en sådan avgränsning måhända i stället skulle kunna bygga på att mottagarmyndigheten inte ”tidigare” har behandlat uppgiften anser vi att redan denna omständighet talar för att alternativet att avgränsningen av vad som är överskottsinformation görs utifrån vilka uppgifter en mottagarmyndighet via direktåtkomsten faktiskt har behandlat knappast är ett realistiskt alternativ. Övervägande skäl talar således för att avgränsningen av vad som är överskottsinformation måste bygga på regleringen rörande vad en mottagarmyndighet inte får behandla. I avsnitt 8.6.3 redogörs närmare för vad som avses med detta.
Det är i regleringen i 11 kap. 8 § OSL, om att mottagarmyndighetens primära sekretessbestämmelse har företräde framför den överförda sekretessen, som avgränsningen av vad som är överskottsinformation och vad som är övrig information bör göras.
Ett nytt andra stycke bör införas i 11 kap. 8 § OSL innebärande att uppgifter som en mottagarmyndighet har elektronisk åtkomst till hos en annan myndighet och som myndigheten enligt lag eller förordning inte får behandla, inte ska omfattas av regleringen i första stycket i bestämmelsen. Det innebär att för dessa uppgifter har en primär sekretessbestämmelse hos en mottagarmyndighet inte företräde framför den enligt 4 § överförda sekretessen. För det fall det utöver den överförda sekretessen även finns en primär sekretessbestämmelse hos mottagarmyndigheten som är tillämplig för uppgiften får konkurrenssituationen i stället lösas med tillämpning av 7 kap. 3 § OSL. Av det lagrummet följer att vid konkurrens mellan flera bestämmelser är det den eller de sekretessbestämmelser enligt
vilken uppgiften är sekretessbelagd som har företräde. Det gäller oavsett om det är fråga om konkurrens mellan primära sekretessbestämmelser, mellan sekundära sekretessbestämmelser eller mellan primära och sekundära sekretessbestämmelser. Härigenom garanteras att uppgifter som en mottagarmyndighet har direktåtkomst till hos en annan myndighet, men som mottagarmyndigheten enligt lag eller förordning inte får behandla, omfattas av lägst det sekretesskydd som de har hos värdmyndigheten.
8.6.3. Vad som avses med att en mottagarmyndighet enligt lag eller förordning inte får behandla uppgifter
Inledningsvis vill vi ännu en gång understryka att till skillnad från den diskussion som utredningen fört i föregående kapitel avseende olika alternativa modeller för att avgränsa vad som är överskottsinformation vid ett eventuellt undantag från vad som är allmän handling enligt tryckfrihetsförordningen avser nu aktuell avgränsning endast vilken princip som ska tillämpas i det fall det för en uppgift som är tillgänglig för en myndighet via direktåtkomst finns konkurrerande primära och sekundära sekretessbestämmelser som är tillämpliga.
En avgränsning av vad som är överskottsinformation till uppgifter som en mottagarmyndighet enligt lag eller förordning inte får behandla innebär att myndigheten vid avgörandet av vilken sekretessbestämmelse, dvs. mottagarmyndighetens primära sekretessbestämmelse eller den överförda sekretessen från värdmyndigheten, som är tillämplig måste göra en bedömning utifrån för myndigheten tillämpliga lagar och förordningar som reglerar behandling av uppgifter hos myndigheten om det finns någon bestämmelse som hindrar att myndigheten använder direktåtkomsten för att behandla den aktuella uppgiften. Det har härvid alltså ingen betydelse om mottagarmyndigheten faktiskt har använt sig av direktåtkomsten för att behandla en uppgift utan det avgörande är i stället om det finns några begränsningar i författning som gör att myndigheten inte får ta del av uppgiften.
I t.ex. registerförfattningar kan det finnas olika slags bestämmelser som innebär att en myndighet inte får behandla en personuppgift, t.ex. ändamålsbegränsningar, villkorade sökbegränsningar eller absoluta sökbegränsningar. Härtill kommer att det kan finnas restriktioner för hur en direktåtkomst får användas av myndig-
heten. Det vanligaste torde dock vara att restriktioner med anledning av direktåtkomst regleras i värdmyndighetens registerförfattning och inte i mottagarmyndighetens registerförfattning, vilket kan, beroende på tillämpningsområdet för värdmyndighetens registerförfattning, innebära att sådana restriktioner inte blir avgörande för vad som är överskottsinformation hos mottagarmyndigheten vid en sekretessprövning.
I t.ex. 4 § i studiestödsdatalagen (2009:287) ges en uttömmande uppräkning av för vilka ändamål personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet, t.ex. för att handlägga ärenden i verksamheten. En sådan bestämmelse innebär en rättslig begränsning för Centrala studiestödsnämnden att behandla personuppgifter för andra än de i bestämmelsen angivna ändamålen. Begränsningen torde även slå igenom i det fall Centrala studiestödsnämnden i sin verksamhet har tillgång till uppgifter hos annan myndighet via direktåtkomst, dvs. nämnden får inte heller i sin verksamhet behandla personuppgifter som är tillgängliga via direktåtkomsten i andra fall än som följer av 4 §.
Ett annat exempel på en rättslig begränsning som avses innefattas i vad en myndighet enligt lag eller förordning inte får behandla är 1 kap. 6 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Av bestämmelsen följer att känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Om sådana känsliga personuppgifter skulle vara tillgängliga för Skatteverkets folkbokföringsverksamhet via direktåtkomst hos en annan myndighet eller annan självständig verksamhet inom Skatteverket men inte har lämnats i ett ärende eller är nödvändiga för handläggningen av det torde bestämmelsen innebära en rättslig begränsning för Skatteverkets folkbokföringsverksamhet att nyttja direktåtkomsten för att behandla uppgiften, dvs. myndigheten får enligt lag inte behandla en sådan uppgift. Bedömningen av om bestämmelsen innebär en sådan rättslig begränsning som vi avser med vad en mottagarmyndighet enligt lag eller förordning inte får behandla och om uppgiften alltså ska anses vara överskottsinformation och därmed åtnjuta lägst det sekretesskydd den har hos värdmyndigheten kan komma att förändras över tid. Gränsen för när en sådan känslig personuppgift ska anses som överskottsinformation blir i dessa fall till viss del flytande beroende på om personuppgiften med tiden blir nödvändig för
handläggningen av ett ärende. Gränsdragningen för när uppgiften får behandlas eller inte får behandlas är dock förutsebar eftersom de förutsättningar som måste vara uppfyllda är angivna i lag, dvs. i 1 kap. 6 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
I avsnitt 8.4.1 har vi beskrivit problematiken med att Försäkringskassans svagare sekretess, beroende på räckvidden i kassans sekretessbestämmelse, skulle få företräde framför Migrationsverkets starkare sekretess avseende sådana uppgifter i Migrationsverkets verksamhetsregister som Försäkringskassan visserligen hade tillgång till via direktåtkomst men som den inte använde i sin registreringsverksamhet. En tillämpning av den av oss nu föreslagna ändringen tillsammans med att det i den registerförfattning som är tillämplig för Försäkringskassan infördes en rättslig begränsning innebärande att Försäkringskassan i sin registreringsverksamhet endast får behandla personuppgifter som är nödvändiga för verksamhetens bedrivande kommer att medföra att Försäkringskassans svagare sekretess inte längre har företräde framför den från Migrationsverket överförda och starkare sekretessen. I konkurrenssituationen mellan de båda sekretessbestämmelserna kommer i stället huvudregeln i 7 kap. 3 § OSL att vara tillämplig innebärande att sekretesskyddet för uppgifterna inte försvagas alldeles oavsett de inre tekniska spärrarna inom Försäkringskassan mellan handläggare och datateknikerna. För ett bibehållet sekretesskydd gentemot allmänheten kommer således inte längre att behöva uppställas krav på tekniska spärrar inom mottagarmyndigheter. Det är emellertid en annan sak att sådana tekniska spärrar kan behövas för att skydda uppgifterna från en onödig tillgänglighet för en vid krets av befattningshavare hos en mottagarmyndighet.
Utgångspunkten bör enligt vår mening vara att samtliga slag av begränsningar som finns intagna i lagar eller förordningar, således inte endast i registerförfattningar, och som innebär att en mottagarmyndighet inte får behandla en uppgift via direktåtkomst ska beaktas vid avgränsningen av vad som är överskottsinformation. Även regleringen i personuppgiftslagen avseende t.ex. känsliga personuppgifter ska kunna få genomslag när det gäller vilken sekretessbestämmelse – en mottagarmyndighets primära sekretessbestämmelse eller den från värdmyndigheten överförda sekretessen – som är tillämplig i en konkurrenssituation. Ytterst blir det en fråga för varje myndighet att avgöra vad som ska anses vara en sådan begränsning som innebär att myndigheten enligt lag eller förordning
inte får behandla en uppgift som den har tillgång till via direktåtkomst hos en annan myndighet. Det bör emellertid endast vara klara och uttryckliga hinder i en författning att behandla en uppgift som en mottagarmyndighet har direktåtkomst till som bör föranleda att regleringen om primära sekretessbestämmelsers företräde framför överförd sekretess ska frångås.
8.6.4. Bör utredningens kommande arbete avvaktas?
Räckvidden av en justering av 11 kap. 8 § OSL av nu diskuterat slag är alltså beroende av i vilken mån det faktiskt finns sådana begränsningar i lagar eller förordningar som är tillämpliga för mottagarmyndigheter och att dessa även omfattar uppgifter som myndigheten har direktåtkomst till hos en annan myndighet. Vi har ännu inte gjort någon översikt av befintliga registerförfattningar. Vi kan alltså inte att med visshet fastslå vilken räckvidd den nu diskuterade ändringen i 11 kap. 8 § OSL får. Vi har dock vid analysen av innebörden av bestämmelserna i 11 kap. 4 och 8 §§ OSL konstaterat att det finns en risk att sekretesskyddet för uppgifter som en mottagarmyndighet har direktåtkomst till men som mottagarmyndigheten enligt lag eller förordning inte får behandla omotiverat kan försvagas hos mottagarmyndigheten. Mot denna bakgrund är en justering redan nu angelägen.
Som anförts tidigare kommer, i vår översyn och analys av registerförfattningarna som ingår i vårt återstående uppdrag, strukturen för ändamålsbestämmelser, informationsutbyten mellan myndigheter och samordningen med såväl tryckfrihetsförordningen som offentlighets- och sekretesslagen att vara centrala frågeställningar att behandla ingående. Det innebär att utredningen kan komma att behöva utvärdera befintliga bestämmelser i offentlighets- och sekretesslagen vilket givetvis även skulle inbegripa en bestämmelse med den nu föreslagna justeringen. Det finns således inte skäl att avvakta med en justering av 11 kap. 8 § OSL till dess innan vi har slutfört vårt återstående uppdrag.
9. Begreppsbildningen i registerförfattningarna vad avser olika former av elektroniskt utlämnande
9.1. Inledning
Av våra direktiv följer att vi i delbetänkandet ska behandla frågan om det finns skäl att i registerförfattningarna även fortsättningsvis bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande.
Enligt direktiven är bakgrunden till frågeställningen att den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och att nya åtkomstmetoder tillkommer fortlöpande. Detta har medfört att det har kommit att uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. De aktuella begreppen används inte på ett enhetligt sätt i de olika registerförfattningarna och det förekommer även andra begrepp för elektroniskt utlämnande i dessa författningar.
Utredningen har därför i uppgift att överväga om det finns skäl att i registerförfattningar bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande eller om denna bör utmönstras. Denna frågeställning handlar alltså inte om huruvida ett utlämnande i sig ska vara tillåtet eller inte och inte heller om det bör föreligga en skyldighet att lämna ut allmänna handlingar i elektronisk form. Vad frågan gäller är enbart om, och i sådant fall hur, olika elektroniska utlämnandeformer bör regleras i registerförfattningarna och vilka begrepp som i så fall ska användas.
9.2. Något om begreppsanvändningen när det gäller elektroniska utlämnandeformer
9.2.1. Begreppens innebörd
Uppgifter kan lämnas ut elektroniskt även på andra sätt än genom direktåtkomst. I registerförfattningarna brukar begreppet ”utlämnande på medium för automatiserad behandling” användas. Det förekommer även i vissa lagar andra begrepp t.ex. ”elektronisk åtkomst” och ”direkt tillgång”.
Några legaldefinitioner av dessa begrepp finns inte. Vad som i respektive fall har avsetts med de använda begreppen har brukat anges närmare i motivuttalanden till olika registerförfattningar.
Med direktåtkomst, tidigare kallat terminalåtkomst, avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (jfr prop. 2004/05:164 s. 83 och prop. 2011/12:45 s. 133).
Med begreppet utlämnande på medium för automatiserad behandling, tidigare kallat utlämnande på medium för automatisk databehandling, avses vanligen ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring, exempelvis e-post, USB-minne, CD-romskiva eller diskett. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen (prop. 2007/08:126 s. 77).
Begreppet utlämnande på medium för automatiserad behandling har dock i takt med att tekniken utvecklats ibland givits en vidare innebörd. I förarbetsuttalanden har som exempel på sådant utlämnande t.ex. pekats på s.k. batch-körningar, ett automatiskt utlämnande efter sökningar och sammanställningar där svar lämnas med viss tidsfördröjning (prop. 2000/01:129 s. 76 och prop. 2007/08:160 s. 60). Den fördröjning i uppgiftslämnandet som är inbyggd i en sådan teknik innebär en teoretisk möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. En eventuell sekretessprövning, eller en prövning av vilka uppgifter som omfattas av en författningsreglerad uppgiftsskyldighet och därmed ska lämnas ut utan någon sekretessprövning, sker dock i praktiken i samband
med att förbindelsen upprättas. Någon ytterligare prövning av uppgifterna i samband med utlämnandet sker alltså i realiteten inte (prop. 2007/08:160 s. 58).
Vidare förekommer särskilda begrepp i vissa lagar. I patientdatalagen (2008:355) används begreppet elektronisk åtkomst avseende åtkomst eller tillgång till uppgifter som behandlas elektroniskt inom den egna organisationen. Patientdatautredningen anförde i sitt betänkande Patientdatalag (SOU 2006:82) att sådan intern tillgång som i den då gällande vårdregisterlagen benämndes med begreppet direktåtkomst, i fortsättningen borde benämnas elektronisk åtkomst. Med begreppet direktåtkomst avsåg utredningen endast en speciell form av elektroniskt utlämnande (a. a. s. 221). Regeringen ansåg inte, till skillnad från några av remissinstanserna, att det låg någon inre motsättning i att använda begreppen direktåtkomst och elektronisk åtkomst parallellt. Det förra beskriver enligt uttalanden i förarbetena till patientdatalagen endast ett sätt för utlämnande, medan det senare uteslutande beskriver ett sätt att få tillgång till handlingar inom en organisation (prop. 2007/08:126 s. 75). I lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet görs en liknande differentiering avseende den interna direktåtkomsten inom myndigheten och den externa direktåtkomsten från t.ex. andra myndigheter. I stället för elektronisk åtkomst används dock i denna lag begreppet direkt tillgång.
9.2.2. Gränsdragningen mellan olika begrepp
I ett antal registerförfattningar görs alltså åtskillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling. Detta torde till viss del ha historiska förklaringar. När begreppen började användas i lagstiftningen fanns det en tydlig saklig och praktisk skillnad. Terminalåtkomst – åtkomst via en datorterminal – och utlämnande på medium för automatisk databehandling – dvs. utlämnande på någon form av fysiskt medium, t.ex. på magnetband, var uppenbarligen i någon mån väsensskilda företeelser. Men genom informationsteknikens utveckling har gränserna mellan de olika utlämnandeformerna emellertid kommit att bli svårare att dra.
Denna gränsdragningsproblematik har under senare år behandlats vid ett antal tillfällen i samband med lagstiftning på registerförfattningsområdet (se t.ex. prop. 2002/03:135 s. 89, SOU 2006:82 s. 221 f., prop. 2007/08:160 s. 58 och prop. 2011/12:45 s. 132). Diskussioner
har bl.a. förts om vad som ska vara avgörande för om formen för ett utlämnande är att betrakta som direktåtkomst eller som utlämnande på medium för automatiserad behandling. Det har då t.ex. resonerats kring om det utslagsgivande bör vara hur ett elektroniskt informationsutbyte rent tekniskt är utformat eller om det avgörande bör vara om värdmyndigheten vid varje givet överföringstillfälle vidtar någon manuell aktivitet som kan jämställas med ett beslut om överföring – i förekommande fall inkluderande en sekretessprövning – avseende den information som mottagaren i det enskilda fallet får del av.
Den aktuella gränsdragningsproblematiken berörs vidare i en rapport, Direktåtkomst och utlämnande på medium för automatiserad behandling, som på uppdrag av E-delegationen tagits fram av delegationens expertgrupp för juridiska frågor. I rapporten konstateras att det för tillämpningen av registerförfattningar finns ett behov av att klarlägga vad som enligt gällande rätt menas med direktåtkomst och var gränsen går mot utlämnande på medium för automatiserad behandling.
Regeringen har vid ett antal tillfällen i olika motivuttalanden konstaterat att begreppsbildningen avseende olika former av elektroniskt utlämnande i registerförfattningar är oklar, att mycket står att vinna med en mer enhetlig och tydlig begreppsbildning men att frågan inte bör lösas inom ramen för ett enskilt lagstiftningsärende. Lagstiftaren har således fortsatt att i de olika registerförfattningarna göra åtskillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling.
9.3. Närmare om den befintliga regleringen av elektroniska utlämnandeformer
I registerförfattningarna finns det alltså ofta, men inte alltid, bestämmelser om direktåtkomst och eller utlämnande på medium för automatiserad behandling.
Bestämmelser om elektroniskt utlämnande i form av direktåtkomst har inte en enhetlig utformning utan förekommer i olika varianter som författningstekniskt skiljer sig från varandra. Grovt sett kan det sägas finnas tre kategorier. Den första kategorin är registerförfattningar i vilka det ges en uttömmande beskrivning av i vilka fall direktåtkomst medges. Ett exempel är t.ex. 5 kap. 4 § patientdatalagen vari stadgas att utlämnande genom direktåtkomst till
personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. I andra registerförfattningar föreskrivs i vilka fall direktåtkomst får medges. Exempel på denna teknik finns t.ex. i 2 kap. 8 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet. I den paragrafen anges bl.a. att Kronofogdemyndigheten får ha direktåtkomst till vissa i bestämmelsen angivna uppgifter. En tredje kategori är registerförfattningar som innefattar en beskrivning i vilka fall direktåtkomst inte får medges, t.ex. 24 § förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten jämfört med 11 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten varav följer att Socialstyrelsen i verksamhet som avses i lagen (2007:606) om utredningar avseende vissa dödsfall inte får medge andra myndigheter eller enskilda direktåtkomst till personuppgifter.
Den författningsteknik som bl.a. används i patientdatalagen, dvs. att begränsa möjligheten till direktåtkomst genom att uppställa krav på att all direktåtkomst till behandlade personuppgifter ska ha författningsstöd, stämmer väl överens med regleringen i personuppgiftslagen eftersom det där inte finns något uttryckligt förbud mot elektroniskt utlämnande i form av t.ex. direktåtkomst. Även den teknik som används när det i registerförfattningen redogörs för i vilka fall direktåtkomst inte får medges innebär en begränsning av möjligheten att medge en annan myndighet direktåtkomst och harmoniserar med regleringstekniken i personuppgiftslagen i så måtto att den inte synes utgå från något slags förbud. Den författningsteknik som innebär att det i registerförfattningar anges vilka myndigheter som får ha direktåtkomst till en annan myndighets informationssamlingar skiljer sig däremot från de båda andra alternativen på så sätt att den i stället för att begränsa möjligheten till direktåtkomst talar om när direktåtkomst får medges. Den författningstekniken ger ett intryck av att utgångspunkten är att det finns ett generellt underliggande förbud mot att medge direktåtkomst, vilket alltså inte är fallet.
När det gäller regler om möjligheterna till utlämnande på medium för automatiserad behandling hanteras även detta på olika sätt i registerförfattningarna. I vissa författningar är det uttryckligen reglerat att utlämnande får göras i denna form, se t.ex. 5 kap. 6 § patientdatalagen. I andra författningar kan frågan ha lämnats oreglerad medan det av motivuttalanden framgår att avsikten är att sådant utlämnande ska få ske, se t.ex. prop. 2000/01:33 s. 112 beträffande utlämnande av uppgifter från beskattningsdatabasen till andra
myndigheter. Slutligen förekommer det i vissa författningar att det anges att just personuppgifter inte får lämnas ut på medium för automatiserad behandling, t.ex. 7 § lagen (2006:444) om passagerarregister.
I de fall utlämnande på medium för automatiserad behandling är reglerad i en registerförfattning kan möjligheterna att nyttja denna utlämnandeform vara förenad med begränsningar, se t.ex. 2 kap. 20 § polisdatalagen (2010:361). Av den paragrafen följer att bara enstaka personuppgifter får lämnas ut på medium för automatiserad behandling om inte regeringen meddelat föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.
9.4. Allmänna förutsättningar för fortsatta överväganden
9.4.1. Regeringsformen
Registerförfattningarna är sektors- eller myndighetsspecifika regleringar om databehandling av personuppgifter.
Att det allmänna registrerar personuppgifter om enskilda innebär inget åliggande för den enskilde och har inte heller ansetts som ett ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Registerförfattningarna har därmed inte krävt lagform utan i princip hört till regeringens s.k. primärområde och således kunnat regleras i förordningsform. I vart fall fram till 2010 års ändringar av regeringsformen har det alltså inte funnits något krav på att ett utlämnande via direktåtkomst eller annat liknande elektroniskt utlämnande måste ha stöd i lag. Inte heller har det funnits något formellt krav på annat författningsstöd. Konstitutionsutskottet har emellertid uttalat att de integritetsrisker som ett tillåtande av direktåtkomst innebär bör medföra att det bör ankomma på riksdagen att ta ställning till i vilka fall direktåtkomst bör medges. Vilka konkreta uppgifter som ska kunna utbytas bör dock i förekommande fall kunna anges i förordning (prop. 2000/01:33 s. 133 och 2001/02:KU3).
Beträffande registerförfattningarna har emellertid 2010 års grundlagsändringar medfört att utgångspunkten i viss mån har blivit en annan. I 2 kap. 6 § andra stycket RF föreskrivs numera att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär
övervakning eller kartläggning av den enskildes personliga förhållanden. Syftet med bestämmelsen är att stärka grundlagsskyddet för vissa kvalificerade intrång i den personliga integriteten, dvs. sådana som innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Sådana intrång som i och för sig kan anses omfattas av bestämmelsen men som den enskilde lämnat sitt samtycke till faller utanför bestämmelsens tillämpningsområde. Grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som anges 2 kap. 21–22 §§ RF. Det har förutsatts att den nya lydelsen av paragrafen kommer att leda till att ett antal registerförfattningar som för närvarande har förordningsform kommer att behöva ges lagform (prop. 2009/10:80 s. 242 f.).
En särskild fråga som det finns anledning att ställa sig i det nu aktuella sammanhanget är om och i sådant fall i vilken mån själva formen för ett elektroniskt utlämnande av en personuppgift omfattas av bestämmelsens tillämpningsområde, dvs. om t.ex. direktåtkomst numera generellt skulle kräva stöd i lag. Integritetsskyddskommittén – på vars förslag den nu aktuella regeln är baserad – anförde i sitt slutbetänkande Skyddet för den personliga integriteten Bedömningar och förslag att det kompletterande grundlagsskyddet för den enskildes personliga integritet borde ta sikte på åtgärder från det allmännas sida som innebär att man av olika skäl hämtar och samlar information om den enskilde (SOU 2008:3 s. 267). Kommittén anförde följande när det gäller vilka slags hanteringar av personuppgifter som skulle komma att omfattas bestämmelsens lagkrav (a. a. s. 272 f.)
När det gäller hantering av personuppgifter i de informationssamlingar som kommer att omfattas av det utvidgade grundlagsskyddet är det självfallet så att inte alla led i hanteringen är att betrakta som sådana intrång som behöver omfattas av de särskilda förutsättningar som gäller för att intrång i den grundlagsskyddade rättigheten skall vara tillåtet. De från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in, ändamålet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för uppgifterna, skall lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl. --- I vilken utsträckning andra moment i hanteringen av personuppgifter bör regleras i form av lag eller genom en förordning får sålunda avgöras utifrån de allmänt gällande reglerna om normgivning i 8 kap. RF.
I motiven till 2010 års ändringar av regeringsformen, genom vilka bl.a. den nu aktuella bestämmelsen alltså infördes, uttalas att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, t.ex. insamling av uppgifter av visst slag för beslut om t.ex. beskattning eller liknande kan i många fall anses innebära kartläggning av enskildas förhållanden (prop. 2009/10:80 s. 180). Vidare konstateras i motiven att myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. I flertalet fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat. Även för uppgiftssamlingar som inrättas och utformas i syfte att fungera som utpräglade personregister, t.ex. polisens belastningsregister, kan registreringen av personuppgifter i registret sägas innebära en kartläggning.
De hanteringsformer eller personuppgiftsbehandlingar som avses falla in under bestämmelsen synes enligt förarbetena närmast vara insamling och registrering av personuppgifter. Likaså ändamålsbestämmelser och bestämmelser om uppgiftsskyldighet omfattas enligt förarbetena av bestämmelsens lagkrav. Även om lagtexten i 2 kap. 6 § andra stycket RF inte uttryckligen begränsar tillämpningsområdet för bestämmelsen till några specifika hanteringsformer eller personuppgiftsbehandlingar kan det, mot bakgrund av uttalandena i förarbetena, ifrågasättas om och i sådant fall i vilken mån enbart formen för ett utlämnande av personuppgifter träffas av bestämmelsen.
Utredningen kan konstatera att en djupare analys av det aktuella grundlagsstadgandets betydelse behöver göras inför vårt fortsatta arbete. Vid den kartläggning av registerförfattningarna som utredningen ska företa måste t.ex. frågor om uppgiftsutlämnande i olika hänseenden – oavsett vilken terminologi som används – analyseras i nu aktuellt hänseende.
Även om mycket talar för att olika utlämnandeformer som sådana inte omfattas av kravet på lagstöd så kan det inte uteslutas att den samlade effekten av ett visst uppgiftslämnande, särskilt om det är fråga om direktåtkomst som genererar en stor mängd överskottsinformation, beroende på omständigheterna i det enskilda fallet kan komma att bedömas innefatta en kartläggning av enskilda
i den mening som avses i grundlagsbestämmelsen och därmed kräva lagstöd.
9.4.2. Tryckfrihetsförordningen
Som har framgått tidigare saknar det för frågan i vilken mån överskottsinformation vid ett elektroniskt informationsutbyte mellan myndigheter blir allmän handling hos en mottagarmyndighet helt betydelse hur det aktuella informationsutbytet har benämnts i en registerförfattning. Avgörande är vilka delar av en upptagning som görs tekniskt tillgängliga för mottagarmyndigheten. Det innebär att beroende på hur ett utlämnande på medium för automatiserad behandling är utformat rent tekniskt, skulle även ett sådant utlämnande kunna innebära att överskottsinformation blir tillgänglig för mottagarmyndigheten i tryckfrihetsförordningens mening. På motsatt vis gäller att ett informationsutbyte som i en registerförfattning benämns direktåtkomst, beroende på hur detta utformas rent tekniskt, mycket väl skulle kunna innebära att det inte genereras någon överskottsinformation alls. Begreppsanvändningen i registerförfattningarna avseende elektroniska utlämnandeformer, dvs. direktåtkomst och utlämnande på medium för automatiserad behandling, har alltså inget direkt samband med frågan om överskottsinformation vid direktåtkomst blir allmän handling eller inte hos en mottagarmyndighet.
I sammanhanget bör också uppmärksammas att det oftast inte heller synes vara regleringen i tryckfrihetsförordningen som, i vart fall inte att döma av vad som vad som uttryckligen angetts i motivuttalanden, har varit anledningen till att direktåtkomst i vissa fall reglerats särskilt i registerförfattningar. I förarbetena har i stället angivits att den omständigheten att direktåtkomst traditionellt ansetts innebära att uppgifter lämnas ut utan att värdmyndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut medför att det från integritetsskyddssynpunkt ansetts vara av stor betydelse att särskilt reglera frågor om tillgång till uppgifter genom direktåtkomst i registerlagstiftning (prop. 2000/01:129 s. 74, prop. 2001/02:144 s. 35 f. och prop. 2005/06:52 s. 8).
9.4.3. Personuppgiftslagen
Dataskyddsdirektivet har i svensk rätt genomförts genom bl.a. personuppgiftslagen. Personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning. Det innebär att om det för en verksamhet eller en myndighets databas eller ärendehanteringssystem inte finns någon gällande registerförfattning ska frågan om en personuppgift kan lämnas ut i viss elektronisk form bedömas utifrån de generella regler avseende behandling av personuppgifter som finns i personuppgiftslagen. Om en myndighet utbyter personuppgifter avseende en fysisk person (som är i livet) elektroniskt med en annan myndighet är det fråga om behandling enligt den definition av begreppet som följer av 3 § PUL oavsett i vilken form utbytet sker, t.ex. via e-post eller genom att den mottagande myndigheten ges direktåtkomst till hela eller delar av den utlämnande myndighetens personuppgiftssamlingar eller ärendehanteringssystem. Det är vidare på samma sätt fråga om personuppgiftsbehandling hos utlämnande myndighet om den gör en datautskrift på papper som sedan postas till mottagaren (se bl.a. Öman/Lindblom, Personuppgiftslagen – En kommentar, 2011, s. 84.).
Personuppgiftslagen innehåller inga uttryckliga bestämmelser om formen för ett elektroniskt utlämnande, dvs. i princip är ett utlämnande i elektronisk form tillåtet så länge den personuppgiftsbehandling som utlämnandet i sig innebär inte är oförenlig med det eller de ändamål för vilka uppgifterna samlades in (se 9 § första stycket d PUL) och behandlingen kan hänföras under något av de tillåtna fall av behandling som anges i 10 §. Dock finns det bestämmelser i lagen som kan ha betydelse vid bedömningen av lämplig form för ett elektroniskt utlämnande.
Grundläggande krav på behandling av personuppgifter
Bestämmelsen i 9 § första stycket f, som anger ett av de grundläggande kraven på behandling av personuppgifter, kan ha betydelse när det gäller en tänkt behandling i form av ett informationsutbyte mellan myndigheter genom direktåtkomst. Av bestämmelsen följer att den personuppgiftsansvarige ska se till att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. En värdmyndighet som avser att medge en mottagarmyndighet direktåtkomst till t.ex. sitt ärendehanteringssystem
kan behöva överväga om just formen för utlämnandet genom direktåtkomst medför att mottagarmyndigheten får tillgång till fler personuppgifter än som är nödvändigt, dvs. om utlämnandet medför att överskottsinformation tekniskt sett blir tillgänglig för mottagarmyndigheten. Överskottsinformationen kan antingen bestå av uppgifter som mottagarmyndigheten visserligen får behandla men som den ännu inte berett sig tillgång till eller uppgifter som den inte får behandla. Såvitt avser innebörden av detta föreligger emellertid en skillnad mellan tryckfrihetsförordningen och sekretesslagstiftningen å ena sidan och dataskyddsreglerna i personuppgiftslagen och registerförfattningarna å den andra. Enligt tryckfrihetsförordningen är upptagningar som innehåller personuppgifter som utgör icke utnyttjad överskottsinformation att betrakta som inkomna hos mottagaren. Motsvarande gäller i sekretesshänseende, dvs. uppgifterna anses utlämnade oavsett om de utnyttjas eller inte av mottagaren. Enligt dataskyddsregelverket är dock dessa personuppgifter inte att betrakta som insamlade eller annars behandlade av mottagarmyndigheten redan på detta tidiga stadium.
Tillåten behandling av personuppgifter
Av 10 § första stycket d och e PUL följer att personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Bedömningen av om arbetsuppgiften är av allmänt intresse måste göras mot bakgrund av verksamhetens syfte (prop. 2000/01:105 s. 36). Såväl utförandet av arbetsuppgiften enligt punkten e som utförandet av myndighetsutövningen enligt punkten d kan utövas av en myndighet eller vara anförtrodd något enskilt subjekt.
En bestämmelse som bör nämnas särskilt i detta sammanhang är 10 § första stycket f där det stadgas att en behandling av personuppgifter är tillåten om behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Viss ledning av vad den intresseavvägning som föreskrivs i 10 § första stycket f kan få för betydelse vid bedömningen av i vilken elektronisk form en personuppgift kan lämnas ut, kan fås genom
rättspraxis. I RÅ 2008 ref. 83 var fråga om behandling av biometriska data i form av fingeravläsning i samband med skolmåltider var tillåtet enligt personuppgiftslagen. Vid intresseavvägningen enligt 10 § första stycket f uttalade Högsta förvaltningsdomstolen att den tekniska utformningen av det aktuella systemet – biometriska uppgifter som fanns i databaser som var tillgängliga för kommunen och som lagrades under förhållandevis lång tid – var sådan att den fick anses påkalla att särskild integritetshänsyn togs. Mot den bakgrunden och då kommunens intresse av att identifiera eleverna torde kunna tillgodoses även med andra metoder fann Högsta förvaltningsdomstolen att behandlingen endast var tillåten under förutsättning att samtycke inhämtats. I ett senare avgörande, RÅ 2010 ref. 19, var fråga om en publicering av en konkursbouppteckning på internet var tillåten enligt personuppgiftslagen. Vid intresseavvägningen enligt 10 § första stycket f fann Högsta förvaltningsdomstolen att den aktuella konkursbouppteckningen innehöll integritetskänsliga uppgifter och genom publicering på internet blev uppgifterna lätt tillgängliga och kunde komma att få mycket stor spridning. Den personuppgiftsansvariges intresse av att underlätta hanteringen av konkursen ansågs därför inte väga tyngre än de enskildas intresse av skydd mot kränkning av den personliga integriteten. Konkursförvaltarens publicering av konkursbouppteckningen på internet ansågs därför strida mot personuppgiftslagen.
Även om omständigheterna i de ovan redovisade avgörandena inte är direkt jämförbara med frågan om formerna vid elektroniskt utlämnande kan måhända vissa slutsatser ändå dras. Vid en intresseavvägning mellan den personuppgiftsansvariges intresse att av exempelvis effektivitetsskäl få tillgång till personuppgifter genom t.ex. direktåtkomst och de enskildas intresse av skydd mot kränkning av den personliga integriteten kan alltså den elektroniska formen för utlämnandet vara en sådan faktor som innebär att behandlingen får anses påkalla att särskilda integritetshänsyn tas. En intresseavvägning kan således falla ut på det sättet att den personuppgiftsansvariges intresse av att få snabb tillgång till personuppgifterna för att vara tillåten måste tillgodoses genom en mindre integritetskänslig form, t.ex. genom annat elektroniskt utlämnande än direktåtkomst.
Säkerheten vid behandlingen
Slutligen ska uppmärksammas att personuppgiftslagens bestämmelser om säkerheten vid behandlingen (30–32 §§) kan ställa särskilda krav vid utlämnanden i elektronisk form. Bestämmelserna, och då särskilt 31 §, är av intresse för att beskriva vilka tekniska säkerhetskrav som kan ha betydelse när t.ex. en myndighet ger en annan myndighet direktåtkomst till personuppgifter eller vid annat elektroniskt utlämnande. Av 31 § följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Datalagskommittén anförde i sitt betänkande, Integritet, offentlighet, informationsteknik (SOU 1997:39 s. 410) att de allmänt hållna bestämmelserna på ett kortfattat och bra sätt beskriver de överväganden som måste göras i fråga om säkerhetsåtgärder men att bestämmelserna i det enskilda fallet inte ger tillräcklig vägledning för vilka säkerhetsåtgärder som bör vidtas.
Datainspektionen har därför bemyndigats att meddela de närmare föreskrifter om säkerhetsåtgärder som behövs (50 § b PUL och 16 § personuppgiftsförordningen [1998:1191
]
). Det har förutsatts
att inspektionen även i rimlig utsträckning bör lämna råd i säkerhetsfrågor (prop. 1997/98:44 s. 92). Datainspektionen har t.ex. uttalat1 att personuppgifter som överförs via nät bör, beroende på känsligheten hos uppgifterna, skyddas t.ex. genom kryptering. Om uppgifterna endast får lämnas ut till identifierade användare bör mottagarens identitet säkerställas. Vidare har inspektionen uttalat att behovet av åtgärder och policy för att minska säkerhetsrisker vid användning av elektronisk post bör övervägas.
Av 32 § PUL följer att Datainspektionen i enskilda fall får bestämma vilka säkerhetsåtgärder som ska vidtas enligt 31 §. Bestämmelsen kan få betydelse för säkerheten vid utformning av formen av utlämnande, t.ex. vid direktåtkomst. För en myndighet som medges direktåtkomst till en annan myndighets personuppgiftssamling kan bestämmelsen t.ex. innebära att åtkomst till olika uppgifter inom myndigheten ska vara starkt begränsad till olika behörighets-
1 Datainspektionens allmänna råd (reviderad november 2008) – Säkerhet för personuppgifter, s. 23.
nivåer för att minimera antalet personer som har tillgång till samtliga uppgifter.
Exempel på oreglerad direktåtkomst
Att en registerförfattning saknar bestämmelser om t.ex. direktåtkomst innebär alltså inte per automatik att ett elektroniskt utlämnande i form av direktåtkomst på något sätt skulle vara uteslutet.
Ett exempel på oreglerad direktåtkomst är de allmänna domstolarnas direktåtkomst till varandras verksamhetsregister. Åtkomsten innebär att över- och underrätt har tillgång till stora delar av varandras registeruppgifter, inskannade eller upprättade dokument m.m. i överklagade mål då en integration mellan underrättens och överrättens mål skapats. Av tillämplig registerförfattning, förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, följer att domstolarna får föra verksamhetsregister, dvs. automatiserade register över mål som handläggs vid domstolen. Den direktåtkomst till registren som faktiskt finns mellan domstolarna är dock inte reglerad i förordningen. Även Högsta förvaltningsdomstolen och kammarrätterna har direktåtkomst till varandras verksamhetsregister. Direktåtkomsten är dock, till skillnad från vad som gäller för de allmänna domstolarna, uttryckligen reglerad i tillämplig registerförfattning, förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling.
Ett annat exempel är Swedavias2 och Luftfartsverkets direktåtkomst till luftfartygsregistret. Ändamålet med Swedavias användning av registret är att säkerställa att fakturering av avgifter sker till rätt ägare och brukare3. De uppgifter som Swedavia behöver är namnet på ägaren eller brukaren, adress och personnummer samt uppgifter om luftfartyget. Även för Luftfartsverket är ändamålet med användningen av registret att säkerställa att fakturering för uttag av avgift4för flygtrafiktjänster sker till rätt ägare respektive brukare. Enligt 2 kap. 1 § luftfartslagen (2010:500) ska Transport-
2 Swedavia är ett statligt ägt bolag som driver flygplatser. 3 Alla ägare eller brukare av ett luftfartyg som nyttjar en flygplats måste betala en avgift till flygplatshavaren för de tjänster som denne tillhandahåller såsom start, landning, parkering av luftfartyg och belysning. Rätt att ta ut avgifter följer av 6 kap. 18 § luftfartslagen och lagen (2011:866) om flygplatsavgifter. 4 Rätten att ta ut avgift följer bl.a. av 6 kap. 18 § luftfartslagen (2010:500).
styrelsen föra ett register över luftfartyg (luftfartygsregistret). Registret används för olika offentliga ändamål och det förs med automatiserad behandling. Vilka uppgifter som ska finnas i registret framgår av förordningen (1986:172) om luftfartygsregister. Registret ger information om svenska luftfartyg och deras ägare eller innehavare och brukare och används för administrativa ändamål, t.ex. vid utfärdande av olika intyg och tillstånd samt vid tillsyn av luftfarten (prop. 2003/04:27 s. 67). Behandlingen av personuppgifter i luftfartygsregistret är inte reglerad i någon registerförfattning utan personuppgiftslagens bestämmelser är tillämpliga. Åtkomsten till registret för Swedavia och Luftfartsverket medgavs av Transportstyrelsen efter samråd med Datainspektion. Datainspektionen anförde i samrådsyttrande att som huvudregel krävs det uttryckligt författningsstöd för att direktåtkomst i en myndighets register ska vara tillåten vilket dock inte utesluter att Transportstyrelsen i vissa fall kan medge direktåtkomst, även då det saknas uttryckligt författningsstöd och det endast är bestämmelserna i personuppgiftslagen som är tillämpliga. Datainspektionen betonade särskilt att de aktuella uppgifterna inte är av känslig natur, att de inte skyddas av särskild sekretess och att sökning endast skulle kunna göras med luftfartygets registerbeteckning som sökord. Datainspektionen resonerade vidare utifrån finalitetsprincipen och uttalade att det inte nödvändigtvis bör vara oförenligt med det ändamål för vilket uppgifterna samlades in att förse Swedavia och Luftfartsverket med uppgifter ur registret för fakturering av avgifter som är direkt knutna till användningen av de registrerade luftfartsfordonen. Med hänsyn till omständigheterna skulle också, enligt Datainspektionen, den personuppgiftsbehandling som ett utlämnande via direktåtkomst innebär kunna anses röra ett berättigat intresse hos Swedavia och Luftfartsverket som väger tyngre än den registrerades intresse av skydd för den personliga integriteten. En förutsättning för att direktåtkomst skulle kunna medges var dock enligt Datainspektionen att åtkomstmöjligheterna begränsades endast till sådana uppgifter som är nödvändiga för faktureringsändamålet.
Ytterligare ett exempel är Socialstyrelsens donationsregister för vilket det inte finns någon särskild registerförfattning alls. Det är då uteslutande personuppgiftslagens bestämmelser som gäller för behandlingen av personuppgifter i registret. Ett begränsat antal personer inom hälso- och sjukvården, s.k. transplantationskoordinatorer, har direktåtkomst till registret.
Det kan alltså konstateras att i den mån direktåtkomst inte är särskilt reglerad utan personuppgiftslagens bestämmelser blir tillämpliga, så kan detta innebära att förhållandevis komplicerade överväganden behöver göras innan ett system för informationsutbyte av nu aktuellt slag kan upprättas.
9.5. Våra överväganden avseende begreppsfrågan
Bedömning: Det står klart att begreppsapparaten vad avser
reglering i registerförfattningar av elektroniska utlämnandeformer måste bli tydligare och vara enhetlig. Det finns således ett behov av reformer på området. Eftersom vi inte föreslår någon grundlagsändring i syfte att undanta överskottsinformation vid direktåtkomst från begreppet allmän handling är det emellertid inte påkallat att redan nu, innan vårt arbete med en samlad översyn av registerlagstiftningen är klart, göra några slutgiltiga ställningstaganden eller lägga fram några konkreta förslag till ny regleringsmodell på området. Vi kommer att återkomma till frågan i slutbetänkandet.
Vår huvuduppgift är att se över registerlagstiftningen och vissa därmed sammanhängande frågor i syfte att skapa rättsliga förutsättningar för en mer effektiv e-förvaltning, där såväl den enskildes rätt till personlig integritet som allmänhetens berättigade anspråk på insyn i den offentliga verksamheten tillgodoses. Vidare påpekas i våra direktiv att om de grundläggande reglerna i tryckfrihetsförordningen och offentlighets- och sekretesslagen samt den principiella uppbyggnaden av registerförfattningarna inte är anpassade till varandra – utifrån de olika intressen dessa bestämmelser avser att skydda – blir det svårt att i ett enskilt lagstiftningsärende om elektroniskt informationsutbyte mellan två eller flera myndigheter hitta en lösning som är tillfredsställande från integritets, effektivitets- och öppenhetssynpunkt. Viktiga utgångspunkter är därför dels att respektive regelverk är väl genomtänkt och så enkelt som möjligt att tillämpa, dels att dessa regelverk är förenliga med varandra.
Vi ska göra en översiktlig inventering av gällande registerförfattningar och inom olika verksamhetsområden närmare analysera hur dessa är uppbyggda och tillämpas. Vilka verksamhetsområden som särskilt ska analyseras kommer att anges i tilläggsdirektiv. Vi ska
därefter utarbeta en generell modell för registerförfattningar där det framgår hur de bör struktureras, vilka begrepp som bör användas, och hur begreppen bör definieras. Utifrån den utarbetade generella modellen som mall ska vi inom de utvalda verksamhetsområdena lämna konkreta förslag till registerförfattningar, s.k. modellregleringar.
Det står klart att de begrepp som idag används i registerförfattningarna, dvs. direktåtkomst och utlämnande på medium för automatiserad behandling, inte är entydiga och att gränsdragningen mellan begreppen i många fall är oklar. Detta medför problem för myndigheterna vid informationsutbyten. Ett klargörande av frågan om det även fortsättningsvis bör göras åtskillnad mellan olika elektroniska utlämnandeformer i registerförfattningarna, och om så är fallet vilka begrepp som ska användas, är av stor betydelse såväl för effektiviteten i myndigheternas informationsutbyte som för frågan om adekvat integritetsskydd.
Samtidigt förhåller det sig så, att frågan om åtskillnad även fortsättningsvis bör göras mellan olika elektroniska utlämnandeformer, och om så är fallet vilka begrepp som ska användas, har ett nära samband med vårt kommande arbete att skapa en mer enhetlig och renodlad registerlagstiftning. Frågan hör nära samman med hur man ska förhålla sig även till andra former av personuppgiftsbehandling. Ett elektroniskt utlämnande från en värdmyndighet innebär hos mottagarmyndigheten en personuppgiftsbehandling i form av insamlande. Av betydelse kan även vara om direktåtkomsten, när den avser åtkomst till sekretessreglerade uppgifter, har stöd i en bestämmelse om uppgiftsskyldighet eller i en annan sorts sekretessbrytande bestämmelse. Frågan om elektroniska utlämnandeformer, eller i vart fall vissa sådana utlämnandeformer, även fortsättningsvis bör regleras särskilt i registerförfattningar utgör således en integrerad del i vårt kommande arbete med att skapa en bättre och mer renodlad registerlagstiftning genom utarbetande av modellregleringar.
Det finns ett samband mellan vår uppgift att överväga frågan om definitionen av begreppet allmän handling i tryckfrihetsförordningen är lämpligt utformad när det gäller överskottsinformation vid direktåtkomst och frågan om det finns skäl att i registerförfattningar bibehålla skillnaden mellan olika former av elektroniskt utlämnande. Ett undantag för överskottsinformation vid direktåtkomst från vad som är allmän handling hade måhända, beroende hur detta utformats, kunnat förutsätta att elektroniska utlämnanden som genererar överskottsinformation måste regleras särskilt i
registerförfattningarna och kanske även att ny terminologi för elektroniska utlämnandeformer i något hänseende skulle ha behövt införas för att ett sådant undantag skulle få avsedd effekt. Men med beaktande av den bedömning som vi har gjort beträffande frågan om grundlagsändring kommer delfrågan om att ändra begreppsapparaten i registerförfattningarna som vi ser det i ett annat läge. Givet vårt ställningstagande att inte lägga fram förslag till ändring av tryckfrihetsförordningen är det alltså inte nödvändigt att redan i nuläget, utan att kunna beakta resultatet av utredningens kommande arbete med att se över registerlagstiftningen, föreslå några konkreta ändringar såvitt avser elektroniska utlämnandeformer och tillhörande begreppsapparat.
Utredningen har mot den angivna bakgrunden kommit till slutsatsen att övervägande skäl talar mot att i nuläget lägga fram några slutgiltiga ställningstaganden eller konkreta förslag beträffande frågan om reglering av utlämnandeformer.
10. Ikraftträdande och konsekvensbedömning
10.1. Ikraftträdande
Bedömning och förslag: Den föreslagna ändringen i 11 kap. 8 §
offentlighets- och sekretesslagen bör träda i kraft den 1 januari 2014. Inga övergångsbestämmelser behövs.
Den föreslagna ändringen i 11 kap. 8 § OSL får betydelse när det finns såväl primära som sekundära sekretessbestämmelser som är tillämpliga för en och samma uppgift som är tillgänglig för en mottagarmyndighet via direktåtkomst eller liknande elektroniskt utlämnande men som myndigheten enligt lag eller förordning inte får behandla. Ändringen innebär att konkurrenssituationen mellan de tillämpliga sekretessbestämmelserna i en sådan situation ska lösas genom en tillämpning av huvudregeln i 7 kap. 3 OSL, dvs. den av sekretessbestämmelserna – den för mottagarmyndigheten primära sekretessbestämmelsen eller den från värdmyndigheten överförda sekretessen – som innebär att uppgiften är sekretessbelagd ska ha företräde. För övriga uppgifter som är tillgängliga för en mottagarmyndighet via direktåtkomst eller liknande elektroniskt utlämnande ska en motsvarande konkurrenssituation alltjämt lösas genom att mottagarmyndighetens primära sekretessbestämmelse ska ha företräde framför den från värdmyndigheten överförda sekretessen. Syftet med ändringen är att uppgifter, som visserligen är tillgängliga för en mottagarmyndighet via direktåtkomst eller ett liknande elektroniskt utlämnande men som mottagarmyndigheten enligt lag eller förordning inte får behandla, ska garanteras ett sekretesskydd hos mottagarmyndigheten som lägst motsvarar det sekretesskydd uppgifterna har hos värdmyndigheten. Ur integritetsskyddssynpunkt
är det därför av värde att bestämmelsen kan träda i kraft så snart som möjligt. Inga följdändringar behövs.
Vi bedömer att det saknas behov av övergångsbestämmelser.
10.2. Konsekvenser
Bedömning: Vårt förslag bedöms varken få ekonomiska eller
andra sådana konsekvenser som sägs i 14 och 15 §§ kommittéförordningen.
För vårt arbete gäller bestämmelserna i kommittéförordningen (1998:1474). I 14 § anges att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa kostnader redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. Om det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska en finansiering föreslås. Vidare följer av 15 § samma förordning att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen. Om ett betänkande innehåller förslag till nya eller ändrade regler ska, enligt 15 a §, förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehåll som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Vårt förslag innebär en ändring av konkurrensbestämmelsen i 11 kap. 8 § OSL i syfte att avgränsa i vilka situationer denna undantagsbestämmelse ska gälla i stället för huvudregeln i 7 kap. 3 § OSL när det är fråga om uppgifter som är tillgängliga för en mottagarmyndighet via direktåtkomst eller liknande elektroniskt utlämnande från en annan myndighet.
Ändringen får konsekvenser för integritetsskyddet på så sätt att en värdmyndighets sekretess för en uppgift, som är tillgänglig för
en mottagarmyndighet via direktåtkomst eller liknande elektronisk utlämnande hos en annan myndighet men som mottagarmyndigheten enligt lag eller förordning inte får behandla, inte riskerar att försvagas hos mottagarmyndigheten. Det hindrar dock inte att en mottagarmyndighet, i likhet med vad som gäller idag, vid en begäran om utfående av allmän handling vanligtvis måste ta del av uppgiften för att göra en sekretessprövning utifrån ett skaderekvisit. Några kostnadsökningar kan inte förväntas uppkomma genom den föreslagna ändringen. Inte heller i övrigt bedömer vi att förslaget får några sådana konsekvenser som sägs i 14 och 15 §§kommittéförordningen.
11. Författningskommentar
11.1. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
11 kap.
8 §
De sekretessbestämmelser som avses i 1–7 §§ ska, med undantag från vad som anges i 7 kap. 3 §, inte tillämpas på en uppgift när det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5 och 7 §§ till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten.
Första stycket tillämpas inte på en uppgift som är tillgänglig för en myndighet på sätt som anges i 4 § första stycket och som den mottagande myndigheten enligt lag eller förordning inte får behandla.
Det nya andra stycket syftar till att uppgifter – som visserligen är tillgängliga för en mottagande myndighet via direktåtkomst (eller ett liknande elektroniskt utlämnande) hos en annan myndighet men som den mottagande myndigheten enligt lag eller förordning inte får behandla – hos den mottagande myndigheten ska garanteras ett sekretesskydd som lägst motsvarar det sekretesskydd uppgiften har hos värdmyndigheten.
Ändringen innebär att en mottagande myndighet vid avgörande av vilken sekretessbestämmelse – en primär sekretessbestämmelse eller en enligt 4 § samma kapitel från värdmyndigheten överförd sekundär sekretessbestämmelse – som är tillämplig för en sådan uppgift ska tillämpa den av sekretessbestämmelserna enligt vilken uppgiften är sekretessbelagd, dvs. huvudregeln i 7 kap. 3 § OSL ska gälla för sådana uppgifter.
För övriga uppgifter, dvs. för vilka det saknas i lag eller förordning givna rättsliga begränsningar för den mottagande myndigheten att behandla, ska den mottagande myndighetens primära sekretess-
bestämmelse även fortsättningsvis ha företräde framför den från värdmyndigheten överförda sekretessen. Ändringen innebär alltså en mer preciserad avvägning i vilka fall huvudregeln i 7 kap. 3 OSL ska stå tillbaka för undantagsregleringen i 11 kap. 8 OSL.
Med uttrycket ”som den mottagande myndigheten enligt lag eller förordning inte får behandla” avses samtliga slag av begränsningar som finns intagna i sådana författningar och som innebär att en myndighet är förhindrad att behandla en uppgift, t.ex. ändamålsbestämmelser eller sökbegränsningar som följer av författningar som reglerar behandlingen av personuppgifter hos myndigheter.
Ändringen behandlas närmare i avsnitt 8.6.
Kommittédirektiv
Integritet, effektivitet och öppenhet i en modern e-förvaltning
Dir. 2011:86
Beslut vid regeringssammanträde den 6 oktober 2011
Sammanfattning av uppdraget
En särskild utredare ska se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor i syfte att skapa rättsliga förutsättningar för en mer effektiv e-förvaltning, där såväl den enskildes rätt till personlig integritet som allmänhetens berättigade anspråk på insyn i den offentliga verksamheten tillgodoses. Utredaren ska bl.a.
- överväga om definitionen av begreppet ”allmän handling” i tryckfrihetsförordningen (TF) är lämpligt utformad när det gäller sådana uppgifter som en myndighet har tillgång till genom s.k. direktåtkomst hos en annan myndighet eller genom liknande former av elektroniskt utlämnande och, om utredaren anser att definitionen bör ändras, lämna förslag till ändring av denna,
- överväga om det finns skäl att i registerförfattningar bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande,
- göra en översiktlig inventering av registerförfattningarna och närmare analysera hur dessa fungerar inom tre olika verksamhetsområden,
- med beaktande av utvecklingen inom EU och Europarådet utarbeta en generell modell för reglering av registerfrågor och, med modellen som mall, lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena, och
- överväga vilka typer av allmänna handlingar inom de tre verksamhetsområdena som den eller de aktuella myndigheterna ska
ha skyldighet att lämna ut elektroniskt och lämna de förslag som dessa överväganden föranleder.
Förslagen ska syfta till att regleringen i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400, OSL) samt registerregleringen tillsammans inom respektive område ska utgöra en tydligare och mer lättillämpad helhet.
De delar av uppdraget som avser frågan om definitionen av ”allmän handling” bör ändras respektive om det finns skäl att i registerförfattningarna även fortsättningsvis bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande, ska redovisas i ett delbetänkande senast den 1 december 2012. I den förstnämnda delen ska utredaren samråda med en parlamentarisk referensgrupp. Regeringen kommer, efter att ha inhämtat synpunkter från utredaren, att i tilläggsdirektiv precisera inom vilka tre verksamhetsområden som utredaren ska lämna förslag till registerförfattningar. Uppdraget ska slutredovisas senast den 1 december 2014.
Bakgrund
I princip all framställning av information hos myndigheterna sker numera på elektronisk väg. Myndigheterna tar dessutom i allt större utsträckning emot information genom elektronisk kommunikation. Härtill kommer att handlingar till stor del även lagras elektroniskt. När myndigheter ska utbyta uppgifter är det därför i stor utsträckning önskvärt att uppgiftslämnandet sker med hjälp av modern informationsteknik. Utökad elektronisk informationsöverföring mellan myndigheter effektiviserar beslutsprocesserna och medför fördelar för enskilda, eftersom insamlandet av korrekta och aktuella uppgifter underlättas och snabbare besked kan ges. Elektronisk informationsöverföring är också ekonomiskt effektiv i förhållande till uppgiftslämnande på annat sätt, t.ex. per telefon eller fax. Samtidigt är det av central betydelse att integritetsaspekterna beaktas.
Regeringen bedriver ett omfattande förvaltningspolitiskt reformarbete som bl.a. syftar till att effektivisera förvaltningen och förenkla mötet med medborgare och företag genom elektronisk förvaltning (prop. 2009/10:175 s. 25). I januari 2008 fastställde regeringen en handlingsplan för elektronisk förvaltning (Fi2008/491). I handlingsplanen anges som övergripande mål för e-förvaltningen att det ska vara så enkelt som möjligt för så många som möjligt att
fullgöra sina skyldigheter samt att ta del av förvaltningens service. Detta övergripande mål ska uppnås med hjälp av insatser inom fyra olika områden. Ett av de insatsområden som identifieras i handlingsplanen är regelverk för myndighetsövergripande samverkan och informationshantering.
För att stärka utvecklingen av e-förvaltningen och skapa goda förutsättningar för myndighetsövergripande samordning inrättade regeringen i mars 2009 en delegation för e-förvaltning (dir. 2009:19). E-delegationen ska bl.a. koordinera de statliga myndigheternas itbaserade utvecklingsprojekt och följa upp deras effekter.
Nästan varje gång elektronisk informationsöverföring mellan myndigheter ska införas, ändras eller utökas måste ändringar göras i de aktuella registerförfattningarna. Vidare måste komplicerade överväganden göras enligt offentlighets- och sekretesslagen, och även den lagen kan behöva ändras. Om de grundläggande reglerna i tryckfrihetsförordningen och offentlighets- och sekretesslagen samt den principiella uppbyggnaden av registerförfattningarna inte är anpassade till varandra – utifrån de olika intressen dessa bestämmelser avser att skydda – blir det svårt att i ett enskilt lagstiftningsärende om elektronisk informationsöverföring mellan två eller flera myndigheter hitta en lösning som är tillfredsställande från integritets-, effektivitets- och öppenhetssynpunkt.
För att ytterligare kunna effektivisera förvaltningen med hjälp av modern informationsteknik är det därför viktigt dels att respektive regelverk är väl genomtänkt och så enkelt som möjligt att tillämpa, dels att dessa regelverk är förenliga med varandra. Mot denna bakgrund finns det behov av att göra en samlad översyn av dessa regelverk i relevanta delar. Med hänsyn till regelverkens komplexa natur och till att såväl Europarådet som EU ser över sina respektive dataskyddsregler lämnas inledningsvis en redogörelse för Sveriges internationella åtaganden och gällande svensk rätt på de aktuella områdena.
Internationella åtaganden
Europarådets dataskyddskonvention
De dataskyddsregler som antagits inom ramen för Europarådet finns i första hand i den europeiska konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108),
den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. Under 2010 har Europarådet inlett en översyn av denna konvention.
EU:s dataskyddsreglering och det svenska genomförandet
Inom den f.d. första pelaren inom EU, som bl.a. innefattar den inre marknaden, preciseras och stärks Europarådets dataskyddskonvention genom Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Syftet med dataskyddsdirektivet är dels att garantera en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels att denna skyddsnivå ska vara likvärdig i alla medlemsstater så att staterna inte ska kunna hindra det fria flödet av personuppgifter inom EU med hänvisning till sina respektive dataskyddsregleringar. Inom den f.d. tredje pelaren, som innefattar det polisiära och straffrättsliga samarbetet, gäller rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, det s.k. dataskyddsrambeslutet.
Dataskyddsdirektivet är införlivat i den nationella lagstiftningen genom personuppgiftslagen (1998:204). Denna lag innehåller generella regler som, med vissa undantag, ska tillämpas i hela samhället av både myndigheter och enskilda. Den är dock subsidiär i förhållande till annan lag eller förordning. Behov av undantag och preciseringar på olika områden kan därmed tillgodoses genom särreglering i s.k. registerförfattningar. En sådan särreglering får dock inte stå i strid med dataskyddskonventionen, dataskyddsdirektivet eller dataskyddsrambeslutet. Möjligheten att i en registerförfattning föreskriva särskilda bestämmelser för en viss typ av verksamhet har utnyttjats flitigt i den nationella lagstiftningen och det finns uppskattningsvis ca 200 registerförfattningar, t.ex. polisdatalagen (2010:361) och patientdatalagen (2008:355).
Frågan om hur dataskyddsrambeslutet ska genomföras i Sverige har utretts av en särskild utredare (dir. 2010:17). Denne har lämnat förslag till genomförande i delbetänkandet Dataskydd vid euro-
peiskt polisiärt och straffrättsligt samarbete (SOU 2011:20). Betänkandet bereds inom Regeringskansliet.
En översyn av EU:s dataskyddsreglering
Genom Lissabonfördraget har det skett vissa förändringar av betydelse för dataskyddsregleringen inom EU. Den grundläggande rätten till skydd av personuppgifter regleras i artikel 8 i EU:s stadga om de grundläggande rättigheterna, vilken har gjorts rättsligt bindande. I artikel 16 i fördraget om EU:s funktionssätt anges vidare att Europaparlamentet och rådet – i enlighet med det ordinarie lagstiftningsförfarandet – ska fastställa bestämmelser om skydd för enskilda personer vid behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. Denna bestämmelse ger således en rättslig grund för reglering av personuppgiftsskydd i alla verksamheter som omfattas av EU-rätten.
EU-kommissionen har i ett meddelande, ”Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen” (KOM [2010] 609), aviserat en strategi för en översyn av EU:s dataskyddsreglering. I meddelandet konstateras att den teknologiska utvecklingen och globaliseringen har medfört att det finns skäl att se över EU:s dataskyddsregelverk för att se till att det fortfarande erbjuder ett tillräckligt skydd. Vidare konstaterar kommissionen att många intressenter har framfört att det – trots den EU-rättsliga regleringen – fortfarande finns skillnader på nationell nivå som utgör ett hinder mot den inre marknaden. Kommissionen betonar därför behovet av ytterligare harmonisering. Kommissionen framhåller också behovet av ett heltäckande dataskyddsregelverk som, till skillnad från dataskyddsdirektivet, även omfattar den f.d. tredje pelaren. I meddelandet anges att kommissionen kommer att lägga fram förslag till lagstiftning rörande den övergripande rättsliga ramen för personuppgiftsskydd under 2011.
Gällande nationell rätt
Den svenska grundlagsregleringen avseende skydd för personuppgifter
Tidigare har det i 2 kap. 3 § andra stycket regeringsformen (RF) föreskrivits att varje medborgare, i den utsträckning som närmare anges i lag, ska skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling. Bestämmelsen utgjorde inte något individuellt rättighetsskydd för enskilda, utan innebar endast att lagstiftaren var skyldig att i lag upprätthålla någon form av integritetsskydd i fråga om automatiserad behandling av personuppgifter.
Den 1 januari 2011 ersattes nämnda bestämmelse av en ny bestämmelse i 2 kap. 6 § andra stycket RF, enligt vilken var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får dock enligt 2 kap. 20 § första stycket 2 RF under vissa förutsättningar göras i lag. I en övergångsbestämmelse anges att äldre föreskrifter som innebär betydande intrång i den personliga integriteten behåller sin giltighet, dock längst t.o.m. den 31 december 2015. Grundlagsändringen medför bl.a. att viss personuppgiftsbehandling som för närvarande regleras i förordning i framtiden måste regleras i lag.
Offentlighetsprincipen
Allmänhetens möjlighet till insyn i den offentliga förvaltningen är av avgörande betydelse för en väl fungerande demokrati. Sedan 1766 har denna grundläggande rättighet – offentlighetsprincipen – varit reglerad i den svenska grundlagen. Offentlighetsprincipen innebär att allmänheten och massmedierna ska ha möjlighet till insyn i statens och kommunernas verksamhet. Offentlighetsprincipen kommer till uttryck på olika sätt, exempelvis genom yttrande- och meddelarfrihet för tjänstemän, genom domstolsoffentlighet och genom offentlighet vid beslutande församlingars sammanträden. När det mer allmänt talas om offentlighetsprincipen åsyftas emellertid ofta i första hand reglerna om allmänna handlingars offentlighet i 2 kap. TF.
Med handling förstås enligt 2 kap. 3 § första stycket TF framställningar i skrift eller bild som kan uppfattas utan tekniskt hjälpmedel, dvs. handlingar i traditionell form. Med handling förstås därutöver upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. För att det ska finnas en rätt att ta del av en handling hos en myndighet krävs för det första att handlingen förvaras hos myndigheten. För det andra krävs att handlingen har nått ett sådant stadium i handläggningen att den är att betrakta som allmän. En handling måste därför antingen vara
inkommen till eller upprättad hos myndigheten för att en rätt till
insyn ska föreligga (2 kap. 6 och 7 §§ TF).
Den som önskar ta del av en allmän handling har rätt att göra detta på två olika sätt. Personen i fråga kan antingen avgiftsfritt ta del av handlingen genom att myndigheten tillhandahåller den på stället (2 kap. 12 § TF) eller mot avgift få den utlämnad till sig i avskrift eller kopia (2 kap. 13 § TF). En upptagning för automatiserad behandling behöver dock aldrig lämnas ut i annan form än utskrift i större utsträckning än vad som följer av lag. Syftet med detta s.k. utskriftsundantag är att förhindra att utlämnade uppgifter behandlas automatiserat på ett sätt som kan medföra otillbörliga integritetsintrång (prop. 1973:33 s. 85 f.).
Potentiella handlingar och färdiga elektroniska handlingar
Som nämns ovan kan endast de handlingar som förvaras hos myndigheten omfattas av handlingsoffentlighet. En upptagning anses enligt 2 kap. 3 § andra stycket TFförvarad hos myndigheten om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. För att närmare kunna avgöra om en upptagning för automatiserad behandling är tillgänglig för myndigheten brukar en uppdelning göras mellan potentiella (elektroniska) handlingar och färdiga elektroniska handlingar.
En potentiell handling, dvs. en sammanställning av uppgifter som en myndighet har tekniska möjligheter att göra, är enligt 2 kap. 3 § andra stycket sista meningen TF förvarad hos myndigheten om denna kan göra sammanställningen tillgänglig med ”rutinbetonade åtgärder” (prop. 1975/76:160 s. 90). En sådan sammanställning anses dock inte vara förvarad hos myndigheten i tryckfrihets-
förordningens mening om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Detta framgår av den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket TF. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Om myndigheten sålunda saknar befogenhet att ta fram vissa upplysningar ur t.ex. ett personregister är dessa upplysningar inte allmänna handlingar hos myndigheten. Syftet med begränsningsregeln är att hindra allmänheten från att kunna göra anspråk på att få ta del av information hos myndigheten som myndigheten själv, av hänsyn till enskildas personliga integritet, är förhindrad att använda sig av. Begränsningsregeln gäller alltså även om sammanställningen kan tas fram med rutinbetonade åtgärder.
En färdig elektronisk handling, vilken är tillgänglig för myndigheten i uppfattbar form med tekniskt hjälpmedel som myndigheten själv utnyttjar, t.ex. en PDF-fil eller ett e-postmeddelande, anses förvarad hos myndigheten trots att det kan krävas mer än rutinbetonade åtgärder för att göra handlingen tillgänglig (prop. 2001/02:70 s. 20 f.). Färdiga elektroniska handlingar omfattas inte heller av begränsningsregeln.
En upptagning anses inkommen till en myndighet när den gjorts tillgänglig för myndigheten på det sätt som anges i 2 kap. 3 § andra stycket TF, dvs. med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 6 § första stycket TF).
Begränsningsregelns närmare innebörd
Begränsningsregeln i 2 kap. 3 § tredje stycket TF innebär att dataskyddsbestämmelser i lag eller förordning får betydelse för hur omfattande begreppet ”allmän handling” är i praktiken.
Enligt dataskyddsdirektivet och personuppgiftslagen får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (9 § första stycket c personuppgiftslagen). Enligt den s.k. finalitetsprincipen får en personuppgift inte behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgiften samlades in (9 § första stycket d). I förarbetena till personuppgiftslagen har dock uttalats att en myndighets utlämnande av personuppgifter med stöd av offentlighetsprincipen inte kan anses oför-
enligt med de ändamål för vilket uppgifterna ursprungligen samlades in (prop. 1997/98:44 s. 44). Regler om s.k. ändamålsbegränsningar, dvs. bestämmelser i registerförfattningar om för vilka ändamål myndigheten får behandla uppgifterna, anses inte heller inskränka myndighetens skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter (prop. 2007/08:126 s. 120 f. och prop. 2007/08:160 s. 66 f.). Sistnämnda ställningstagande harmonierar väl med det s.k. efterfrågeförbudet i 2 kap. 14 § tredje stycket TF, av vilket det följer att en myndighet inte får fråga någon som begär ut en allmän handling vem han eller hon är eller vilket syfte han eller hon har med sin begäran, i större utsträckning än vad som behövs för att myndigheten ska kunna göra en sekretessprövning.
Så kallade sökbegränsningar, dvs. förbud i lag eller förordning mot att söka fram uppgifter eller göra sammanställningar med hjälp av vissa sökord, är dock i vissa fall avgörande för vilka sammanställningar som utgör allmänna handlingar. Det står nämligen klart att om den myndighet som förvarar en upptagning för automatiserad behandling under inga omständigheter får göra sammanställningar av uppgifter ur upptagningen med hjälp av vissa sökord har inte heller allmänheten rätt att ta del av en sådan sammanställning. Vissa sökbegränsningar som inte är absoluta utan tillåter sökning under särskilt angivna förutsättningar har dock ansetts sakna betydelse för frågan om sammanställningen utgör en allmän handling (se 3 kap.6–7 §§polisdatalagen [2010:361] och prop. 2009/10:85 s. 154 f., jfr prop. 2001/02:70 s. 23).
Sekretess
Rätten att ta del av en allmän handling gäller inte utan undantag. Denna rätt får dock begränsas endast om det är påkallat med hänsyn till vissa i 2 kap. 2 § TF uppräknade intressen. Sådan begränsning ska anges i en särskild lag. Den lag som avses är offentlighets- och sekretesslagen. I denna lag finns bestämmelser om sekretess som syftar till att skydda såväl allmänna som enskilda intressen.
Enligt 8 kap. 1 och 2 §§ OSL gäller sekretess inte bara i förhållande till allmänheten, utan också mellan myndigheter samt mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Offentlighets- och sekretesslagen innehåller dock även sekretessbrytande regler. Som exempel kan nämnas 10 kap. 28 § första stycket OSL, som anger att
sekretess inte hindrar att uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning.
Förhållandet mellan bestämmelser om direktåtkomst och sekretessbrytande regler
Bestämmelser om direktåtkomst i registerförfattningar brukar formuleras så att en myndighet har rätt att få ha direktåtkomst till vissa uppgifter hos en annan myndighet. Sådana bestämmelser innebär dock bara att lagstiftaren eller regeringen ger den utlämnande myndigheten rätt att bevilja den mottagande myndigheten direktåtkomst till de nämnda uppgifterna, om den utlämnande myndigheten bedömer att säkerhetsfrågor m.m. kan lösas på ett tillfredsställande sätt.
Bestämmelser om direktåtkomst anses inte ha en sekretessbrytande effekt enligt offentlighets- och sekretesslagen (se t.ex. prop. 2004/05:164 s. 83). Det beror på att bestämmelser om direktåtkomst har en annan funktion än de sekretessbrytande reglerna. Sekretessbrytande regler anger i vilken mån sekretessbelagda uppgifter överhuvudtaget får lämnas från en myndighet till en annan. Bestämmelser om direktåtkomst tar sikte på formen för utlämnandet. På grund av de sammanställningsmöjligheter och möjligheter till spridning av uppgifter som en automatiserad behandling erbjuder anses det vara mer känsligt från integritetssynpunkt att lämna ut uppgifter elektroniskt än på papper. En myndighet kan således enligt en bestämmelse om uppgiftsskyldighet ha skyldighet att lämna ut vissa uppgifter till en annan myndighet, men den mottagande myndigheten kanske bara har rätt att ha direktåtkomst till vissa av dessa uppgifter. Om tanken är att en myndighet ska få ha direktåtkomst till uppgifter som omfattas av sekretess hos en annan myndighet måste bestämmelsen om direktåtkomst kompletteras med en sekretessbrytande bestämmelse.
Det är vanligt att registerförfattningar stadgar att en myndighet får ha direktåtkomst till vissa angivna typer av uppgifter hos en annan myndighet beträffande personer som är aktuella i ärenden hos den
mottagande myndigheten. Detta innebär att myndigheten bara får
söka efter uppgifter om en person efter det att personen har blivit aktuell i ett ärende hos myndigheten. Rent tekniskt måste dock myndigheten ha möjlighet att ta del av sådana uppgifter beträffande
alla personer som är registrerade hos den utlämnande myndig-
heten, eftersom den mottagande myndigheten inte i förväg kan veta vilka personer som kan komma att bli aktuella i ärenden hos myndigheten. Med hänsyn härtill har tolkningen av begränsningsregeln i 2 kap. 3 § tredje stycket TF behandlats i flera lagstiftningsärenden rörande elektroniskt informationsutbyte mellan myndigheter. Det har då konstaterats att som huvudregel blir sådan överskottsinformation som en myndighet rent tekniskt har tillgång till hos en annan myndighet i samband med direktåtkomst att betrakta som en allmän handling hos den mottagande myndigheten, även om den mottagande myndigheten enligt den tillämpliga registerförfattningen vid ett givet tillfälle inte har rätt att behandla uppgifterna för egen del. Det sagda gäller dock inte uppgifter som omfattas av ett absolut s.k. sökförbud enligt den aktuella registerförfattningen (prop. 2007/08:126 s. 120 f. och prop. 2007/08:160 s. 66 f.). De sekretessbrytande regler som ska möjliggöra uppgiftsutbytet måste bl.a. av detta skäl normalt omfatta även sådan överskottsinformation som den utlämnande myndigheten rent tekniskt gör tillgänglig för den mottagande myndigheten i samband med direktåtkomst (prop. 2007/08:160 s. 70 f.). Sådana sekretessbrytande bestämmelser har således ett relativt omfattande tillämpningsområde.
De sekretessbrytande bestämmelserna kan kompletteras av andra bestämmelser som innebär ett integritetsskydd för den enskilde. Bestämmelser om direktåtkomst som anger att handläggarna hos den mottagande myndigheten bara får ta del av uppgifter som avses i de sekretessbrytande bestämmelserna beträffande personer som är aktuella i ärenden hos den mottagande myndigheten utgör ett sådant skydd. Den tekniska utvecklingen har även lett till att det numera är möjligt att inom den mottagande myndigheten införa tekniska spärrar mellan teknikavdelningen och handläggarna som t.ex. medför att en handläggare inte bara är rättsligt utan även tekniskt förhindrad att söka på andra personer än sådana som är aktuella hos myndigheten. Integritetsskyddande bestämmelser i den mottagande myndighetens registerförfattning och i personuppgiftslagen om säkerhet m.m. samt bestämmelsen om överföring av sekretess i 11 kap. 4 § OSL (se närmare nedan) utgör också ett integritetsskydd.
På grund av att sekretessbrytande regler som införs med anledning av direktåtkomst har en så vid utformning har regeringen anfört att en mottagande myndighet i sin arbetsordning bör ange vilka personer som för vilka syften har behörighet att för myndighetens räkning ta del av de uppgifter som anges i de sekretess-
brytande bestämmelserna. Sådana föreskrifter fyller beträffande utlämnande via telefon eller brev samma integritetsskyddande funktion som ovan beskrivna bestämmelser om direktåtkomst gör när det gäller elektroniskt inhämtande av information (prop. 2007/08:160 s. 72). I ett senare lagstiftningsärende har regeringen anfört att integritetsskyddet blir ännu starkare om det på lag- eller förordningsnivå i stället tas in två olika typer av sekretessbrytande bestämmelser, dels en sekretessbrytande bestämmelse som tar sikte på uppgiftslämnande i enskilda fall och som kan användas vid utlämnande av uppgifter t.ex. via telefon eller mejl, dels en vidare sekretessbrytande bestämmelse som bara gäller vid direktåtkomst. Den förra typen av sekretessbrytande regel kan behövas t.ex. om det på grund av tekniska problem tillfälligt inte går att använda sig av direktåtkomst (prop. 2010/11:78 s. 21).
Förhållandet mellan direktåtkomst, begreppet allmän handling och sekretessbestämmelser
Eftersom huvudregeln är att s.k. överskottsinformation som blir tekniskt tillgänglig för den mottagande myndigheten i samband med direktåtkomst blir allmän handling hos den mottagande myndigheten, kan allmänheten begära att få ta del av uppgifter hos den mottagande myndigheten även i situationer när den mottagande myndigheten av integritetsskäl bör vara förhindrad att ens titta på uppgifterna i fråga. En sådan situation förutsågs i samband med antagandet av patientdatalagen. Vid sammanhållen journalföring mellan flera olika vårdgivare får en vårdgivare enligt patientdatalagen inte ta del av uppgifter som andra vårdgivare lagt in i systemet om inte patienten samtycker till det. Eftersom uppgifter som är tekniskt tillgängliga hos en vårdgivare som huvudregel är en allmän handling där kan dock enskilda begära att få ut dem där, oaktat att vårdgivaren inte har rätt att titta på uppgifterna enligt patientdatalagen. Med anledning av att en sekretessprövning normalt kräver att befattningshavare granskar den handling som begärs ut föreslogs i lagstiftningsärendet en ny sekretessbestämmelse av innebörd att det gäller absolut sekretess för uppgifter som en vårdgivare har teknisk tillgång till, men som vårdgivaren inte har rätt att titta på enligt patientdatalagen. Denna konstruktion innebär att hälso- och sjukvårdspersonalen vid begäran om utfående av sådana uppgifter inte behöver ta del av de begärda uppgifterna för att
kunna avgöra sekretessfrågan (25 kap. 2 § OSL och prop. 2007/08:126 s. 126 f.).
Eftersom det inte alltid finns sekretessbestämmelser som hos en mottagande myndighet är tillämpliga på sådan överskottsinformation som myndigheten får teknisk tillgång till vid direktåtkomst har det, för det fall uppgifterna omfattas av sekretess hos den utlämnande myndigheten, införts en bestämmelse om överföring av sekretess vid direktåtkomst (11 kap. 4 § OSL, prop. 2007/08:160 s. 72 f.). Sistnämnda bestämmelse kompletteras av en undantagsbestämmelse i 11 kap. 8 § OSL. Undantagsbestämmelsen stadgar att sekretess som är direkt tillämplig hos den mottagande myndigheten, s.k. primär sekretess, har företräde framför överförd sekretess och det oavsett om den primära sekretessen är starkare eller svagare än den överförda sekretessen. Även uttryckliga undantag från den primära sekretessbestämmelsens tillämpningsområde har företräde framför den överförda sekretessen. Med hänsyn till denna undantagsbestämmelse gjordes i propositionen bedömningen att bestämmelsen om överföring av sekretess vid direktåtkomst inte rubbade den grundläggande principen i sekretesslagstiftningen att sekretessbehovet alltid ska vägas mot insynsintresset samt att denna avvägning kan utfalla på skilda sätt hos olika myndigheter och inom olika områden (prop. 2007/08:160 s. 34 och 75 f.). Denna princip innebär således att en och samma uppgift kan vara hemlig hos den utlämnande myndigheten och offentlig hos den mottagande myndigheten.
Om uppgifterna har ett svagare sekretesskydd hos den mottagande myndigheten än hos den utlämnande myndigheten kan dock undantagsregeln i 11 kap. 8 § OSL, beroende på hur sekretesskyddet hos den mottagande myndigheten är konstruerat, i vissa fall medföra att stora delar av den utlämnande myndighetens databas får ett mycket svagare sekretesskydd hos den mottagande myndigheten, trots att detta svagare skydd är motiverat bara beträffande de uppgifter som faktiskt används i den mottagande myndighetens verksamhet. Detta är inte lämpligt från integritetssynpunkt. I en sådan situation måste ytterligare överväganden göras för att åstadkomma ett skydd för sådan överskottsinformation som i och för sig är tekniskt tillgänglig för den mottagande myndigheten men som denna inte använder i sin verksamhet (prop. 2007/08:160 s. 95).
Elektroniskt utlämnande av allmänna handlingar till allmänheten
Som nämns tidigare följer av det s.k. utskriftsundantaget i tryckfrihetsförordningen att en myndighet inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift (2 kap. 13 § TF). Bestämmelsen syftar till att minimera riskerna för otillbörliga integritetsintrång. Av förordningen (2003:234) om tiden för tillhandahållande av domar och beslut, m.m. framgår att en handling får skickas med telefax eller elektronisk post eller på annat sätt tillhandahållas i elektronisk form, om det är lämpligt (10 §).
E-offentlighetskommittén fick i uppdrag att överväga om det i dåvarande sekretesslagen (1980:100) eller i annan lag bör införas en bestämmelse som medför en generell skyldighet för myndigheter att lämna ut elektroniskt lagrade allmänna handlingar i elektronisk form. I betänkandet Allmänna handlingar i elektronisk form (SOU 2010:4) anförde kommittén att en utgångspunkt för kommitténs överväganden är att det långsiktiga målet bör vara att myndigheterna bör ha en i lag reglerad skyldighet att – i den mån det inte finns särskilda förbud mot det i lag eller förordning – lämna ut allmänna handlingar i elektronisk form om sökanden så önskar. Kommittén ansåg dock att en sådan skyldighet inte kan införas förrän en grundlig genomgång och bearbetning har genomförts av samtliga registerförfattningar (s. 306 f.).
Uppdraget
Bör definitionen av begreppet ”allmän handling” ändras?
Som framgår ovan innebär den nuvarande regleringen i tryckfrihetsförordningen att s.k. överskottsinformation som blir tekniskt tillgänglig för den mottagande myndigheten i samband med direktåtkomst som huvudregel blir allmän handling hos den myndigheten. Frågan är om de skillnader som finns mellan den utlämnande myndighetens och den mottagande myndighetens hantering av de berörda uppgifterna gör att det finns skäl att ändra denna ordning.
Skälet till att enskilda har rätt att ta del av potentiella allmänna handlingar är att det anses följa av den s.k. likställighetsprincipen att enskilda bör ha samma möjligheter som aktuell myndighet att ta del av sammanställningar av uppgifter ur upptagningar för automatiserad behandling (prop. 1975/76:160 s. 90). Begränsnings-
regeln i 2 kap. 3 § tredje stycket TF utgör således ett uttryck för likställighetsprincipen.
När en myndighet har samlat in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål enligt personuppgiftslagen och tillämplig registerförfattning, saknar frågan om för vilka ändamål myndigheten sedan får behandla uppgifterna relevans för enskildas rätt att begära ut sammanställningar av uppgifterna. När en annan myndighet därefter ges direktåtkomst till vissa av dessa uppgifter, måste den mottagande myndigheten, på det sätt som har beskrivits ovan, ofta rent tekniskt få tillgång till fler uppgifter än vad rätten till direktåtkomst avser. Uppgifter som genom direktåtkomst har överförts till den mottagande myndigheten i ett enskilt fall, t.ex. i ett ärende, anses insamlade hos den mottagande myndigheten enligt personuppgiftslagen och tillämplig registerförfattning. Överskottsinformation som den mottagande myndigheten rent tekniskt har tillgång till i samband med direktåtkomst, dvs. sådana uppgifter som den mottagande myndigheten vid det aktuella tillfället inte har rätt att behandla enligt den tillämpliga registerförfattningen eftersom myndigheten inte har några ärenden rörande dessa personer, anses däremot inte insamlad i personuppgiftslagens mening hos den mottagande myndigheten. Detsamma gäller uppgifter som visserligen avser personer som är aktuella i ärenden hos myndigheten, men där uppgifterna ännu inte faktiskt har överförts till verksamheten.
Eftersom likställighetsprincipen utgör skälet för enskildas rätt att ta del av potentiella allmänna handlingar, kan det ifrågasättas om uppgifter som den mottagande myndigheten vid ett givet tillfälle inte har rätt att ta del av och som inte heller kan anses insamlade hos den myndigheten enligt personuppgiftslagen och tillämplig registerförfattning ska anses förvarade hos den myndigheten och därmed utgöra inkomna allmänna handlingar hos den myndigheten. Vidare medför i regel inte det faktum att s.k. överskottsinformation utgör allmän handling hos den mottagande myndigheten någon utökad insyn för allmänheten, eftersom överskottsinformationen enligt en komplicerad reglering i offentlighets- och sekretesslagen ofta omfattas av en minst lika stark sekretess hos den mottagande myndigheten som hos den utlämnande myndigheten.
Mot den angivna bakgrunden bör utredaren överväga om överskottsinformation i form av färdiga eller potentiella elektroniska handlingar som i samband med elektroniskt informationsutbyte
enbart av tekniska skäl görs tillgänglig för den mottagande myndigheten, även i fortsättningen bör anses utgöra allmänna handlingar hos den mottagande myndigheten eller om det finns skäl att ändra definitionen av begreppet allmän handling i detta avseende.
För det fall utredaren finner att tryckfrihetsförordningen bör ändras ska utredaren lämna författningsförslag samt förslag till konsekvensändringar i offentlighets- och sekretesslagen. Förhållandet mellan tystnadsplikten (3 kap. 1 § OSL) och de möjligheter som finns att införa tekniska spärrar, kryptering m.m. beträffande både personalen hos den mottagande myndighetens teknikavdelning och handläggarna hos den myndigheten ska särskilt beaktas.
Om utredaren finner att grundlagen inte bör ändras ska utredaren utvärdera om de bestämmelser som förts in i offentlighets- och sekretesslagen med anledning av den nuvarande ordningen (11 kap. 4 § och 25 kap. 2 § OSL) har en lämplig utformning eller om de bör justeras samt, om så anses vara fallet, lämna författningsförslag.
Bör åtskillnaden mellan olika former av elektroniskt utlämnande bibehållas?
Uppgifter kan lämnas ut elektroniskt även på andra sätt än genom direktåtkomst. I registerförfattningarna brukar begreppet ”utlämnande på medium för automatiserad behandling” användas.
Med direktåtkomst menas vanligtvis att någon har direkt tillgång till någons databaser eller register och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i databasen eller registret. Begreppet brukar också anses innefatta att den som är ansvarig för databasen eller registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av (prop. 2004/05:164 s. 83). Från integritetssynpunkt har det därför ansetts angeläget att frågor om tillgång till uppgifter genom direktåtkomst särskilt regleras i registerlagstiftningen (prop. 2000/01:129 s. 74, prop. 2001/02:144 s. 35 f. och prop. 2005/06:52 s. 8).
Med begreppet utlämnande på medium för automatiserad behandling avses i nuvarande författningar utlämnande av uppgifter i elektronisk form på en rad olika sätt, t.ex. genom användning av e-post, genom utlämnande på USB-minne eller genom automatiserad överföring med tidsfördröjning från ett datorsystem till ett annat (prop. 2007/08:160 s. 58). Att utlämnande sker på medium för automatiserad behandling innebär i regel att informationen lämnas ut i
elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen (prop. 2002/03:135 s. 97 och prop. 2004/05:164 s. 82).
Den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och nya åtkomstmetoder tillkommer alltjämt. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. Gränsdragningsproblematiken illustreras bl.a. i en rapport som har tagits fram av E-delegationens expertgrupp för rättsliga frågor (Vägledning för direktåtkomst och utlämnande på medium för automatiserad behandling). De aktuella begreppen används inte heller på ett enhetligt sätt i de olika registerförfattningarna och utöver nu nämnda begrepp förekommer andra begrepp, t.ex. ”elektronisk åtkomst” (SOU 2010:4 s. 364 f.).
Mot den angivna bakgrunden ska utredaren analysera vilka effektivitetsvinster och integritetsrisker som är förknippade med olika former av elektroniskt informationsutbyte samt ta ställning till om det finns skäl att i registerförfattningarna upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande eller om denna åtskillnad bör utmönstras. Om utredaren anser att en åtskillnad mellan olika former av elektroniskt utlämnande även i fortsättningen bör upprätthållas, ska denne lämna förslag på vilka begrepp som bör användas samt hur dessa bör definieras.
En mall för registerförfattningar samt modellregleringar
Flera utredningar, bl.a. 2005 års informationsutbytesutredning, Integritetsskyddskommittén, E-delegationen och E-offentlighetskommittén, har påtalat att registerförfattningarna behöver ses över. Den förstnämnda utredningen gjorde i betänkandet Utökat elektroniskt informationsutbyte (SOU 2007:45) den övergripande bedömningen att de befintliga registerförfattningarna bör ses över för att skapa förutsättningar för ett samordnat och enhetligt regelverk som främjar utvecklingen av elektronisk förvaltning och minskar riskerna för oacceptabla intrång i den personliga integriteten. Integritetsskyddskommittén redovisade i sitt betänkande Skyddet för den personliga integriteten (SOU 2007:22) den sammanfattande analysen att skyddet för den personliga integriteten väsentligt skulle förbättras om registerförfattningarna utformades enhet-
ligare, tydligare och mer i överensstämmelse med sekretesslagstiftningen. E-delegationen har anfört att de för närvarande ca 200 registerförfattningarna saknar en sinsemellan enhetlig struktur och att olika begrepp används för att beskriva samma företeelse (t.ex. databas och register), samtidigt som samma begrepp förekommer i olika betydelser (t.ex. direktåtkomst och gallring). För att möjliggöra en utveckling i riktning mot en flexibel e-förvaltning anser Edelegationen att det krävs att registerförfattningarna är samordnade, enhetliga och tydliga samt att regelkonflikter mellan registerförfattningarna och offentlighets- och sekretesslagen undanröjs (SOU 2009:86 s. 65 och SOU 2010:20 s. 17). Vidare har Datainspektionen sedan 2005 i sina årsredovisningar pekat på ett allt starkare behov av en översyn och ett samlat grepp när det gäller registerlagstiftningen inom statsförvaltningen. Även Riksrevisionen anser att registerförfattningarna bör ses över (RiR 2010:18 s. 64).
Regeringen anser, i likhet med nämnda utredningar samt Datainspektionen och Riksrevisionen, att registerförfattningarna bör ses över. Med hänsyn till det stora antalet författningar bör dock översynen ske etappvis.
Utredaren ska göra en översiktlig inventering av gällande registerförfattningar och inom tre olika verksamhetsområden närmare analysera hur dessa är uppbyggda och tillämpas. Vilka tre verksamhetsområden som särskilt ska analyseras kommer att anges av regeringen i tilläggsdirektiv, efter inhämtande av synpunkter från utredaren. Utredaren ska därefter utarbeta en generell modell för hur registerförfattningar bör struktureras, vilka begrepp som bör användas samt hur dessa begrepp bör definieras. Slutligen ska utredaren, med nämnda modell som mall, lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena (s.k. modellregleringar).
Inom dessa tre områden ska utredaren även överväga vilka typer av allmänna handlingar som den eller de aktuella myndigheterna ska ha skyldighet att lämna ut elektroniskt samt lämna förslag till hur denna skyldighet bör regleras. Utredaren ska särskilt överväga om skyldigheten bör regleras i offentlighets- och sekretesslagen och specificeras i en ny bilaga till lagen, eventuellt i form av hänvisningar till de berörda registerförfattningarna. I denna del ska utredaren beakta de begränsningar som kan finnas med anledning av internationella åtaganden, jfr SOU 2011:20 s. 286.
Journalistförbundet har i en framställan till regeringen (Ju2006/4517/L6) anfört att den omfattande registerregleringen
medför att undersökningar av stora material försvåras eller omöjliggörs, vilket hotar medias möjligheter att granska hur makten utövas och förvaltas. Journalistförbundet anser bl.a. att bestämmelser om sökförbud och utlämnande på medium för automatiserad behandling begränsar möjligheterna till sådan granskning. Utredaren ska under arbetet belysa denna problematik och utforma sina förslag efter en avvägning mellan intresset av skydd för den personliga integriteten och intresset av insyn i myndigheternas verksamhet.
Gäller sökbegränsningar som tar sikte på den utlämnande myndigheten även för den mottagande myndigheten?
Som nämns tidigare innebär ett absolut sökförbud i en registerförfattning även en begränsning av vad som utgör allmän handling (2 kap. 3 § tredje stycket TF). Det står klart att ett sådant sökförbud i en registerförfattning har relevans för bedömningen av vilka sammanställningar av personuppgifter som anses utgöra allmänna handlingar hos den myndighet som registerförfattningen tar sikte på. Det är dock omdiskuterat vilken betydelse sökförbud i den utlämnande myndighetens registerförfattning har för bedömningen av frågan vilka sammanställningar av personuppgifter som utgör allmänna handlingar hos den mottagande myndigheten. I uppdraget ingår att ta ställning till vad som bör gälla i detta avseende.
Regelkonflikter
Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra ärendets behöriga gång. Denna skyldighet anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheterna enligt 6 § förvaltningslagen (1986:223). Det har ifrågasatts om denna skyldighet står i strid med den s.k. finalitetsprincipen i dataskyddsdirektivet. Som nämns tidigare innebär denna princip att en personuppgift inte får behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgiften samlades in. Offentlighets- och sekretesskommittén anförde emellertid i sitt huvudbetänkande (SOU 2003:99 s. 231 f.) att regering och riksdag redan vid personuppgiftslagens tillkomst tagit ställning till att bestämmelsen i då-
varande 15 kap. 5 § sekretesslagen (nuvarande 6 kap. 5 § OSL) inte strider mot dataskyddsdirektivet. Enligt kommittén ska således ett utlämnande av uppgifter till en annan myndighet anses vara förenligt med finalitetsprincipen om utlämnandet är tillåtet enligt sekretesslagen. Kommittén ansåg dock att det skulle kunna uppstå en normkollision mellan 15 kap. 5 § sekretesslagen och en registerförfattning, om ändamålsregleringen i den senare författningen är utformad så att den utesluter en tillämpning av finalitetsprincipen. I en sådan situation får enligt kommittén ändamålsregleringen i registerförfattningen anses utgöra lex specialis i förhållande till 15 kap. 5 § sekretesslagen och ett utlämnande av uppgifter i strid med ändamålsregleringen skulle därmed utgöra en otillåten behandling av uppgifterna. Enligt utredningen var det dock oklart om det fanns några registerförfattningar som på detta sätt uteslöt en tillämpning av finalitetsprincipen (s. 236 f.).
Såsom bl.a. Integritetsskyddskommittén har uppmärksammat förekommer det emellertid numera sådana uttömmande ändamålsregleringar som leder till att ett utlämnande av uppgifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen (SOU 2007:22 s. 464 f.). Regeringen anser att utgångspunkten bör vara att ändamålsregleringar som utesluter en tillämpning av finalitetsprincipen inte ska förekomma. De förslag till registerförfattningar som utredaren lämnar ska även i övrigt harmoniera med tryckfrihetsförordningen, offentlighets- och sekretesslagen samt Sveriges internationella åtaganden.
En närliggande fråga har sin grund i det faktum att internationella avtal och sektorsspecifika EU-rättsakter ibland innehåller artiklar om att en myndighet bara får använda uppgifter som erhålls enligt avtalet respektive rättsakten för vissa angivna ändamål eller i viss verksamhet. Sådana bestämmelser kan avse även andra uppgifter än personuppgifter. I Sverige anses en sådan bestämmelse inte utgöra ett hinder mot utlämnande av uppgifter med stöd av offentlighetsprincipen. Däremot kan en sådan användningsbegränsning anses stå i konflikt med myndighetens skyldighet att överlämna uppgifter till andra myndigheter i enlighet med 6 kap. 5 § OSL. Någon generellt tillämplig eller konsekvent genomförd lösning på sistnämnda typ av regelkonflikt finns för närvarande inte i lagstiftningen. I 9 kap. 2 § OSL ges visserligen en upplysning om att användningsbegränsningar genomförts i vissa andra författningar. Uppräkningen är dock inte heltäckande och det finns dessutom
inte någon formell koppling mellan denna bestämmelse och 6 kap. 5 § OSL (jfr prop. 1990/91:131 s. 25). De författningar som avses i 9 kap. 2 § OSL utgör visserligen inte registerförfattningar. Den beskrivna frågeställningen har dock en sådan betydelse för uppgiftsutbytet mellan myndigheter att den ändå bör utredas i detta sammanhang. Utredaren ska därför överväga om 6 kap. 5 § OSL bör justeras så att den står i bättre överensstämmelse med förekomsten av nu nämnda användningsbegränsningar. Om utredaren finner att en sådan justering bör ske, ska författningsförslag lämnas.
Övrigt
Utredaren är oförhindrad att ta upp andra frågor än de som nämns i direktiven, om utredaren anser att dessa behöver regleras för att utredaren ska kunna fullgöra sitt uppdrag på ett tillfredsställande sätt.
Genomförande av uppdraget
Utredaren ska i ett delbetänkande redovisa sina ställningstaganden och eventuella förslag rörande dels tryckfrihetsförordningens definition av begreppet ”allmän handling”, dels frågan om det finns skäl att i registerförfattningar även i fortsättningen upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. Regeringen kommer i tilläggsdirektiv, efter att ha inhämtat synpunkter från utredaren, att ange inom vilka tre verksamhetsområden som utredaren ska lämna konkreta förslag till registerförfattningar.
Under sitt arbete ska utredaren beakta den pågående översynen av såväl Europarådets som EU:s dataskyddsreglering. Utredaren ska hålla sig informerad om hur detta arbete fortskrider och hur det påverkar handlingsutrymmet när det gäller utformningen av den nationella lagstiftningen.
När det gäller frågan om definitionen av ”allmän handling” bör ändras ska utredaren samråda med en parlamentarisk referensgrupp.
Utredaren ska i uppdragets samtliga delar samråda med E-delegationen samt, i den utsträckning som utredaren finner det behövligt, med andra kommittéer och utredare som arbetar med närliggande frågeställningar. Utredaren ska också samråda med de fyra myndig-
heter som fått regeringens uppdrag att samordna och främja myndigheternas arbete med e-förvaltning, nämligen Skatteverket, Lantmäteriet, Transportstyrelsen och Bolagsverket (N2011/1368/ITP).
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.
Delbetänkandet ska redovisas senast den 1 december 2012. Uppdraget ska slutredovisas senast den 1 december 2014.
(Justitiedepartementet)