SOU 2015:39
Myndighetsdatalag
Till statsrådet och chefen för Justitiedepartementet
Den 6 oktober 2011 bemyndigade regeringen chefen för Justitiedepartementet att tillkalla en särskild utredare med uppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor. Regeringen beslutade samtidigt om direktiv för utredningen (dir. 2011:11).
Till särskild utredare förordnades från och med den 25 oktober 2011 justitierådet Henrik Jermsten.
Utredningen har antagit namnet Informationshanteringsutredningen (Ju 2011:11).
I januari 2013 lämnades delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90).
Den 6 mars 2014 beslutade regeringen tilläggsdirektiv med förändrad inriktning avseende metoden för översynen m.m. (dir. 2014:31). Nya tilläggsdirektiv om viss förlängning av redovisningstiden beslutades den 20 november 2014 (dir. 2014:147).
Utredaren har biträtts av en sakkunnig, experter och ett sekretariat. Medverkande i den del av uppdraget som redovisas i detta betänkande anges på omstående sidor.
Härmed överlämnas slutbetänkandet Myndighetsdatalag (SOU 2015:39).
Till betänkandet fogas ett särskilt yttrande av experten Per Furberg.
Uppdraget är härmed slutfört.
Stockholm i april 2015
Henrik Jermsten
/Elisabet Reimers Anna Tansjö
Förteckning över sakkunnig, experter och sekreterare som deltagit i utredningsarbetet fr.o.m. januari 2013.
(förordnade fr.o.m. den 16 januari 2012 om inget annat anges)
Sakkunnig
Eva Lenberg, rättschef, Utbildningsdepartementet
Experter
Maria Arnell, dåvarande rättssakkunnig, Justitiedepartementet (fr.o.m. 2013-01-12 t.o.m. 2013-07-31) Malgorzata Drewniak, jurist, Lantmäteriet Per Furberg, advokat, numera Advokataktiebolaget Per Furberg Anneli Hagdahl, ämnessakkunnig, Näringsdepartementet (t.o.m. 2013-11-04) Per Hultengård, chefsjurist, Tidningsutgivarna Torbjörn Hörnfeldt, enhetschef, Riksarkivet Linn Kempe, förvaltningsjurist, Bolagsverket, (med uppehåll fr.o.m. 2013-01-12 t.o.m. 2014-09-30) Hans-Olof Lindblom, chefsjurist, Datainspektionen Elisabet Reimers, kammarrättsråd, fr.o.m. 2015-02-01 Irene Reuterfors-Mattsson, förbundsjurist, Sveriges Kommuner och Landsting (t.o.m. 2013-12-31) Svante Nygren, analytiker, Myndigheten för samhällsskydd och beredskap Cecilia Magnusson Sjöberg, professor, Stockholms universitet Nils Sjöblom, rättssakkunnig, Justitiedepartementet (fr.o.m. 2013-11-11) Kjell-Åke Sjödin, områdesexpert, Transportstyrelsen Per Trehörning, ombudsman, Svenska Journalistförbundet Monika Vestin, dåvarande förvaltningsjurist, Bolagsverket (fr.o.m. 2013-01-12 t.o.m. 2014-09-30) Mikael Westberg, numera chefsjurist, Pensionsmyndigheten, tidigare verksamhetsområdeschef, Försäkringskassan (fr.o.m. 2013-11-11)
Staffan Wikell, förbundsjurist, Sveriges Kommuner och Landsting (fr.o.m. 2014-01-01) Maria Östgren, rättslig expert, Skatteverket
Sekreterare
Katarina Dunnington, dåvarande kammarrättsassessor (t.o.m. 2013-06-30) Elisabet Reimers, kammarrättsråd, (fr.o.m. 2013-10-01 t.o.m. 2015-01-31) Anna Tansjö, rådman
Förkortningar m.m.
Förkortningar
BrB brottsbalken dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter DIFS Datainspektionens författningssamling dir. direktiv dnr diarienummer Ds Departementsserien EU Europeiska unionen EU-domstolen Europeiska unionens domstol/Europeiska gemenskapernas domstol EU-fördraget Fördraget om Europeiska unionen Europadomstolen Europeiska domstolen för de mänskliga rättigheterna Europakonventionen Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna f. följande sida/sidor FL förvaltningslagen (1986:223)
FPL förvaltningsprocesslagen (1971:291) HFD Högsta förvaltningsdomstolens årsbok JK Justitiekanslern Ju Justitiedepartementet JO Riksdagens ombudsmän KL kommunallagen (1991:900) kommissionen Europeiska kommissionen KU konstitutionsutskottet MSBFS Myndigheten för samhällsskydd och beredskaps författningssamling NJA Nytt juridiskt arkiv, avdelning I OSL offentlighets- och sekretesslagen (2009:400) prop. regeringens proposition PuF personuppgiftsförordningen (1998:1191) PuL personuppgiftslagen (1998:204) RA-FS Riksarkivets författningssamling RB rättegångsbalken RF regeringsformen RO riksdagsordningen RÅ Regeringsrättens årsbok SekrL sekretesslagen (1980:100) SFB socialförsäkringsbalken SkL skadeståndslagen (1972:207) skr. regeringens skrivelse SOU Statens offentliga utredningar TU trafikutskottet TF tryckfrihetsförordningen
uppgiftsskyddsförordningen Europeiska kommissionens förslag den 25 januari 2012 till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)
Kortformer för viss citerad litteratur
Hellners/Malmqvist Trygve Hellners, Bo Malmqvist, Förvaltningslagen. Med kommentarer, 31 maj 2010, Zeteo Holmberg m.fl. Erik Holmberg, Nils Stjernquist, Magnus Isberg, Marianne Eliason, Göran Regner, Grundlagarna. 1 januari 2012, Zeteo Lenberg m.fl. Eva Lenberg, Ulrika Geijer, Anna Tansjö, Offentlighets- och sekretesslagen. En kommentar, 2009, 1 juli 2014, Zeteo Öman/Lindblom Sören Öman, Hans-Olof Lindblom, Personuppgiftslagen. En kommentar, uppl. 4:1, 2011
Sammanfattning
Vårt uppdrag
I detta slutbetänkande redovisar vi vårt övergripande uppdrag att se över den s.k. registerlagstiftningen, ett rättsområde som omfattar ett stort antal sektors- eller myndighetsspecifika lagar och förordningar som kompletterar personuppgiftslagen (1998:204) och innehåller bestämmelser om statliga och kommunala myndigheters behandling av personuppgifter. Denna översyn ska ske genom att utreda förutsättningarna för att skapa en generell, enhetlig och – helt eller i vart fall delvis – samlad reglering för myndigheternas behandling av personuppgifter (dir. 2014:31). Den brottsbekämpande verksamheten ingår dock inte i vårt uppdrag.
Det kan inledningsvis påpekas att vårt uppdrag i huvudsak är ett lagtekniskt reformarbete med inriktning på att göra nu gällande rätt beträffande dataskydd tydligare på myndighetsområdet. Några betydande förändringar vad gäller om och hur myndigheter får behandla personuppgifter eller omprövningar av tidigare avvägningar mellan t.ex. effektivitetssträvanden och skyddet för enskildas personliga integritet ingår alltså inte i uppdraget.
Problembild
Vårt uppdrag har sin bakgrund i att det i olika sammanhang framförts kritik mot registerlagstiftningen för att vara ett svåröverblickbart och fragmenterat rättsområde med bristande enhetlighet i struktur och normtekniska lösningar samt med, i en del fall, otillräcklig anpassning till annan lagstiftning av central betydelse för myndigheternas informationshantering såsom tryckfrihetsförordningens bestämmelser om allmänna handlingar och offentlighets- och sekretesslagen (2009:400). Vi delar i stort denna problembild
och har kunnat konstatera att problemen skapar osäkerhet i tillämpningen, vilket bl.a. gör uppgiftsutbyte och annat samarbete mellan myndigheter onödigt komplicerat. Det försvårar också för enskilda registrerade och allmänheten att förstå vad som egentligen gäller för myndigheters informationshantering. Vidare är det ett problem i sig att registerlagar ofta behöver ändras till följd av att myndigheterna får nya uppgifter.
Ett ytterligare problem som vi identifierat är att den allmänna regleringen i personuppgiftslagen har utformats utan hänsyn till de särskilda förhållanden som gäller för myndigheters personuppgiftsbehandling. För myndigheter i allmänhet, dvs. inte bara för sådana som omfattas av särskild registerlagstiftning, präglas personuppgiftsbehandlingen av att den sker i verksamheter som är författningsreglerade, oftast i fråga om såväl vad som ska göras som hur det ska göras. Den informationshantering som verksamheten genererar styrs vidare av, utöver tidigare nämnda regelverk, annan central reglering, exempelvis förvaltningslagen (1986:223) och arkivlagen (1990:782) som alltså gäller utöver personuppgiftslagen. Detta förhållande innebär generellt sett en avgörande skillnad i jämförelse med personuppgiftsbehandling inom den enskilda sektorn.
Inledande ställningstaganden och utgångspunkter för en generell reglering
Mot bakgrund av bl.a. den beskrivna problembilden finns ett angeläget behov av förändringar i den reglering som rör personuppgiftsbehandling inom den offentliga sektorn. En samlad reglering i en lag om myndigheters behandling av personuppgifter gör det möjligt att åstadkomma ett tydligt regelverk som är lättare att tillämpa och bättre anpassat till övrig reglering av betydelse för myndigheters informationshantering. En sammanhållen lag ger också bättre förutsättningar för allmänhetens insyn och för enskilda registrerades möjligheter att göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket. Till bilden hör vidare att en samlad reglering är mer ändamålsenlig för att möta den förändring som förväntas ske på det unionsrättsliga området genom en EU-förordning om allmänt uppgiftsskydd som ska ersätta det s.k. dataskyddsdirektivet.
Vi föreslår därför en ny lag – myndighetsdatalagen – som företer likheter med förekommande registerförfattningar men som innehåller bestämmelser som kan gälla generellt för alla statliga och kommunala myndigheters personuppgiftsbehandling frånsett den brottsbekämpande sektorn.
Vårt förslag till ny lag har arbetats fram utifrån bl.a. följande utgångspunkter.
Regleringen bör utformas som en renodlad persondataskyddsreglering som bara tar sikte på frågor om skydd för personuppgifter som uppstår i myndigheternas elektroniska informationshantering, vilken är en integrerad del av myndigheternas verksamheter på alla nivåer. Bestämmelserna i den nya lagen ska alltså inte i något avseende syfta till att reglera en myndighets sakverksamhet.
Till den nya lagen ska det kunna finnas bilagor och en anslutande förordning. Efter hand som behov av sektors- eller myndighetsspecifika särregler uppstår kan sådana tas in i en systematiskt ordnad reglering som kompletterar den nya lagen. På så sätt uppnås ett sammanhållet ramverk med enhetligt utformad reglering både vad avser förhållanden som kan regleras generellt och förhållanden där fortsatta särregler – utifrån närmare avvägningar mellan integritetsintressen och t.ex. effektivitetshänsyn på området i fråga – behöver finnas. Det är dock vår bedömning att behovet av fortsatt särreglering kommer att minska betydligt.
Det är vår uppfattning att den särreglering av persondataskyddsfrågor som även fortsättningsvis behöver finnas oftast ska kunna ges i förordning, vilket förenklar regelgivningen och underlättar nödvändiga förändringar vid ändringar i myndigheternas uppgifter m.m. Normgivningsreglerna i regeringsformen kräver normalt inte lagform för reglering av detta slag. Det sagda utesluter givetvis inte att lagnivå ibland krävs eller i vart fall framstår som lämplig av hänsyn till skyddet för enskildas integritet.
Den nya lagen utesluter inte att det även fortsättningsvis för vissa myndigheter eller verksamheter kan komma att bedömas vara mera lämpligt från lagtekniska, systematiska eller andra synpunkter med särreglering i separat författning som gäller utöver den nya lagen, på motsvarande sätt som många registerlagar i dag förhåller sig till personuppgiftslagen.
Renodlade registerförfattningar om inrättandet och förandet av specifika register utgör ett slags verksamhetsreglering som även i
fortsättningen bör regleras i särskild ordning, dvs. utanför den samlade regleringen.
Eftersom en kommande EU-förordnings närmare innehåll av betydelse på myndighetsområdet – liksom ikraftträdandetidpunkten – fortfarande är i hög grad oklart bör den nya lagen vara anpassad till gällande rätt på persondataskyddsområdet, dvs. till personuppgiftslagen.
Om myndighetsdatalagens innehåll
Lagens syfte och tillämpningsområde
Lagens syfte ska vara att dels ge myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i deras verksamheter, dels skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagen ska i princip tillämpas av alla statliga och kommunala myndigheter vid behandling av personuppgifter som är helt eller delvis automatiserad eller avser manuell registerföring.
Vissa verksamheter undantas dock från lagens tillämpningsområde nämligen 1) en myndighets administrativa verksamhet, 2) en myndighets verksamhet som personuppgiftsbiträde och 3) sådan verksamhet som bedrivs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.
Förhållandet till avvikande bestämmelser i annan lag eller förordning och till personuppgiftslagen
Lagen ska – med undantag för personuppgiftslagen och bestämmelser som meddelats med stöd av den lagen – vara subsidiär i förhållande till bestämmelser i annan lag eller förordning som avviker från lagens bestämmelser. Lagen har vidare konstruerats på det sättet att den gäller i stället för personuppgiftslagen, dock att det särskilt hänvisas till vissa bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid myndigheters behandling av personuppgifter enligt den nya lagen. Enligt dessa hänvisningar ska alltså personuppgiftslagens bestämmelser om defini-
tioner (3 §), förhållandet till handlingsoffentligheten och arkivlagstiftningen (8 §) och grundläggande krav på behandlingen (9 §) gälla. Dessutom hänvisas till personuppgiftslagens förbud mot behandling av sådana personuppgifter som definieras som känsliga (13 §) samt till undantagen från förbudet vid behandling med den registrerades uttryckliga samtycke (15 §), i vissa fall av nödvändig behandling (16 §), för hälso- och sjukvårdsändamål (18 §) samt för forsknings- eller statistikändamål (19 §). Vidare ska, i huvudsak, personuppgiftslagens bestämmelser om information som ska lämnas till den registrerade – dels i samband med att uppgifter samlas in, dels på begäran – tillämpas (23, 25 och 26 §) liksom bestämmelserna om överföring till tredjeland (33–35 §§) och om personuppgiftsombud (38 och 40 §§). Slutligen ska personuppgiftslagens bestämmelser om skadestånd (48 §) tillämpas på motsvarande sätt, dvs. en personuppgiftsanvarig myndighets skyldighet att följa bestämmelserna i såväl den nya lagen som bestämmelser i personuppgiftslagen som den nya lagen hänvisar till ska vara skadeståndssanktionerad.
Den s.k. missbruksregeln i 5 a § PuL föreslås inte vara tillämplig på myndighetsområdet och något liknande generellt undantag från personuppgiftslagens s.k. hanteringsregler införs inte i den nya lagen. Vår analys av den frågan har resulterat i bedömningen att ett sådant generellt undantag från hanteringsreglerna såvitt avser behandling av personuppgifter i s.k. ostrukturerat material varken behövs på myndighetsområdet eller framstår som en rättsligt befogad begränsning i förhållande till dataskyddsdirektivets krav. Endast i ett avseende innehåller den nya lagen ett motsvarande undantag, nämligen i fråga om information till den registrerade som ska lämnas efter ansökan (26 § PuL). Sådan information behöver inte omfatta personuppgifter som behandlas i ostrukturerat material.
Personuppgiftsansvar och personuppgiftsbiträden
I den nya lagen införs en generell regel som innebär att en myndighet alltid är personuppgiftsansvarig för den behandling som myndigheten utför. Vidare klargörs att personuppgiftsansvaret även omfattar sådan behandling som en mottagande myndighet utför när denna via direktåtkomst hos en annan myndighet eller enskild i
ett enskilt fall genom en överföring faktiskt behandlar en tillgänglig personuppgift.
Det som föreskrivs i personuppgiftslagen om att ett personuppgiftsbiträde eller den som arbetar under biträdets ledning bara får behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner ska gälla genom att motsvarande bestämmelser tas in i den nya lagen. Detsamma gäller kravet på att det ska finnas ett skriftligt avtal med personuppgiftsbiträdet liksom kraven på vad avtalet ska innehålla. Utöver detta införs ett krav på att avtalet ska innehålla dokumentation om den personuppgiftsansvariga myndighetens instruktioner till biträdet samt ett förbud mot att biträdet anlitar ett annat biträde, ett s.k. underbiträde, utan godkännande från den personuppgiftsansvariga myndigheten. Samma villkor om avtal och instruktioner ska gälla för ett sådant underbiträde.
När behandling kan tillåtas
I lagen införs en samlad rättslig grund för behandling av personuppgifter som ersätter bestämmelserna i 10 § a–f PuL om när behandling av personuppgifter är tillåten oberoende av den registrerades samtycke. Bestämmelsen innebär att en myndighet får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sin verksamhet. Vilken verksamhet en myndighet har som uppgift eller fått befogenhet att utföra framgår av författningsreglering eller särskilda beslut i regleringsbrev m.m.
Någon begränsning av för vilka ändamål som myndigheter får behandla personuppgifter föreslås inte i den nya lagen. Därmed blir huvudregeln att det är den personuppgiftsansvariga myndigheten som, inom ramen för sitt uppdrag, har att närmare specificera för vilket eller vilka ändamål personuppgifter behandlas i verksamheten. Dessa ändamål måste uppfylla det grundläggande kravet på att vara särskilda och uttryckligt angivna redan vid insamlingen. Även framöver kan det dock på vissa områden, t.ex. i fråga om vissa särskilt integritetskänsliga informationssamlingar, finnas anledning att genom särskilda föreskrifter i lag eller förordning om ändamålsbegränsningar ange ramar för myndigheters personuppgiftsbehandling. Sådana föreskrifter kan tas in i den till lagen anslutande
förordningen alternativt, för det fall lagnivå undantagsvis anses nödvändig eller lämplig, i bilaga till lagen.
Särskilda kategorier av personuppgifter
Ytterligare undantag från förbudet att behandla känsliga personuppgifter
Utöver vad som följer av 15, 16, 18 och 19 §§ PuL tillåts myndigheter att behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av det. I annan verksamhet får känsliga personuppgifter behandlas endast i löpande text. Regeringen eller den myndighet som regeringen bestämmer bemyndigas att medge ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.
Personnummer i beslut m.m.
Enligt en särskild bestämmelse i lagen får personnummer och samordningsnummer tas in i en myndighets beslut endast om beslutet rör en enskilds identitet eller motsvarande personliga förhållanden. Sådana uppgifter får också tas in i ett beslut om det är nödvändigt för att beslutet ska kunna verkställas eller om det krävs med hänsyn till beslutande myndighets behov av identifieringsuppgifter. Vid övrig behandling, dvs. som inte avser beslut, sätter de grundläggande kraven enligt 9 § PuL gränserna för i vilken omfattning personnummer eller samordningsnummer får behandlas.
Sökförbud
Enligt en bestämmelse i lagen ska gälla att myndigheter vid en sökning får som sökbegrepp använda uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv endast i den utsträckning som det finns särskilt författningsstöd för det. Sådant stöd kan anges genom föreskrifter som tas in i bilaga till lagen, i annan lag eller i förordning. Därmed gäller alltså som huvudregel ett generellt förbud för myndigheter
att som sökbegrepp använda uppgifter som leder till att känsliga personuppgifter sammanställs. Förbudet gäller såväl sökningar i myndighetens egna informationssamlingar som i fråga om personuppgifter som myndigheten har tillgång till genom direktåtkomst och har betydelse för vilka sammanställningar, s.k. potentiella handlingar, som enligt 2 kap. 3 § andra stycket TF anses vara förvarade allmänna handlingar hos myndigheten. I bestämmelsen klargörs dock att förbudet inte gäller vid sökning i en viss handling eller i ett visst ärende. Regeringen bemyndigas att meddela föreskrifter om sökbegränsningar i fråga om andra uppgiftskategorier än de som förbjuds i lagen.
Säkerhet till skydd för personuppgifter
Skyldigheterna i fråga om säkerhetsåtgärder och lämplig säkerhetsnivå framgår genom en bestämmelse i lagen som ersätter 31 § första stycket PuL. Enligt bestämmelsen är myndigheter skyldiga att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en lämplig säkerhetsnivå som ska bestämmas utifrån de risker som behandlingen medför och personuppgifternas karaktär. Vidare anges att säkerhetsarbetet ska omfatta förebyggande, löpande och uppföljande åtgärder samt att säkerhetsarbetet ska ske med beaktande av andra föreskrifter om informationssäkerhet i lag eller annan författning. Härmed klargörs den nära kopplingen mellan den persondataskyddsrättsliga regleringen av säkerheten för personuppgifter och det vidare regelverk om informationssäkerhet som myndigheterna också är skyldiga att följa.
Vidare föreskrivs en skyldighet för varje myndighet att se till att anställda bara ges tillgång till personuppgifter utifrån vad som krävs för arbetsuppgifterna. Detta ska gälla i fråga om såväl personuppgifter i myndighetens egna informationssamlingar som personuppgifter som myndigheten får tillgång till genom direktåtkomst.
Elektroniskt utlämnande
Åtskillnaden mellan direktåtkomst och annat utlämnande i elektronisk form
En särskild delfråga i utredningsuppdraget har varit att överväga om det finns anledning att behålla en rättslig åtskillnad mellan olika former av elektroniskt utlämnande av personuppgifter eller om denna åtskillnad bör utmönstras. Vad detta handlar om är den i registerförfattningar vanliga åtskillnaden mellan regler som gäller för direktåtkomst och utlämnande på medium för automatiserad behandling – eller som vi kallar det – annat utlämnande i elektronisk form. Som regel föreskrivs betydligt snävare förutsättningar för utlämnande genom direktåtkomst.
Vi har ingående analyserat denna fråga och kommit till slutsatsen att en begreppsmässig skillnad mellan å ena sidan direktåtkomst och å andra sidan annat utlämnande i elektronisk form bör behållas. Direktåtkomst innebär rättsligt sett att gränsen mellan de uppgiftsutbytande myndigheterna i viss omfattning tas bort, vilket inte är konsekvensen av ett annat elektroniskt utlämnande. Hur den mottagande myndigheten väljer att använda direktåtkomsten har den utlämnande myndigheten inte någon befogenhet att påverka, eftersom de handlingar som omfattas av åtkomsten redan har lämnats ut. Korresponderande sekretessfrågor måste därför vara lösta på förhand liksom behov av sökbegränsningar hos den mottagande myndigheten, vilket kan medföra krav på lagstiftningsåtgärder. Både principiella och rättsliga skäl talar därför för att en åtskillnad görs. Direktåtkomst medför också krav på förberedande analyser och åtgärder ur verksamhets- och personuppgiftsansvarsperspektiv, bl.a. i fråga om tekniskt genomförande och säkerhet. Varken den tekniska utvecklingen eller effektivitetsvinster och integritetsrisker som kan förknippas med olika åtkomstmetoder utgör vidare skäl för att utmönstra den begreppsmässiga åtskillnaden. Om en åtskillnad inte görs mellan direktåtkomst och annat elektroniskt utlämnande finns en risk för att de särskilda frågor om skydd och ansvarsfördelning, som sammanhänger med att myndigheternas gränser öppnas upp genom en direktåtkomst, inte får tillräcklig uppmärksamhet. En väl genomtänkt och genomförd direktåtkomst behöver emellertid inte innebära större risker för den
enskildes integritet än annat elektroniskt utlämnande av personuppgifter.
Ett sådant utlämnande i elektronisk form som inte är direktåtkomst innebär – oavsett på vilket sätt det sker – inte i något fall att myndigheternas verksamhet rättsligt sett blandas samman. Något behov av att rättsligt skilja olika sådana former åt finns därför inte. Skilda sätt att elektroniskt förmedla uppgifter från en myndighet till en annan kan dock innebära att olika slags säkerhetsrisker behöver beaktas.
I konsekvens med vår bedömning i dessa frågor innehåller den nya lagen olika reglering för direktåtkomst respektive annat utlämnande i elektronisk form.
Direktåtkomst
Med begreppet direktåtkomst avses, liksom hittills, en sådan teknisk tillgång till upptagningar hos annan som avses i 2 kap. 3 § andra stycket TF. Enligt den nya lagen gäller inte något allmänt krav på författningsstöd för att direktåtkomst ska kunna förekomma. Däremot föreskriver den nya lagen att direktåtkomst till sekretessreglerade personuppgifter ska ha stöd i lag eller förordning. Undantag från kravet på författningsstöd såvitt gäller sekretessreglerade personuppgifter gäller dock för direktåtkomst 1) som medges den registrerade eller dennes ombud och som tar sikte på uppgifter som hänför sig till den registrerade, 2) som medges till uppgifter som är sekretessreglerade enligt 21 kap. 7 § OSL, 3) som medges ett personuppgiftsbiträde och 4) som medges en myndighet endast för sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § TF för den utlämnande myndighetens räkning.
Överenskommelser vid direktåtkomst m.m.
I linje med vår bedömning angående varför direktåtkomst kräver särskilda överväganden och åtgärder föreskrivs i den nya lagen att en utlämnande myndighet ska göra en risk- och sårbarhetsanalys innan myndigheten medger en annan myndighet eller enskild aktör direktåtkomst till personuppgifter. Vidare ska myndigheten komma överens med mottagaren hur behövligt skydd för personuppgift-
erna ska säkerställas. Av överenskommelsen ska också framgå hur utövandet av de skyldigheter som personansvaret innefattar ska ske. Motsvarande ska gälla vid andra former av informationsutbyten som innebär behandling av personuppgifter i gemensamma eller annars integrerade informationssystem. Överenskommelsen i fråga om personuppgiftsansvarets utövande ska inte vara bindande utåt sett utan i första hand syfta till att klargöra ansvarsförhållandena mellan samarbetsparterna. Kravet på risk- och sårbarhetsanalyser och överenskommelser omfattar direktåtkomst m.m. i fråga om både offentliga och sekretessreglerade personuppgifter.
Sökbegränsning vid direktåtkomst
En särskild delfråga i uppdraget har varit att ta ställning till om sökförbud för en utlämnande myndighet bör gälla vid direktåtkomst för en mottagande myndighet. Vi har dock bedömt att det inte är ändamålsenligt att motverka eventuella risker för enskildas integritet i samband med direktåtkomst genom att föreskriva att samma sökbegränsningar alltid ska gälla för såväl den utlämnande myndigheten som den mottagande myndigheten. Det kan leda till att enskildas integritet inte skyddas i tillräcklig utsträckning, men också att en mottagande myndighets berättigade behov av att använda sig av de uppgifter som blir åtkomliga genom direktåtkomst inte kan tillgodoses. Enskildas integritet bör i stället skyddas genom att en direktåtkomst inte medges förrän noggranna överväganden har gjorts beträffande den mottagande myndighetens användning av direktåtkomsten, bl.a. beträffande vilka sökbegränsningar som den ska iaktta.
Annat utlämnande i elektronisk form
Enligt vår bedömning saknas det skäl för att införa ett grundläggande krav på att utlämnanden av personuppgifter i elektronisk form ska ha stöd i författning för att vara tillåtet. Vi har inte heller funnit skäl att generellt begränsa myndigheters möjlighet att lämna ut personuppgifter till andra myndigheter eller enskilda i elektronisk form. När det gäller utlämnanden till enskilda innehåller emellertid den nya lagen en bestämmelse som erinrar om att om en person-
uppgift får lämnas ut till en enskild, kan det ske i elektronisk form om det inte är olämpligt med hänsyn till skyddet för personuppgiften. Därmed erinras myndigheterna om att det ankommer på dem att först göra en prövning av om ett utlämnande, oavsett form, av personuppgifter är tillåtet. Om så är fallet, är utgångspunkten att det kan ske i elektronisk form.
Överföring till tredjeland
Den nya lagen innehåller två undantag från förbudet mot överföring av personuppgifter till tredjeland som saknar adekvat skyddsnivå – utöver de som följer av 34 och 35 §§ PuL – nämligen om överföringen krävs för myndighetens handläggning av ett visst ärende eller om överföringen är nödvändig för att fullgöra en uppgiftsskyldighet som följer av lag eller förordning eller avtal med annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa.
Förteckning över behandlingar
Myndigheters behandling av personuppgifter enligt den nya lagen ska inte omfattas av anmälningsskyldighet till tillsynsmyndigheten. Varje myndighet ska i stället föra en förteckning över de behandlingar som utförs med stöd av lagen. Förteckningen avses innehålla motsvarande uppgifter som en anmälan till tillsynsmyndigheten enligt 36 § PuL skulle ha innehållit. Närmare föreskrifter om förteckningens innehåll meddelas av regeringen eller myndighet som regeringen bestämmer.
Korrigering av felaktig eller otillåten behandling
Personuppgiftslagens bestämmelser om rättelse m.m. (28 §) är ett exempel på bestämmelser som utformats utan hänsyn till de särskilda förhållanden som gäller för myndigeters informationshantering. I den nya lagen finns därför en mer ändamålsenligt utformad reglering rörande korrigering genom dels en bestämmelse som tar sikte på en myndighets skyldighet att rätta felaktiga eller
ofullständiga uppgifter, dels en bestämmelse som tar sikte på skyldigheten att korrigera en behandling som av andra skäl inte är tillåten enligt lagen.
Den förstnämnda bestämmelsen föreskriver en skyldighet för en myndighet att på begäran av den registrerade rätta eller komplettera en personuppgift som rör den registrerade, om uppgiften är felaktig eller ofullständig till följd av en åtgärd som inte har sin grund i myndighetens eller någons annans bedömning, exempelvis ett förbiseendefel eller ett tekniskt fel.
Den andra bestämmelsen föreskriver att en personuppgift på begäran av den registrerade ska avskiljas från fortsatt behandling och inte lämnas ut till en enskild annat än med stöd av 2 kap. TF eller utplånas, om uppgiften rör honom eller henne och inte får behandlas enligt den nya lagen eller föreskrifter som har meddelats med stöd av den. Bestämmelsen tar sikte på korrigeringar som begärs av en registrerad och som innebär att myndigheten behöver göra en bedömning av om behandlingen är tillåten, exempelvis för att den registrerade gör gällande att uppgifter behandlas som inte är relevanta för ändamålet med behandlingen i fråga. Rätten att begära en korrigering av nu nämnt slag ska inte gälla personuppgifter i en myndighets beslut.
Tillsynsmyndighetens befogenheter
Enligt den nya lagen ska tillsynsmyndighetens åtgärder i form påpekanden eller liknande förfaranden som inte har tvingande karaktär användas endast i förebyggande syfte, dvs. om tillsynsmyndigheten konstaterat att en myndighet kan komma att behandla personuppgifter på ett olagligt sätt, och inte då det har konstaterats att en behandling av personuppgifter utförs på ett otillåtet sätt.
Vidare föreskrivs att tillsynsmyndigheten ska kunna förelägga en myndighet att uppfylla sina skyldigheter om myndigheten inte uppfyller de krav som följer av den nya lagen eller föreskrifter som meddelats med stöd av den. I föreläggandet ska anges vad tillsynsmyndigheten anser är nödvändigt för att avhjälpa de påtalade bristerna.
Tillsynsmyndigheten ska också ha befogenhet att förbjuda en myndighet att fortsätta en behandling av personuppgifter på något
annat sätt än att uppgifterna lagras. Ett sådant beslut förutsätter att myndigheten allvarligt brister i sin skyldighet att uppfylla de krav som gäller för behandlingen. Ett beslut om förbud gäller omedelbart.
Någon möjlighet för tillsynsmyndigheten att besluta om vite har inte införts i lagen.
I övrigt finns bestämmelser som motsvarar dels 43 § PuL om vilka befogenheter tillsynsmyndighetens har för att undersöka om en myndighet behandlar personuppgifter på ett tillåtet sätt, dels 47 § PuL om tillsynsmyndighetens möjlighet att hos förvaltningsrätten ansöka om utplåning av personuppgifter som har behandlats på ett olagligt sätt.
Överklagande
I lagen finns bestämmelser om överklagande av tillsynsmyndighetens respektive personuppgiftsansvariga myndigheters beslut som i princip motsvarar personuppgiftslagens överklagandebestämmelser (51–53 §§ PuL).
Sekretessfrågor
I 10 kap. OSL föreslås införas en generellt sekretessbrytande bestämmelse som innebär att föreskrifter i lag eller förordning om direktåtkomst för myndigheter i sig får en sekretessbrytande effekt. Därigenom kommer det inte längre att behövas särskilda sekretessbrytande bestämmelser för att möjliggöra direktåtkomst enligt den ordning som i dag vanligtvis tillämpas. För att en bestämmelse om direktåtkomst ska ha sekretessbrytande effekt enligt den nya bestämmelsen krävs dock att den har en sådan konkretion att det framgår i fråga om vilka uppgifter sekretessen bryts. Den sekretessbrytande bestämmelsen omfattar inte direktåtkomst som medges utländska myndigheter eller enskilda.
Vi har som en särskild delfråga haft att överväga om det finns anledning att ändra 6 kap. 5 § OSL – som föreskriver en grundläggande skyldighet att på begäran lämna uppgifter till andra myndigheter – för att den ska stå i bättre överensstämmelse med användningsbegränsningar som kan förekomma i samband med internationella åtaganden. Vi har dock vid vår analys av frågan inte
funnit något tillräckligt stort praktiskt behov av en sådan ändring. Vi har därför inte föreslagit någon ändring i 6 kap. 5 § OSL.
Konsekvenser
Införandet av en samlad lag med anslutande reglering i bilaga eller förordning är ett långsiktigt arbete. Regleringen kan inte i ett slag ersätta befintliga registerförfattningar vid införandet. Syftet är emellertid att ett antal registerförfattningar efter hand ska kunna upphävas eller i vart fall förenklas betydligt. Eventuella kvarstående behov av särreglering ska vidare kunna infogas i den samlade regleringen. Det kräver emellertid närmare analyser och avvägningar angående behovet av fortsatta särregler på olika områden och på vilken normnivå dessa särregler i förekommande fall bör ges.
Initialt kommer därför lagen att vid ikraftträdandet gälla fullt ut bara för de myndigheter eller i de verksamheter som då endast behandlar personuppgifter med stöd av personuppgiftslagen. Detta innebär en viss omställning för dessa myndigheter. Vi bedömer dock att denna omställning inte är större eller kräver mer anpassningar än att den kan mötas med en väl tilltagen tid för ikraftträdandet och ett fåtal övergångsbestämmelser. Enligt vårt förslag bör den nya lagen träda i kraft den 1 januari 2017.
När den samlade regleringen väl är genomförd även beträffande översynen av de nuvarande registerförfattningarna bedömer vi att den samlade regelmassan kommer att minska betydligt. Genom att särreglering i fortsättningen utformas enhetligt och samordnat utifrån en gemensam systematik underlättas samarbete över myndighetsgränser. Flexibiliteten i regleringen ökar vidare genom vår ambition att fler frågor ska regleras i förordning. En på detta sätt samlad och därmed mer enhetlig och tydligare reglering kommer också att vara till gagn för offentlighet och insyn och ökar förutsättningarna att anpassa offentlighetsprincipen till moderna tekniska kommunikationsformer. Anpassningen till en kommande uppgiftsskyddsförordning underlättas också, då vad som hittills är känt om förhandlingarna inom unionen tyder på att den samlade regleringen utan alltför genomgripande förändringar kan anpassas till att utgöra ett komplement till förordningen.
1. Författningsförslag
1.1. Förslag till myndighetsdatalag
Härigenom föreskrivs följande.
Lagens syfte och tillämpningsområde
1 § Syftet med denna lag är att ge myndigheter möjligheter att behandla personuppgifter på ett ändamålsenligt sätt i deras verksamheter och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
2 § Denna lag gäller vid myndigheters behandling av personuppgifter.
Lagen gäller om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
3 § Lagen ska inte tillämpas vid behandling av personuppgifter i
1. en myndighets administrativa verksamhet,
2. en myndighets verksamhet som personuppgiftsbiträde, eller
3. den verksamhet som bedrivs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.
Förhållandet till annan författning
4 § Om det i en annan lag eller förordning än som avses i 5 § finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla.
5 § Om inte annat anges i 6 § gäller denna lag i stället för personuppgiftslagen (1998:204) eller föreskrifter som meddelats i anslutning till den lagen.
6 § Följande bestämmelser i personuppgiftslagen (1998:204) ska tillämpas på motsvarande sätt när personuppgifter behandlas enligt denna lag eller föreskrifter som meddelats med stöd av den:
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen m.m.,
3. 9 § om grundläggande krav på behandlingen,
4. 13, 15, 16, 18 och 19 §§ om känsliga personuppgifter,
5. 23 och 25 §§ om information till den registrerade som ska lämnas självmant,
6. 26 § om information till den registrerade som ska lämnas efter ansökan,
7. 33–35 §§ om överföring av personuppgifter till tredjeland,
8. 38 och 40 §§ om personuppgiftsombud, och
9. 48 § om skadestånd. I 23 § finns bestämmelser om undantag från informationsskyldigheten enligt första stycket 5 och 6.
Personuppgiftsansvar
7 § En myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även behandling som en myndighet utför genom direktåtkomst till personuppgifter hos en annan myndighet eller enskild.
När behandling kan tillåtas
8 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet ska kunna utföra sin verksamhet.
9 § Behandling som är tillåten enligt denna lag eller föreskrifter som meddelats med stöd av den får utföras även om den registrerade motsätter sig behandlingen.
Särskilda kategorier av personuppgifter
10 § Utöver vad som följer av 15, 16, 18 och 19 §§personuppgiftslagen (1998:204) får känsliga personuppgifter behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av det eller om uppgifterna behandlas endast i löpande text.
11 § Personnummer eller samordningsnummer får tas in i ett beslut endast om beslutet rör en enskilds identitet eller motsvarande personliga förhållanden, det är nödvändigt för att beslutet ska kunna verkställas eller det krävs med hänsyn till beslutande myndighets behov av identifieringsuppgifter.
Sökförbud
12 § Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening liksom uppgifter som rör hälsa eller sexualliv får användas som sökbegrepp endast om det är tillåtet enligt föreskrifter som tagits in i bilaga till denna lag eller i annan lag eller förordning.
Vad som sägs i första stycket gäller inte vid en sökning i en viss handling eller i ett visst ärende.
Elektroniskt utlämnande
Direktåtkomst
13 § Direktåtkomst till personuppgifter som är sekretessreglerade är tillåten endast i den utsträckning som anges i bilaga till denna lag eller i annan lag eller förordning. Med sekretessreglerade uppgifter avses detsamma som i offentlighets- och sekretesslagen (2009:400).
Vad som sägs i första stycket gäller inte direktåtkomst som medges
1. den registrerade eller dennes ombud till uppgifter som hänför sig till den registrerade,
2. till personuppgifter som är sekretessreglerade enligt 21 kap. 7 § offentlighets- och sekretesslagen,
3. ett personuppgiftsbiträde, eller
4. en myndighet endast för sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § första stycket tryckfrihetsförordningen för den utlämnande myndighetens räkning.
14 § Innan en myndighet medger direktåtkomst till personuppgifter ska myndigheten göra en risk- och sårbarhetsanalys och komma överens med mottagaren av personuppgifterna hur skyddet för personuppgifterna ska säkerställas. Av överenskommelsen ska också framgå hur utövandet av de skyldigheter som personuppgiftsansvaret innefattar ska ske.
Vad som sägs i första stycket ska i tillämpliga delar även gälla då en myndighet på annat sätt än genom direktåtkomst samarbetar med andra myndigheter eller enskilda på sätt som innebär behandling av personuppgifter i gemensamma eller annars integrerade informationssystem.
Annat utlämnande i elektronisk form
15 § Får en personuppgift lämnas ut till en enskild, kan det ske i elektronisk form om det inte är olämpligt med hänsyn till skyddet för personuppgiften.
Överföring till tredjeland
16 § Utöver vad som följer av 34 § personuppgiftslagen (1998:204) eller av föreskrifter eller beslut som meddelats med stöd av 35 § samma lag får personuppgifter överföras till tredjeland som saknar adekvat skyddsnivå, om
1. överföringen krävs för handläggningen av ett visst ärende, eller
2. överföringen är nödvändig för att fullgöra en uppgiftsskyldighet som följer av lag eller förordning eller avtal med annan stat eller
mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa.
Säkerhet vid behandlingen
17 § En myndighet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som behandlas.
Säkerhetsarbetet ska omfatta förebyggande, löpande och uppföljande åtgärder samt åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas. Vid utformningen av säkerhetsåtgärderna ska myndigheten även beakta bestämmelser om informationssäkerhet i annan författning som gäller för myndigheten.
18 § Tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter.
Personuppgiftsbiträde
19 § Ett personuppgiftsbiträde eller den som arbetar under biträdets ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvariga myndigheten. Detta gäller även för biträden som anlitats av ett personuppgiftsbiträde.
20 § När en myndighet anlitar ett personuppgiftsbiträde, ska myndigheten förvissa sig om att biträdet
1. ser till att personuppgifter behandlas bara i enlighet med instruktioner från myndigheten,
2. kan genomföra de säkerhetsåtgärder som avses i 17 § och som måste vidtas till skydd för de personuppgifter som biträdet behandlar,
3. fortlöpande vidtar säkerhetsåtgärderna, och
4. inte anlitar annat biträde utan godkännande från myndigheten.
21 § Det ska finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för myndighetens räkning. Avtalet ska innehålla instruktioner och villkor om personuppgiftsbiträdets
skyldigheter i frågor som avses i 19 och 20 §§. Motsvarande avtal ska finnas med ett biträde som anlitats av ett personuppgiftsbiträde.
Förteckning över behandlingar
22 § En myndighet ska föra en förteckning över de behandlingar som myndigheten utför med stöd av denna lag.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla.
Undantag från informationsskyldigheten
23 § Bestämmelserna i 23, 25 och 26 §§personuppgiftslagen (1998:204) ska inte tillämpas i den utsträckning som en uppgift inte får lämnas ut till den registrerade på grund av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller föreskrifter som meddelats med stöd av den lagen.
Bestämmelserna i 26 § personuppgiftslagen behöver inte tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.
Korrigering av felaktiga personuppgifter eller annars otillåten behandling
24 § En personuppgift ska på begäran av den registrerade rättas eller kompletteras om uppgiften rör honom eller henne och den är felaktig eller ofullständig till följd av en åtgärd som inte har sin grund i myndighetens eller någon annans bedömning.
25§ En personuppgift ska på begäran av den registrerade avskiljas
från fortsatt behandling och inte lämnas ut till en enskild annat än med stöd av 2 kap. tryckfrihetsförordningen eller utplånas, om uppgiften rör honom eller henne och den inte får behandlas enligt denna lag.
Vad som sägs i första stycket gäller inte personuppgifter i ett beslut.
Tillsynsmyndighetens befogenheter
26 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
1. tillgång till de personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och
3. tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.
27 § Om tillsynsmyndigheten konstaterar att en myndighet kan komma att behandla personuppgifter på ett olagligt sätt, ska tillsynsmyndigheten genom påpekanden eller andra åtgärder som inte är tvingande försöka åstadkomma att myndigheten uppfyller sina skyldigheter enligt denna lag eller föreskrifter som meddelats med stöd av den.
28 § Tillsynsmyndigheten får förelägga en myndighet att uppfylla sina skyldigheter, om myndigheten inte uppfyller de krav som följer av denna lag eller föreskrifter som meddelats med stöd av den.
Av föreläggandet ska framgå vad tillsynsmyndigheten anser är nödvändigt för att avhjälpa de påtalade bristerna.
29 § Om en myndighet allvarligt brister i sin skyldighet att uppfylla de krav som gäller för en behandling av personuppgifter som myndigheten utför, får tillsynsmyndigheten förbjuda myndigheten att fortsätta behandlingen på något annat sätt än att personuppgifter lagras. Ett beslut om förbud mot fortsatt behandling gäller omedelbart.
30 § Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.
Bemyndiganden
31 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om
1. när behandling av personuppgifter är tillåten,
2. vilka krav som ställs på en personuppgiftsansvarig myndighet, och
3. att känsliga personuppgifter får behandlas om det behövs med hänsyn till ett viktigt allmänt intresse.
Regeringen får meddela föreskrifter om begränsningar av möjligheterna att använda andra sökbegrepp än de som avses i 12 §.
Överklaganden
32 § Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får överklagas till allmän förvaltningsdomstol.
Tillsynsmyndigheten får bestämma att dess beslut ska gälla även om det överklagas.
33 § Beslut om rättelse eller komplettering enligt 24 §, om avskiljande eller utplåning enligt 25 § och om information enligt 26 § personuppgiftslagen (1998:204) får överklagas till allmän förvaltningsdomstol.
Första stycket gäller inte för beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.
34 § Andra beslut enligt denna lag än sådana som avses i 32 § och 33 § första stycket får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 2017.
2. Bestämmelserna i 21 § ska inte börja tillämpas förrän den 1 januari 2019 i fråga om avtal som ingåtts före ikraftträdandet.
3. Bestämmelserna i 28 § personuppgiftslagen (1998:204) ska tillämpas i stället för 24 och 25 §§ i fråga om en begäran som gjorts före ikraftträdandet.
1.2. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 10 kap. 28 § offentlighets- och sekretesslagen ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 kap.
28 §
Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.
Sekretess hindrar inte heller att en uppgift lämnas till en annan myndighet genom direktåtkomst enligt vad som föreskrivs i lag eller förordning.
Ytterligare sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess finns i anslutning till berörda sekretessbestämmelser i avdelning IV–VI.
Denna lag träder i kraft den 1 januari 2017.
2. Vårt uppdrag och arbete
2.1. Uppdraget
Vi har haft som övergripande uppdrag att se över den s.k. registerlagstiftningen, som kompletterar personuppgiftslagen (1998:204) och innehåller bestämmelser om statliga och kommunala myndigheters behandling av personuppgifter. Detta ska ske genom att utreda förutsättningarna för att skapa en generell, enhetlig och – helt eller i vart fall delvis – samlad reglering för myndigheternas personuppgiftsbehandling. Om vi bedömer att det finns sådana förutsättningar ska vi lämna de författningsförslag som vi anser vara motiverade.
Det fastlagda målet för vårt arbete är att regleringen ska utgöra en tydlig och lättillämpad helhet tillsammans med tryckfrihetsförordningen och offentlighets- och sekretesslagen. På så sätt skapas rättsliga förutsättningar för en mer effektiv e-förvaltning, där såväl den enskildes rätt till personlig integritet som allmänhetens berättigade anspråk på insyn i den offentliga verksamheten tillgodoses.
De förslag som lämnas ska vidare vara anpassade till det pågående arbetet inom EU med att reformera den unionsrättsliga dataskyddsregleringen utifrån kommissionens förslag den 25 januari 2012 till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning). Personuppgiftsbehandling inom den brottsbekämpande verksamheten omfattas inte av vårt uppdrag.
I uppdraget ingår att göra en översiktlig inventering av registerförfattningarna. Vidare ingår ett antal särskilda delfrågor. En av dessa – om det finns anledning att ändra definitionen av begreppet allmän handling i tryckfrihetsförordningen i fråga om uppgifter som en myndighet har tillgång till genom s.k. direktåtkomst hos en annan myndighet eller genom liknande former av elektroniskt utlämnande –
har vi redovisat genom delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90). Bland återstående delfrågor finns frågan om det finns skäl att behålla den rättsliga åtskillnaden mellan olika former av elektroniskt utlämnande samt frågan om det finns anledning att justera 6 kap. 5 § OSL, som föreskriver en skyldighet att lämna uppgift till annan myndighet, så att bestämmelsen står i bättre överensstämmelse med förekomsten av användningsbegränsningar i internationella avtal m.m.
Enligt våra ursprungliga direktiv skulle vårt arbete med översynen av registerförfattningarna utmynna i utarbetandet av en generell regleringsmodell för hur registerförfattningar bör struktureras, vilka begrepp som bör användas och hur begreppen bör definieras. Med en generell modell som mall skulle vi lämna konkreta förslag till registerförfattningar – modellregleringar – inom tre olika verksamhetsområden. Avsikten var att regeringen i tilläggsdirektiv, efter att ha inhämtat synpunkter från utredaren, skulle närmare ange vilka verksamhetsområden som regleringsmodellen skulle appliceras på.
Hösten 2013 lämnade vi i en framställning till regeringen några synpunkter på inriktningen av det fortsatta arbetet. I framställningen lyfte vi fram två faktorer som vi menade borde beaktas i våra kommande tilläggsdirektiv.
Den första faktorn var att vi under vårt arbete med att inventera registerförfattningarna och identifiera vilka närmare problemområden som fanns hade uppmärksammat att den övergripande problembilden med registerförfattningarna inte bara sammanhängde med utformningen av författningarna utan också med det förhållandet att den allmänna regleringen i personuppgiftslagen i ett flertal avseenden är utformad utan hänsyn till de särskilda förhållanden som gäller för myndigheternas personuppgiftsbehandling. Vi identifierade alltså ett behov av att behandla frågor som inte är begränsade till registerförfattningsreglerade områden utan som gäller generellt inom myndighetsområdet.
Den andra faktorn var att det efter hand föreföll allt mer angeläget att anpassa det fortsatta utredningsarbetet till det parallellt pågående reformarbetet beträffande den unionsrättsliga dataskyddsregleringen innefattande det förslag till ny förordning som kommissionen hade lämnat en tid efter det att våra första direktiv beslutats.
Den 6 mars 2014 beslutades tilläggsdirektiv med bl.a. ändrad inriktning av uppdraget vad gäller metoden för översynen och inrikt-
ningen på vad arbetet ska utmynna i. Direktiven till utredningen (dir. 2011:86, 2014:31 och 2014:147) finns intagna i betänkandet som bilagorna 1–3.
2.2. Utredningsarbetet
Vårt delbetänkande
Vårt arbete inleddes med att behandla delfrågan om en eventuell ändring av begreppet allmän handling i tryckfrihetsförordningen. Den närmare frågeställningen gällde om det fanns anledning att inskränka handlingsoffentligheten såvitt avsåg överskottsinformation vid direktåtkomst. Med överskottsinformation avsågs i det sammanhanget externt tillgängliga personuppgifter som en mottagande myndighet vid direktåtkomst till en annan myndighets elektroniska informationssamling tekniskt sett har tillgång till men som den mottagande myndigheten antingen inte får ta del av i ett enskilt fall, därför att vissa rättsliga förutsättningar inte föreligger, eller får men faktiskt ännu inte har tagit del av i sin verksamhet. Frågeställningen bottnar i det förhållandet att det för frågan om vilka elektroniska upptagningar som en myndighet förvarar, och därmed vad som konstituerar en allmän handling, inte spelar någon roll om en mottagande myndighet i ett enskilt fall faktiskt har utnyttjat möjligheten att söka fram en upptagning eller inte. Redan det förhållandet att det går att göra detta räcker för att upptagningen ska bli en allmän handling hos den mottagande myndigheten. Överskottsinformation uppstår därför att det när direktåtkomst etableras inte går att på förhand avgöra exakt vilka specifika uppgifter i den utlämnande myndighetens informationssamlingar som en mottagande myndighet i konkreta fall kommer att behöva ta del av.
Vår samlade bedömning blev att en grundlagsändring med sikte enbart på överskottsinformation vid direktåtkomst inte borde föreslås. Däremot förordade vi – med anledning av ytterligare problemställningar som vi stötte på vid sidan om den grundlagsfråga som omfattades av vårt uppdrag – en allmän översyn av begreppet inkommen allmän handling i den elektroniska miljön.
Mot bakgrund av att vi inte föreslog en grundlagsändring behandlade vi i delbetänkandet frågan om sekretess för överskottsinformation hos mottagande myndigheter. Vi fann därvid att bestäm-
melsen om överföring av sekretess vid direktåtkomst enligt 11 kap. 4 § OSL i och för sig är ändamålsenligt utformad men att konstruktionen för konkurrensbestämmelsen i 11 kap. 8 § OSL – om att s.k. primär sekretess hos en mottagande myndighet ska tillämpas i stället för en överförd sekretess – medför en risk för att överskottsinformation får ett försämrat sekretesskydd hos mottagande myndigheter. Vi fann också att en sådan försämring inte är motiverad utifrån något insynsintresse. Vi föreslog därför en justering av 11 kap. 8 § OSL av innebörd att en från den utlämnande myndigheten överförd sekretessreglering ska tillämpas på överskottsinformation om den mottagande myndigheten enligt lag eller förordning inte får behandla informationen och en tillämpning av offentlighets- och sekretesslagens huvudregel om konkurrens mellan sekretessbestämmelser i 7 kap. 3 § OSL leder till att uppgifterna i fråga är sekretessbelagda enligt den överförda sekretessregleringen.
Arbetet med grundlagsfrågan om överskottsinformation vid direktåtkomst avslutades genom att vi i januari 2013 lämnade ovan nämnda delbetänkande. Under denna del av vårt arbete fanns det en parlamentarisk referensgrupp knuten till utredningen.
Arbetets bedrivande efter delbetänkandet
Utredningens fortsatta arbete har bedrivits på sedvanligt sätt med regelbundna sammanträden med expertgruppen. Första sammanträdet i det återstående uppdraget hölls den 25 januari 2013. Därefter har ytterligare tio sammanträden hållits. Även informella kontakter inom utredningen har förekommit.
Under den aktuella utredningstiden har utredaren samrått med E-delegationen (N Fi 2009:01), Uppgiftslämnarutredningen (N 2012:01) och PSI-utredningen (S 2013:02). Samråd har vidare ägt rum med de myndigheter som anges i direktiven. Vi har också sammanträffat med samtliga justitieombudsmän, Riksarkivet och Försäkringskassan.
Sekretariatet har besökt eller haft andra särskilda möten med Ehälsomyndigheten, Justitiekanslern, Lantmäteriet, Myndigheten för samhällsskydd och beredskap, Skatteverket, Sveriges Kommuner och Landsting, samt Transportstyrelsen. Sekretariatet har också träffat företrädare för näringslivet. Nämnda möten har i allt väsentligt syftat
till att inhämta information och synpunkter i frågor som rör utredningsuppdraget.
För att få ytterligare underlag i vårt översynsarbete har vi inbjudit myndigheter, enskilda företag och andra intressenter att lämna synpunkter och bidra med erfarenheter utifrån ett antal frågeställningar rörande registerförfattningar. Vi fick därvid bistånd av E-delegationen och Sveriges Kommuner och Landsting med att sprida frågorna till möjliga intressenter. Svar inkom från såväl statliga som kommunala myndigheter. Även ett antal näringsidkare besvarade frågeställningarna, såsom Bisnode och Upplysningscentralen (UC) vilka båda bedriver verksamhet med s.k. vidareutnyttjande av offentlig information.
Datainspektionen och Myndigheten för samhällsskydd och beredskap har bistått utredningen med underlag angående frågor om informationssäkerhet och skydd för personuppgifter.
Härutöver har sekretariatet haft samråd eller annan dialog med ett flertal andra utredningar, bl.a. Utredningen om rätt information i vård och omsorg (S 2011:13), Statistikutredningen 2012 (Fi 2011:05), Utredningen om personuppgiftsbehandlingen vid ISF (S 2013:13), E-hälsokommittén (S 2013:17), Integritetskommittén (Ju 2014:09) och 2014 års Utlänningsdatautredning (Ju 2014:11).
Utredare och sekretariat har deltagit i olika konferenser och seminarier med anknytning till utredningsuppdraget.
Arbetet har bedrivits med aktivt deltagande av och i samråd med experterna. Med hänsyn till detta redovisas arbetet i denna del av vårt uppdrag med användande av vi-form, även om det inte funnits fullständig samsyn i alla delar.
2.3. Slutbetänkandets disposition m.m.
Framställningen i det följande inleds med en allmän bakgrund där vi i kapitel 3 redogör kort för bl.a. it-politik, gällande rätt och kommissionens förslag till uppgiftsskyddsförordning. I kapitel 4 beskrivs översiktligt registerlagstiftningsområdet och vår inventering av detta. I kapitel 5 redovisas våra överväganden angående delfrågan om det finns skäl att behålla den rättsliga åtskillnaden mellan olika former av elektroniskt utlämnande. I kapitel 6 behandlas delfrågan om det finns anledning att justera 6 kap. 5 § OSL med anledning av före-
komsten av användningsbegränsningar i internationella avtal m.m. I återstående kapitel, kapitel 7–21, redovisas våra överväganden och förslag i fråga om en generell, enhetlig och samlad reglering för myndigheters behandling av personuppgifter.
I viss utsträckning förekommer en del upprepningar vad gäller redovisning av gällande rätt m.m. Avsikten med detta är att underlätta separat läsning av varje kapitel utan alltför omfattande hänvisningar till tidigare kapitel i betänkandet.
Det kan observeras att vi i det följande omväxlande använder termerna persondataskyddsreglering och dataskyddsreglering som benämning på det rättsområde med särskild inriktning på att reglera behandling av personuppgifter som är helt eller delvis automatiserad eller som ingår i manuella register. Någon betydelseskillnad mellan termerna är inte avsedd.
Det kan också noteras att vi i det följande använder benämningen ”brottsbekämpande verksamhet” i en tämligen vidsträckt bemärkelse. Vad som avses är sådan verksamhet som inte omfattas av kommissionens förslag till uppgiftsskyddsförordning utan av ett förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter.
ALLMÄN BAKGRUND
3. Allmänna förutsättningar
3.1. It-politik m.m.
3.1.1. Informationssamhället och den offentliga förvaltningen
Elektronisk informationshantering infördes förhållandevis tidigt i den svenska offentliga förvaltningen. Välfärdsstatens socialförsäkringsprogram förutsatte bl.a. en automatiserad registerföring av hög standard. Myndigheterna byggde därför tidigt upp olika typer av dataregister som blev centrala i verksamheten. Utveckling av s.k. eförvaltning blev också tidigt ett viktigt medel för att genomföra besparingar och effektiviseringar i förvaltningen. När internet introducerades på 1990-talet hade myndigheterna redan en relativt hög teknikmognad och e-tjänster blev ett sätt att underlätta kontakten utåt. Elektroniskt informationsutbyte kunde vidare ersätta andra metoder att utbyta information mellan myndigheter (se bl.a. SOU 2009:86 s. 33 f.).
Vid tiden för millennieskiftet konstaterade regeringen att samhället stod mitt uppe i en samhällsomvandling och man talade om ”den digitala revolutionen” eller ”IT-revolutionen” (prop. 1999/2000:86 s. 13). Regeringen konstaterade vidare att informationstekniken snart skulle komma att finnas representerad överallt i samhället och ”informationssamhället” blev ett begrepp. Som itpolitiskt mål sattes att Sverige som första land skulle bli ett informationssamhälle för alla. Vidare fastslogs strategin för 24-timmarsmyndigheter som skulle vara elektroniskt tillgängliga dygnet runt för informationsinhämtande, ärendehantering eller annan service (a. prop. s. 24 och s. 100 f.). Syftet var att myndigheterna skulle öka tillgängligheten av tjänsteutbudet. Strategin byggde på en redan framgångsrik tradition där myndigheterna själva bestämde hur it bäst skulle användas för att utveckla verksamheten.
Flertalet myndigheter har numera webbaserade e-tjänster som vänder sig till medborgare och företag. Några exempel är Skatteverkets och Försäkringskassans e-tjänster för skattedeklarationer, begäran om sjukpenning m.m. Hos många kommuner kan invånarna via internet ha kontakt med vård och skola, ansöka om ekonomiskt bistånd eller bygglov m.m. Vid årsskiftet 2013/14 hade ca 30 procent av myndigheterna s.k. mobila appar, drygt 70 procent använde sociala medier i kontakten med enskilda och över hälften av myndigheterna använde sig av s.k. molntjänster i någon form (Skr. 2013/14:155 s. 27). Digitala ärendehanteringssystem där all information i ett ärende samlas i en elektronisk akt blir allt vanligare. Ett digitalt ärendehanteringssystem består normalt av ett elektroniskt diarium, ett elektroniskt system för handläggning i elektroniska akter där även skannade inlagor på papper lagras och ett digitalt arkiv. I dag används it både för att hantera information om verksamheten och som en del i verksamheten som sådan. Inom exempelvis den offentliga hälso- och sjukvården sker såväl vårddokumentation, patientjournalföring m.m. som faktiskt utförande av vård, t.ex. vid ultraljudsundersökningar och operationer, med användning av it.
3.1.2. Aktuell it-politik och strategi
Ett nytt mål för it-politiken beslutades av riksdagen 2011 (prop. 2011/2012:1, 2011/12:TU1). Målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att uppnå detta krävs ökad digital delaktighet så att fler vill och vågar använda digitala tjänster. Det krävs även fler tjänster som gör att människor upplever att de verkligen har nytta av att använda internet. Ett delmål är att Sverige ska ha bredband i världsklass. Alla hushåll och företag bör ha goda möjligheter att använda sig av elektroniska samhällstjänster och service via bredband (prop. 2009/10:193). Målet gäller fortfarande (2014/15:TU1 s. 15 f., jfr prop. 2014/15:1 utgiftsområde 22 s. 126).
I september 2011 beslutade regeringen om en ny strategi för itpolitiken, It i människans tjänst – en digital agenda för Sverige (dnr N2011/342/ITP). Agendan är en sammanhållen strategi för itpolitiken som syftar till att statens befintliga resurser ska utnyttjas
bättre. I den digitala agendan har regeringen presenterat ambitioner och insatser som tillvaratar de möjligheter som digitaliseringen ger. För att nå det ovannämnda it-politiska målet har med utgångspunkt i it-användarens perspektiv fyra strategiska områden identifierats i agendan: 1. lätt och säkert att använda, 2. tjänster som skapar nytta, 3. det behövs infrastruktur och 4. it:s roll för samhällsutvecklingen.
I juni 2012 tillsatte regeringen Digitaliseringskommissionen som har i uppdrag att verka för att det it-politiska målet i agendan uppnås och att regeringens ambitioner inom området fullföljs (dir. 2012:61). En del av kommissionens uppdrag är att ta fram indikatorer för att mäta måluppfyllelsen. Slutredovisning av uppdraget ska ske senast den 31 december 2015.
3.1.3. Förvaltningspolitik och e-förvaltning
Hur den offentliga förvaltningen utvecklas, organiseras och styrs har stor betydelse för myndigheternas informationshantering. I 2010 års förvaltningspolitiska proposition lade regeringen fram mål och riktlinjer för det fortsatta arbetet med i första hand den statliga förvaltningen. Det övergripande målet för förvaltningspolitiken ska vara en innovativ och samverkande statsförvaltning som är rättssäker och effektiv, har en väl utvecklad kvalitet, service och tillgänglighet och därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete. Målet har antagits av riksdagen och är alltjämt gällande (prop. 2009/10:175 samt prop. 2014/15:1 utgiftsområde 2). Samverkan, inte minst myndigheter emellan, ska ytterligare utvecklas, dels av effektivitetsskäl, dels för att medborgare, företagare och andra förväntar sig att staten uppträder samordnat. Förstärkt samverkan mellan statsförvaltningen och kommunerna inom vissa områden finns också på den förvaltningspolitiska dagordningen. Elektronisk förvaltning (e-förvaltning) ska bidra till det förvaltningspolitiska målet.
E-förvaltning är ett begrepp som används för att beskriva en form av verksamhetsutveckling inom den offentliga förvaltningen som innebär att myndigheterna drar nytta av it och kombinerar den nya tekniken med organisatoriska förändringar och satsningar på kompetensutveckling i syfte att förbättra effektiviteten i sina respek-
tive verksamheter. Benämningen e-förvaltning används också för att beskriva statsförvaltningens användning av it för utbyte av information och tjänster med medborgare, företag och andra delar av förvaltningen. E-förvaltning är också en viktig del i den digitala agendans strategiska område 2. ”tjänster som skapar nytta”.
I januari 2008 fastställde regeringen en nationell handlingsplan för den svenska e-förvaltningen (Fi2008/491). I denna anges det övergripande målet för e-förvaltningen vara att arbetet ska leda till att det ska vara så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service. Service till medborgare och företag står i fokus. Det övergripande målet ska uppnås med hjälp av insatser inom följande fyra områden; regelverk för myndighetsövergripande samverkan och informationshantering, tekniska förutsättningar och it-standardisering, gemensamma verksamhetsstöd, kompetensförsörjning och samlad uppföljning samt förvaltningens kontakter med medborgare och företag. Det gemensamma arbetet är inriktat mot tre målbilder; en enklare vardag för företag och privatpersoner, en öppnare och smartare förvaltning som stödjer innovation och delaktighet samt en effektivare offentlig verksamhet (prop. 2011/12:1 utgiftsområde 22 s. 85). I mars 2009 tillsattes E-delegationen som ett led i genomförandet av handlingsplanen för e-förvaltning.
Den 17 december 2012 presenterade regeringen en ny strategi: Med medborgaren i centrum – Regeringens strategi för en digitalt samverkande statsförvaltning (N2012/6402/ITP). I strategin beskrivs regeringens målsättningar för arbetet med att styra och förstärka myndigheternas förmåga att samverka digitalt i förvaltningsgemensamma it-frågor. Den enskilda medborgarens och företagarens behov ska därvid vara i centrum för utvecklingen av framtidens digitala samhällsservice. Fler förvaltningsgemensamma digitala tjänster ska bidra till att förenkla vardagen för privatpersoner och företag. De ska utformas efter användarnas behov, vara enkla och säkra att använda och lätta för medborgare att hitta. Genom att göra det lättare att hitta och använda sådan statlig information som kan vidareutnyttjas och sådana statliga tjänster som har gränssnitt som kan användas av andra system ska innovation stödjas. Publicering av offentlig information via internet och användning av sociala medier ska öka möjligheterna till insyn och delaktighet. Kvaliteten och effektiviteten i statsförvaltningen ska öka genom standardiserad
informationshantering, förbättrad informationssäkerhet och digitaliserade processer. En viktig utgångspunkt i all utveckling av statsförvaltningens tjänster är att effektivitet och service alltid måste vägas mot skyddet för den enskildes integritet och behov av sekretesskydd. Målen ska ligga till grund för regeringens koordinering och prioritering av förvaltningsgemensamma utvecklingsprojekt.
I budgetpropositionen för 2015 annonserade regeringen en förstärkt styrning och samordning av den övergripande it-användningen i statsförvaltningen genom en fyraårig satsning under åren 2015–2018. Syftet är att nå målen för e-förvaltningen samt främja utvecklingen och användningen av gemensamma lösningar. Satsningen omfattar ett flertal insatser, bl.a. avser regeringen öka styrningen av myndigheters anslutning till gemensamma e-tjänster och peka ut förvaltningsansvar för gemensamma lösningar och förmågor som krävs för en digitalt samverkande förvaltning. Vidare ska uppföljningen av myndigheternas it-användning förstärkas. I december 2014 beslutade riksdagen tillföra ytterligare medel till satsningen (2014/15:TU1 s. 51 anslaget 2:6 Gemensamma e-förvaltningsprojekt av strategisk betydelse, jfr prop. 2014/15:1 utgiftsområde 2 s. 68 och utgiftsområde 22 s. 148 f.).
I vårt delbetänkande Överskottsinformation vid direktåtkomst (SOU 2012:90) har vi i korthet beskrivit några exempel på aktuella aktörer och initiativ eller utvecklingsprojekt inom e-förvaltningen som pågått parallellt med vårt arbete, vi hänvisar till den beskrivningen (a. bet. s. 29 f.).
3.1.4. E-förvaltning inom EU
Inom EU bedrivs ett aktivt arbete med att främja utvecklingen av informationssamhället inom Europa. Den 29 april 2010 lade Europeiska kommissionen fram en digital agenda för Europa som är ett av sju ”flaggskeppsinitiativ” i EU:s övergripande strategi för tillväxt EU2020 (KOM[2010] 245 slutlig respektive KOM[2010] 2020 slutlig). Det huvudsakliga målet med agendan är att utveckla en digital inre marknad för att styra Europa mot en smart och hållbar tillväxt för alla. Utvecklandet av en modern e-förvaltning är en viktig del i den digitala agendan.
Den 15 december 2010 lade kommissionen fram en handlingsplan 2011–2015 för e-förvaltning (KOM[2010] 743 slutlig). Syftet med planen är att främja framväxten av en ny generation av öppna, flexibla och samverkande e-förvaltningstjänster för medborgare och företag. Dessa tjänster ska kunna öka medborgarnas och företagarnas egenmakt, öka rörligheten på den inre marknaden och sörja för att den offentliga sektorn stödjer en ekonomi baserad på framtida nätverk. Handlingsplanen identifierar fyra politiska prioriteringar. Medlemsstater ska använda e-förvaltning för följande ändamål:
1. öka medborgares och företags egenmakt, 2. öka rörligheten på den inre marknaden, 3. öka effektiviteten i offentlig sektor och 4. skapa nödvändiga möjliggörare och förutsättningar för att detta ska kunna ske.
Utöver den digitala agendan och handlingsplanen finns ett antal EU-direktiv och andra rättsakter, ytterligare handlingsplaner eller rekommendationer och pågående projekt och andra samarbeten mellan EU:s medlemsstater.
3.2. Rättslig reglering till skydd för personuppgifter
3.2.1. Internationella åtaganden avseende dataskydd
Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna m.m.
Förenta nationernas (FN) generalförsamling antog år 1948 en universell deklaration om de mänskliga rättigheterna – Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna. Deklarationen är inte formellt bindande för medlemsstaterna, men har betydelse som ett uttryck för vad den internationella opinionen kräver. I artikel 12 sägs att ingen ”må utsättas för godtyckliga ingripanden i fråga om privatliv, familj, hem eller korrespondens, ej heller angrepp på heder och anseende” samt att envar har rätt till lagens skydd mot sådana ingripanden eller angrepp. Vidare sägs i artikel 29 att endast sådana inskränkningar i de i deklarationen angivna fri- och rättigheterna är tillåtna som fastställts i lag i uteslutande syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose det demokratiska samhällets rättmätiga krav på moral, allmän ordning och allmän välfärd.
Inom FN har också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av generalförsamlingen år 1966. Sverige anslöt sig till konventionen år 1971, varefter konventionen trädde i kraft år 1976. I konventionen behandlas vad som hör till skyddet för den personliga integriteten främst i artikel 17. Enligt denna artikels punkt 1 bör ingen utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens, ej heller för olagliga angrepp på sin heder och sitt anseende. Vidare sägs i punkt 2 att envar har rätt till lagens skydd mot sådana ingripanden eller angrepp. De stater som har tillträtt konventionen åläggs således vissa skyldigheter. Ett särskilt inrättat organ benämnt Kommittén för de mänskliga rättigheterna (Human Rights Committee) övervakar att de till konventionen anslutna staterna efterlever sina skyldigheter. Förenta nationernas generalförsamling antog även år 1990 riktlinjer om datoriserade register med personuppgifter.
Europakonventionen
Den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är sedan den 1 januari 1995 inkorporerad i svensk rätt och gäller här i landet som lag (prop. 1993/94:117, 1993/94:KU24). Den har alltså inte getts ställning som grundlag. I 2 kap. 19 § RF har emellertid införts en bestämmelse om att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.
Av betydelse för skyddet för den personliga integriteten är framför allt artikel 8 i konventionen. Där stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom
tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Primärt innebär artikel 8 att staten ska avhålla sig från ingrepp i den skyddade rättigheten. Artikeln innebär även en skyldighet för staten att vidta positiva åtgärder för att skydda den enskildes privatsfär. Sådana positiva åtgärder kan utgöras av lagstiftning, men också ha till ändamål att på annat sätt tillförsäkra medborgarna skydd mot övergrepp i särskilda situationer (Hans Danelius, Mänskliga rättigheter i europeisk praxis, 4 uppl. 2012, s. 347). I sin praxis har Europadomstolen också framhållit att kravet på att ingreppet ska vara nödvändigt inte är synonymt med ”oundgängligt”. Vad som krävs är däremot att det finns ett ”angeläget samhälleligt behov”. Inskränkningen i den grundläggande rättigheten måste vidare stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Varje konventionsstat har själv en viss frihet att avgöra om en inskränkning är nödvändig. Europadomstolen förbehåller sig dock rätten att övervaka om denna frihet utnyttjas på ett rimligt sätt.
EU-domstolen har slagit fast att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av det s.k. dataskyddsdirektivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter (dom den 20 maj 2003 i mål C-465/00, C-138 och 139/01, Österreichiscer Rundfunk m.fl.)
Europarådets dataskyddskonvention
Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen (se prop. 1981/82:189). Konventionen trädde i kraft den 1 oktober 1985. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk
databehandling av personuppgifter i allmän och enskild verksamhet. I konventionen anges krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får undergå automatisk databehandling om inte den nationella lagen ger ett ändamålsenligt skydd, samt att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse. Inom Europarådet pågår en översyn av konventionen.
Inom Europarådet har vidare utarbetats ett flertal rekommendationer på dataskyddsområdet.
Riktlinjer från OECD
Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa denna. Riktlinjerna är tillämpliga på personuppgifter inom både den offentliga och privata sektorn. De gäller både för uppgifter som lagras automatiskt och som förs manuellt. Syftet är emellertid att undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av de sammanhang i vilka de används. År 2013 reviderades riktlinjerna genom införandet av vissa nyheter och förändringar.
EU:s stadga om de grundläggande rättigheterna
Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, numera är rättsligt bindande. En referens till stadgan har införts i artikel 6.1 i unionsfördraget. I stadgan bekräftas de rättig-
heter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.
I stadgans artikel 7 föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 föreskrivs vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
Stadgan riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten (artikel 51).
När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.
Dataskyddsdirektivet m.m.
Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram
som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör alltså inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Direktivet omfattar inte behandling av personuppgifter för privat bruk.
Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.
Personuppgifter får enligt direktivet behandlas bara i vissa fall. Personuppgifter får bl.a. behandlas om den registrerade otvetydigt har lämnat sitt samtycke, om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna väger tyngre än den registrerades intresse av att de inte behandlas.
Vissa särskilda i direktivet angivna kategorier av uppgifter får som huvudregel inte behandlas. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I direktivet görs dock undantag från denna regel i vissa särskilt angivna situationer, bl.a. om det finns uttryckligt samtycke från den registrerade.
Dataskyddsdirektivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver
den registeransvarige dock inte lämna någon information, om den registrerade redan känner till informationen eller om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Direktivet innehåller även regler om säkerhet vid behandlingen.
På EU-nivå finns även kompletterande rättsakter till dataskyddsdirektivet, bl.a. det s.k. dataskyddsrambeslutet med särskilda regler om skydd för personuppgifter i frågor som rör polisiärt och straffrättsligt samarbete (rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete).
För närvarande pågår inom EU en övergripande översyn av bl.a. dataskyddsdirektivet, se avsnitt 3.3.
3.2.2. Nationell reglering
Regeringsformen
Grundläggande bestämmelser om skydd för den personliga integriteten finns i regeringsformen. I målsättningsstadgandet i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. I 2 kap. 4 och 5 §§ finns bestämmelser om absolut skydd mot allvarliga fysiska integritetsintrång bl.a. döds- och kroppsstraff. Enligt 6 § samma kapitel är var och en därutöver skyddad gentemot det allmänna mot bl.a. påtvingande kroppsliga ingrepp.
Den 1 januari 2011 trädde en ny bestämmelse, 2 kap. 6 § andra stycket RF, i kraft. Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen innebär alltså att enskilda är skyddade mot åtgärder från det allmännas sida men träffar inte åtgärder som en enskild vidtar i förhållande till en annan enskild. Bakgrunden till bestämmelsen är att det ansågs finnas vissa brister i lagstiftning som innefattade intrång
i den enskildes personliga integritet. Dessa brister bestod i att de avvägningar mellan olika motstående intressen som normalt ska göras i lagstiftningsärenden i vissa fall var bristfälligt redovisade och att det i första hand var de negativa effekterna av olika integritetsbegränsande åtgärder som var knapphändigt belysta (prop. 2009/10:80 s. 175 f.). Av bl.a. dessa skäl ansågs det därför finnas ett behov av att stärka skyddet av den personliga integriteten i grundlag. Det stärkta grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som anges 2 kap. 21–22 §§ RF.
Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Liksom den tidigare datalagen (1973:289), vilken upphävdes i och med personuppgiftslagens införande, är personuppgiftslagen generellt tillämplig och gäller både för myndigheter och enskilda som behandlar personuppgifter. Rent privat behandling av personuppgifter är dock undantagen.
Personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning (2 §). Vid lagens införande anfördes att det traditionella svenska systemet med särregler i särskilda författningar var att föredra framför generella undantag från den nya lagen (prop. 1997/98:44 s. 41).
Personuppgiftslagen, som i huvudsak följer dataskyddsdirektivets text och disposition, omfattar all helt eller delvis automatiserad behandling av personuppgifter (5 § första stycket). Lagen är teknikoberoende i den meningen att den i fråga om automatiserad behandling inte begränsas till dataregister. All automatiserad behandling omfattas, alltså även personuppgifter som framgår av bilder och ljud. Begreppet register saknar betydelse för lagens tillämpning. Det avgörande är att personuppgifterna är föremål för automatiserad behandling, inte om de är ordnade i ett register eller inte. Det är vidare tillräckligt att behandlingen av personuppgifter delvis är automatiserad för att den ska falla under lagens bestämmelser.
Om uppgifter samlas in manuellt och sedan behandlas automatiserat är även insamlandet en sorts behandling som omfattas av lagen. På samma sätt faller t.ex. ett utlämnande genom manuella utskrifter från ett automatiserat register in under lagens bestämmelser. Personuppgiftslagen gäller även för manuella register med personuppgifter som är strukturerade eller ordnade så att de är sökbara på person (5 § andra stycket).
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Begreppet behandling av personuppgift är ett vitt begrepp och omfattar varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte. Exempel på behandling av personuppgifter är insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (3 §).
Det finns några viktiga undantag från personuppgiftslagens tillämpningsområde. Lagen gäller t.ex. inte vid behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Bestämmelserna i lagen tillämpas inte heller i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet (7 § första stycket). I princip ska inte heller personuppgiftslagens bestämmelser tillämpas vid journalistisk, konstnärlig eller litterär verksamhet (7 § andra stycket). Vidare anges i personuppgiftslagen att lagen inte gäller i den mån det skulle inskränka offentlighetsprincipen (8 § första stycket).
Behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökningen efter eller sammanställningen av personuppgifter omfattas inte av flertalet av de hanteringsregler som anges i personuppgiftslagen. Det som i stället avgör om en sådan behandling är tillåten eller inte är om behandlingen innebär en kränkning av den registrerades personliga integritet (5 a §).
I 9 § ges vissa grundläggande krav på all behandling av personuppgifter som omfattas av lagen. Den personuppgiftsansvarige, vilken oftast är det organ där personuppgifterna behandlas, ska se till att personuppgifter behandlas bara om det är lagligt samt att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet
med god sed. Vidare ska personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Den personuppgiftsansvarige ska definiera avsikten med insamlingen och användningen av personuppgifterna på ett så precist sätt som möjligt. Personuppgifterna får inte sedan behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen). Det sistnämnda kan bli aktuellt att pröva när personuppgifter lämnas ut till tredje man. Ett sådant utlämnande får alltså inte vara oförenligt med det ändamål för vilket uppgifterna ursprungligen samlades in. Om personuppgifter lämnas ut i form av allmänna handlingar med stöd av bestämmelserna i 2 kap. TF blir en sådan prövning dock inte aktuell.
De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Med detta krav avses att personuppgifterna ska vara av sådant slag att de hör till saken (relevanta) och är ägnade att uppnå det mål man har med behandlingen (adekvata). Inte heller får fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därutöver ska de uppgifter som behandlas vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte heller bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Varje behandling av personuppgifter måste kunna hänföras till någon av de situationer som anges i personuppgiftslagens regler om när behandling av personuppgifter är tillåten. Av 10 § följer att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen, behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, vitala intressen för den registrerade ska kunna skyddas, en arbetsuppgift av allmänt intresse ska kunna utföras, den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller ett ändamål som rör ett berättigat intresse
hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Enligt 11 § får inte personuppgifter behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Inte heller får personuppgifter behandlas i de fall där behandling bara är tillåten när den registrerade har lämnat sitt samtycke och han eller hon har återkallat detta (12 §). Utöver vad som följer av 11 och 12 §§ har den enskilde ingen rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt lagen.
Enligt 13 § är det generellt sett förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses sådana personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening eller som rör hälsa eller sexualliv. Från förbudet att behandla känsliga personuppgifter finns, utöver när den registrerade har lämnat sitt samtycke (15 §), vissa undantag (16–20 §§).
Särskilda bestämmelser om uppgifter om lagöverträdelser och behandling av personnummer finns i 21 och 22 §§.
Bestämmelser om i vilka fall information om behandling av personuppgifter ska lämnas till den enskilde finns i 23–27 §§, rätt att begära rättelse och omprövning av automatiserade beslut finns i 28 och 29 §§ och föreskrifter om säkerheten vid behandling av personuppgifter finns i 30–32 §§.
Enligt 33 § är det förbjudet att till tredjeland, dvs. ett land utanför EU eller ESS, föra över personuppgifter som är under behandling, om landet inte har en adekvat nivå för skydd av personuppgifter. Förbudet gäller i princip alla slag av personuppgifter och är alltså inte begränsat till exempelvis kategorierna känsliga personuppgifter eller uppgifter om lagöverträdelser. Trots förbudet är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredjeland men det förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för
användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Regeringen får meddela föreskrifter om ytterligare undantag från förbudet mot överföring (35 §).
Vidare finns det i lagen bl.a. bestämmelser om anmälan till tillsynsmyndigheten, tillsyn, skadestånd och straff.
Sekretess
I offentlighets- och sekretesslagen (2009:400) finns ett stort antal bestämmelser om sekretess till skydd för uppgift om enskilds personliga förhållanden, vilka syftar till att skydda enskilds personliga integritet. Av dessa bör i detta sammanhang särskilt nämnas 21 kap. 7 § OSL, den s.k. PuL-sekretessen. Enligt bestämmelsen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Bestämmelsen tar inte sikte på uppgifterna som sådana utan på vad mottagaren tänker göra med dem. Bestämmelsen avser alltså att ge ett skydd mot otillåten behandling av personuppgifter. Bestämmelsen är tillämplig hos alla myndigheter och vid alla utlämnanden som innefattar personuppgifter men den risk för skada som anges i bestämmelsen aktualiseras främst vid utlämnanden av en större mängd uppgifter i form av massuttag av allmänna handlingar. Också ett utlämnande av selekterade uppgifter, t.ex. uppgifter om personer med viss inkomst eller med viss politisk tillhörighet, kan indikera risk för den skada som anges i bestämmelsen.
Registerförfattningar
De s.k. registerförfattningarna har till huvudsakligt syfte att reglera inrättandet och användningen av viktigare register eller andra personuppgiftssamlingar inom den offentliga sektorn.
Registerförfattningarna reglerar myndigheternas behandling av personuppgifter och är tänkta att ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter då behov finns att avvika från eller komplettera det integritetsskydd som personuppgiftslagen annars ger.
En utgångspunkt vid utarbetandet av registerförfattningar har varit att regleringen så långt som möjligt ska vara i överensstäm-
melse med personuppgiftslagen och därmed med dataskyddsdirektivets materiella bestämmelser samt att behovet av särregler i förhållande till personuppgiftslagen bör övervägas noga (prop. 1997/98:44 s. 41 och Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 694 f.).
En omständighet som ansetts tala för en särreglering i förhållande till personuppgiftslagen är att en särskild författning under vissa förutsättningar anses innebära en bättre garanti för utformningen av integritetsskyddet vad gäller särskilt känsliga register eller andra personuppgiftssamlingar.
Exempel på fall då en särskild författningsreglering i form av en registerförfattning har ansetts motiverad är vidare när en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, när personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen, när personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser, när det finns anledning att begränsa möjligheterna till behandling av uppgifter av integritetsskäl i fråga om myndigheters registrering och åtkomst till stora och känsliga uppgiftsmängder eller när det finns anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.
Registerförfattningar har ofta getts lagform trots att detta rent normgivningstekniskt inte har varit nödvändigt. Den bakomliggande tanken har emellertid varit att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt genom lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11, se även prop. 1997/98:44 s. 41).
3.3. Pågående reformarbete inom EU
3.3.1. Allmänt
Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget omfattar dels en förordning med en generell reglering som ska ersätta dataskyddsdirektivet, kallad allmän uppgiftsskyddsförordning, dels ett nytt direktiv med särregler för den brotts-
bekämpande sektorn som ska ersätta det gällande dataskyddsrambeslutet (rambeslut 2008/977/RIF). Det föreslagna direktivet är mera vidsträckt till sitt tillämpningsområde än dataskyddsrambeslutet i det att direktivet inte bara omfattar utbyte av information över gränserna utan även nationell personuppgiftsbehandling inom den brottsbekämpande sektorn.
Det huvudsakliga syftet med kommissionens förslag till uppgiftsskyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Enligt kommissionen kommer förslaget att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU, vilket både förenklar för företagen och stärker den enskildes rätt till skydd för sina personuppgifter. Eftersom regleringen föreslås få formen av en förordning blir den direkt tillämplig i medlemsstaterna när den trätt i kraft.
Förslaget till uppgiftsskyddsförordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Den föreslagna förordningen är liksom dataskyddsdirektivet utformad enligt en hanteringsmodell som innebär att själva hanteringen av personuppgifter regleras från det att uppgifterna samlas in till dess att de utplånas. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet.
3.3.2. Förslaget till uppgiftsskyddsförordning
Syfte och tillämpningsområde
I förordningens första kapitel slås syftet och tillämpningsområdet fast, vilka är i princip desamma som dataskyddsdirektivets (artiklarna 1–3). Det territoriella tillämpningsområdet utvidgas dock till att även omfatta uppgiftsbehandling som sker utanför EU så länge behandlingen utförs av företag som t.ex. erbjuder varor eller tjänster till EU-medborgare.
I kapitlet finns också en rad definitioner av begrepp som används i förordningen (artikel 4). Många av definitionerna motsvarar vad som gäller enligt dataskyddsdirektivet men vissa av definitionerna har ändrats och andra har tillkommit, t.ex. definitioner av personuppgiftsbrott samt genetiska och biometriska uppgifter. Defi-
nitionen av samtycke har ändrats på så sätt att ett samtycke alltid måste vara uttryckligt för att det ska anses utgöra ett giltigt samtycke i förordningens mening.
Principer och krav på behandlingen av personuppgifter
Det andra kapitlet innehåller de principer som ska styra behandlingen av personuppgifter. Principerna motsvarar i stora drag de som redan gäller enligt dataskyddsdirektivet vad gäller t.ex. rättsliga grunder för behandling och behandling av känsliga personuppgifter. En nyhet är införandet av en princip om att behandling av personuppgifter måste ske på ett öppet sätt (artikel 5). Det slås vidare fast att behandling efter en intresseavvägning inte kan åberopas som rättslig grund vid myndigheters behandling av personuppgifter i deras myndighetsutövning (artikel 7.1 f). En ytterligare nyhet är att en registeransvarig inte är skyldig att skaffa fram ytterligare information för att kunna identifiera en registrerad enbart för att kunna iaktta någon bestämmelse i förordningen (artikel 10).
Den enskildes rättigheter
Det tredje kapitlet innehåller bestämmelser om den enskildes rättigheter. Först och främst slås fast att den registeransvarige ska ha tydliga och lättillgängliga riktlinjer och vara skyldig att ge klar och tydlig information till den enskilde vad gäller behandlingen av personuppgifter samt informera mottagare av uppgifter under vissa villkor (artiklarna 11–13). Den enskildes rätt till information bygger i stor utsträckning på direktivets bestämmelser. I likhet med vad som redan gäller har den registrerade också rätt att få felaktiga uppgifter rättade samt att få ofullständiga uppgifter kompletterade (artiklarna 14–16).
Den nuvarande rätten att få uppgifter raderade vidareutvecklas genom förordningen till att även avse en rätt att bli ”glömd”. Detta innebär att den registeransvarige inte endast ska radera personuppgifter som inte längre får behandlas. Om uppgifterna har gjorts offentliga ska den registeransvarige dessutom vidta alla rimliga åtgärder för att informera dem som uppgifterna spridits till att den
enskilde vill bli glömd. En begäran om att få bli glömd innebär som huvudregel att uppgifterna ska raderas utan dröjsmål. Endast i vissa särskilt uppräknade undantagsfall får uppgifter behållas trots den enskildes begäran om att bli glömd (artikel 17).
I förordningen införs också en rätt för den enskilde att få en kopia av de personuppgifter som behandlas samt en rätt att få personuppgifter överförda från en registeransvarig, t.ex. en tjänsteleverantör, till en annan, s.k. dataportabilitet (artikel 18).
Kapitlet innehåller vidare bestämmelser som vidareutvecklar nu gällande reglering om den enskildes rätt att invända mot uppgiftsbehandling och att i viss utsträckning inte bli utsatt för s.k. profilering, dvs. automatisk behandling av uppgifter i syfte att bedöma personliga egenskaper hos den enskilde som exempelvis arbetsprestationer eller kreditvärdighet (artiklarna 19 och 20).
Slutligen ges medlemsstaterna befogenhet att för vissa särskilt uppräknade ändamål inskränka vissa av rättigheterna och skyldigheterna i förordningen genom nationell lagstiftning. En förutsättning för att få införa sådana inskränkningar är dock att de är nödvändiga och proportionella i förhållande till det eftersträvade ändamålet (artikel 21). Bestämmelsen motsvarar artikel 13 i dataskyddsdirektivet.
Skyldigheter för den som behandlar personuppgifter
Det fjärde kapitlet i förordningen innehåller bestämmelser om vilka skyldigheter som den registeransvarige och den som behandlar uppgifterna för dennes räkning, dvs. registerföraren (personuppgiftsbiträdet enligt personuppgiftslagen) har.
Även om många av skyldigheterna har motsvarigheter i dataskyddsdirektivet innebär förslaget att skyldigheterna utökas och vidareutvecklas. Exempelvis fastställs den registeransvariges skyldigheter som följer av principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard (artikel 23). Således ska den personuppgiftsansvarige, både i samband med att det bestäms hur behandlingen ska utföras och vid tidpunkten för själva behandlingen, vidta åtgärder för att säkerställa att kraven i förordningen uppfylls (”data protection by design”). Den registeransvarige ska även säkerställa att behandlingen, som standard, endast får avse de personuppgifter
som är nödvändiga i förhållande till syftet med behandlingen (”data protection by default”).
Vidare klargörs gemensamma registeransvarigas ansvar vad gäller förhållandena dem emellan och gentemot den registrerade (artikel 24).
Registerförarens ställning och skyldigheter regleras avsevärt mera utförligt i förordningen än i dataskyddsdirektivet (artikel 26). Exempelvis klargörs att en registerförare som behandlar andra uppgifter än de som anges i den registeransvariges instruktioner ska anses som gemensamt registeransvarig. Över huvud taget följer av flera bestämmelser i förordningen ett medansvar för registerförare som är nytt i förhållande till dataskyddsdirektivet. Exempelvis kan även en registerförare bli skadeståndsskyldig gentemot den registrerade vid otillåten behandling (artikel 77).
Den registeransvarige och registerföraren är vidare skyldig, på liknande sätt som gäller enligt direktivet, att vidta lämpliga säkerhetsåtgärder för att skydda de personuppgifter som behandlas (artikel 30). Det införs också en skyldighet för den registeransvarige att utan dröjsmål, om möjligt inom 24 timmar, underrätta tillsynsmyndigheten om ett inträffat personuppgiftsbrott, t.ex. ett dataintrång (artikel 31). I vissa fall krävs det även att de enskilda som berörs av personuppgiftsbrottet underrättas (artikel 32).
Den registeransvarige ska dessutom i vissa fall låta göra en konsekvensanalys avseende integritetsriskerna med en planerad uppgiftsbehandling (artikel 33). Den generella skyldigheten enligt dataskyddsdirektivet att anmäla behandling av personuppgifter till den nationella tillsynsmyndigheten har tagits bort. Enligt förordningen ska det endast finnas anmälningsskyldighet och krav på förhandstillstånd i fråga om personuppgiftsbehandling som innebär särskilda risker (artikel 34). I stället ska det föras och bevaras en detaljerad dokumentation om den uppgiftsbehandling som genomförs (artikel 28). Denna dokumentation ska efter begäran göras tillgänglig för tillsynsmyndigheten.
Varje myndighet samt alla företag med minst 250 anställda eller vars huvudsakliga verksamhet är sådan att den kräver regelbunden övervakning av enskilda ska även utse ett uppgiftsskyddsombud. Uppgiftsskyddsombudet ska utses för en period om minst två år och ges möjlighet att på ett självständigt sätt övervaka att myndigheten eller företaget uppfyller förordningens krav (artiklarna 35–37).
Överföring av uppgifter till länder och internationella organisationer utanför EU
I förordningens femte kapitel regleras under vilka förutsättningar personuppgifter får överföras till tredjeland eller till en internationell organisation utanför EU. Den föreslagna regleringen innebär en vidareutveckling av motsvarande reglering i dataskyddsdirektivet. Liksom enligt direktivet är det ett grundläggande krav för sådan överföring att det mottagande tredjelandet säkerställer en adekvat skyddsnivå för uppgifterna. I regel är det kommissionen som ska besluta om ett tredjeland uppfyller detta krav eller inte (artiklarna 40 och 41). Om kommissionen har beslutat att ett tredjeland inte har en adekvat skyddsnivå så innebär detta ett förbud för överföring av uppgifter dit. Har kommissionen inte fattat något beslut i frågan finns det möjlighet att överföra uppgifter till tredjeland om vissa juridiskt bindande skyddsåtgärder vidtas, som t.ex. användandet av vissa godkända standardavtalsklausuler, eller med stöd av vissa direkta undantag (artikel 42–44).
Tillsynsmyndigheter
I det sjätte kapitlet finns bestämmelser om den nationella tillsynsmyndigheten. Reglerna påminner i stort om regleringen i dataskyddsdirektivet. Tillsynsmyndigheten ges dock vissa nya skyldigheter och befogenheter, som t.ex. en skyldighet att pröva klagomål om uppgiftsbehandling och en befogenhet att väcka talan i domstol vid överträdelser mot bestämmelserna i förordningen (artikel 52). Genom förslaget införs också en befogenhet för de nationella tillsynsmyndigheterna att besluta om administrativa sanktionsavgifter (artikel 53).
Tillsynsmyndigheternas samarbete och åtgärder för en konsekvent tillämpning
Genom bestämmelserna i det sjunde kapitlet i förordningen (artiklarna 55–72) införs uttryckliga regler om tillsynsmyndigheternas samarbete över nationsgränserna. Vidare föreslås en särskild mekanism som ska garantera att förordningen tillämpas på ett konse-
kvent sätt i hela EU. För att uppnå detta syfte ska det bland annat inrättas en europeisk dataskyddsstyrelse bestående av representanter för de nationella dataskyddsmyndigheterna. Dataskyddsstyrelsen ersätter Arbetsgruppen för uppgiftsskydd, den s.k. Artikel 29gruppen, som tillskapats enligt dataskyddsdirektivet. De nationella tillsynsmyndigheterna är skyldiga att samråda med dataskyddsstyrelsen innan de vidtar någon åtgärd som kan få effekter i flera medlemsstater. Dataskyddsstyrelsen ska i sådana fall utfärda ett yttrande som den nationella tillsynsmyndigheten måste ta hänsyn till. Även kommissionen ges rätt att utfärda sådana yttranden som den nationella tillsynsmyndigheten måste beakta.
Rättsmedel, ansvar och sanktioner
Bestämmelserna i det åttonde kapitlet bygger på och utvecklar motsvarande reglering i dataskyddsdirektivet. I kapitlet slås fast att enskilda ska ha rätt att klaga hos en nationell tillsynsmyndighet om de anser att behandlingen av deras personuppgifter inte följt regleringen i förordningen (artikel 73).
Den enskilde ska dessutom ges rättsmedel för att kunna få tillsynsmyndigheten att agera utifrån ett klagomål som framförts till myndigheten (artikel 74). I likhet med vad som redan gäller ska den enskilde även ha rätt att väcka talan vid domstol mot en registeransvarig. En nyhet är att rätten gäller även gentemot en registerförare (artikel 75).
Om en enskild har drabbats av en skada på grund av en otillåten behandling av personuppgifter ska denne ha rätt till skadestånd från den som är ansvarig för behandlingen, den registeransvarige eller registerföraren (artikel 77). I övrigt är det medlemsstaterna som ska fastställa de sanktioner som ska komma i fråga vid överträdelser av förordningens bestämmelser. Sanktionerna måste dock vara effektiva, proportionerliga och avskräckande (artikel 78). En nyhet är att de nationella tillsynsmyndigheterna är skyldiga att besluta om administrativa sanktionsavgifter vid vissa överträdelser av förordningen. De belopp som ska dömas ut anges i förordningen och kan uppgå till en miljon euro, eller två procent av ett företags globala omsättning, vid de allvarligaste överträdelserna av förordningens bestämmelser (artikel 79).
Behandling av personuppgifter för vissa särskilda ändamål
I det nionde kapitlet finns bestämmelser om behandling av personuppgifter för vissa särskilda ändamål. För att skapa en balans mellan skyddet för personuppgifter och yttrandefriheten anges exempelvis att medlemsstaterna ska lagstifta om undantag från vissa av förordningens bestämmelser för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande (artikel 80). Det finns även särskilda bestämmelser som närmare reglerar behandling av uppgifter om hälsa samt behandling för statistiska, historiska eller vetenskapliga forskningsändamål (artikel 81 respektive 83). Medlemsstaterna får även lagstifta om sådan behandling av enskildas personuppgifter som har samband med anställning (artikel 82).
Kommissionens rätt att utfärda delegerade akter och genomförandeakter
En betydelsefull skillnad i förhållande till dataskyddsdirektivet är att kommissionen i ett stort antal bestämmelser i förordningen föreslås ges rätt att anta delegerade akter och genomförandeakter. Det handlar exempelvis om att utfärda rättsakter som närmare specificerar innebörden av vissa krav som enligt förordningen ställs på behandling av uppgifter samt rätt att utfärda olika standardformulär och procedurregler som ska gälla vid tillämpningen av förordningen. Bestämmelserna i det tionde kapitlet reglerar de närmare villkoren för dessa delegerade befogenheter.
Ikraftträdande m.m.
Det elfte kapitlet innehåller förordningens avslutande bestämmelser. Det föreslås bland annat att kommissionen ska utvärdera förordningen och rapportera till ministerrådet och Europaparlamentet. Förordningen ska enligt förslaget börja tillämpas två år efter att den offentliggjorts (artikel 91).
3.3.3. Förhandlingsarbetet
Europaparlamentet
I Europaparlamentet behandlas dataskyddsreformen i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE-utskottet). Rapportören för uppgiftsskyddsförordningen, Jan Philipp Albrecht, lade fram ett förslag till betänkande i december 2012 och den 22 oktober 2013 röstade LIBE-utskottet fram ett förslag. Den 12 mars 2014 antog Europarlamentet en resolution efter en omröstning som resulterade i en mycket stark majoritet för förslaget till uppgiftsskyddsförordning, 621 ja-röster, 10 nej-röster och 22 nedlagda röster. Förslaget till direktiv för den brottsbekämpande verksamheten antogs med 371 ja-röster, 276 nej-röster och 30 nedlagda röster.
I resolutionen beträffande uppgiftsskyddsförordningen har Europaparlamentet föreslagit ett flertal ändringar och tillägg. Generellt föreslår parlamentet ett betydligt snävare utrymme för kommissionen att anta delegerade akter och genomförandeakter.
LIBE-utskottet, med rapportören Jan Philipp Albrecht, är även efter parlamentets resolution och EU-valet våren 2014 ansvarigt för uppgiftsskyddsförordningen i parlamentet. Något nytt ställningstagande har emellertid inte gjorts efter valet utan man avvaktar att rådet ska bli klart med sina förhandlingar.
Ministerrådet
Alltsedan år 2012 har uppgiftsskyddsförordningen förhandlats i Rådet för rättsliga och inrikes frågor, RIF-rådet. Förhandlingarna pågår fortfarande. Hittills har emellertid tre delöverenskommelser uppnåtts.
Redan initialt i förhandlingarna om förordningen framkom att det tycktes föreligga relativt stor enighet inom rådet om att det finns behov av att skapa ytterligare flexibilitet för den offentliga sektorn. Detsamma gällde även för behovet av att införa en mer riskbaserad ansats. Vid ett möte i RIF-rådet i juni 2013 infördes efter förslag från bl.a. Sverige en särskild artikel om tillgång till allmänna handlingar. Vid RIF-rådet i juni 2014 träffades en överenskommelse om partiell allmän inriktning när det gäller förordningens
kapitel V, som innehåller bestämmelser om överföring av personuppgifter till länder och internationella organisationer utanför EU och EES. Vid RIF-rådet i oktober 2014 träffades en överenskommelse om partiell allmän inriktning när det gäller kapitel IV, som främst innehåller bestämmelser om de personuppgiftsansvarigas skyldigheter. Vid det senaste mötet i december 2014 uppnåddes en överenskommelse om partiell allmän inriktning med ändringar i artiklarna 1(2)a, 6(3) och 21 och hela kapitel 9. De aktuella ändringarna i bestämmelserna reglerar hur förordningens regelverk förhåller sig till nationella regleringar om den offentliga sektorn och vilket utrymme medlemsstaterna ska ha att i vissa situationer och vid viss personuppgiftsbehandling anta specifika, och även i vissa fall avvikande, bestämmelser i förhållande till förordningens regelverk. Syftet med ändringarna är att skapa ytterligare flexibilitet för den offentliga sektorns behandling av personuppgifter.
Vad händer nu?
Den fortsatta processen med uppgiftsskyddsförordningen är alltså beroende av att förhandlingarna inom rådet kan slutföras. EU:s nuvarande ordförandeland, Lettland, har som ambition att RIFrådet i juni 2015 ska kunna besluta om en allmän inriktning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förordningstext. Det förslaget kommer sedan att vara utgångspunkten för rådets förhandlingar, trilogen, med Europaparlamentet och kommissionen om uppgiftsskyddsförordningen. Europeiska rådet (stats- och regeringscheferna) har ställt i utsikt att man bör kunna nå fram till en överenskommelse mellan institutionerna under 2015.
Ett införande av förordningen har bedömts viktigt för att förverkliga ambitionen om en ”digital inre marknad” (Digital Single Market), vilken är av pelarna i den gällande digitala agendan för EU samt också en prioriterad fråga i kommissionens arbetsprogram för 2015. Ambitionen synes således vara att lagstiftningsprocessen ska drivas med inriktning på ett slutförande och ett beslut om införande av förordningen inom en inte alltför avlägsen tid. Enligt kommissionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet. Europaparlamentet har inte föreslagit
någon ändring därvidlag och frågan har, såvitt framkommit, inte blivit föremål för någon delöverenskommelse inom rådet.
4. Registerförfattningar – ett komplext rättsområde
Vårt övergripande uppdrag är alltså att se över den s.k. registerlagstiftningen. I denna översyn ingår att göra en översiktlig inventering av gällande registerförfattningar. I detta kapitel redovisar vi i huvuddrag våra iakttagelser från inventeringen av registerförfattningarna. Vi redogör också för några generella problem med registerförfattningarna, dels sådana som framförts i tidigare sammanhang, dels sådana som vi själva identifierat i vårt arbete.
Kapitlet inleds med en beskrivning av framväxten av den i Sverige etablerade regleringsmodellen på persondataskyddsområdet som innebär att grundläggande regler ges i en generellt tillämplig lag och att specifika undantag eller andra särbestämmelser tas in i sådana särskilda lagar eller förordningar som kommit att kallas registerförfattningar.
4.1. Bakgrund
4.1.1. Registerförfattningarna och datalagen
Viss registerföring som i dag är reglerad i registerförfattningar har lång historik. Lantmäteriets fastighetsregister och Skatteverkets folkbokföring är ett par exempel på förande av förteckningar med månghundraåriga anor. Det har även förekommit författningsreglering av registerföring under lång tid i den meningen att det i författning föreskrivits att vissa register med visst innehåll ska föras och med en närmare reglering av registerverksamheten. Exempelvis har den nuvarande lagen (1998:620) om belastningsregister föregångare i lagen om allmänt kriminalregister från år 1963 som i sin tur föregicks av lagen om straffregister från år 1900. Det som
emellertid i dag kallas registerförfattningar har sin bakgrund i samhällets tilltagande datorisering under 1900-talets senare hälft och den integritetsdebatt som följde i spåren på denna utveckling.
Redan på 1960-talet började datoriseringens inverkan på samhället debatteras i många länder. Till en början handlade den svenska debatten om teknikens inverkan på offentlighetsprincipen. Det var emellertid 1970 års folk- och bostadsräkning som kom att spela rollen av utlösande faktor för en allmän debatt i Sverige om automatisk databehandling (ADB) och dess användning för personregistrering. Myndigheternas insamlande av uppgifter om människor och deras levnadsförhållanden ansågs öka myndigheternas makt och möjlighet att styra enskildas handlingar. Även försäljningen av personuppgifter från myndigheter till enskilda, som sedan användes för selektiv reklam, utsattes för häftig kritik. År 1971 fick Offentlighets- och sekretesslagstiftningskommittén i uppdrag att behandla frågan om lagstiftning rörande personorienterad ADB-information. Kommittén kom därmed att bli den första integritetsutredningen på dataområdet.
Offentlighets- och sekretesslagstiftningskommittén bedömde att ADB-teknikens utveckling, innebärande att stora mängder information kan föras samman i en enda enhet och därur göras analyser och sammanställningar, medförde nya faror för otillbörliga intrång i den personliga integritetssfären (SOU 1972:47 s. 56 ff.). Kommittén framhöll att det inte bara var betydelsefullt att förhindra reella risker för otillbörliga intrång. Beaktas borde även de psykologiska effekterna som vetskapen om ADB-användningen medförde med åtföljande behov hos enskilda av att kunna lita på att det privata området verkligen respekterades av myndigheter och organisationer. I detta sammanhang påtalades dock att rädslan för missbruk av datalagrad information inte fick undanskymma det förhållandet att ADB-teknikens utökade användning också hade haft mycket positiva effekter, både för samhällsekonomin och för samhällsplaneringen i stort.
Någon enhetlig definition av vad som avses med personlig integritet fanns inte då och finns inte heller i dag. Begreppet har uppmärksammats i flera statliga utredningar och blivit föremål för en del ingående analyser och attitydundersökningar (se bl.a. SOU 2007:22 s. 52 f. och 77 f.). Offentlighets- och sekretesslagstiftningskommittén hänvisade som bakgrund till sina överväganden
om en lagstiftning rörande personorienterad ADB-information till det i amerikansk juridisk doktrin utbildade rättsliga begreppet ”privacy” (SOU 1972 s. 56 f.). Grundtanken med begreppet är att den enskilde bör ha tillgång till en fredad sektor inom vilken han eller hon kan avvisa sådan inblandning både från det allmänna och från andra som uppfattas som otillbörlig. Rätten att bli lämnad i fred kan dock aldrig vara absolut i ett samhälle. Samhällets krav på insatser från den enskilde i fråga om t.ex. arbete och skatter måste begränsa den privata sektorn. Att närmare ange innehållet i den fredade sektorn ansåg Offentlighets- och sekretesslagstiftningskommittén vara svårt att göra, bl.a. eftersom man måste räkna med att det som bör skyddas efterhand kommer att förskjutas. Fakta om begångna brott, sjukdomar, mottagen socialhjälp angavs som exempel på typfall av information som det är ofrånkomligt att vissa myndigheter måste registrera för att uppfylla sina arbetsuppgifter, men som ur den enskildes synpunkt upplevs som ömtålig. Även enskildas åsikter gavs som exempel på ömtålig information. Kommittén underströk att inte bara vilken typ av information som avsågs var av betydelse utan även insamlande och hantering av ett stort antal i och för sig banala uppgifter kunde i samband med ADB-teknikens möjligheter medföra negativa konsekvenser för den personliga integriteten (a.a. s. 60). Spridning och fortsatt användning var också av stor betydelse.
Offentlighets- och sekretesslagstiftningskommittén bedömde att det fanns ett nära samband mellan anspråket på en fredad sektor och kravet från enskilda att bli bedömda efter relevanta kriterier. Om man vet att en myndighet har tillgång till omfattande information om enskildas personliga förhållanden ligger det nära till hands, menade kommittén, att misstänka att informationen utnyttjas till ställningstaganden som den inte är avsedd för. Vidare föreligger risk att ofördelaktiga uppgifter om en persons förflutna i otillbörlig grad kommer att påverka hans eller hennes möjligheter i framtiden. Samhällets krav på solidaritet och ekonomisk effektivitet måste därför begränsas, bl.a. genom att övervakningen av den enskilde inte tillåts bli fullständigt effektiv (SOU 1972:47 s. 63 f.).
Kommittén konstaterade att det system av befintliga skyddsregler som fanns genom bl.a. bestämmelserna om offentlighet- och sekretess och vissa straffbestämmelser, t.ex. brott mot post- och telehemlighet, var användbart mot integritetsintrång vid manuell
informationsbehandling. Däremot ansågs dessa bestämmelser komma till korta gentemot den automatiska databehandlingen. Särskilda regler för att möta det nya hotet ansågs därför påkallade. För att komma till rätta med riskerna med ADB-teknikens utveckling och de därmed sammanhängande riskerna för otillbörliga intrång i den personliga integriteten avseende registrering av personuppgifter lade kommittén fram ett förslag till en datalag. Förslaget ledde till genomförandet av den numera upphävda datalagen (1973:289).
Datalagen och statsmaktsregister
Datalagens syfte var att hindra att hanteringen av ADB-förda personregister medförde otillbörliga intrång i den personliga integriteten. Registrering skulle få förekomma, men det krävdes att vissa regler iakttogs. Lagen var tillämplig inom både den offentliga och privata sektorn och byggde på ett tillståndssystem. Enligt lagens ursprungliga lydelse krävdes – med visst undantag – tillstånd av den då nyinrättade Datainspektionen för att starta eller föra ett personregister med ADB. Detta gällde register hos såväl myndigheter som privata aktörer. Tillståndskravet kom senare att i vissa fall ersättas av ett anmälningsförfarande. Utöver tillstånd förutsattes Datainspektionen meddela föreskrifter om registrets ändamål, vilka personuppgifter som fick ingå samt, vid behov, föreskrifter om bl.a. inhämtandet av personuppgifter, tillåtna ADB-bearbetningar, utlämnande av personuppgifter, bevarande och gallring eller kontroll och säkerhet.
Offentlighets- och sekretesslagstiftningskommittén hade föreslagit att Datainspektionens tillståndsprövning även skulle omfatta personregister vars inrättande beslutats av statsmakterna, dvs. av riksdagen eller regeringen. I motiven till datalagen uttalade emellertid departementschefen att det av flera skäl torde vara nödvändigt att särbehandla vissa statliga personregister och anförde vidare följande (prop. 1973:33 s. 97).
För det första bör riksdagen kunna besluta om inrättande av personregister för riksdagens egen verksamhet eller verksamheten hos organ som är underställt riksdagen. Vidare förekommer på den offentliga sektorn personregistrering av sådan vikt från allmän och enskild synpunkt att det är nödvändigt att frågan om registrens inrättande förbehålls statsmakterna själva. Ofta ges föreskrifter för registrering i form av lag
eller annan författning som meddelas av riksdagen och Kungl. Maj:t eller endera av dem. Exempel på register av denna typ finns bl.a. på rättsväsendets område.
Från datalagens krav på tillstånd kom alltså personregister vars inrättande beslutats av riksdagen eller regeringen, s.k. statsmaktsregister, att undantas (2 § datalagen, sedermera 2 a §). Enligt motiven gällde undantaget oberoende av om beslutet om registrets inrättande gavs formen av lag eller annan författning eller kom till uttryck på annat sätt (prop. 1973:33 s. 97). Innan sådant beslut fattades skulle dock yttrande inhämtas från Datainspektionen. När Datainspektionen avgav ett sådant yttrande skulle en bedömning av registret ske enligt samma grunder som vid prövning av ett tillståndsärende. Datainspektionen kunde även meddela föreskrifter för registret i den mån riksdagen eller regeringen inte hade gjort det, t.ex. om ändamål eller bevarande och gallring. Dessutom omfattades även statsmaktsregister av Datainspektionens tillsyn enligt datalagen.
För övriga personregister som en kommunal eller statlig myndighet kunde inrätta krävdes tillstånd från Datainspektionen. När det gällde personregister som innehöll uppgifter om bl.a. straffprocessuella eller administrativa frihetsberövanden eller någons sjukdom eller hälsotillstånd, dvs. registrering av uppgifter som bedömdes vara av särskilt känslig natur, infördes dock särskilda restriktioner för att tillstånd till registerföringen skulle kunna medges annan än myndighet som enligt lag eller annan författning hade att föra förteckning över sådana uppgifter (4 § datalagen). Indirekt förutsattes alltså redan vid datalagens tillkomst att förandet av personregister med särskilt integritetskänsligt innehåll hade uttryckligt författningsstöd. Det kan påpekas att det redan innan datalagens tillkomst fanns författningar med enstaka bestämmelser om t.ex. gallring, inhämtande och spridande av uppgifter i register som motiverades av hänsyn till de registrerades integritet. Exempel på sådana registerförfattningar var lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister. I huvudsak handlade dock äldre registerlagar om att ett register av visst innehåll skulle föras för att tillgodose något allmännyttigt syfte eller liknande. Det primära målet i dessa äldre författningar var således inte att värna om integriteten.
Några förarbetsuttalanden från datalagens tid
Även efter datalagens införande fortsatte datoranvändningen och den personliga integriteten att debatteras i samhället och nya utredningar tog vid efter Offentlighets- och sekretesslagstiftningskommittén.
Datalagstiftningskommittén fick 1976 uppdraget att göra en översyn av bl.a. datalagen. I sitt delbetänkande Personregister – datorer – integritet (SOU 1978:54) behandlade kommittén bl.a. frågor om samkörning av olika personregister och användning av personnummer (s. 85–112). I detta sammanhang redogjorde kommittén för de risker för otillbörligt intrång i den personliga integriteten som kan uppkomma genom att uppgifter som ursprungligen samlats in för ett ändamål senare används för ett annat ändamål. Ett sådant utnyttjande ansågs i otillbörlig grad minska den enskildes möjligheter att överblicka hur uppgifter som den enskilde själv en gång lämnat kan komma att användas. Även information som var harmlös i sig ansågs kunna innebära intrång i den enskildes integritet eftersom sammanställningar från olika register kunde leda till en kartläggning av en persons enskilda förhållanden. Likaså påtalades risken för utlämnande av den enskilde individen. Vidare framfördes farhågor om att det vid samkörning av register kunde vara svårt att kontrollera att uppgifterna var korrekta och aktuella. Därutöver aktualiserades mera abstrakta integritetsintrång, t.ex. att bara vetskapen om att de uppgifter man lämnat till en myndighet överförs mellan olika register kunde väcka obehag.
Datalagstiftningskommittén konstaterade att samkörningsfrågor alltmer aktualiserades vid myndigheternas handläggning av ansökningar från enskilda om behovsprövade förmåner och inom skatteadministrationen (a.a. s. 108 f.). Enligt kommittén väckte det frågor om vilka metoder att kontrollera enskildas uppgifter som var acceptabla. Intressekonflikten mellan behovet av effektiva kontroller och enskildas krav på personlig integritet medförde dock svåra avvägningsproblem. Hur intresseavvägningen skulle utfalla kunde dock inte en gång för alla slås fast genom en regel i datalagen. Det var snarare en fråga som måste avgöras från fall till fall grundade på politiska överväganden. Enligt kommittén var det väsentligt att beslut om inrättandet och användandet av offentliga personregister, som gav en djupare inblick i enskilda medborgares privata förhåll-
anden, fattades av riksdag eller regering och inte av de myndigheter som skulle använda registren. Detta borde gälla även ifråga om användning av register för nya ändamål. Över huvud taget förordade kommittén att ändamålen för statliga register angavs så tydligt som möjligt av riksdag eller regering samt att det skulle klargöras att registren inte fick användas för andra ändamål utan medgivande av riksdag eller regering. Kommittén uttalade vidare följande (a.a. s. 110).
En metod att göra detta är att, såsom ibland redan skett, reglera registren genom lagar eller förordningar och att därvid meddela så långt möjligt uttömmande föreskrifter om användningen. Man bör alltså var för sig på ett i vart fall något sånär enhetligt sätt författningsreglera alla statliga register av betydelse i sammanhanget. Om det därefter uppkommer behov av att använda registren för andra syften än de som ursprungligen var aktuella får sådana behov prövas och avgöras från fall till fall enligt samma ordning. DALK [Datalagstiftningskommittén] förordar denna lösning.
Även Data- och offentlighetskommittén behandlade i delbetänkandet Integritetsskyddet i informationssamhället 4 (SOU 1987:31 s. 157 f.) frågor om samkörning, personnummeranvändning samt författningsreglering av personregister. I en kartläggning av personregistreringen konstaterade kommittén att register i en del fall har stöd i lag eller annan författning men att dessa ofta var föråldrade, t.ex. därför att de skapats för manuell registerhantering, eller saknade mera detaljerad reglering. Vidare var det mindre vanligt med författningar som beslutats av riksdagen (a.a. s. 47). Enligt kommittén måste målsättningen vara att personregister som är särskilt känsliga från integritetssynpunkt regleras av riksdagen i syfte att stärka skyddet av enskilda registrerades integritet. Beslut om ny eller utökad personregistrering föregås då av ordentlig utredning av konsekvenserna från integritetssynpunkt, vilket är av betydelse för att en reell intresseavvägning ska kunna göras. De register som särskilt utpekades var socialstyrelsens register, landstingens register, kommunernas register inom socialtjänsten och skolhälsovården samt Riksförsäkringsverkets och försäkringskassornas register. Vidare anfördes att Datainspektionen fortlöpande borde vara uppmärksam på om ytterligare register behöver specialreglering i lag. Om helt nya register som omfattar stora delar av befolkningen och innehåller integritetskänsliga uppgifter skapas i framtiden borde dessa
alltid lagregleras redan från början, menade kommittén. När det gällde frågan om lagstiftningsteknik anförde kommittén bl.a. följande (a.a. s. 159).
Vi har övervägt möjligheten att sammanföra alla registerförfattningar under ett paraply. En sådan lösning skulle medverka till enhetlig utformning av lagstiftningen och ge utrymme för såväl behövlig modernisering av befintliga författningar som en ny reglering på de områden där sådan behövs. I en gemensam registerlag blir det emellertid svårt att reglera sådana centrala frågor som de olika registrens ändamål och innehåll. Det är också troligt att en för alla specialreglerade register gemensam registerlag blir alltför svåröverskådlig för att fylla sitt syfte. En möjlighet vore att ge registerlagen karaktären av ramlag och att komplettera med registerförordningar eller föreskrifter från DI [Datainspektionen] för varje enskilt register. En sådan ramlag skulle t.ex. kunna innehålla föreskrifter om vilka frågor som skall regleras i olika registerförfattningar. I princip ger dock datalagen redan vägledning på den punkten. Denna lösning ger också riksdagen mindre inflytande än vad som har varit fallet vid tillkomsten av befintliga registerlagar.
Data- och offentlighetskommittén stannade således för att fortsatta särförfattningar var att föredra samt att sådana skulle ges i lagform i fråga om register med kvalificerat känsliga personuppgifter som får en extern spridning som inte är obetydlig. Dock varnades för registerlagar utformade efter mall. I varje enskilt fall, framhöll kommittén, krävs en noggrann och individuell prövning. En registerlag som enbart syftar till att fungera som ett alibi för att verksamheten är under kontroll löser inte integritetsproblemen menade kommittén (SOU 1987:31 s. 161 f.).
Data- och offentlighetskommitténs överväganden kom att i den fortsatta framväxten av registerlagstiftningen få stor betydelse. I det efterföljande lagstiftningsarbetet anslöt sig regeringen liksom konstitutionsutskottet till kommitténs tankar om lämplig normgivningsnivå och gjorde uttalanden som ofta åberopats i senare lagstiftningsärenden som vägledande för att välja lagform för registerförfattningsreglering (prop. 1990/91:60 s. 58 och KU 1990/91:11 s. 11).
Under 1990-talet tillkom, mot bakgrund av nyss nämnda lagstiftningsärende, allt fler registerlagar. Det finns fortfarande registerlagar i kraft som tillkom som särlagstiftning i förhållande till datalagen. Lagen (1996:1156) om receptregister är ett exempel.
4.1.2. Registerförfattningarna och personuppgiftslagen
Dataskyddsdirektivets genomförande
Dataskyddsdirektivets genomfördes i svensk lagstiftning genom personuppgiftslagen. Personuppgiftslagen trädde i kraft den 24 oktober 1998 och ersatte då datalagen. Som har framgått är personuppgiftslagen till skillnad från datalagen teknikoberoende i den meningen att den i fråga om automatiserad behandling inte begränsas till dataregister. All automatiserad behandling omfattas, alltså även personuppgifter som framgår av bild eller ljud. Det avgörande är att personuppgifterna är föremål för automatiserad behandling, inte om de är ordnade i ett register eller inte. Till skillnad från datalagen innehåller personuppgiftslagen vidare inget krav på tillstånd för inrättande och förande av personregister. I stället innehåller lagen en rad hanteringsregler för behandling av personuppgifter.
Liksom datalagen utgör personuppgiftslagen emellertid en generellt tillämplig reglering som gäller för såväl myndigheter som enskilda vilka behandlar personuppgifter. I motiven till personuppgiftslagen diskuterades om lagens tillämpningsområde borde begränsas i några avseenden, bl.a. till att enbart omfatta verksamheter som omfattas av unionsrätten. En sådan begränsning ansågs dock strida mot vad som tillämpats under lång tid i Sverige, nämligen ett system som utgår från en generell lag kompletterad med särregler i s.k. registerförfattningar för viktigare och känsligare register. Personuppgiftslagen är därför generellt tillämplig och omfattar även verksamheter som faller utanför unionsrättens område (prop. 1997/98:44 s. 40 f.).
Av 2 § PuL följer vidare att om det i en annan lag eller förordning finns bestämmelser som avviker från lagen, ska de bestämmelserna gälla. Det är således endast särregler i lag eller förordning som tar över bestämmelserna i personuppgiftslagen. Inte bara särbestämmelser i registerförfattningar avses i 2 §. Även bestämmelser i andra slags lagar och förordningar om t.ex. uppgiftsskyldighet gäller före bestämmelserna i personuppgiftslagen (prop. 1997/98:44 s. 116).
Fortsatt särreglering i registerförfattningar
I motiven till personuppgiftslagen (prop. 1997/98:44 s. 40 f.) anförde regeringen bl.a. följande.
Registerförfattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Samtidigt står det klart att det är nödvändigt med särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. beträffande polisens verksamhet. Frågan är därför om det redan i den nya lagen skall göras undantag för vissa verksamheter eller om nödvändiga särregler för dessa verksamheter liksom hittills skall ges i särskilda författningar som får gälla framför den nya lagen. […].
Vi anser att det traditionella svenska systemet med särregler i särskilda författningar är att föredra framför generella undantag från den nya lagen. Det är i stort sett bara verksamhet inom den offentliga sektorn som med hänsyn till EG-direktivet skulle kunna undantas från den nya lagen. Inom den sektorn förekommer det t.ex. ofta stora mängder känsliga uppgifter och uppgifter som har hämtats in med stöd av straffsanktionerad uppgiftsplikt. Därför är det särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verksamhet. Om viss offentlig verksamhet skulle generellt undantas från lagen, finns det risk för att viss behandling inom den sektorn inte kommer att omfattas av någon lagstiftning med motsvarande syfte som den nya lagen. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som den nya lagen ger, garanteras däremot att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning. Målet har också varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11). Det finns inte anledning att nu avvika från det målet.
Den nya lagen bör således vara generellt tillämplig och omfatta även sådan verksamhet som faller utanför EG-rätten samtidigt som avvikande bestämmelser i lag eller förordning skall gälla framför den nya lagen. Detta innebär också att den nya lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar.
Såsom Datalagskommittén och flera remissinstanser har påpekat krävs det en anpassning av befintliga registerförfattningar och en översyn av vilka särregler som bör gälla i förhållande till den nya lagen. Vi avser att snarast påbörja ett sådant anpassnings- och översynsarbete.
Under övergångsperioden fram till den 30 september 2001 då personuppgiftslagen trädde i full kraft antogs ett flertal nya registerförfattningar som kom till genom den i motiven aviserade översynen. Vissa av dessa hade en annorlunda utformning jämfört med den som varit vanlig i tidigare registerförfattningar. Denna nya typ av registerförfattning har inte begränsats till att reglera viss personregisterföring utan särreglerar automatiserad personuppgiftsbehandling i viss verksamhet alldeles oavsett om den sker i register eller liknande informationssamlingar.
Offentlig verksamhet som inte är registerförfattningsreglerad
Det finns emellertid många myndigheter vars verksamhetsrelaterade personuppgiftsbehandling bara regleras genom personuppgiftslagen och inte särskilt i någon registerförfattning. Hur stor andel av den offentliga sektorns samlade personuppgiftsbehandling som inte är särreglerad är svårt att kvantifiera men så mycket står klart att den ”icke särreglerade” personuppgiftsbehandlingen sammantaget är omfattande.
På det statliga området finns t.ex. en förhållandevis stor mängd förvaltningsmyndigheter, i vart fall mer än hundratalet, som till övervägande del enbart tillämpar personuppgiftslagen i den behandling av personuppgifter som verksamheten föranleder. Till den kategorin hör stora myndigheter såsom universitet och högskolor. Visserligen finns särregler om viss registerföring över studieresultat, antagningsförhållanden m.m. i förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, men det är ingen heltäckande författning för den behandling av personuppgifter som förekommer inom området och som inte bara avser studerande utan också exempelvis forskningspersoner vars personuppgifter, med eller utan den personens informerade samtycke, används inom ramen för olika forskningsprojekt eller studentarbeten.
Många statliga myndigheter som saknar registerförfattningar är jämförelsevis små men kan behöva hantera ganska känslig information i sin verksamhet. Inspektionen för vård- och omsorg, som bedriver tillsyn över hälso- och sjukvården och socialtjänsten och till vilken enskilda kan göra anmälningar om klagomål på vården m.m. liksom Ersättningsnämnden, som är tillfälligt inrättad för att han-
tera vissa anspråk på ersättning för vanvård av fosterbarn, samt Diskrimineringsombudsmannen är exempel på sådana myndigheter. Exempel på mycket små myndigheter som knappast torde ha anledning att behandla personuppgifter annat än i klart begränsad omfattning är Nämnden för hemslöjdsfrågor och Lagrådet.
På det kommunala området är skolverksamheten ett område som i stort sett saknar särreglering i förhållande till personuppgiftslagen men som sammantaget medför omfattande personuppgiftsbehandlingar. Hit hör både ärendehantering och faktisk verksamhet som skolmyndigheter ansvarar för och som bl.a. sker inom förskolan, fritidshemmen, grund- och gymnasieskolan och kommunal vuxenutbildning.
Kommunerna är vidare skyldiga enligt lag att bedriva vissa verksamheter t.ex. rörande stadsplanering och byggfrågor, renhållning, räddningstjänst och biblioteksverksamhet vilka alla föranleder viss personuppgiftsbehandling. Även kommunernas frivilliga verksamhet med kultur- och fritidsverksamhet kan nämnas som exempel på verksamhet där personuppgiftslagen tillämpas fullt ut.
4.2. Vår inventering av registerförfattningarna
4.2.1. Allmänt
Registerförfattningar förekommer både i form av lag och förordning.
Som har framgått har det länge varit en ambition att särskilt integritetskänslig registerföring ska regleras i lag, främst därför att en sådan normgivningsnivå borgar för att det görs en grundlig utredning och en ingående avvägning mellan integritetsintresset och de intressen som talar för registerföringen. Detta har gällt alldeles oavsett att lagform inte har varit nödvändig från rent normgivningsteknisk utgångpunkt. Det har emellertid framhållits att man inte har varit helt konsekvent vad gäller valet av normgivningsnivån i det översyns- och anpassningsarbete som inleddes i samband med personuppgiftslagens införande (Öman/Lindblom, s. 33).
Ganska ofta kompletteras en registerlag med en förordning som innehåller utfyllande bestämmelser. Vidare är det inte ovanligt att registerförfattningar innehåller bemyndiganden för utpekade myndigheter att meddela föreskrifter med närmare bestämmelser i vissa
frågor eller bestämmelser om undantag i olika avseenden. Myndighetsföreskrifter är alltså en tredje förekommande normgivningsnivå.
Vi har i enlighet med uppdraget enligt våra direktiv gjort en översiktlig inventering av gällande registerförfattningar. En inledande fråga vi ställde oss var hur många sådana författningar det finns. Den frågan kan förefalla vara enkel att besvara men vi har funnit att så inte är fallet. Svaret är nämligen helt beroende av hur man väljer att avgränsa begreppet registerförfattning, vilket är en komplex fråga. Är det t.ex. en registerförfattning bara därför att en myndighet åläggs att föra ett visst register oavsett om detta innehåller personuppgifter eller inte eller ska bara författningar med bestämmelser rörande ett register där vissa personuppgifter kan förekomma omfattas av begreppet?
Ett exempel på en svårklassificerad författning är förordningen (2011:93) om stöd till insatser på livsmedelsområdet som föreskriver att Jordbruksverket ska föra ett register över stödmottagare. Det sägs inget om att registret får eller inte får föras elektroniskt och specifika bestämmelser om dataskydd saknas helt. Samma förhållande gäller för det centrala passregistret som Polismyndigheten ska föra enligt passförordningen (1979:664).
Det finns vidare många författningar vars enda inslag av dataskyddsreglering är att ange att personuppgiftslagens bestämmelser om skadestånd och rättelse gäller även för informationshantering enligt författningen i fråga eller att det föreskrivs ett undantag från personuppgiftslagens grundläggande förbud mot överföring av personuppgifter till tredje land. Det finns också exempel på författningar där det finns enstaka bestämmelser om personuppgiftsbehandling, vilka dock inte riktar sig till myndigheter utan till enskilda aktörer, se t.ex. 6 kap.1–8 §§ lagen (2010:751) om betaltjänster. Vidare finns författningar som innehåller bestämmelser om personuppgiftsbehandling men som helt saknar reglering av registerföring som sådan.
Av huvudsakligt intresse för vårt arbete är regler om persondataskydd vid helt eller delvis elektronisk informationshantering hos myndigheter. Vi har därför valt att i vårt arbete låta begreppet registerförfattning omfatta författningar som i något avseende innehåller särbestämmelser i förhållande till eller hänvisningar till personuppgiftslagen alldeles oavsett om författningen i fråga rör registerföring eller inte. Den avgränsningen tycks också stå bäst i
överensstämmelse med den allmänna uppfattningen rörande vad som numera utmärker en registerförfattning. Enbart det förhållandet att en viss registerföring regleras i en författning innebär alltså inte att författningen nödvändigtvis är att se som en registerförfattning i nu aktuell mening.
Det är alltså regler av dataskyddsrättslig natur, dvs. bestämmelser som avser att skydda enskildas personliga integritet, och som är föranledda av ett behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen annars ger som vi haft som främsta urvalskriterium när vi gjort vår inventering. Med detta kriterium omfattas både sådana bestämmelser som syftar till ge författningsstöd åt en personuppgiftsbehandling som inte hade varit tillåten enligt personuppgiftslagen, t.ex. utökade möjligheter att behandla känsliga personuppgifter, eller som syftar till att i förhållande till personuppgiftslagen begränsa myndigheternas möjligheter att behandla personuppgifter t.ex. genom att endast tillåta registrering av vissa slags personuppgifter.
Initialt har vi gått till väga på det viset att vi gjort sökningar i rättsdatabaser med användande av olika sökord för att få fram författningar som kan utgöra särregleringar i förhållande till personuppgiftslagen. Exempelvis har vi använt sökbegrepp såsom ”$register”, ”$registret”, ”personuppgift$”, ”databas”, ”direktåtkomst”, ”sökbegr$”, gallr$” m.fl. begrepp, för separat sökning eller i kombinationer.
Resultatet av våra sökningar bildar en brokig karta av författningar i form av lagar eller förordningar som sinsemellan företer mer eller mindre stora likheter och olikheter, även efter det att alla träffar som helt saknar intresse för utredningsuppdraget sorterats bort. Bland bortsorterade författningar ingår dels sådana som helt saknar bestämmelser om behandling av personuppgifter eller annan reglering av dataskyddskaraktär, dels sådana som enbart reglerar förhållanden hos enskilda aktörer.
4.2.2. Tre kategorier registerförfattningar
Vi har valt att sortera de författningar som vi har bedömt vara att betrakta som registerförfattningar i tre någorlunda avgränsade kategorier, nämligen som endera a) renodlade registerförfattningar,
b) informationshanteringsförfattningar och c) annan reglering med inslag av dataskyddsbestämmelser. Vi har däremot inte sett det som meningsfullt att kategorisera författningarna utifrån normhierarkisk nivå, dvs. som lagar respektive förordningar eller utifrån olika sakliga verksamhetssektorer exempelvis såsom rörande statlig respektive kommunal verksamhet osv. Det ska dock framhållas att våra sorteringskategorier är ganska trubbiga och att många författningar skulle kunna bedömas falla inom mer än en kategori.
Renodlade registerförfattningar
Den första kategorin registerförfattningar utmärks av att tillämpningsområdet endast avser inrättandet, förandet och användningen av något enstaka register eller annan bestämd informationssamling. En del sådana registerförfattningar är förhållandevis gamla, ett exempel är förordningen (1970:517) om rättsväsendets informationssystem, men det tillkommer fortlöpande nya författningar av detta slag. Förordningen (2014:885) om register över vigselförrättare, som förs av Kammarkollegiet, är ett sådant exempel.
Renodlade registerförfattningar handlar ofta om register som enligt statsmakterna ska föras och som ska ha ett visst obligatoriskt innehåll. Genom en sådan registerförfattning åläggs en myndighet att föra ett visst register, registerföringen blir alltså genom författningsregleringen en del i myndighetens uppdrag. Den verksamhetsreglering som registerförfattningen därigenom kan sägas avse kringgärdas emellertid ofta av dataskyddsreglering som syftar till att garantera enskilda registrerade ett skydd för deras personliga integritet i hanteringen av personuppgifter i samband med registerföringen. Lagen (2001:558) om vägtrafikregister med anknytande förordning är ett exempel härpå. Det finns dock exempel på författningar i denna kategori där anslaget är ett annat genom att det regleras att register får, inte ska, föras eller vad de får innehålla, se t.ex. lagen (1998:543) om hälsodataregister med anslutande förordningar för specifika hälsodataregister (t.ex. för Socialstyrelsens patientregister, cancerregister, läkemedelsregister m.fl.). Det hör dock till bilden att det i praktiken oftast tycks vara underförstått att sådana register som det talas om att myndigheter får föra, faktiskt också ska föras. Detta kan t.ex. framgå av föreskrifter om
skyldigheter för andra aktörer att inrapportera vissa uppgifter till den registerförande myndigheten. En skillnad mellan författningar som föreskriver att register ska föras i förhållande till sådana som talar om att register får föras är att de senare normalt har en tydligare prägel av att utgöra dataskyddsreglering snarare än verksamhetsreglering.
Vi har identifierat uppemot ett 70-tal författningar som vi hänfört till kategorin renodlade registerförfattningar. I de allra flesta fall är det fråga om förordningar. I de fall sådana författningar har lagform så har i allmänhet åberopats riksdagens och regeringens ställningstagande i början av 1990-talet om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag i syfte att stärka skyddet för de registrerades integritet. Exempel på detta är lagen om vägtrafikregister och lagen (2009:619) om djurskyddskontrollregister (prop. 2000/01:95 s. 55 och prop. 2008/09:143 s. 18 f.). Av nyare datum är lagen (2012:453) om register över nationella vaccinationsprogram (vaccinationsregistret). I motiven till den sistnämnda lagen motiverades lagformen för registret med att det därigenom upprättades ett starkare skydd för hanteringen av data som är av stor betydelse för den personliga integriteten (prop. 2011/12:123 s. 67).
Variationerna inom sorteringskategorin renodlade registerförfattningar är emellertid stora. I ganska många författningar spelar den dataskyddande regleringen inte någon särskilt framträdande roll i jämförelse med den verksamhetsreglering som författningarnas bestämmelser i övrigt ger uttryck för, t.ex. i fråga om anmälnings- eller ansökningsförfaranden och i fråga om att det finns kataloger över vilka uppgifter som ska registreras. Exempel härpå är författningar för de s.k. publicitetsregistren som har till syfte att förse allmänheten med information om vissa förhållanden, t.ex. rörande aktiebolag, fordon, patent m.m., och där registreringen i sig medför vissa rättsverkningar. Dock är det vanligt att det såvitt avser personuppgifter finns bestämmelser om registrets ändamål, personuppgiftsansvar, sökbegränsningar, direktåtkomst, utlämnande på medium för automatiserad behandling, rättelse och skadestånd samt gallring. Det kan också finnas bestämmelser om t.ex. vilka avgifter som får eller ska tas ut vid utlämnande av uppgifter och handlingar i elektronisk form.
Ett antal renodlade registerförfattningar har emellertid en tydlig prägel av att i allt väsentligt utgöra en dataskyddsreglering, dvs. där inslaget av verksamhetsreglering m.m. inte dominerar utan där det framgår att syftet med regleringen är att ge mer preciserade eller avvikande bestämmelser i förhållande till personuppgiftslagen. Den nyss nämnda lagen om register över nationella vaccinationsprogram är ett exempel på en sådan författning liksom lagen om hälsodataregister. Andra exempel är lagen om receptregister och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Denna typ av registerförfattningar ligger till struktur och innehåll relativt nära det vi kallar informationshanteringsförfattningar. En skillnad gentemot informationshanteringsförfattningarna är dock att registerförfattningar av detta sistnämnda slag genomgående konstruerats så att det uttryckligen anges att personuppgiftslagen gäller i den mån registerförfattningen i fråga inte innehåller avvikande bestämmelser. I registerförfattningar som främst syftar till att reglera en viss verksamhet, nämligen att bedriva ett visst register, förekommer däremot att förhållandet till personuppgiftslagen inte berörs alls. I sak torde detta dock inte innebära någon egentlig skillnad.
Vissa myndigheters verksamheter är till stor del knutna till och styrda av renodlade registerförfattningar, t.ex. verksamheten hos Lantmäteriet (fastighetsregistret, pantbrevsregistret, lägenhetsregistret m.fl.), Bolagsverket (aktiebolagsregistret, handelsregistret m.fl.) och Transportstyrelsen (vägtrafikregistret m.fl.) För andra myndigheter är registerförfattningar om förandet av vissa register mindre styrande för verksamheten som helhet, t.ex. för Finansinspektionen (insiderregistret, krigsskaderegistret m.fl.) eller Jordbruksverket (djurskyddskontrollregistret m.fl.). Mellanformer finns där tillämpning av registerförfattningar dominerar delar av en myndighets verksamhet såsom t.ex. är fallet med Socialstyrelsens verksamhet med hälsodataregister.
Som tidigare berörts är det inga vattentäta skott mellan de sorteringskategorier som vi använder oss av. Ett exempel på detta är förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Den reglerar Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehandling i verksamhet enligt den nämnda lagstiftningen. Förordningen reglerar en
mycket omfattande personuppgiftsbehandling hos myndigheterna men är enligt sin ordalydelse begränsad till att reglera vissa register, verksamhetsregister samt Migrationsverkets rättsfallsregister, fingeravtrycksregister samt landinformationsregister. Förordningen företer emellertid i realiteten starka drag av informationshanteringsförfattning.
Informationshanteringsförfattningar
Den andra sorteringskategorin började förekomma i samband med personuppgiftslagens införande. Dessa författningar har som övergripande funktion att utöver eller i stället för personuppgiftslagen särreglera personuppgiftsbehandling i stort inom vissa utpekade verksamheter eller myndigheter. Här handlar det alltså inte bara om att viss registerföring ska eller får ske. Oftast omfattar regleringen såväl registerföring, ärendehanteringssystem eller andra strukturerade personuppgiftssamlingar liksom annan slags behandling utan koppling till ärendehanteringssystem, exempelvis behandling i löpande text. I och med att tillämpningsområdet är vidare än att enbart reglera personuppgifter i register är det i egentlig mening missvisande att kalla dem för registerförfattningar men uttryckssättet har levt kvar och kommit att omfatta även denna kategori författningar.
Utmärkande för denna kategori är att de i huvudsak reglerar vilken personuppgiftsbehandling myndigheter får utföra inom ramen för författningens tillämpningsområde. Inte sällan finns dock särbestämmelser rörande vissa register, databaser eller gemensamt tillgängliga uppgiftssamlingar som får eller ska finnas i den aktuella myndighetens verksamhet.
Informationshanteringsförfattningar har i allmänhet form av lag som kompletteras av förordningar med närmare bestämmelser. Det finns också fristående förordningar som är att betrakta som informationshanteringsförfattningar. Så är t.ex. fallet när det gäller nu gällande registerförfattningar på domstolarnas område respektive inom åklagarväsendet.
Till kategorin informationshanteringsförfattningar har vi, med bortseende från den brottsbekämpande sektorn, bl.a. hänfört följande författningar.
- Lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga med förordning, gäller för Totalförsvarets pliktverk
- Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet med förordning
- Lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet med förordning
- Lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar med förordning, gäller för Valmyndigheten
- Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet med förordning
- Lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet med förordning
- Lagen om behandling av personuppgifter inom socialtjänsten
(2001:454) med förordning, gäller för kommunala myndigheter, Statens Institutionsstyrelse samt enskilda aktörer
- De s.k. Veraförordningarna (2001:639–642), gäller för domstolarna och hyres- och arrendenämnderna
- Lagen (2002:546) om behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten med förordning, gäller för Arbetsförmedlingen
- Lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen med förordning
- Lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst med förordning
- Lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet med förordning
- Patientdatalagen (2008:355) med förordning, gäller för kommunala och landstingskommunala hälso- och sjukvårdsmyndigheter och andra sorters myndigheter som bedriver hälso- och sjuk-
vård, t.ex. inom skolhälsovård, Kriminalvården, Försvarsmakten, Statens institutionsstyrelse m.fl. Lagen gäller även för enskilda vårdgivare.
- Studiestödsdatalagen (2009:287) med förordning, gäller för
Centrala studiestödsnämnden
- Förordningen (2011:306) om behandling av personuppgifter i
Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet
- Kustbevakningsdatalagen (2012:145) i den mån lagen avser annat än brottsbekämpning, gäller för Kustbevakningen
- Lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering med förordning
Även när det gäller denna sorteringskategori förekommer relativt stora variationer. Något som har varit särskilt omdiskuterat genom åren är att författningarna systematiskt har utformats på olika sätt när det gäller förhållandet till personuppgiftslagen. Även ändamålsbestämmelser har utformats på olika sätt och begrepp har använts med delvis olika innebörd m.m.
Dock finns även många likheter. Särskilt gäller detta vilka slags frågor som i allmänhet regleras i författningarna, nämligen frågor om tillämpningsområde, varvid det förekommer föreskrifter om att vissa bestämmelser ska gälla även vid hantering av uppgifter om avlidna eller juridiska personer, personuppgiftsansvar, tillåtna ändamål för dels insamling och myndighetens egen användning av personuppgifter (primära ändamål) dels tillhandahållande av personuppgifter till externa mottagare (sekundära ändamål), vilka personuppgifter som får behandlas, betydelsen av den registrerades inställning till behandlingen, sökbegrepp, specifika hanteringsregler för register, databaser eller andra uppgiftssamlingar, säkerhetfrågor såsom begränsningar av tillgången till lagrade personuppgifter, direktåtkomst och annat elektroniskt utlämnande, bevarande och gallring samt frågor om rättelse, skadestånd och överklagande. Detaljeringsgraden varierar emellertid betydligt. Vissa författningar har mer har karaktären av ramlagar med generella bestämmelser, t.ex. patientdatalagen med anknytande förordning, medan andra har en jäm-
förelsevis detaljerad reglering rörande bl.a. vilka uppgifter om vilka kategorier av personer som får behandlas, t.ex. lagen om behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten med anknytande förordning.
På de områden där det finns mer eller mindre heltäckande informationshanteringsförfattningar för berörda myndigheters verksamhet brukar det indirekt av de beskrivna tillämpningsområdena och genom förarbetsuttalanden framgå att myndigheternas personal- och ekonomiadministration inte omfattas av regleringen i fråga. I den verksamheten ska i stället personuppgiftslagen tillämpas. Ett exempel härpå är 1 § studiestödsdatalagen enligt vilken lagen ska tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet. I motiven har beskrivits vad som närmare avses med studiestödsverksamheten. Vidare har angetts att behandling av personuppgifter som sker inom ramen för myndighetens interna administration inte omfattas av lagen (prop. 2008/09:96 s. 33 f.).
Det kan ibland förekomma ytterligare särreglering av viss personuppgiftsbehandling inom en myndighet parallellt med sådan mer övergripande särreglering av myndighetens personuppgiftsbehandling genom en informationshanteringsförfattning. Exempel härpå är Skatteverkets verksamheter med äktenskapsregistret respektive med identitetskort för folkbokförda i Sverige som omfattas av särskilda registerförordningar samt med verksamheten rörande förmedlingen av elektroniska försändelser från myndigheter till enskilda i e-tjänsten Mina meddelanden (förordningen [1987:1022] om äktenskapsregistret, förordningen [2009:284] om identitetskort för folkbokförda i Sverige samt förordningen [2003:770] om statliga myndigheters elektroniska informationsutbyte).
Annan reglering med inslag av dataskyddsbestämmelser
Den tredje sorteringskategorin är med vårt synsätt egentligen inte registerförfattningar alls. Till den kategorin hör olika slags författningar som inte syftar till att främst reglera ett visst register eller annan behandling av personuppgifter, utan bara till en mindre del innehåller bestämmelser som rör personuppgiftsbehandling och i den delen utgör särreglering i förhållande till personuppgiftslagen.
Sådan reglering kan t.ex. gälla förandet av ett visst register. Exempel härpå är bestämmelser om viss registerföring i skogsvårdslagen (1979:429), vapenlagen (1996:67), konkurslagen (1987:672), biobankslagen (2002:297) och alkohollagen (2010:1622). Det kan också handla om författningar med enstaka undantag från personuppgiftslagens bestämmelser, t.ex. i fråga om förbudet mot att överföra personuppgifter till tredjeland såsom i lagen (2012:318) om 1996 års Haagkonvention. Den lagen hänvisar även till användningsbegränsningar i konventionen ifråga.
Vi har identifierat mer än ett hundratal författningar som hör till denna kategori. Men vi utesluter inte att det finns ytterligare författningar som är av det här slaget. Vi har t.ex. bortsett från sådana författningar som bara i något visst hänseende har relevans för myndigheters personuppgiftsbehandling t.ex. författningar som föreskriver olika slags uppgiftsskyldigheter eller förfaranderegleringar. En författning av sistnämnt slag är rättegångsbalken som kan sägas innehålla en specifik reglering av dataskyddande karaktär i 27 kap. 24 § som avser bevarande respektive förstöring av upptagningar från hemliga tvångsmedel.
Myndigheter såsom exempelvis Centrala studiestödsnämnden, Försäkringskassan och Pensionsmyndigheten är statistikansvariga myndigheter rörande officiell statistik och har i den verksamheten att följa de särregler om behandling av personuppgifter som följer av lagen (2001:99) om officiell statistik med anknytande förordning. Den sistnämnda lagen och förordningen tillhör den kategori författningar som väsentligen utgör verksamhetsreglering men där det finns vissa regler om personuppgiftsbehandling som gäller för statistikansvariga myndigheter. Vad beträffar t.ex. Försäkringskassan och Centrala studiestödsnämnden omfattas sakverksamheten av annan särreglering men så är dock inte alltid fallet, t.ex. i fråga om Brottsförebyggande rådet eller Tillväxtverket. Det kan nämnas att det oftast är förutsatt att statistikansvariga myndigheters verksamhet med den officiella statistiken ska vara en självständig verksamhetsgren inom sådana myndigheter som bedriver annan huvudsaklig verksamhet än statistikverksamhet.
Lagen (1998:112) om ansvar för elektroniska anslagstavlor kan vidare nämnas i detta sammanhang eftersom den har betydelse för alla myndigheters verksamhet på sociala medier. Bland annat innehåller lagen särskilda skyldigheter att informera och gallra på myn-
dighetens egna sociala medier, t.ex. om myndigheten har en interaktiv chattfunktion på den egna webbplatsen. Detta torde utgöra en viss särreglering i förhållande till personuppgiftslagen trots att det inte tycks ha varit ett uttalat syfte med lagen. Här kan även nämnas 6 kap. 18 § lagen (2003:389) om elektronisk kommunikation enligt vilken den som tillhandahåller en webbplats är skyldig att informera om ändamålen med och inhämta samtycke till användningen av s.k. cookies. Det kravet gäller även för myndigheter.
Kameraövervakningslagen (2013:460) är en generellt tillämplig lag som uttryckligen gäller i stället för personuppgiftslagen – vad avser behandling av personuppgifter i ljud och bild – och som kan bli tillämplig hos alla myndigheter förutsatt att myndigheten bedriver sådan kameraövervakning med övervakningsutrustning som avses i lagen.
Registerförfattningar – ett rörligt rättsområde
Registerförfattningsbeståndet är i hög grad varierande även i det avseendet att det fortsatt tillkommer nya registerförfattningar med särregleringar för olika delar av den offentliga sektorn. Den anpassning och översyn av registerförfattningsområdet som vidtogs i samband med personuppgiftslagens införande har inneburit ett omfattande arbete som kan sägas fortfarande pågå. Det ligger i sakens natur att registerförfattningsbeståndet aldrig kan bli ”färdigt” eftersom den offentliga verksamheten genomgår ständiga förändringar.
Bland registerförfattningar som införts parallellt med vårt utredningsarbete kan nämnas lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa med anknytande förordning. Denna författning hör till kategorin renodlade registerförfattningar. Under år 2014 har vidare några författningar beslutats vari bestämmelser om vissa myndigheters personuppgiftsbehandling införts, nämligen lagen (2014:51) om infrastrukturavgifter på väg, som gäller viss registerföring m.m. hos Transportstyrelsen, och lagen (2014:105) om insyn i finansiering av partier, som medger Kammarkollegiet möjlighet att behandla känsliga personuppgifter som lämnats i en intäktsredovisning eller som annars är nödvändiga för att Kammarkollegiet ska kunna fullgöra
sina skyldigheter enligt lagen. Dessa båda sistnämnda lagar tillhör det slags författningar som vi kategoriserar som annan reglering med inslag av dataskyddsbestämmelser.
Som exempel på pågående lagstiftningsarbete kan nämnas 2014 års utlänningsdatautredning (Ju 2014:11) som har i uppdrag att utarbeta förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen som ska ersätta förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (dir. 2014:76).
4.3. En problembeskrivning
4.3.1. Tidigare kritik
De särskilda registerförfattningarna har på olika sätt kritiserats under ganska lång tid. Kritiken har riktats både mot systemet med registerförfattningar som sådant och mot brister i författningarnas konstruktion, val av begreppsapparat m.m. I våra direktiv anges som en bakgrund till vårt uppdrag att se över registerlagstiftningen att en sådan översyn har efterlysts av bl.a. flera utredningar. I det följande presenteras vissa synpunkter som har framförts tidigare i olika sammanhang.
Toppledarforum
Redan på datalagens tid påtalade Toppledarforum – ett samarbetsorgan som under mitten av 1990-talet sysslade med verksamhetsutveckling i offentlig verksamhet med stöd av informationsteknik – att systemet med registerförfattningar medförde vissa problem. Bland annat anfördes att författningsmetodiken var ologisk, omständlig och tidsödande. Vidare framhölls att systemändringar även av detaljkaraktär, t.ex. på grund av ändringar i en verksamhet eller den tekniska utvecklingen, ofta måste föregås av ändringar i registerförfattningar, vilket tar tid och kräver resurser inom riksdag, regeringen och den berörda myndigheten. Angelägna projekt försenas eller blir inte av. Behovet av befintliga registerförfattningar borde därför omprövas och nya registerförfattningar enligt den gamla
modellen borde inte införas, även om undantag kunde tänkas för mycket speciella verksamheter såsom säkerhetspolisen och delar av sjukvården (Toppledaforum, LEXIT – förstudie, 1995 s. 37 f.).
Massmedia
Journalistförbundet har i en framställan till regeringen (Ju2006/4517/L6) anfört att den omfattande regleringen i registerförfattningar medför att undersökningar av stora material försvåras eller omöjliggörs, vilket hotar medias möjligheter att granska hur makten utövas och förvaltas. Framställan gjordes bl.a. mot bakgrund av förbundets egen utredning Registerlagarna – den absoluta sekretessen (2006-04-19). Enligt förbundet är det främst registerförfattningarnas bestämmelser om sökförbud och begränsningar i fråga om utlämnande på medium för automatiserad behandling som har dessa effekter.
Offentlighets- och sekretesskommittén
I sitt huvudbetänkande Ny sekretesslag (SOU 2003:99) berörde Offentlighets- och sekretesskommittén förhållandet mellan sekretesslagstiftningen och förekomsten i registerförfattningar av bestämmelser om tillåtna ändamål för personuppgiftsbehandlingen. Enligt kommittén finns det oklarheter angående sambandet mellan registerförfattningar och den s.k. finalitetsprincipen enligt dataskyddsdirektivet när det gäller uppgiftslämnande mellan myndigheter.
Integritetsskyddskommittén
Integritetsskyddskommittén kritiserade registerförfattningarna på ett antal punkter i sitt delbetänkande Skyddet för den personliga integriteten (SOU 2007:22 s. 461 f.). Bland annat pekade kommittén på att den reformering av registerförfattningarna som har skett efter personuppgiftslagens ikraftträdande har skett utan egentlig samordning. Skiftande lagstiftningsteknik har använts för att reglera registerförfattningarnas förhållande till personuppgiftslagen. Det förekommer att olika begrepp används för att beskriva samma
företeelser. Exempelvis används begreppet databas i en del författningar, medan man i andra har hållit fast vid det sedan tidigare etablerade begreppet register. Det förekommer dessutom att samma begrepp används i olika betydelser i skilda författningar, t.ex. begreppet direktåtkomst som inte alltid avser utlämnande på elektroniskt medium. Vidare har skilda tekniker använts för att beskriva de ändamål för vilka verksamheten, och därigenom behandlingen av personuppgifter, bedrivs. I en del registerförfattningar har ändamålen delats upp i primära och sekundära registerförfattningar där de sistnämnda syftar till att bl.a. beskriva de ändamål för vilka uppgifter får lämnas ut från den aktuella verksamheten. Detta har i sin tur medfört att oklarheter har uppstått bl.a. om hur sådana bestämmelser förhåller sig till finalitetsprincipen. Dessa brister i samordning och enhetlighet har lett till oklarheter i tillämpningen och svårigheter att överblicka regelverket, vilket i sin tur innebär en risk för onödiga integritetsförluster.
Kommittén framhöll också att i den mån det finns bestämmelser i en registerförfattning som inskränker integritetsskyddet borde det framgå av reglerna vari inskränkningen består och hur stor den är. Så är dock inte alltid fallet. Ett exempel på detta var regleringen av direktåtkomst.
Enligt kommitténs sammanfattande analys skulle skyddet för den personliga integriteten väsentligt förbättras om registerförfattningarna utformades enhetligare, tydligare och mer i överensstämmelse med sekretesslagstiftningen.
2005 års informationsutbytesutredning
Även 2005 års informationsutbytesutredning riktade i sitt betänkande Utökat elektroniskt informationsutbyte (SOU 2007:45) kritik mot registerförfattningarna. Utredningen konstaterade att registerförfattningarna bör ses över för att skapa förutsättningar för ett samordnat och enhetligt regelverk som främjar utvecklingen av elektronisk förvaltning och minskar riskerna för oacceptabla intrång i den personliga integriteten. Utredningen anförde bl.a. följande (a. bet. s. 394).
Begreppsbildningen på området är oklar och framtagen under en tid av helt andra och mer begränsade möjligheter till elektroniskt informationsutbyte. Dessa förhållanden skapar onödiga hinder för utveck-
lingen. Enligt vår mening är det en avgörande förutsättning för ett väl fungerande elektroniskt informationsutbyte och elektronisk förvaltning överhuvudtaget att det finns ett samordnat regelverk med enhetlig struktur för alla myndigheter, utan otydliga begrepp och andra onödiga hinder för önskvärd utveckling. Även från integritetsskyddssynpunkt medför den bristande strukturen i författningarna och den oklara begreppsbildningen tillämpningssvårigheter som innebär ökade risker för oacceptabla intrång i den personliga integriteten.
E-delegationen
E-delegationen föreslog i delbetänkandet Strategi för myndigheternas arbete med e-förvaltning (SOU 2009:86) att regeringen skulle tillsätta en utredning med uppdrag att göra en översyn av registerförfattningarna och lämna förslag till bestämmelser som är samordnade, enhetliga och tydliga och där det ingår att lämna förslag till hur regelkonflikter inom register- och sekretesslagstiftningen ska lösas. En sådan reform av registerförfattningarna krävs, påpekade E-delegationen, för att möjliggöra en utveckling i riktning mot en flexibel e-förvaltning. E-delegationen framhöll att i en elektronisk förvaltning måste olika intressen balanseras mot varandra, nämligen intresset av effektivitet, integritet och öppenhet. Dessa tre begrepp borde enligt E-delegationen vara ledord för översynen av registerförfattningarna (a. bet. s. 65 f.).
E-offentlighetskommittén
E-offentlighetskommittén hade bl.a. i uppdrag att överväga om det i sekretesslagstiftningen eller i annan lag skulle införas en skyldighet för myndigheter att lämna ut elektroniskt lagrade allmänna handlingar i elektronisk form. I sitt slutbetänkande Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4) gjorde kommittén bedömningen att det befintliga regelverket till skydd för den personliga integriteten i samband med utlämnande av allmänna handlingar inte säkerställer en godtagbar skyddsnivå i fråga om intrång i enskildas personliga integritet vid ett införande en elektronisk offentlighetsprincip. Den främsta orsaken till det var, menade kommittén, de brister som finns inbyggda i det omfattande regelverk som registerförfattningarna utgör (a. bet. s. 15 f. och 290 f.).
Det var framför allt två slags brister som påtalades. För det första konstaterade kommittén att registerförfattningars sökbegränsningar i vissa fall inte utformats på sätt som gjorde att de träffas av den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket TF trots att avsikten torde ha varit att så skulle ske. De begränsningar som finns var dessutom svåra att överblicka. För det andra fann kommittén ett flertal brister eller oklarheter i registerförfattningars bestämmelser om utlämnande av allmänna handlingar i elektronisk form, i den mån sådana alls förekom. Enligt kommitténs bedömning fanns det troligen många fall där förbud mot elektroniskt utlämnande inte har ansetts motiverat, eller helt enkelt förbisetts, men där det i specifika fall inte borde ske utlämnande i elektronisk form (a. bet. s. 293). I övrigt instämde kommittén med de kritiska påpekanden som framförts av bl.a. Integritetsskyddskommittén och framhöll för egen del det angelägna i en allmän översyn av gällande registerförfattningar och av begreppsbildningen på området för att komma till rätta med de problem som regleringen innebär.
4.3.2. Några ytterligare iakttagelser
Vi återkommer i det följande till redan påtalade specifika problem liksom till problem som vi själva iakttagit och som hänger samman med den befintliga registerförfattningsregleringen.
Vi vill emellertid redan här framhålla att vår inventering av gällande registerförfattningar och vårt övriga arbete – bl.a. i form av kontakter med olika myndigheter och enskilda aktörer – har bekräftat bilden av registerlagstiftningen som ett svåröverblickbart och fragmenterat rättsområde. Redan begreppet registerförfattning, oavsett hur det avgränsas, är tvetydigt. Det som avses utgörs av en tämligen brokig samling författningar som spänner över disparata verksamhetsområden inom hela den offentliga sektorn.
Komplexiteten i regleringen är generellt sett hög, vilket bl.a. beror på att registerförfattningsregleringen bara är en del av det regelverk som styr en myndighets informationshantering. Parallellt med registerförfattningar måste myndigheterna även följa 2 kap. TF, sekretesslagstiftningen liksom förvaltningslagen, arkivlagstiftningen samt annan generell eller myndighetsspecifik reglering som direkt eller indirekt har betydelse för informationshanteringen. Som an-
förs i våra direktiv är det för effektiviseringen av förvaltningen med hjälp av modern informationsteknik viktigt dels att respektive regelverk är väl genomtänkt och så enkelt som möjligt att tillämpa, dels att dessa regelverk är förenliga med varandra. Det är emellertid uppenbart att en anpassning till andra parallella och för informationshanteringen centrala regelverk inte alltid getts tillräcklig uppmärksamhet i lagstiftningsarbetet. Resultatet är bl.a. förekomsten av överlappningar och verkliga eller uppfattade motstridigheter i regleringen vilket medför risk för tillämpningsproblem. Det upplevs dessutom förekomma glapp i regleringen utifrån de behov av informationshantering som finns, vilket leder till osäkerhet och därmed knappast främjar servicen eller effektiviteten i förvaltningen. Det sagda gäller både myndighetsintern informationshantering och vid olika slags informationsutbyten.
Komplexiteten i registerförfattningsregleringen beror emellertid också på inkonsekvenser i regeltekniska strukturer och begreppsanvändning m.m. Samarbeten som myndigheterna åläggs av statsmakterna kan försvåras av olikheter i registerförfattningar som inte är, eller i vart fall inte förefaller vara, kompatibla med varandra.
Till detta kommer att den befintliga regleringen – som alltså är svåröverskådlig redan för lagstiftare och tillämpare – för den enskilde registrerade torde framstå som i det närmaste ogenomtränglig. Möjligheten för den enskilde att kunna förstå vilka dataskyddsregler som styr informationshanteringen av uppgifter om honom eller henne hos respektive myndighet är central. Överskådlighet och begriplighet är viktiga komponenter för enskilda registrerade som vill göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket. Även i detta avseende finns uppenbara brister.
Den splittrade och ibland inkonsekventa regleringen försvårar också för allmänheten att sätta sig in i vad som gäller på olika områden, vilket är särskilt olyckligt när det handlar om utövandet av den grundlagsskyddade rätten till insyn i myndigheternas allmänna handlingar. Vi har t.ex. erfarit att det är ett problem vid s.k. vidareutnyttjande av offentlig information att det splittrade sättet att reglera myndigheters registerföring gör att det krävs resurser att sätta sig in i nya förutsättningar varje gång en ny myndighet ska kontaktas.
Utöver de problem med registerförfattningar som beskrivits ovan har vi i vårt arbete kunnat konstatera att det finns en särskild
problembild som hör samman med att den allmänna regleringen i personuppgiftslagen har utformats utan närmare hänsyn till de förhållanden som gäller för myndigheternas personuppgiftsbehandling. Personuppgiftslagen är väsentligen utformad som en civilrättslig reglering. För myndigheter i allmänhet, alltså inte bara sådana som omfattas av särskild registerförfattningsreglering, präglas personuppgiftsbehandlingen emellertid av att den sker i författningsreglerade verksamheter med skyldigheter för myndigheterna och rättigheter för enskilda. Personuppgiftslagen är dock – med vissa undantag – i grunden inte anpassad till detta.
SÄRSKILDA FRÅGOR
5. Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?
5.1. Problembild enligt direktiven och utredningens delbetänkande
5.1.1. Direktiven
Vi ska överväga om det finns skäl att i registerförfattningar behålla åtskillnaden mellan olika former av elektroniskt utlämnande. Som bakgrund till uppdraget i denna del anförs bl.a. följande i våra direktiv. Den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och att nya åtkomstmetoder alltjämt tillkommer. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. De aktuella begreppen används inte heller på ett enhetligt sätt i de olika registerförfattningarna och utöver nu nämnda begrepp förekommer andra, t.ex. ”elektronisk åtkomst”.
5.1.2. Utredningens bedömning i delbetänkandet
I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) uttalade vi att det står klart att begreppsapparaten vad avser reglering i registerförfattningar av elektroniska utlämnandeformer måste bli tydligare och vara enhetlig (s. 212 f.). Det finns således ett behov av reformer på området. Vi föreslog inte någon grundlagsändring i delbetänkandet i syfte att undanta överskottsinformation vid direktåtkomst från begreppet allmän handling.
Därför var det inte påkallat att redan i delbetänkandet, innan vårt arbete med en samlad översyn av registerlagstiftningen var klart, göra några slutgiltiga ställningstaganden eller lägga fram några konkreta förslag till ny regleringsmodell på området. Vi avsåg därför att återkomma till frågan i slutbetänkandet.
5.2. Nuvarande regler som i allmän mening styr uppgiftsutbyte mellan myndigheter
5.2.1. Samverkan enligt förvaltningslagen
Enligt 6 § FL, ska varje myndighet lämna andra myndigheter hjälp inom ramen för den egna verksamheten.
Ytterligare bestämmelser om samverkan mellan förvaltningsmyndigheter under regeringen finns i 6 § myndighetsförordningen (2007:515). Enligt stadgandets andra stycke ska en myndighet verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet. Vidare sägs i tredje stycket att myndigheten ska tillhandahålla information om myndighetens verksamhet.
Utrymmet för samverkan mellan myndigheterna enligt de ovan nämnda bestämmelserna påverkas av innehållet i annan lagstiftning, exempelvis regler om sekretess. En samverkan får inte heller ta sig sådana former att de medverkande myndigheternas olika funktioner blandas samman och inte klart kan urskiljas (se JO 1993/94 s. 458).
5.2.2. Offentlighets- och sekretesslagen
I offentlighets- och sekretesslagen finns flera regler som påverkar möjligheterna för myndigheter att utbyta uppgifter med varandra. I vissa fall innebär dessa regler också rättigheter respektive skyldigheter för myndigheter vid sådant utbyte. Nedan redogörs för de regler i offentlighets- och sekretesslagen som har betydelse för ett uppgiftsutbyte, nämligen bestämmelser om informationsskyldighet, sekretess mellan myndigheter, i vilka fall sekretess bryts och överföring av sekretess.
Informationsskyldighet mellan myndigheter
Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
Bestämmelsen kan ses som en precisering av myndigheters skyldighet att samverka enligt 6 § FL. Den skyldighet att lämna information till andra myndigheter som bestämmelsen föreskriver avser varje uppgift som myndigheten förfogar över och alltså inte bara uppgifter ur allmänna handlingar. Skyldigheten är således mer vidsträckt än den som gäller gentemot allmänheten (Lenberg m.fl., kommentaren till 6 kap. 5 §).
I vissa fall kan en mer långtgående skyldighet att lämna uppgifter gälla gentemot andra myndigheter enligt särskilda föreskrifter, s.k. sekretessbrytande bestämmelser (jfr 10 kap. 15 § och 28 § första stycket).
Sekretess mellan myndigheter
Enligt 8 kap. 1 § OSL får en uppgift för vilken sekretess gäller enligt den lagen inte röjas för andra myndigheter, om inte annat anges i den lagen eller i lag eller förordning som lagen hänvisar till.
Av 8 kap. 2 § följer att vad som föreskrivs om sekretess mot andra myndigheter i 1 § och vad som föreskrivs i andra bestämmelser om uppgiftslämnande till andra myndigheter och överföring av sekretess mellan myndigheter, gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra.
Bestämmelsen har sin motsvarighet i 2 kap. 8 § TF om när en handling blir allmän när den överlämnats mellan organ inom samma myndighetsorganisation. Det avgörande är även i detta fall att organen uppträder som självständiga i förhållande till varandra.
Frågan om när organ eller verksamhetsgrenar inom samma myndighetsorganisation är att betrakta som självständiga i förhållande till varandra kan vara svårbedömd. Den har diskuterats både i lagstiftningsarbetet (se exempelvis prop. 2007/08:126 s. 162 f. om kommunal hälso- och sjukvård) och i rättspraxis (HFD 2013 ref. 40) samt inom ramen för JO:s tillsyn (se exempelvis JO 1995/96 s. 431
om stöd och service till funktionshindrade kunde ses som en självständig verksamhetsgren i förhållande till socialtjänsten).
Sekretessbrytande bestämmelser
Enligt 12 kap. 2 § andra stycket OSL kan en enskild helt eller delvis häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i den lagen. I 10 kap. 1 § samma lag erinras om att sekretess till skydd för enskild alltså inte hindrar att en uppgift lämnas till en annan enskild eller en myndighet, om den enskilde samtycker till det.
Av 10 kap. 2 § OSL följer att sekretess inte hindrar att en uppgift lämnas till en enskild eller en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen bör tillämpas restriktivt (prop. 1979/80:2 Del A s. 465 och 494). Avsikten är inte att rena effektivitetsskäl ska utgöra tillräckliga skäl att bryta sekretessen. Det är ett behov hos den utlämnande myndigheten som kan utgöra skäl att bryta sekretessen, däremot inte att den mottagande myndigheten behöver uppgiften för sin verksamhet.
I 10 kap. 27 § OSL finns en bestämmelse, den s.k. generalklausulen, som enbart tar sikte på att i visst fall bryta sekretess mellan myndigheter. Den kan således inte tillämpas vid utlämnande till en enskild. Enligt bestämmelsen får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Viss sekretess har undantagits från bestämmelsens tillämpningsområde (se andra stycket), exempelvis sekretess inom hälso- och sjukvården och socialtjänsten.
Har det i lag eller förordning föreskrivits att uppgifter ”bör” eller ”får” lämnas från en myndighet till en annan, finns det särskild anledning att anse att generalklausulen är tillämplig. Riksdagens eller regeringens föreskrifter med en sådan innebörd bör ju vara grundade på den bedömningen att intresset av att ett uppgiftsutbyte sker har företräde framför sekretessintresset (Lenberg m.fl., kommentaren till 10 kap. 27 §). Även om utgångspunkten är att ett rutinmässigt uppgiftsutbyte ska vara författningsreglerat hindrar inte generalklausulen att sådant utbyte sker även utan stöd av en
särskild författningsreglering. I de undantagsfall när rutinmässigt uppgiftsutlämnande inte är författningsreglerat men likväl kan anses tillräckligt motiverat måste den intresseavvägning som ska göras enligt generalklausulen ske på förhand och behöver inte avse en prövning i enskilda fall (prop. 1979/80:2 Del A s. 326).
Om det finns förutsättningar att lämna ut en sekretessbelagd uppgift med stöd av generalklausulen är den myndighet som förvarar uppgiften enligt 6 kap. 5 § OSL skyldig att lämna ut den.
I 10 kap. 28 § första stycket OSL stadgas att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.
Det finns inte något konstitutionellt hinder mot att regeringen medger att annars sekretessbelagda uppgifter lämnas mellan myndigheter eller självständiga verksamhetsgrenar inom en myndighet. I förarbetena till motsvarande bestämmelse i den tidigare sekretesslagen (1980:100) anfördes att det däremot från saklig synpunkt i vissa fall kan te sig tveksamt att regeringen kan tunna ut en av riksdagen i lag beslutad sekretess till skydd för enskilda genom föreskrifter som medger att information lämnas från en myndighet till en annan eller mellan självständiga verksamhetsgrenar inom en myndighet (a. prop. s. 322). Regeringen kan dock inte genom föreskrifter i en förordning sätta åt sidan bestämmelser i lag som exklusivt reglerar uppgiftsutbytet mellan myndigheter.
För att det ska vara fråga om uppgiftsskyldighet i den mening som avses i paragrafen krävs att bestämmelsen i fråga uppfyller vissa krav på konkretion. Den kan ta sikte på utlämnande av uppgifter av ett speciellt slag, gälla en viss myndighets rätt att få del av uppgifter i allmänhet eller avse en skyldighet för en viss myndighet att lämna andra myndigheter information (Lenberg m.fl., kommentaren till 10 kap. 28 §).
En föreskrift som mera generellt anbefaller samverkan mellan myndigheter är däremot inte av sådant slag att den kan anses ålägga en uppgiftsskyldighet i den mening som avses i paragrafen. Exempelvis är bestämmelserna i 6 kap. 5 § OSL och 6 § FL inte av det slaget.
Ytterligare sekretessbrytande bestämmelser som tar sikte på uppgiftsutbyte mellan myndigheter i vissa fall finns också i 10 kap. 15– 26 §§ OSL, bl.a. för brottsbekämpande ändamål.
Överföring av sekretess
När en sekretessbelagd uppgift lämnas från en myndighet till en annan är huvudregeln att sekretessen inte följer med uppgiften. Det har emellertid införts bestämmelser om överföring av sekretess inom vissa områden.
Ett exempel på en bestämmelse om överföring av sekretess är 11 kap. 4 § OSL. Där föreskrivs i första stycket att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Enligt andra stycket ska första stycket inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Bakgrunden till bestämmelsen i 11 kap. 4 § första stycket OSL är att en myndighet som medgetts direktåtkomst kan behöva få teknisk tillgång till fler uppgifter än de uppgifter som myndigheten behöver och därmed har rätt att behandla, s.k. överskottsinformation (prop. 2007/08:160 s. 75).
Av 11 kap. 8 § följer att 4 § inte ska tillämpas om det finns en s.k. primär sekretessbestämmelse som redan är tillämplig på uppgifterna hos den mottagande myndigheten. Vi har i vårt delbetänkande Överskottsinformation vid direktåtkomst (SOU 2012:90) föreslagit att det ska införas ett andra stycke i 11 kap. 8 §, där det föreskrivs att första stycket inte ska tillämpas på en uppgift som är tillgänglig för en myndighet på sätt som anges i 11 kap. 4 § första stycket och som den mottagande myndigheten enligt lag eller förordning inte får behandla.
5.2.3. Personuppgiftslagen
I personuppgiftslagen finns inga bestämmelser som direkt tar sikte på uppgiftsutbyte mellan myndigheter. Flera av bestämmelserna i lagen har dock betydelse för i vilken omfattning ett utbyte av personuppgifter mellan myndigheter är möjligt. Både bestämmelserna med grundläggande krav på personuppgiftsbehandling i 9 § och regler om vilka typer av behandlingar som är tillåtna i 10 § och 13– 22 §§ påverkar möjligheterna till sådant utbyte. Dessa krav gäller dock inte enligt det allmänt gällande undantaget i 5 a § – den s.k.
missbruksregeln – som tar sikte på behandling i ostrukturerat material. Detta undantag har dock genom en inkonsekvent reglering i särskilda registerförfattningar kommit att gälla för vissa myndigheter men inte för andra.
5.3. Uppgiftsutbyte genom direktåtkomst
5.3.1. Begreppet direktåtkomst
Det finns ingen legaldefinition av begreppet direktåtkomst. I tidigare registerförfattningar användes begreppet terminalåtkomst. Exempelvis föreskrevs i 10 och 12 §§ i den numera upphävda skatteregisterlagen (1980:343) vilka myndigheter som skulle få ha terminalåtkomst till det centrala skatteregistret respektive ett regionalt skatteregister.
Sedan slutet av 1990-talet används i stället begreppet direktåtkomst, eftersom terminaler hade kommit att användas alltmer sällan och begreppet terminalåtkomst därför ansågs föråldrat (se t.ex. prop. 1997/98:97 s. 88). Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (prop. 2011/12:45 s. 133). Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte något beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall.
I förarbetena till 11 kap. 4 § OSL, som alltså reglerar överföring av sekretess vid direktåtkomst, uttalade sig regeringen om hur direktåtkomst bör definieras (prop. 2007/08:160 s. 164). Med en sådan åtkomst avsågs enligt regeringen att en upptagning är tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § andra stycket första meningen TF, dvs. upptagningen ska vara tillgänglig med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.
Högsta förvaltningsdomstolen fann i rättsfallet HFD 2011 ref. 52 att det förhållandet att handlingar i en databas gjorts tekniskt tillgängliga för en annan myndighet för bl.a. statistikframställning innebar att handlingarna måste anses expedierade i den mening som avses i 2 kap. 7 § TF. Av rättsfallet framgår att det är själva tillgången till handlingarna som innebär att de anses expedierade till den andra myndigheten. Huruvida den myndigheten i något konkret fall faktiskt hade använt sig av tillgången har således inte någon betydelse för bedömningen av om handlingarna var att anse som expedierade.
Den i rättsfallet aktuella begäran om att få ta del av allmänna handlingar gällde uppgifter som förts in i databasen från en myndighet. Frågan var om uppgifterna ingick i allmänna handlingar hos den myndigheten. Högsta förvaltningsdomstolen hade inte anledning att uttala sig beträffande frågan om det också var en allmän handling hos den mottagande myndigheten. Av domstolens slutsats att handlingarna gjorts tillgängliga för den myndigheten på ett sådant sätt att de hade expedierats, följer emellertid att de därmed är att anse som förvarade hos den mottagande myndigheten i den mening som avses i 2 kap. 3 § andra stycket TF.
Den omständigheten att direktåtkomst till en viss mängd uppgifter innebär att de handlingar i vilka uppgifterna ingår anses expedierade till den mottagande myndigheten medför alltså i sin tur att handlingarna är att anse som förvarade, och därmed också som huvudregel som inkomna, hos den myndigheten i den mening som avses i 2 kap. 3 och 6 §§ TF. Handlingarna utgör genom direktåtkomsten således allmänna handlingar även hos den mottagande myndigheten. En direktåtkomst till sekretessreglerade uppgifter innebär vidare att det krävs en sekretessbrytande regel för att utlämnandet av uppgifterna inte ska innebära ett brott mot den sekretess som annars gäller.
5.3.2. Hur regleras en myndighets direktåtkomst till en annan myndighets informationssamlingar?
Vid vår genomgång av registerförfattningar har det kommit fram att utlämnande i form av direktåtkomst regleras på i huvudsak tre olika sätt. Ett sätt är att i författning beskriva några fall då direktåtkomst får medges. Ett exempel på detta förfaringssätt är den
direktåtkomst som får medges till Skatteverkets beskattningsdatabas. I 7–8 a §§ lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet regleras vilka myndigheter, eller självständiga verksamhetsgrenar inom Skatteverket, som får ha direktåtkomst till beskattningsdatabasen. Förutom att föreskriva vilka myndigheter som ”får ha” direktåtkomst, anges också vilka uppgifter som direktåtkomsten får omfatta. Det anges också att regeringen meddelar närmare föreskrifter om vilka uppgifter och handlingar direktåtkomsten får omfatta.
I förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns i 4–8 §§ bestämmelser om när uppgiftsskyldighet finns i förhållande till uppräknade myndigheter. I 8 a § erinras vidare om att uppgiftsskyldighet föreskrivs också i vissa omnämnda författningar.
Ett annat sätt är att uttömmande reglera i vilka fall direktåtkomst får medges. Denna lagstiftningsteknik har använts exempelvis i fråga om socialförsäkringsdatabasen som innehåller personuppgifter i Försäkringskassans och Pensionsmyndighetens verksamhet. I 114 kap. 18–23 §§ SFB finns bestämmelser om direktåtkomst till socialförsäkringsdatabasen. Av 2 och 5 §§ framgår att socialförsäkringsdatabasen utgörs av den samling av uppgifter som med hjälp av automatiserad behandling används gemensamt för handläggning av förmåner m.m. som utförs av Försäkringskassan och Pensionsmyndigheten.
Enligt 18 § är direktåtkomst till socialförsäkringsdatabasen endast tillåten i den utsträckning som anges i lag eller förordning. I 19– 23 §§ finns därefter bestämmelser om vissa myndigheter eller organ med myndighetsuppgifter som, förutom Försäkringskassan och Pensionsmyndigheten, får ha sådan direktåtkomst och att det gäller i den utsträckning det behövs för särskilt nämnda ärendeslag eller ändamål. Vad gäller ändamålen hänvisas till 8 § där s.k. sekundära ändamål räknas upp, dvs. som tar sikte på tillhandahållande av information som behövs i annan verksamhet än den som bedrivs av Försäkringskassan och Pensionsmyndigheten. I 3–4 §§ förordningen (2003:766) om behandling av personuppgifter i socialförsäkringens administration finns ytterligare föreskrifter om direktåtkomst. Bestämmelser om uppgiftsskyldighet på socialförsäkringsområdet som knyter an till bestämmelserna om direktåtkomst i 114 kap. SFB finns vidare i förordningen (1980:995) om skyldighet för
Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter, den s.k. uppgiftslämnarförordningen. Sådana bestämmelser finns också i vissa fall i författningar som gäller den myndighet som medgetts direktåtkomst till socialförsäkringsdatabasen.
Direktåtkomst kan också regleras på det sättet att författningen ger uttryck för när direktåtkomst inte får förekomma, dvs. i form av förbud mot direktåtkomst. Så är fallet med direktåtkomst till personuppgifter inom socialtjänsten. Enligt 11 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten bemyndigas regeringen att meddela föreskrifter om bl.a. direktåtkomst. I 24 § förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten föreskrivs att Socialstyrelsen får i verksamhet som avses i lagen (2007:606) om utredningar avseende vissa dödsfall inte medge andra myndigheter eller enskilda direktåtkomst till personuppgifter. I övrigt saknas bestämmelser om direktåtkomst. I den nya lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna finns bestämmelser som innebär att vissa myndigheter inte bara får, utan ska, medges direktåtkomst (6 och 7 §§). Att man reglerar direktåtkomsten på ett sådant sätt hör emellertid till undantagen.
Det finns också exempel på att en myndighet har gett en annan myndighet direktåtkomst utan att det särskilt har reglerats. Ett sådant exempel är att Transportstyrelsen, efter samråd med Datainspektionen, har gett bl.a. Luftfartsverket direktåtkomst till luftfartsregistret. Det finns ingen särskild registerförfattning som reglerar behandling av personuppgifter i det registret, utan i stället gäller personuppgiftslagen. Att registret ska föras framgår dock av 2 kap. 1 § luftfartslagen (2010:500).
5.4. Uppgiftsutbyte genom utlämnande på medium för automatiserad behandling
5.4.1. Begreppet
Begreppet utlämnande på medium för automatiserad behandling används i registerförfattningar utan att begreppet har getts någon legaldefinition. Uttrycket ”automatiserad behandling” finns i flera paragrafer i personuppgiftslagen, t.ex. 5 §. I den tidigare datalagen
(1973:289) användes begreppet automatisk databehandling. Vid personuppgiftslagens införande konstaterade Lagrådet att det begreppet var väl inarbetat, men att ett sådant uttryckssätt förde tanken till en behandling som sker automatiskt efter en viss händelse eller tidpunkt e.d. oavsett hur behandlingen utförs. I stället borde uttrycket ”automatiserad behandling” användas. Regeringen instämde i denna bedömning (prop. 1997/98:44 s. 38 f. och 240). Begreppet automatiserad behandling har sedan kommit att användas i de registerförfattningar som tillkommit efter personuppgiftslagens införande. Även i 2 kap. TF används begreppet automatiserad behandling, i t.ex. 3 och 13 §§ talas om ”upptagning för automatiserad behandling”. Skälet är att man velat ansluta till terminologin i registerförfattningarna (prop. 2001/02:70 s. 23).
Vad som avses med ett medium för automatiserad behandling som kan användas för utlämnande av information har varierat beroende på informationsteknikens utveckling. I äldre förarbeten talades det exempelvis om magnetband, skivminnen eller en handling med visuellt läsbar text, om texten var maskinläsbar och avsikten var att avläsning skulle ske maskinellt (prop. 1979/80:146 s. 48). I senare motivuttalanden anfördes att utlämnande kunde ske genom filöverföring, på diskett eller på annat sätt med hjälp av automatisk databehandling (prop. 1995/96:201 s. 31).
Med dagens teknik kan utlämnande av information ske exempelvis genom e-post, på ett usb-minne eller genom direkt överföring från ett datorsystem till ett annat via ett elektroniskt kommunikationsnät. Vid ett mer omfattande uppgiftsutbyte mellan myndigheter är det ofta den senare metoden som används.
I studiestödsdatalagen skiljer man på begreppen utlämnanden på medium för automatiserad behandling och utlämnanden via elektronisk kommunikation (se 13 §). Med medium för automatiserad behandling avses ett fysiskt medium såsom diskett, usb-minne eller cd-skiva, medan utlämnanden via elektronisk kommunikation tar sikte på exempelvis e-post, sms eller skriftlig dialog i realtid via internet (prop. 2008/09:96).
5.4.2. Hur regleras utlämnande på medium för automatiserad behandling?
Frågan om utlämnande på medium för automatiserad behandling har behandlats på olika sätt i registerförfattningarna. I vissa författningar har man uttryckligen reglerat när ett sådant utlämnande får ske. Ett sådant exempel är utlämnanden från socialförsäkringsdatabasen, som regleras i 114 kap. 24 § SFB. Enligt den bestämmelsen får personuppgifter i socialförsäkringsdatabasen som får lämnas ut till den registrerade lämnas ut till denne på medium för automatiserad behandling. I övrigt får personuppgifter ur databasen lämnas ut på sådant medium endast om det behövs för något av de ändamål som anges i 8 och 9 §§, dvs. för ett av de där uppräknade tillåtna ändamålen för att tillhandahålla information – s.k. sekundära ändamål. Ett annat exempel där lagstiftaren har valt att reglera i vilka fall utlämnande på medium för automatiserad behandling ska vara tillåtet är studiestödsdatalagen (2009:287). Enligt 10 § är elektroniskt utlämnande tillåtet bara i den utsträckning som anges i lag eller förordning. Som ytterligare förutsättningar gäller att bestämmelserna om tillåtna ändamål i 4 § följs. Detsamma gäller bestämmelserna om särskilda begränsningar, samtycke och sökbegrepp i 6–8 §§. Av 13 § följer emellertid att när personuppgifter får lämnas ut till någon genom direktåtkomst, får de också på något annat sätt lämnas ut elektroniskt till mottagaren. Vidare får personuppgifter även i andra fall lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall.
I andra författningar saknas det regler om utlämnande på medium för automatiserad behandling. Av förarbetena framgår att man då ansett att en sådan reglering inte är nödvändig för att ett utlämnande ska kunna ske. Som exempel kan nämnas utlämnanden från beskattningsdatabasen. Enligt 2 kap. 6 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet får uppgifter i databasen lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det. För sådant utlämnande till en myndighet saknas däremot regler. Ett annat exempel där det inte bedömts nödvändigt att särskilt reglera utlämnanden på medium för automatiserad behandling för att det ska vara tillåtet är patientdatalagen (2008:355). I lagen har i stället införts en bestämmelse, 5 kap. 6 §, som föreskriver att om en
personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. Det uppställda villkoret syftar på att uppgiften inte kan lämnas ut om utlämnandet inte är en tillåten behandling av personuppgifter eller sekretess hindrar utlämnandet (prop. 2007/08:126 s. 77 och 246 f.).
Ett fåtal författningar innehåller förbud mot utlämnanden på medium för automatiserad behandling. Ett sådant exempel är utlämnanden från passagerarregistret. Enligt 7 § lagen (2006:444) om passagerarregister är det förbjudet att lämna ut personuppgifter ur registret på medium för automatiserad behandling. Bakgrunden till bestämmelsen behandlas inte närmare i förarbetena (prop. 2005/06:129). Det konstateras emellertid att en myndighet som begär att få ut uppgifter ur registret med stöd av den s.k. generalklausulen i 10 kap. 27 § OSL således inte kan få uppgifterna utlämnande på medium för automatiserad behandling (a. prop. s. 79).
5.5. Den tekniska utvecklingen
5.5.1. Tidigare uttalanden om den tekniska utvecklingens betydelse för begreppens innebörd
I våra direktiv anförs att den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och att nya åtkomstmetoder alltjämt tillkommer. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte.
I prop. 2007/08:160 behandlades frågan om ett utökat elektroniskt informationsutbyte mellan Migrationsverket, Försäkringskassan, Skatteverket, Kronofogdemyndigheterna, Statens Pensionsverk, Centrala studiestödsnämnden, Arbetsförmedlingen, arbetslöshetskassorna och kommunernas socialnämnder. Regeringen drog här slutsatsen att utgångspunkten för det utökade elektroniska informationsutbytet bör vara att utlämnandet av uppgifter ska ske genom att direktåtkomst medges (a. prop. s. 56 f.). När det gällde utlämnande som inte sker genom direktåtkomst utan på medium för automatiserad behandling anförde regeringen att den teknik som i dag används för sådan elektronisk informationsöverföring nor-
malt innebär att data utbyts nattetid och att begärd information skickas från de interna registren till en brevlåda hos den myndighet som ska lämna ut uppgifterna (a. prop. s. 58). Regeringen påpekade att den fördröjning i uppgiftslämnandet som är inbyggd i tekniken innebär en teoretisk möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. Sekretessprövningen sker dock i praktiken i samband med att förbindelsen upprättas. Någon ytterligare prövning av uppgifterna i samband med utlämnandet sker inte vid överföringar via telenätet, även om det på grund av fördröjningen i systemen är teoretiskt möjligt att göra en sådan prövning. Regeringen ansåg att den tekniska utvecklingen har lett till att skillnaderna mellan direktåtkomst och annat utlämnande på automatiserad väg har blivit så små att det kan vara svårt att dra en gräns mellan direktåtkomst och andra former för utlämnande.
I samma proposition påpekade regeringen vidare att s.k. batchkörningar, som ofta användes för utlämnande på medium för automatiserad behandling, har en tidsfördröjning på ett dygn (prop. 2007/08:160 s. 60). Detta innebär att de uppgifter som hämtats in från en annan myndighets system är i vart fall en dag gamla när handläggaren av ett ärende fattar beslut med stöd av dessa.
E-offentlighetskommittén påpekade i sitt betänkande Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4) att den tekniska utvecklingen har fört med sig att gränsen mellan de metoder för utlämnande i elektronisk form som förekommer i registerförfattningarna i viss mån har suddats ut (s. 366). Kommittén hänvisade i denna del till SAMSET-rapport 2006:1, Elektroniskt informationsutbyte – myndighetsgemensamma rättsfrågor, s. 78 ff.
Vi har i vårt delbetänkande berört frågan om vilka begrepp som används vid elektroniska utlämnandeformer och konstaterade där att begreppet utlämnande på medium för automatiserad behandling i takt med att tekniken utvecklats har getts en vidare innebörd än att avse ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring (SOU 2012:90 s. 198 f.). Med hänvisning till uttalanden i förarbeten nämnde vi som exempel på detta s.k. batch-körningar.
E-delegationens expertgrupp för rättsliga frågor har i en rapport från mars 2012 presenterat en juridisk modell för on-lineliknande utlämnanden som syftar till att inte komma i konflikt med de krav i
författning som gäller för direktåtkomst, uppfylla erforderliga krav på persondataskydd och informationssäkerhet och inte leda till att överskottsinformation hos mottagande myndighet uppstår. Expertgruppen anför i rapporten att den snabba tekniska utvecklingen har möjliggjort att nya metoder för utlämnanden av myndighetsinformation kan innefatta reella och automatiserade kontroller som görs i varje enskilt fall, i likhet med vad som sker vid automatiserade beskattningsbeslut. Enligt expertgruppens bedömning kan ett fullt utvecklat stöd för automatiserade beslut, som leder till reella prövningar och individuella förvaltningsbeslut i varje enskilt fall innan uppgifter lämnas ut, ges en sådan utformning att informationsutbytet inte bör anses utgöra direktåtkomst.
5.5.2. Uppgiftsutbyte mellan Försäkringskassan och kommunala nämnder
För närvarande pågår en process i allmän förvaltningsdomstol mellan Försäkringskassan och Datainspektionen där frågan berörs om ett uppgiftsutbyte mellan Försäkringskassan och kommunala nämnder är att anse som direktåtkomst eller utlämnande på medium för automatiserad behandling. Uppgiftsutbytet sker genom datasystemet LEFI Online, som är en automatiserad onlinetjänst som bl.a. ger socialnämnder åtkomst till viss information. Det är en fråga/svarstjänst med fördefinierade frågor och svar. Mottagaren skickar en frågefil avseende en viss person i taget som innehåller uppgifter om personnummer och efterfrågade förmåner för en viss period. Försäkringskassans it-system hämtar in informationen från olika interna källor och sammanställer ett svar. En behörighetskontroll och två sekretesskontroller genomförs automatiserat under processen. En svarsfil skickas sedan till mottagaren.
I sak rör målet om Datainspektionen, som anser att det uppgiftsutbyte som sker genom LEFI-Online är direktåtkomst, haft fog för ett föreläggande mot Försäkringskassan att upphöra med att ge socialnämnder åtkomst till uppgifter i socialförsäkringsdatabasen till dess att en sådan försäkran som avses i 114 kap. 22 § SFB har hämtats in från socialnämnderna.
I en dom den 19 december 2012 (mål nr 9049-11) fann Förvaltningsrätten i Stockholm att det måste vara fråga om ett beslut som baseras på en reell prövning i det enskilda fallet för att det ska vara
fråga om utlämnande på medium för automatiserad behandling och inte direktåtkomst. Det bör enligt förvaltningsrätten krävas att en sådan prövning inte endast innebär i princip detsamma som en på förhand genomförd prövning vid direktåtkomst till fördefinierade uppgifter. Domstolen instämde därför i Datainspektionens bedömning att det var fråga om direktåtkomst och ansåg att det därmed saknades anledning att invända mot Datainspektionens föreläggande.
Försäkringskassan överklagade domen till Kammarrätten i Stockholm, som i en dom den 14 februari 2014 avslog överklagandet (mål nr 189-13). Som skäl för sitt avgörande anförde kammarrätten bl.a. följande. För att det ska vara fråga om ett utlämnande på medium för automatiserad behandling krävs antingen att det är fråga om en s.k. batch-körning eller att utlämnandet baseras på en reell prövning i det enskilda fallet. Med en reell prövning avses att den utlämnande myndigheten i varje enskilt fall gör en sekretessprövning av om uppgifter kan lämnas ut. I målet var det inte fråga om en batch-körning. Vad gällde frågan om en reell sekretessprövning görs vid utlämnande av uppgifterna, framgick av handlingarna i målet att Försäkringskassan inte fattar något individuellt beslut, automatiserat eller inte, för varje enskild begäran. Vid en sammantagen bedömning av de behörighets- och sekretesskontroller som utförs i systemet LEFI Online av de fördefinierade uppgifterna fann kammarrätten att de inte kan anses tillräckliga för att det ska anses som att det sker ett utlämnande på medium för automatiserad behandling, utan att utlämnandet som sker genom systemet sker genom direktåtkomst.
Försäkringskassan har överklagat kammarrättens dom till Högsta förvaltningsdomstolen som beslutade att meddela prövningstillstånd den 21 januari 2015 (mål nr 1356-14).
5.5.3. Självbetjäningstjänster
En del myndigheter har infört servicesystem som innebär att myndigheter och enskilda medges en automatiserad tillgång till uppgifter hos myndigheten som inte är sekretessreglerade, dvs. som inte omfattas av någon sekretessbestämmelse. Ett exempel är att man kan få tillgång till uppgifter i vägtrafikregistret genom själv-
betjäningstjänster via Transportstyrelsens hemsida. Möjligheten för Transportstyrelsen att medge direktåtkomst till registret är begränsad enligt särskilda bestämmelser i lagen (2001:558) om vägtrafikregister och den anknytande förordningen (2001:650). Transportstyrelsen har i en framställan till regeringen den 16 juni 2014 uppmärksammat att det nuvarande regelverket inte ger ett tydligt stöd för de redan befintliga servicetjänsterna och är ett hinder för fortsatt utveckling av dessa (dnr TSV 2014-1642). Myndigheten föreslår därför vissa ändringar i nämnda registerförfattningar, bl.a. att direktåtkomst till enstaka personuppgifter som gäller registrering av fordon, felparkeringsavgifter samt trängselskatt och som inte är integritetskänsliga ska vara tillåtna utan något särskilt medgivande och utan att ändamålen med åtkomsten behöver prövas.
Många myndigheter ger enskilda möjlighet att via en ”allmänhetens terminal” själva söka i myndighetens diarier och andra informationssamlingar med offentliga uppgifter som myndigheten gjort tillgängliga för sökning i terminalen. En sådan ”allmänhetens terminal” kan ses som ett praktiskt sätt att lösa den skyldighet för myndigheten som följer av 6 kap. 6 § OSL och som innebär att en myndighet som huvudregel ska ge enskilda tillfälle att själva använda tekniska hjälpmedel för att kunna ta del av myndighetens elektroniska handlingar. Detta sätt att erbjuda enskilda en teknisk möjlighet att direkt hos myndigheten ta del av elektroniska handlingar har ibland inte ansetts utgöra direktåtkomst (se t.ex. Ds 2013:10 s. 138). I andra sammanhang har ”allmänhetens terminal” emellertid betraktats som direktåtkomst (se t.ex. JK:s beslut den 20 januari 2010, dnr 7004-13-28).
5.6. Effektivitetsvinster och integritetsrisker
5.6.1. Uppdraget
I våra direktiv sägs att vi mot bakgrund av gränsdragningsproblematiken i fråga om direktåtkomst och utlämnande på medium för automatiserad behandling ska analysera vilka effektivitetsvinster och integritetsrisker som är förknippade med olika former av elektroniskt informationsutbyte.
5.6.2. Effektivitetsvinster
I syfte att effektivisera förvaltningen har riksdag och regering återkommande i olika lagstiftningsärenden infört bestämmelser som ska möjliggöra ett utökat elektroniskt informationsutbyte mellan olika myndigheter. En utgångspunkt har därvid ofta varit att det utökade elektroniska utbytet ska ske i form av direktåtkomst. I exempelvis prop. 2007/08:160 s. 56 f. om ett utökat elektroniskt informationsutbyte mellan Migrationsverket, Försäkringskassan, Skatteverket, Kronofogdemyndigheten, Statens pensionsverk, Centrala studiestödsnämnen, Arbetsförmedlingen, arbetslöshetskassorna och socialnämnder bedömdes att enbart den föreslagna elektroniska hanteringen av informationsutbytet mellan Försäkringskassan och Migrationsverket skulle frigöra ca 15 årsarbetskrafter från ett rutinbetonat uppgiftsinhämtande över telefon till mer kvalificerade arbetsuppgifter.
Riksrevisionen har i sin rapport RiR 2010:18 redovisat sin granskning av om möjligheterna till effektivisering har utnyttjats när det gäller informationsutbytet mellan myndigheter med ansvar för trygghetssystem. Enligt Riksrevisionens bedömning hade myndigheterna inte utnyttjat alla möjligheter som lag och teknik erbjuder. Ett införande av elektroniskt informationsutbyte mellan kommuner och myndigheter skulle kunna medföra en årlig nettobesparing på 150 miljoner kronor per år. Granskningen visade att det fortfarande fanns en stor utvecklingspotential i informationsutbytet mellan myndigheterna och att regeringens insatser på området inte hade nått ända fram. Enligt Riksrevisionen utgör den svåröverskådliga strukturen i lagstiftningen ett hinder för utbytet eftersom den skapar en osäkerhet hos myndigheterna om vilken information som får utbytas. De är vidare svårt att bedöma om det finns restriktioner i lagstiftningen när det gäller på vilket sätt det elektroniska utbytet får ske. Modellen med förvaltningsmyndigheter under regeringen och kommunalt självstyre innebar enligt Riksrevisionens bedömning att regeringen behövde bli bättre på att samordna resurser och att skapa ekonomiska incitament för myndigheterna. Elektroniskt informationsutbyte bör ske enligt gemensam standard så att säkerhet och därmed integritetsskyddet säkerställs i informationsöverföringen. En standardiserad kommunikationslösning bör bygga på modern och kostnadseffektiv teknik.
Riksrevisionen konstaterade vidare att det fanns exempel på att informationsutbyten inte har blivit av på grund av att myndigheterna hade problem med att tolka lagstiftningen om hur information får överföras, men att myndigheterna inte hade informerat regeringen om väsentliga problem med lagstiftning och resurser. En annan anledning till uteblivet informationsutbyte var kommunernas bristande samordning. Enligt Riksrevisionens uppfattning har myndigheterna ett gemensamt ansvar för att se till att viktiga informationsutbyten kommer till stånd samt att de bör skapa direktåtkomst för att effektivisera elektroniska utbyten i de fall det är ekonomiskt lönsamt. När det gällde problem i de elektroniska informationsutbyten som myndigheterna redan hade skapat visade granskningen att det förekom att informationen kunde utebli eller innehålla fel. Utbyte av information genom översändningar av batchfiler en gång per dygn medförde vidare en fördröjning av viktig information som behövs i handläggningen. Enligt Riksrevisionen borde sådana brister i det befintliga elektroniska informationsutbytet kunna åtgärdas genom en uppgradering av de tekniska systemen så att aktörerna får direktåtkomst till informationen.
I sin uppföljningsrapport år 2013 redovisade Riksrevisionen vilka åtgärder som vidtagits efter 2010 års granskning av informationsutbytet mellan myndigheter med ansvar för trygghetssystem. Riksrevisionen konstaterade bl.a. att regeringen i budgetpropositionen för år 2013 delade revisionens slutsats att myndigheternas handläggning kan effektiviseras, att regeringen under 2011 och 2012 tillsatt två utredningar med koppling till informationsutbytet (bl.a. Informationshanteringsutredningen), att E-delegationen i betänkandet Vägen till en effektivare e-förvaltning (SOU 2011:67) tagit fram en juridisk modell för en on-lineliknande åtkomst samt att Sveriges Kommuner och Landsting hade tagit fram ett strategidokument i syfte att stödja kommuner och landstings utveckling av e-förvaltning samt skapat ett programkontor med samordningsansvar.
I rapporten ESV 2014:2 redovisade Ekonomistyrningsverket sitt regeringsuppdrag att följa upp realiseringen av ekonomiska nyttor från e-förvaltningsprojekten Elektroniska fakturor, Elektroniska beställningar, Elektroniska legitimationer och Säker myndighetsgemensam meddelandeförmedling. Ekonomistyrningsverket redovisade i rapporten att det inte varit möjligt att sammanställa eko-
nomiska nyttor från de fyra initiativ som uppdraget omfattat. Den viktigaste orsaken var att initiativen fortfarande befann sig i en genomförandefas. Många myndigheter saknade vidare mätningar för genomförandet. Flera myndigheter hade också lyft fram att det saknades tillräckliga incitament för samverkan över myndighetsgränserna och för att mäta de ekonomiska nyttorna från dessa gemensamma satsningar.
På uppdrag av E-delegationen bedriver Centrala studiestödsnämnden projektet Effektiv informationsförsörjning. Projektets syfte är att ta fram en tjänst som möjliggör för kommuner att via en anslutning elektroniskt inhämta information från flera myndigheter samt Arbetslöshetskassornas samorganisation. Med den nya tjänsten kommer handläggaren att i stället för manuellt via brev, fax eller telefon kunna inhämta uppgifter från myndigheter och a-kassor på elektronisk väg. Tjänsten sattes i produktion i maj 2014 och bygger på Försäkringskassans befintliga it-tjänst LEFI-Online. Sveriges Kommuner och Landsting kommer att förvalta tjänsten. Utvecklingen sker i etapper och en pilotverksamhet startade våren 2014.
E-delegationen har utarbetat en vägledning för digital samverkan (uppdaterad senast i september 2014) som är ett första steg i att stödja organisationer som samverkar vid utveckling av gemensamma lösningar för informationssystem.
5.6.3. Integritetsrisker
Som vi har redovisat i vårt delbetänkande är det ett särskilt problem att s.k. överskottsinformation kan uppstå vid direktåtkomst. Detta beror på att när direktåtkomsten etableras det ofta inte går att avgöra exakt vilka specifika uppgifter i en värdmyndighets informationssamlingar som en mottagarmyndighet kan komma att ha anledning att ta del av. En sådan myndighet kan alltså behöva ha tillgång till uppgifter om personer som visar sig aldrig bli aktuella i myndighetens verksamhet. Detta kan redan i sig innebära vissa integritetsrisker. Det kan också få negativa konsekvenser för enskildas personliga integritet att överskottsinformation på detta sätt blir allmän handling hos mottagarmyndigheter redan då den tekniska möjligheten att ta del av informationen etableras.
En direktåtkomst kan också upplevas utgöra en risk för enskildas integritet i ett mer övergripande perspektiv, eftersom en sådan åtkomst aktualiserar särskilda frågor om informationssäkerhet på grund av att de inblandade aktörernas informationssystem i viss utsträckning kopplas samman.
Utlämnanden av personuppgifter i elektronisk form på annat sätt än genom direktåtkomst innebär däremot inte i sig att det uppstår vare sig problem med s.k. överskottsinformation eller sådana säkerhetsrisker som har samband med att informationssystemen kopplas samman. Däremot finns det integritetsrisker förknippade även med sådana former av informationsutbyte som bl.a. innebär att överväganden behöver göras så att information som behöver skyddas kan förmedlas på ett säkert sätt.
5.7. Våra överväganden
Bedömning: Direktåtkomst innebär rättsligt att gränsen mellan
de uppgiftsutbytande myndigheterna i viss omfattning tas bort, vilket inte är en konsekvens av annat elektroniskt utlämnande. Hur den mottagande myndigheten väljer att använda direktåtkomsten har den utlämnande myndigheten inte någon befogenhet att påverka, eftersom de handlingar som omfattas av åtkomsten redan har lämnats ut. Korresponderande sekretessfrågor måste därför vara lösta på förhand liksom behov av sökbegränsningar hos den mottagande myndigheten, vilket kan medföra krav på lagstiftningsåtgärder. Både principiella och rättsliga skäl talar därför för att en åtskillnad mellan direktåtkomst och annat utlämnande i elektronisk form görs.
Vidare utgör varken den tekniska utvecklingen eller effektivitetsvinster och integritetsrisker som kan förknippas med olika åtkomstmetoder skäl för att utmönstra den begreppsmässiga åtskillnaden.
Ett sådant utlämnande i elektronisk form som inte är direktåtkomst innebär – oavsett på vilket sätt det sker – alltså inte att myndigheternas verksamhet rättsligt sett blandas samman. Något behov av att rättsligt skilja olika sådana former åt finns därför inte.
I våra direktiv sägs att vi ska ta ställning till om det finns skäl för att i registerförfattningar upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande eller om denna skillnad bör utmönstras. Vi uppfattar vårt uppdrag i denna del som att en analys bör göras av om det i lagstiftningssammanhang finns anledning att också i fortsättningen skilja på begreppen, dvs. att analysen bör ta sikte på begreppens rättsliga innebörd.
5.7.1. Att enbart beskriva direktåtkomst som en form av elektroniskt utlämnande ger en otillräcklig bild av vad åtkomsten rättsligt innebär
Visserligen kan direktåtkomst kort och gott beskrivas som en form av elektroniskt utlämnande. På detta sätt beskrivs begreppen också i flera förarbeten, exempelvis i motiven till studiestödsdatalagen (prop. 2008/09:96 s. 57 f.). Från en principiell och rättslig utgångspunkt ger den beskrivningen enligt vår mening emellertid en otillräcklig och alltför begränsad bild av vad en sådan åtkomst innebär. Termen direktåtkomst som sådan beskriver på ett bättre sätt vad det är frågan om, varvid nyckelordet är ”direkt”. Det tar sikte på att den utlämnande myndigheten bildligt talat öppnar sina dörrar för den mottagande myndigheten. Den mottagande myndigheten tillåts träda in innanför dörrarna och själv få, i den omfattning som medgetts, söka fritt i den utlämnande myndighetens informationssamlingar. Från ett principiellt perspektiv är den omständigheten att åtkomsten är direkt, dvs. att ”dörrarna öppnas”, det mest betydelsefulla, eftersom det innebär att den utlämnande myndigheten redan vid den tidpunkt då åtkomsten etableras har lämnat ut berörda uppgifter till den mottagande myndigheten. Denna omständighet gör att direktåtkomst är en betydligt mer vittomfattande form av elektroniskt utlämnande än andra sådana former av utlämnanden. Att direktåtkomsten är en speciell företeelse visas av att det uppstår både rättsliga och sakliga konsekvenser som inte uppkommer vid andra former av utlämnanden.
Konsekvenser såvitt avser allmänna handlingar och sekretess
En rättslig konsekvens är, som framgått ovan (avsnitt 5.3.1), att de upptagningar/handlingar hos den utlämnande myndigheten som direktåtkomsten omfattar blir expedierade i den mening som avses i 2 kap. 7 § TF redan i och med att åtkomsten etablerats, dvs. i den stund då upptagningarna är tekniskt tillgängliga för den mottagande myndigheten så att de kan läsas, avlyssnas eller på annat sätt uppfattas. Att en expediering sker innebär att handlingarna är att anse som allmänna både hos den utlämnande och mottagande myndigheten. Huruvida den mottagande myndigheten genom någon åtgärd faktiskt har använt sig av direktåtkomsten har ingen betydelse för denna fråga. Genom att åtkomsten etablerats är handlingarna alltså att anse som inkomna till och förvarade hos den mottagande myndigheten.
I och med att den mottagande myndigheten är insläppt och är ”innanför dörrarna” hos den utlämnande myndigheten kan den bland de uppgifter som direktåtkomsten omfattar själv välja om och i så fall vilka uppgifter den vill hämta hem till sina egna informationssamlingar genom någon form av faktiskt överföring för att därefter bearbeta uppgifterna där. Vad myndigheten väljer att göra har den utlämnande myndigheten inte någon rättslig befogenhet att påverka, eftersom handlingarna redan har lämnats ut till den mottagande myndigheten i 2 kap. TF:s mening genom att åtkomsten etablerats.
Till detta kommer att om man planerar att en direktåtkomst ska omfatta uppgifter hos en myndighet som är sekretessreglerade, är det nödvändigt att i förväg få klarlagt att åtkomsten är förenlig med den sekretess som gäller för respektive myndighets område. Dessa frågor måste alltså vara lösta innan direktåtkomsten etableras. För det första behöver det bedömas om det finns ett tillfredsställande sekretesskydd för uppgifterna hos den mottagande myndigheten eller om ett sådant skydd behöver införas. Det måste i så fall ske genom reglering i offentlighets- och sekretesslagen, dvs. genom lag. För det andra behöver det bedömas om det finns en sekretessbrytande regel som möjliggör att de sekretessreglerade uppgifterna lämnas ut till den mottagande myndigheten. Om inte, måste även en sådan föreskrift införas. Det kan ske i form av lag eller förordning. Eftersom en sekretessbrytande regel ska syfta till att göra direktåtkomsten möjlig måste en sådan regel ta sikte på direkt-
åtkomsten i dess hela vidd. Eftersom ett utlämnande sker av samtliga uppgifter som omfattas av direktåtkomsten i det ögonblick åtkomsten etableras, måste den sekretessbrytande regeln alltså möjliggöra hela detta utlämnande. Det är m.a.o. inte tillräckligt att en sekretessbrytande regel möjliggör ett utlämnande i de enskilda fall då den mottagande myndigheten genom en faktisk överföring använder sig av direktåtkomsten och hämtar vissa av de uppgifter som åtkomsten omfattar. Samtliga uppgifter har ju redan lämnats ut till den myndigheten i och med att direktåtkomsten har etablerats.
En rättslig konsekvens av en direktåtkomst är alltså att korrensponderande sekretessfrågor måste vara lösta i förväg, dvs. innan åtkomsten faktiskt etableras, vilket i sin tur i förekommande fall kan kräva författningsändringar.
I underlaget för bedömningen av vilken omfattning en sekretessbrytande regel ska ha, dvs. vilka uppgifter som ska lämnas ut genom direktåtkomsten utan hinder av sekretess, torde det i de flesta fall även behöva finnas med en analys av hur direktåtkomsten kan ordnas rent tekniskt. Först när en sådan analys är gjord torde man kunna ta ställning till hur omfattande direktåtkomsten behöver vara för att det planerade uppgiftsutbytet ska vara möjligt.
Konsekvenser såvitt avser behandling av personuppgifter och personuppgiftsansvar
Det finns också anledning att analysera vad en planerad direktåtkomst innebär i fråga om vilka behandlingar av personuppgifter som behöver ske samt när personuppgiftsansvaret aktualiseras och vad det tar sikte på. En direktåtkomst innebär att en rad förberedande åtgärder behöver vidtas som bl.a. inbegriper behandling av personuppgifter redan innan utlämnandet av uppgifterna sker. Det är en avgörande skillnad i förhållande till ett utlämnande av personuppgifter på automatiserat medium, som är begränsat till en behandling som innebär att uppgifter sänds över elektroniskt till mottagaren.
Vid en direktåtkomst behöver förberedande tekniska åtgärder vidtas för att direktåtkomsten, när den väl etableras, ska ta sikte på endast de personuppgifter som åtkomsten får omfatta. Det utgör en form av behandling av personuppgifter. Även andra förbered-
ande åtgärder behöver vidtas som har samband med inblandade myndigheters personuppgiftsansvar, även om de inte i sig innebär en behandling av personuppgifter. Det behöver exempelvis göras säkerhetsanalyser och krävs att eventuella behövliga åtgärder därefter vidtas för att motverka de risker för myndigheternas information som kan uppstå på grund av att deras tekniska system, och därmed verksamheter, i viss mån kopplas ihop genom direktåtkomsten. Andra förberedande åtgärder som den mottagande myndigheten behöver ägna sig åt i egenskap av personuppgiftsansvarig är att vidta tekniska och andra åtgärder, t.ex. fördelning av behörighet och åtkomstbegränsningar, för att säkerställa att endast de tjänstemän som har behörighet att använda sig av direktåtkomsten kommer att kunna göra det och att det kan kontrolleras och följas upp hur åtkomsten används. De inblandade myndigheterna har alltså ett gemensamt ansvar för att de säkerhets- och kontrollfrågor som direktåtkomsten ger upphov till är på ömse håll analyserade och lösta innan direktåtkomsten etableras. Frågor av dessa slag behandlas närmare i avsnitt 10.1.4 och 10.2.5.
När direktåtkomsten väl etableras sker också en behandling av personuppgifter, nämligen att samtliga uppgifter som omfattas av åtkomsten lämnas ut till den mottagande myndigheten genom att de vid etableringen blir tillgängliga för den myndigheten. Det är alltså något annat än den behandling av personuppgifter som sker när uppgifterna rent faktiskt förs över till den myndigheten. I den mån sådana faktiska överföringar sker är det behandlingar som utförs av den mottagande myndigheten när den använder sig av sin direktåtkomst. Det är också den myndigheten som enligt vad vi föreslår ska vara personuppgiftsansvarig för dessa behandlingar, se avsnitt 10.1.4. Detta är också en viktig skillnad i förhållande till hur ett s.k. utlämnande på automatiserat medium går till, då det är den utlämnande myndigheten som genomför och ansvarar för att personuppgifter faktiskt sänds över till den mottagande myndigheten.
En direktåtkomst som är igång innebär att de myndigheter som ingår i uppgiftsutbytet kommer att samtidigt utföra behandlingar av personuppgifter i den informationssamling som genom åtkomsten i viss mån blir gemensam. Både den utlämnande och mottagande myndigheten kommer alltså i olika delar och på olika nivåer att vara personuppgiftsansvariga för behandlingar som utförs. Den utlämnande myndigheten ansvarar exempelvis för innehållet i databasen
och för att kontrollera att det är rätt mottagande myndighet som använder direktåtkomsten. Den mottagande myndigheten i sin tur har t.ex. att svara för att det är en behörig handläggare som använder sig av åtkomsten för att hämta hem personuppgifter till de egna informationssamlingarna.
Frågor av detta slag kräver i allmänhet inte särskilt författningsstöd för att möjliggöra en direktåtkomst. Av 31 § PuL följer emellertid ett krav på den personuppgiftsansvarige att skydda de personuppgifter som ska behandlas genom åtgärder som ger en lämplig säkerhetsnivå. I samband med direktåtkomst måste alltså ställningstaganden och behövliga åtgärder av detta slag vidtas i förväg på myndighetsnivå. I den enskilde registrerades perspektiv är det vidare av stor vikt att det alltid ska vara tydligt vem som är personuppgiftsansvarig för en viss behandling. Den informationen ska vara lätt tillgänglig för den enskilde registrerade som alltid ska kunna veta vart man ska vända sig för att göra anspråk på sina rättigheter, exempelvis i form av rättelse eller skadestånd.
Konsekvenser såvitt avser användningen av sökbegrepp
Genom direktåtkomst blir den utlämnande myndighetens informationssamlingar i viss omfattning tillgängliga för den mottagande myndigheten på så sätt att den fritt kan söka och föra över uppgifter för att användas i den egna verksamheten. Dessa aktiviteter sker i den mottagande myndighetens verksamhet och omfattas således av de regler som gäller för den verksamheten och inte för den utlämnande myndighetens verksamhet. Det innebär vanligtvis att de eventuella sökbegränsningar som styr vilka sökningar och sammanställningar som kan göras i samband med den utlämnande myndighetens behandling av personuppgifter inte gäller för den mottagande myndigheten trots att denna genom direktåtkomsten får åtkomst till samma uppgifter. En fråga som därför också behöver analyseras i förväg innan en direkåtkomst medges är om det behövs regler som begränsar användningen av sökbegrepp för att uppnå ett tillfredsställande skydd för personuppgifter även hos den mottagande myndigheten. Det är ytterligare en rättslig konsekvens av direktåtkomst som inte uppstår i samband med ett utlämnande på medium för automatiserad behandling. I avsnitt 9.4 behandlar vi vilka sök-
begränsningar som generellt bör gälla vid myndigheters behandling av personuppgifter. Frågan om hur sökbegränsningar bör regleras vid direktåtkomst övervägs närmare i avsnitt 11.3.
Sammanfattning
I samband med direktåtkomst väcks alltså både principiella och rättsliga frågor som har sin grund i att gränsen mellan de uppgiftsutbytande myndigheterna i viss utsträckning tas bort. I förekommande fall krävs därför att ny sekretess respektive att en sekretessbrytande regel införs. En annan rättslig fråga är att det behöver övervägas om den mottagande myndighetens användning av de personuppgifter som blir åtkomliga genom direktåtkomst behöver begränsas genom förbud att använda vissa sökbegrepp. Inför etableringen av en direktåtkomst uppstår också ett behov av att inblandade myndigheter, i egenskap av verksamhets- och personuppgiftsansvariga, analyserar det tekniska genomförandet av åtkomsten samt vidtar förberedande åtgärder bl.a. för att åstadkomma en lämplig säkerhetsnivå på ömse håll. Samtliga dessa frågor, som alltså innebär att åtgärder behöver vidtas i vart fall på myndighetsnivå och eventuellt även av lagstiftaren, måste således vara lösta innan den mottagande myndigheten ”släpps in” hos den utlämnande myndigheten genom att direktåtkomsten etableras. Detta är en avgörande skillnad i förhållande till annat utlämnande som sker genom att uppgifter förmedlas i elektronisk form till mottagaren.
5.7.2. Annat utlämnande i elektronisk form ger inte i sig upphov till att särskilda åtgärder behöver vidtas
Vid utlämnanden i elektronisk form som inte sker genom direktåtkomst är det hela tiden den utlämnande myndigheten som rättsligt förfogar över frågan om och i så fall vilka uppgifter som ska lämnas ut genom att sändas över till den mottagande myndigheten. På detta sätt skiljer sig sådana utlämnanden i principiell mening från direktåtkomst. Bildligt talat kan det sägas innebära att den utlämnande myndigheten inte släpper in den mottagande myndigheten. Den mottagande myndigheten får i stället vänta ”utanför dörrarna” tills begärda uppgifter lämnas ut.
Konsekvenser såvitt avser allmänna handlingar och sekretess
I och med att den mottagande myndigheten inte släpps in till den utlämnande myndigheten uppstår inget behov av att analysera och eventuellt införa nya sekretessbestämmelser på grund av att gränsen mellan myndigheterna öppnas upp. Utlämnandet är alltså inte av ett sådant ingripande slag att det i sig, såsom vid direktåtkomst, medför ett behov av att i förväg analysera om författningsändringar behövs. Ett utlämnande sker i stället efter att den utlämnande myndigheten gjort en bedömning med utgångspunkt i de bestämmelser som är tillämpliga i det enskilda fallet. En helt annan sak är att det måhända kan finnas sekretessbestämmelser som kan tyckas i en oönskad utsträckning hindra ett visst uppgiftsutbyte mellan myndigheter.
Vid ett uppgiftsutbyte mellan två myndigheter som avses ha en någorlunda stor omfattning väcks den mer grundläggande frågan om det behövs regler för att styra huruvida sekretessreglerade uppgifter rutinmässigt kan lämnas ut till en annan myndighet. Den frågan bör övervägas skild från frågan om på vilket sätt uppgifter kan lämnas ut. Frågorna har emellertid ett samband på det sättet att om det finns behov av ett rutinmässigt uppgiftsutbyte, torde det utbytet kunna effektiviseras genom att utlämnandet sker i elektronisk form.
Ett rutinmässigt utlämnande av uppgifter till en annan myndighet kan regleras på så sätt att det införs en särskild sekretessbrytande regel för de myndigheter som ska utbyta information. Om så inte sker kan ett rutinmässigt utlämnande i stället äga rum med stöd av den s.k. generalklausulen i 10 kap. 27 § OSL, dvs. efter en avvägning mellan intresset av att skydda uppgifterna hos den utlämnande myndigheten och intresset hos den mottagande myndigheten av att få ut uppgifterna. Det kräver i sig alltså ingen särskild författningsreglering. Bestämmelserna i 10 kap. 27 § OSL bygger emellertid på att ett rutinmässigt utlämnande av sekretessreglerade uppgifter ska vara författningsreglerat (se avsnitt 5.2.2). Har det i en lag eller författning föreskrivits att uppgifter ”bör” eller ”får” lämnas ut får det antas att lagstiftaren har bedömt att intresset av att uppgifter lämnas mellan myndigheter har företräde framför sekretessintresset. Även om det inte är frågan om en sådan absolut uppgiftsskyldighet som avses i 10 kap. 28 § OSL, torde det
finnas ett relativt begränsat utrymme för den utlämnande myndigheten att i en konkret utlämnandesituation göra en annan bedömning. I rättslig mening är det dock den utlämnande myndigheten som förfogar över och beslutar om uppgifterna faktiskt ska lämnas ut. Även vid ett rutinmässigt utlämnande som får stöd i en författningsbestämmelse som föreskriver att uppgifter ”får” lämnas ut, är det alltså den utlämnande myndigheten som hela tiden rättsligt förfogar över frågan om uppgifterna ska lämnas ut.
I den händelse avsikten är att ett rutinmässigt uppgiftsutbyte ska äga rum mellan myndigheter och detta avser sekretessreglerade uppgifter, bör således utgångspunkten vara att uppgiftsutbytet bör komma till uttryck genom föreskrifter i lag eller förordning där det uttrycks att en myndighet ”bör” eller ”får” lämna ut uppgifter till en annan myndighet. Ett sådant behov av en författningsreglering har emellertid, som redan påpekats, inte något egentligt samband med frågan om på vilket sätt utlämnandet avses ske.
Konsekvenser såvitt avser behandling av personuppgifter och personuppgiftsansvar
Ett utlämnande i elektronisk form, som inte sker genom direktåtkomst utan genom att uppgifter elektroniskt sänds över till den mottagande myndigheten, medför inte samma krav på att förberedande analyser och åtgärder vidtas. Det enda som ska ske rent tekniskt är att uppgifterna i någon form sänds över från den utlämnande till den mottagande myndigheten. Några förberedande behandlingar av personuppgifter behöver alltså inte ske. Det är också endast översändandet som behöver analyseras från säkerhetssynpunkt och det resultatet kan styra i vilken form översändandet bör ske för att inga säkerhetsrisker ska uppstå för vare sig uppgifterna eller myndigheten. Det kan exempelvis innebära att uppgifter som avses sändas över via e-post bör krypteras.
Den utlämnande och den mottagande myndigheten behandlar inte heller vid något tillfälle de aktuella personuppgifterna samtidigt såsom är fallet vid direktåtkomst. Det uppstår alltså inte heller några frågor om hur personuppgiftsansvaret ska eller bör fördelas vid sådan samtidig behandling.
Konsekvenser såvitt avser användningen av sökbegrepp
Som redan påpekats är ett annat utlämnande i elektronisk form än genom direktåtkomst endast att se som en fråga om på vilket sätt uppgifter ska sändas över från en myndighet till en annan. I sig påkallar alltså inte utlämnandet några överväganden om vilka sökbegrepp den mottagande myndigheten ska få använda då den behandlar de uppgifter som hämtas in.
Sammanfattning
De frågor som väcks i samband med ett utlämnande i elektronisk form, som inte sker genom direktåtkomst, är väsentligen av annat slag och påkallar normalt sett inte åtgärder från lagstiftaren i det enskilda fallet. De frågor som uppstår begränsar sig till vad som har samband med det som saken rent faktiskt rör, nämligen att på ett eller annat sätt förmedla eller vidaresända personuppgifter elektroniskt. Några förberedande analyser och åtgärder behöver alltså inte vidtas annat än för att den utlämnande myndigheten ska kunna försäkra sig om att översändandet sker på ett säkert sätt. De rättsliga frågor som uppstår är vidare av ett mer allmänt slag. Det kan exempelvis röra förvaltningsrättsliga frågor om vem som är behörig att på myndighetens vägnar fatta beslut om utlämnande, motivering av beslut om en begäran helt eller delvis inte bifalls och möjlighet för den myndighet som nekas att få ut uppgifter att överklaga (jfr 6 kap. 7 § andra stycket OSL).
5.7.3. Vilken betydelse har den tekniska utvecklingen?
Av 8 kap. 1 § OSL följer att sekretess gäller även mellan myndigheter. Vidare framgår av 2 § att detsamma gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Dessa bestämmelser innebär att det finns gränser myndigheterna emellan, och vissa fall också inom myndigheterna, som begränsar deras möjligheter att fritt utbyta sekretessreglerade uppgifter. Att motsvarande gränser i princip gäller även vid överlämnande av handlingar mellan och inom myndigheter på så sätt att ett överlämnande över myndighetsgräns-
erna innebär att handlingarna anses inkomna och upprättade och därmed som allmänna framgår av 2 kap. 8 § TF.
I rättsfallet HFD 2011 ref. 52 kom alltså Högsta förvaltningsdomstolen fram till att en myndighets tillgång till en annan myndighets databas på så sätt att den förstnämnda myndigheten där kunde ta del av uppgifter ”i läsbart skick” innebar att uppgifterna skulle anses expedierade i den mening som avses i 2 kap. 7 § TF och därmed utgöra en upprättad allmän handling. Den omständigheten att den mottagande myndigheten har getts en tillgång som innebär att den kunde läsa uppgifter i databasen innebär i sin tur att handlingar hade överlämnats till den myndigheten och därmed finns i dess förvar. Högsta förvaltningsdomstolen använder inte begreppet direktåtkomst, men kan anses indirekt konstatera att en direktåtkomst är för handen när det finns en sådan teknisk tillgång som avses i 2 kap. 3 § andra stycket TF. Domstolen får därmed uppfattas ha bekräftat den definition av direktåtkomst som getts i förarbetena till 11 kap. 4 § OSL, som reglerar överföring av sekretess vid direktåtkomst. Där anförde regeringen (prop. 2007/08:160 s. 164) att med sådan åtkomst avses att en upptagning är tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § andra stycket första meningen TF, dvs. upptagningen ska vara tillgänglig med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Rättsfallet kan också sägas bekräfta det som enligt andra förarbetsuttalanden anses känneteckna en direktåtkomst, nämligen att den mottagande myndigheten har en direkt tillgång till någon annans register eller databas och på egen hand kan söka information och att den utlämnande myndigheten inte har någon kontroll över vad mottagaren vid ett visst söktillfälle tar del av (se t.ex. prop. 2011/12:45 s. 133). Båda dessa omständigheter kan sägas vara ett resultat av att de upptagningar som omfattas av direktåtkomsten finns i den mottagande myndighetens förvar i den stund åtkomsten etableras.
De uttalanden som gjorts i förarbetena till 11 kap. 4 § OSL, vilka som vi ser det får anses ha bekräftats i rättsfallet HFD 2011 ref. 52, kan således sägas ge en definition av direktåtkomst, dvs. att en sådan åtkomst är för handen när den mottagande myndigheten har en sådan teknisk tillgång till den utlämnande myndighetens upptagningar som avses i 2 kap. 3 § andra stycket TF.
Rättspraxis ger däremot inte något omedelbart svar på hur man bör se på sådana former av elektroniskt utlämnande som ansetts befinna sig i en ”gråzon” mellan direktåtkomst och annat elektroniskt utlämnande, exempelvis s.k. batch-körningar och olika former av fråga/svar-tjänster. De nämnda företeelserna kan sägas vara kännetecknade av att den mottagande myndigheten har getts en möjlighet att tekniskt ansluta sig till den utlämnande myndighetens informationssamlingar, men möjligheten att genom en faktisk överföring hämta hem uppgifter är i någon mening inte direkt. Exempelvis sker ett utlämnande av begärda uppgifter först efter en viss tidsfördröjning eller efter att vissa automatiserade kontroller gjorts. Denna typ av omständigheter har ibland ansetts tala för att det inte är frågan om direktåtkomst utan om annat elektroniskt utlämnande, även om det är fråga om helt automatiserade system för utbyte av uppgifter mellan myndigheter. I den mån så skulle vara fallet, är det alltså endast den mängd uppgifter som överförs i de enskilda fallen som anses utlämnade till och därmed utgör allmänna handlingar hos den mottagande myndigheten. Att den mottagande myndigheten tekniskt sett har ”kopplat upp sig” mot den andra myndighetens uppgiftssamlingar och därigenom getts möjlighet att genom ett tekniskt förfarande begära ut uppgifter skulle vid ett sådant synsätt inte i sig anses innebära något utlämnande av uppgifter i tryckfrihetsförordningens mening.
Det är alltså inte givet i vilken utsträckning detta slags omständigheter har betydelse för frågan om den mottagande myndigheten har en sådan teknisk tillgång till uppgifter som avses i 2 kap. 3 § andra stycket TF, dvs. vad de betyder för frågan om en upptagning är att anse som förvarad hos den mottagande myndigheten genom att den kan läsas, avlyssnas eller på annat sätt uppfattas. Med andra ord står det inte helt klart vilka krav som formuleringen ”läsas, avlyssnas eller på annat sätt uppfattas” innefattar för att en teknisk åtkomst ska anses ”direkt”.
Den tekniska utvecklingen har även inneburit att myndigheterna har utvecklat tjänster som ger enskilda möjligheter att genom ett automatiserat förfarande ta del av myndigheternas informationssamlingar. Som exempel kan nämnas s.k. självbetjäningstjänster via myndigheternas hemsidor. Sådana former av tillgång till myndigheters uppgifter har ibland inte betecknats som direktåtkomst, trots att det i praktiken knappast kan vara frågan om något annat. En
möjlig förklaring kan vara att det då är fråga om offentliga uppgifter medan begreppet direktåtkomst har tenderat att förbehållas de fall där en automatiserad åtkomst kan anses särskilt känslig, t.ex. om en åtkomst tar sikte på sekretessreglerade uppgifter eller av annat skäl anses känslig från integritetsskyddssynpunkt.
Både den rättsliga och den tekniska utvecklingen kan således eventuellt komma att innebära att begreppet direktåtkomst inte kan göras liktydigt med automatiserat uppgiftsutlämnande, utan att begreppet bör ges en snävare innebörd. Oavsett hur denna fråga kan komma att besvaras i praxis kan det konstateras att det ändå kommer att finnas former av uppgiftsutbyte som tveklöst är att betrakta som direktåtkomst. I fråga om sådant uppgiftsutbyte finns det alltså anledning att också i fortsättningen principiellt och rättsligt skilja direktåtkomst från andra former av elektroniskt utlämnande. Det finns också i fortsättningen behov av att skilja på den ingripande form av utlämnande som en direktåtkomst innebär, som principiellt och rättsligt innebär att gränsen mellan de inblandade myndigheterna i viss mån försvinner, från andra elektroniska utlämnanden som inte har samma ingripande rättsliga konsekvenser och som inte i sig medför att det uppstår rättsliga frågor som måste lösas på förhand. Den tekniska utvecklingen utgör alltså i sig inget skäl för att utmönstra begreppet direktåtkomst.
5.7.4. Effektivitetsvinster och integritetsrisker
I flera lagstiftningsärenden som syftat till att utöka informationsutbytet mellan myndigheter har framhållits att utbytet kan effektiviseras om utbytet sker elektroniskt och i synnerhet om det sker genom direktåtkomst. Även Riksrevisionen bedömde i sin granskningsrapport från år 2010 (RiR 2010: 18) om informationsutbytet mellan myndigheter med ansvar för trygghetssystem att direktåtkomst medförde en större effektivisering än det elektroniska informationsutbyte som vid denna tid redan ägde rum i andra former.
Arbetet med att effektivisera myndigheternas verksamhet genom elektroniskt informationsutbyte har fortskridit och pågår alltjämt, bl.a. genom E-delegationens arbete. Under senare år har nya tekniska former för sådant utbyte tagits fram som, oavsett om det är
fråga om direktåtkomst eller inte, innebär effektiviseringar i förhållande till hur utbytet tidigare ägde rum.
Mot bakgrund av de utredningar som har gjorts i fråga om hur myndigheternas informationsutbyte kan effektiviseras och om ekonomiska nyttoeffekter av sådana projekt synes frågan om hur den bästa effektiviteten kan uppnås för närvarande inte handla så mycket om vilken elektronisk utlämnandeform som bör väljas utan mer om myndigheternas möjlighet att över huvud taget åstadkomma det informationsutbyte som regeringen eller de själva vill ska ske. Problem med att åstadkomma en önskad effektivisering förefaller till viss del handla om legala förutsättningar för ett visst informationsutbyte, men det kan också handla om brist på resurser i fråga om medel och kompetens samt att nödvändig samverkan inte kan åstadkommas.
En vanlig utgångspunkt är att direktåtkomst antas vara det mest effektiva sättet att utbyta information. Huruvida det också är det mest kostnadseffektiva sättet att utbyta information kan emellertid endast bedömas utifrån omständigheterna i det enskilda fallet. I fråga om ett visst informationsutbyte kan alltså andra former av elektroniskt informationsutbyte än direktåtkomst vara det mest effektiva. Vilken form av elektroniskt informationsutbyte som är mest effektiv, inbegripet ett kostnadsperspektiv, behöver alltså bedömas utifrån vilket konkret informationsutbyte det handlar om och i vilka former detta sker. Av betydelse är vidare vilken förmåga inblandade myndigheter har att åstadkomma det som faktiskt önskas av dem, det gäller inte minst i form av medel och resurser i övrigt. Till detta kommer att, även i de fall lagstiftaren väljer att i författning reglera ett visst informationsutbyte, det i slutändan regelmässigt står den enskilda myndigheten fritt att bestämma vilken utlämnandeform som ska väljas inom ramen för befintliga legala och andra förutsättningar.
Enligt vår bedömning går det inte att generellt uttala sig om vilken form av elektroniskt informationsutbyte som är det mest effektiva. Vi ser alltså ingen anledning att från ren effektivitetssynpunkt förorda någon viss metod.
De särskilda integritetsrisker som anses förknippade med direktåtkomst har samband med vilka tekniska åtgärder som vidtas för att så långt som möjligt minimera s.k. överskottsinformation, att överväga behovet av sekretesskydd i tillräcklig utsträckning och att
överväga vilka sökbegränsningar som bör gälla hos den myndighet som tar emot information genom sådan åtkomst. Vi redovisar i avsnitt 11.1 och 11.3 våra överväganden om hur sådana frågor bör regleras. I avsnitt 11.2 finns våra överväganden i frågan om andra elektroniska utlämnanden behöver en särskild reglering för att ge personuppgifter ett tillfredsställande skydd.
Sammanfattningsvis bedömer vi att det kan finnas effektivitetsvinster och integritetsrisker med alla former av elektroniskt utlämnande. Vilka vinster eller risker som uppstår hör emellertid inte så mycket samman med vilken form som väljs, utan vilket konkret informationsutbyte det är frågan om samt vilka förutsättningar det finns för aktuella myndigheter att över huvud taget välja utlämnandeform och att åstadkomma det informationsutbyte som tillgodoser krav på både effektivitet, även ur ett kostnadsperspektiv, och integritetsskydd. Varken effektivitetsvinster eller integritetsrisker utgör således skäl för att utmönstra en åtskillnad mellan olika elektroniska utlämnandeformer eller att förorda att ett elektroniskt informationsutbyte generellt bör ske i en viss form.
5.7.5. Principiella och rättsliga skäl samt krav på förberedande analyser och åtgärder medför behov av en fortsatt åtskillnad
En utgångspunkt för utredningens samtliga överväganden i de rättsliga frågor som ingår i uppdraget är bl.a. att så långt som möjligt underlätta en mer effektiv förvaltning, dvs. att så långt det är möjligt och lämpligt undanröja onödiga legala hinder.
Behovet av att rättsligt upprätthålla gränserna mellan myndigheter
Som har framgått är det med hänsyn till bestämmelserna i 2 kap. TF och offentlighets- och sekretesslagen av stor betydelse att det klargörs att direktåtkomst har omedelbara konsekvenser för frågor som rör myndigheternas gränser, vilken myndighet som förfogar över vilka uppgifter och problemet med överskottsinformation. Samma frågeställningar har också stor betydelse från en rent förvaltningsrättslig utgångspunkt. Det är bl.a. av vikt att det alltid står klart vad som hör till den verksamhet som en viss myndighet
ansvarar för. Att myndigheternas gränser i rättslig mening upprätthålls är således ett starkt rättssäkerhetskrav. Det kravet ställer i sin tur krav på inblandade myndigheter att på ömse håll agera i förväg och vidta nödvändiga åtgärder innan en direktåtkomst faktiskt medges, bl.a. för att säkerställa att en sådan åtkomst är förenlig med bestämmelser om sekretess.
Direktåtkomst medför krav på förberedande åtgärder ur verksamhets- och personuppgiftsansvarsperspektiv
Direktåtkomst innebär att viss behandling av personuppgifter behöver ske inför den faktiska etableringen och att inblandade myndigheter analyserar och löser de särskilda säkerhets- och kontrollfrågor som direktåtkomst från ett dataskyddsperspektiv ger upphov till. Även myndighetens personuppgiftsansvar innebär således att det ställs krav på att inblandade myndigheter gör klart för sig vilka åtgärder som behöver vidtas på ömse håll och hur ansvaret fördelar sig mellan dem. Detta utgör också skäl för att behålla en åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande. Hur ett ansvar för skydd av personuppgifter ska fördelas mellan inblandade myndigheter vad gäller de olika åtgärder som behöver vidtas inom ramen för en direktåtkomst är emellertid inte givet. Denna fråga behandlas dock inte vidare här. Vi återkommer till den i kapitel 10.
Varken den tekniska utvecklingen eller effektivitetsvinster eller integritetsrisker utgör skäl för att utmönstra begreppet direktåtkomst
Som framgått anser vi att inte heller att den tekniska utvecklingen som sådan innebär att det finns skäl för att utmönstra begreppet direktåtkomst för att i stället generellt tala om elektroniskt utlämnande.
Inte heller de effektivitetsvinster eller integritetsrisker som kan uppstå vid olika former av elektroniska utlämnanden utgör skäl för att utmönstra begreppet direktåtkomst.
Direktåtkomst brukar beskrivas som en särskilt känslig form av uppgiftsutbyte, eftersom den anses innebära större risker för den enskildes integritet än då uppgifter lämnas ut efter en bedömning i
enskilda fall. Vi menar dock att en väl analyserad och förberedd direktåtkomst där man övervägt och löst frågor som rör sekretesskydd på ömse håll, vidtagit behövliga säkerhetsåtgärder, begränsat överskottsinformationen samt övervägt frågan om eventuella begränsningar i den mottagande myndighetens möjlighet att använda sig av de uppgifter som blir åtkomliga, inte behöver innebära större risker för den enskildes integritet än ett annat elektroniskt utlämnande av personuppgifter.
Vad som däremot kan innebära risker för den enskildes integritet i samband med direktåtkomst är att man inte beaktar de särskilda frågor och krav på skydd som den ger upphov till samt att man inte ägnar uppmärksamhet åt frågor som sammanhänger med att myndigheternas gränser öppnas upp och att därmed inblandade myndigheters ansvar för både verksamhet, säkerhet och personuppgifter behöver klargöras. Om man inte behåller en åtskillnad mellan begreppen direktåtkomst och annat elektroniskt utlämnande finns det enligt vår mening en risk för att dessa frågor inte får den uppmärksamhet som behövs för att på ett tillfredsställande sätt skydda den enskildes integritet.
Annat elektroniskt utlämnande än direktåtkomst medför inte behov av att klargöra myndigheters förhållande till varandra
Enligt vår uppfattning är det alltså den rättsliga skiljelinjen mellan direktåtkomst och annat elektroniskt utlämnande som är betydelsefull att behålla, eftersom den tydliggör vikten av att det ska stå klart i vilket förhållande de myndigheter som ingår i ett visst uppgiftsutbyte står till varandra. Utan den distinktionen riskerar myndigheternas respektive ansvar i olika hänseenden att bli otydligt. När det gäller olika former av andra elektroniska utlämnanden, dvs. vad som i dag betecknas som utlämnanden på medium för automatiserad behandling och som innebär att uppgifter i någon form sänds över eller förmedlas elektroniskt, uppstår inte samma behov av att klargöra frågor av det slaget. Ett sådant utlämnande innebär ju inte att myndigheternas verksamhet blandas samman rättsligt sett, oavsett på vilket sätt uppgifterna distribueras. De skillnader beträffande säkerhetsrisker som olika sätt att sända över uppgifter elektroniskt kan innebära utgör enligt vår mening inte något skäl till att göra någon rättslig åtskillnad mellan dem.
Vår bedömning är alltså att det från både principiella och rättsliga synpunkter finns starkt vägande skäl för att behålla en begreppsmässig skillnad mellan å ena sidan direktåtkomst och å andra sidan annat utlämnande i elektronisk form. Både principiella och rättsliga skäl samt konkreta krav på förberedande analyser och åtgärder talar med styrka för detta.
Som framgått har vi redan ovan redovisat en viss uppfattning för hur begreppet direktåtkomst bör avgränsas i förhållande till annat elektroniskt utlämnande. Vi återkommer i avsnitt 11.1 och 11.2 till hur begreppet direktåtkomst bör definieras och hur en generell reglering på myndighetsområdet rörande elektroniskt utlämnande bör se ut.
6. Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras för att undvika konflikt med internationella åtaganden?
6.1. Bakgrund
6.1.1. Uppdraget
Internationella avtal och sektorsspecifika rättsakter innehåller ibland artiklar om att en myndighet bara får använda uppgifter som erhålls enligt avtalet respektive rättsakten för vissa angivna ändamål eller i viss verksamhet. Sådana bestämmelser kan avse även andra uppgifter än personuppgifter. I Sverige anses en sådan bestämmelse inte utgöra ett hinder mot utlämnande av uppgifter med stöd av offentlighetsprincipen. Däremot kan en sådan användningsbegränsning anses stå i konflikt med en myndighets skyldighet att överlämna uppgifter till andra myndigheter enligt 6 kap. 5 § OSL. I våra direktiv framhåller regeringen att någon generellt tillämplig eller konsekvent genomförd lösning på sistnämnda typ av regelkonflikt saknas i lagstiftningen. I 9 kap. 2 § OSL ges visserligen en upplysning om att användningsbegränsningar införts i vissa andra författningar. Uppräkningen är emellertid inte heltäckande och det finns inte någon formell koppling mellan den bestämmelsen och 6 kap. 5 § OSL (jfr prop. 1990/91:131 s. 25). De författningar som avses i 9 kap. 2 § OSL utgör visserligen inte registerförfattningar. Enligt regeringen har den beskrivna frågeställningen dock en sådan betydelse för uppgiftsutbytet mellan myndigheter att den ändå bör utredas i detta sammanhang.
Vi har därför fått i uppgift att överväga om 6 kap. 5 § OSL bör justeras så att den står i bättre överensstämmelse med förekomsten
av nu nämnda användningsbegränsningar. Om vi finner att en sådan justering bör ske, ska författningsförslag lämnas.
6.1.2. Nuvarande bestämmelser
Informationsskyldigheten enligt 6 kap. 5 § OSL
Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
Bestämmelsen har redan behandlats i avsnitt 5.2, bl.a. vad avser förhållandet mellan informationsskyldigheten enligt paragrafen och föreskrifter om uppgiftsutlämnande enligt bl.a. 10 kap. 16–27 §§ OSL.
Informationsskyldigheten enligt 6 kap. 5 § OSL gäller för en uppgift som inte är sekretessbelagd, dvs. en uppgift för vilken sekretess inte gäller i den aktuella situationen. En myndighet kan alltså vara skyldig att lämna en uppgift till en annan myndighet som begär att få den om uppgiften inte alls är sekretessreglerad, dvs. om det inte finns någon bestämmelse om sekretess som är tillämplig på uppgiften. En skyldighet att lämna ut uppgiften finns också om den i och för sig är sekretessreglerad, men det inte innebär någon skada eller något men att lämna uppgiften till myndigheten i fråga. Det kan också finnas en skyldighet att lämna ut uppgiften till den andra myndigheten även om sekretess gäller för uppgiften under förutsättning att det finns en sekretessbrytande regel som är tillämplig i förhållande till den myndigheten.
Om man vill förhindra ett uppgiftsutbyte mellan myndigheter, är det alltså inte tillräckligt att införa en ny sekretessbestämmelse. Det måste också införas bestämmelser som föreskriver att de sekretessbrytande reglerna i 10 kap. OSL inte ska gälla.
Begränsningar i lag om en myndighets möjlighet att använda uppgifter från en myndighet i en annan stat
I 9 kap. 2 § OSL räknas ett antal lagar upp som innehåller bestämmelser som begränsar möjligheterna att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i annan stat. Det rör sig bl.a. om lagen (1990:314) om ömsesidig handräckning i
skatteärenden, lagen (2000:343) om internationellt polisiärt samarbete och lagen (2000:344) om Schengens informationssystem.
Bestämmelsen utgjorde tidigare tredje stycket i dåvarande 1 kap. 4 § SekrL (numera 7 kap. 1 § OSL). I första stycket samma paragraf föreskrevs att om förbud gäller enligt denna lag mot att röja uppgift, får uppgiften inte heller i övrigt utnyttjas utanför den verksamhet i vilken sekretess gäller för uppgiften. I andra och tredje styckena fanns hänvisningar till olika lagar med bestämmelser om förbud mot eller begränsningar i möjligheten att utnyttja vissa uppgifter. Det tredje stycket infördes i samband med att lagen (1991:1342) med vissa bestämmelser om internationellt samarbete på brottmålsområdet infördes. I den lagen fanns bestämmelser som begränsade möjligheterna att utnyttja vissa uppgifter som en svensk myndighet har fått från en annan stat. I specialmotiveringen till bestämmelsen i det då nya tredje stycket i 1 kap. 4 § SekrL anfördes (prop. 1990/91:131 s. 26) att en av principerna bakom regleringen i sekretesslagen är att alla tystnadsplikter inom det allmännas verksamhet ska framgå av lagen antingen direkt eller genom en hänvisning till en annan lag. Myndigheterna skulle komma att omfattas av begränsningar i möjligheterna att utnyttja information enligt bestämmelserna i den nu föreslagna lagen om internationellt samarbete på brottmålsområdet. Det var därför naturligt att det av 1 kap. 4 § SekrL, där det redan fanns en hänvisning till insiderlagen och dess regler om förbud att utnyttja information, skulle framgå att ett förbud för myndigheter att utnyttja uppgifter också fanns i lagen med vissa bestämmelser om internationellt samarbete på brottmålsområdet.
Det kan konstateras att det ovan återgivna uttalandet är något missvisande i så måtto att bestämmelsen inte i sig innebär någon tystnadsplikt i den meningen att den föreskriver sekretess för vissa uppgifter, även om bestämmelsen i och för sig finns i offentlighets- och sekretesslagen. Däremot erinrar bestämmelsen om att det i andra lagar finns bestämmelser som begränsar svenska myndigheters möjlighet att använda vissa uppgifter. Dessa begränsningar gäller alltså oavsett om de omnämns i 9 kap. 2 § OSL. Det är således inte fråga om någon sådan hänvisning i offentlighets- och sekretesslagen till en annan lag som enligt 2 kap. 2 § TF kan utgöra hinder mot att lämna ut uppgiften enligt rätten att ta del av allmänna handlingar. Sådana begränsningar i möjligheten att använda vissa uppgifter som avses i
de lagar som räknas upp i 9 kap. 2 § OSL innebär alltså inte någon begränsning i den enskildes rätt att enligt 2 kap. TF att ta del av allmänna handlingar (Lenberg m.fl., kommentaren till 9 kap. 2 §).
Eftersom 9 kap. 2 § inte innebär att någon sekretess gäller utan enbart upplyser om att användningsbegränsningar finns i andra lagar, utgör sådana begränsningar inte heller något sekretesshinder som kan begränsa en myndighets informationsskyldighet gentemot en annan myndighet enligt 6 kap. 5 § OSL. Om det inte finns någon sekretessbestämmelse som är tillämplig på en uppgift som begärs ut av en annan myndighet eller om det finns en sekretessbrytande regel som kan tillämpas i förhållande till den myndigheten, ska uppgifterna alltså lämnas ut enligt 6 kap. 5 § OSL, såvida inte utlämnandet hindrar arbetets behöriga gång.
Begränsningar i att utnyttja vissa uppgifter enligt de lagar som räknas upp i 9 kap. 2 § OSL är emellertid i allmänhet utformade så att de inte enbart tar sikte på den svenska myndighet som tar emot uppgifter från en myndighet i en annan stat. I regel har bestämmelsen i den aktuella lagen utformats så att begränsningarna gäller för alla svenska myndigheter. Det får till följd att inte heller en annan svensk myndighet än den som fått uppgifterna från den utländska myndigheten kan utnyttja uppgifterna i sin verksamhet, även om myndigheten i och för skulle ha rätt att få ut dem efter en begäran enligt 6 kap. 5 § OSL. Det torde därför i praktiken bli aktuellt för en svensk myndighet att begära ut uppgifter som omfattas av användningsbegränsningar från en annan myndighet bara när myndigheten behöver ta del av uppgifterna för ett ändamål som inte omfattas av begränsningarna (jfr prop. 2012/13:4 s. 90 f.). I praktiken uppstår därför inte någon konflikt mellan lagbestämmelser om användningsbegränsningar och informationsskyldigheten enligt 6 kap. 5 § OSL.
Sammanfattningsvis kan det alltså konstateras att 9 kap. 2 § OSL inte i sig innebär något hinder mot att lämna ut uppgifter till en annan myndighet. I bestämmelsen erinras emellertid om att det i andra lagar finns bestämmelser som begränsar möjligheterna för svenska myndigheter att använda sig av uppgifter som ursprungligen kommer från en myndighet i en annan stat.
I sammanhanget kan påpekas att 9 kap. 2 § OSL enbart upplyser om användningsbegränsningar som finns i andra lagar. Det finns i och för sig inget som hindrar att regeringen meddelar föreskrifter
om begränsningar i möjligheterna att använda vissa uppgifter som en svensk myndighet har fått från en utländsk myndighet och som i så fall, på samma sätt som en bestämmelse i lag, blir bindande för alla myndigheter. I vilken utsträckning regeringen har meddelat sådana föreskrifter är inte känt för utredningen.
Den nya bestämmelsen om sekretess i det internationella samarbetet
Den 1 januari 2014 trädde en ny sekretessbestämmelse i kraft i syfte att utgöra en generellt tillämplig bestämmelse till skydd för uppgifter som utbyts inom ramen för Sveriges internationella relationer. Bestämmelsen har förts in i 15 kap. 1 a § OSL och innebär att sekretess gäller för en uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller mellanfolklig organisation. Som en förutsättning för sekretess gäller att det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs. Motsvarande sekretess ska gälla för en uppgift som en myndighet har inhämtat i syfte att överlämna den till ett utländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal.
Om sekretess gäller enligt bestämmelsen, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas (15 kap. 1 a § tredje stycket).
Bestämmelsens tillämpningsområde är alltså begränsat till uppgifter som en myndighet antingen har fått från ett utländskt organ eller har inhämtat i syfte att överlämna till ett sådant organ på grund av en bindande EU-rättsakt eller ett avtal som har ingåtts av EU eller av Sverige med en annan stat eller en mellanfolklig organisation. I det sistnämnda fallet gäller emellertid som förutsättning att riksdagen har godkänt avtalet. Sekretessbestämmelsen är således inte tillämplig på uppgifter som finns hos en myndighet på grund av internationella avtal som ingåtts av en förvaltningsmyndighet eller av regeringen utan godkännande av riksdagen. I förarbetena anfördes att en sådan ordning hade varit problematisk ur ett principiellt perspektiv för en sekretessbestämmelse med generell räckvidd (prop. 2012/13:192 s. 31). Regeringen hänvisade också till att några
remissinstanser hade ifrågasatt om en sådan bestämmelse hade varit förenlig med lagkravet i 2 kap. 2 § TF.
I offentlighets- och sekretesslagen finns flera bestämmelser som föreskriver sekretess i samband med vissa internationella samarbeten där något traditionellt skaderekvisit inte finns (se t.ex. 17 kap. 7 § andra stycket, 17 kap. 7 a § och 18 kap. 17 §). Enligt den nya bestämmelsen i 15 kap. 1 a § gäller emellertid ett rakt skaderekvisit. Den svenska myndigheten ska alltså göra en självständig bedömning av om ett utlämnande i det enskilda fallet kan antas försämra Sveriges möjligheter att delta i det aktuella samarbetet. I förarbetena påpekas att det inte finns något som hindrar den svenska myndigheten att vid sekretessprövningen kontakta den utlämnande utländska myndigheten för att utreda om sekretess bör gälla i det enskilda fallet. Om sekretess gäller för uppgifterna hos den utländska myndigheten är utgångspunkten typiskt sett att skaderekvisititet är uppfyllt (a. prop. s. 34 f.). Enligt regeringen kommer en tillämpning av sekretessbestämmelsen normalt inte att aktualiseras i sådana situationer då avtalet eller EU-rättsakten inte innehåller någon tydlig sekretessbestämmelse, även om en sådan inte utesluts av dess ordalydelse. Regeringen anser att det då ligger närmare till hands att tillämpa bestämmelsen om utrikessekretess i 15 kap. 1 § OSL. Bestämmelser i EU-rättsakter eller internationella avtal om begränsningar i för vilka ändamål uppgifter får användas, dvs. den typen av begränsningar som 9 kap. 2 § OSL tar sikte på, bör enligt regeringen inte heller aktualisera en tillämpning av den nya sekretessbestämmelsen (a. prop. s. 35).
I förarbetena till den nya sekretessbestämmelsen för informationsutbyte vid internationellt samarbete i 15 kap. 1 a § OSL finns en utförlig beskrivning av överenskommelser om sådant utbyte som kan finnas i avtal och EU-rättsakter (prop. 2012/13:192 s. 10 f.). Vi hänvisar till den redovisningen och lämnar alltså inte någon egen redovisning här.
6.2. Våra överväganden
Bedömning: Det finns inte något tillräckligt stort behov av att
ändra 6 kap. 5 § OSL så att paragrafen står i bättre överensstämmelse med användningsbegränsningar som kan förekomma i samband med internationella åtaganden.
6.2.1. Behovet av en ny bestämmelse
I våra direktiv konstateras att 9 kap. 2 § OSL visserligen ger en upplysning om att användningsbegränsningar införts i vissa andra författningar. Det påpekas att uppräkningen emellertid inte är heltäckande och att det inte finns någon formell koppling mellan den bestämmelsen och 6 kap. 5 § OSL (jfr prop. 1990/91:131 s. 25). Den beskrivna frågeställningen har enligt regeringen en sådan betydelse för uppgiftsutbytet mellan myndigheter att det bör övervägas om 6 kap. 5 § OSL bör justeras så att den står i bättre överensstämmelse med förekomsten av nu nämnda användningsbegränsningar.
Vår uppgift i denna del är inte att överväga behovet av en ny sekretessbestämmelse som kan hindra utlämnanden både till enskilda, med stöd av 2 kap. TF eller på annan grund, och till myndigheter. Uppdraget avser enbart att överväga en eventuell begränsning som kan utgöra hinder för en myndighet att lämna uppgifter till en annan myndighet.
Betydelsen av uppräkningen i 9 kap. 2 § OSL
Bestämmelsen i 9 kap. 2 § OSL erinrar om att det i andra lagar finns bestämmelser som begränsar en svensk myndighets användning av vissa uppgifter. Uppräkningen i paragrafen av lagar där sådana användningsbegränsningar finns utgör alltså en upplysning och syftar inte till att i sig reglera något. Sådana begränsningar gäller alltså för svenska myndigheter till följd av regleringen i den särskilda lagen och inte på grund av att sådana lagar räknas upp i 9 kap. 2 § OSL. Att uppräkningen i 9 kap. 2 § OSL inte är uttömmande har således inte någon betydelse för om en myndighet är skyldig att följa en sådan användningsbegränsning eller inte. Däremot kan det vara svårt
för myndigheter att hålla reda på de användningsbegränsningar som gäller enligt särskilda lagar, om de inte finns samlade på något sätt.
Det kan emellertid konstateras att om en användningsbegränsning har reglerats i en lag på ett sådant sätt att den gäller för alla svenska myndigheter, förefaller det knappast finnas något praktiskt behov av att justera 6 kap. 5 § OSL så att den paragrafen också hindrar ett utlämnande av uppgifter till en annan myndighet på grund av en sådan användningsbegränsning. Som påpekats i flera lagstiftningsärenden torde det inte bli aktuellt för en myndighet att begära ut uppgifter från en annan myndighet med stöd av 6 kap. 5 § OSL om man ändå inte får använda sig av uppgifterna. I dessa fall har det ansetts tillräckligt i praktiken att användningsbegränsningen gäller enligt den särskilda lagen. Något faktiskt behov av att justera 6 kap. 5 § OSL så att paragrafen kan sägas bättre stå i överensstämmelse med förekomsten av sådana särskilt reglerade användningsbegränsningar förefaller alltså inte finnas. Däremot saknas alltså, som påpekas i våra direktiv, en formell koppling mellan 6 kap. 5 § OSL och sådana svenska författningsbestämmelser som begränsar en myndighets möjlighet att använda vissa uppgifter som inhämtats genom ett internationellt informationsutbyte.
Som redan påpekats har det ingen betydelse för frågan om en användningsbegränsning gäller för en myndighet eller inte om den särskilda lag där begränsningen föreskrivs räknas upp i 9 kap. 2 § OSL. Däremot skulle en komplett sådan uppräkning naturligtvis innebära en bättre möjlighet för myndigheter att själva hålla reda på i vilka situationer användningsbegränsningar gäller.
Användningsbegränsningar i EU-rättsliga lagstiftningsakter
I våra direktiv nämns att sektorspecifika EU-rättsakter kan innehålla artiklar om att en myndighet bara får använda uppgifter som erhålls enligt rättsakten för vissa angivna ändamål eller i viss verksamhet.
Om det är frågan om en EU-förordning gäller den för svenska myndigheter utan att dess artiklar behöver genomföras i svensk rätt genom inhemsk lagstiftning. I den mån en EU-förordning innehåller sådana användningsbegränsningar som gäller för alla myndigheter finns således inte, i likhet med vad som gäller användnings-
begränsningar i särskilda lagar, något praktiskt behov av att göra en justering av 6 kap. 5 § OSL. Inte heller i dessa fall torde det ju bli aktuellt för en myndighet att begära ut uppgifter som omfattas av en sådan användningsbegränsning, eftersom myndigheten ändå inte får använda sig av uppgifterna.
Om användningsbegränsningar finns i ett EU-direktiv i stället för i en förordning, måste direktivet genomföras i svensk rätt genom inhemsk lagstiftning i den mån direktivet inte kan anses gälla redan enligt svenska regler. Användningsbegränsningar som gäller enligt ett EU-direktiv kommer alltså till uttryck genom en svensk författning. Sådana användningsbegränsningar kan därigenom komma att gälla för alla svenska myndigheter. Inte heller i ett sådant fall finns det alltså något praktiskt behov av att justera 6 kap. 5 § OSL.
Det förtjänar att påpekas att några av de särskilda lagar som räknas upp i 9 kap. 2 § OSL är lagar som har införts för att genomföra ett EU-direktiv. Som exempel kan nämnas lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning.
Användningsbegränsningar som inte är författningsreglerade
Det förekommer att EU beslutar andra bindande rättsakter än lagstiftningsakter i form av delegerade akter och genomförandeakter (se t.ex. prop. 2012/13:192 s. 43). EU ingår också avtal med tredje land för medlemsstaternas räkning genom sin på vissa områden exklusiva kompetens, exempelvis på det handelspolitiska området. I andra fall ingår respektive land för egen del bilaterala avtal med en utländsk aktör. Ibland är det då fråga om s.k. blandade avtal, där EU också för egen del har träffat avtal. Så är fallet exempelvis när det gäller avtal som träffas inom ramen för WTO, där både medlemsstaterna och EU är medlemmar. Ett annat exempel är frihandelsavtal som träffas med en del tredjeländer (se vidare a. prop. s. 10). Svenska myndigheter kan också träffa internationella avtal som behandlar frågor om informationsutbyte.
En bindande EU-rättsakt som inte är en lagstiftningsakt är bindande för Sverige såsom medlemsstat, men innebär inte i sig att rättsakten måste komma till uttryck i svensk lagstiftning eller på annan grund tillämpas av svenska myndigheter. Ett internationellt avtal som EU eller Sverige för egen del eller en svensk myndighet
träffar kan innehålla bestämmelser som reglerar frågor om informationsutbyte. Om bestämmelser som reglerar informationsutbyte i ett avtal inte har kommit till uttryck i någon svensk föreskrift utan endast i avtalet, kan de bestämmelserna inte binda någon annan än den som har ingått avtalet. Det innebär att om EU har ingått avtalet är det bindande för Sverige antingen direkt eller efter att det ratificerats av Sverige, eventuellt efter godkännande av riksdagen. Det är då bindande för Sverige som stat i folkrättslig bemärkelse, men gäller inte direkt för svenska myndigheter. Detsamma gäller för sådana internationella avtal som Sverige för egen del ingår. Om ett avtal har ingåtts av en svensk myndighet är avtalet enbart bindande för den myndigheten. Ett avtal som har ingåtts av EU, av Sverige som stat eller av en svensk myndighet är alltså inte bindande för samtliga svenska myndigheter. Om det innehåller bestämmelser som innebär begränsningar i att använda uppgifter, är andra svenska myndigheter än den som mottagit uppgiftena från den utländska aktören således inte skyldiga att följa bestämmelserna.
Eftersom alla myndigheter inte är skyldiga att iaktta användningsbegränsningar som enbart kommit till uttryck i en bindande EU-rättsakt som inte är en lagstiftningsakt eller i ett avtal, finns det inget praktiskt hinder för en myndighet att begära ut uppgifter från en annan myndighet som för egen del har att iaktta sådana begränsningar enligt EU-rättsakten eller det internationella avtalet. I det fallet finns det alltså i praktiken inget som hindrar den myndighet som begär ut uppgifterna att också använda dem. Det kan då uppfattas som ett problem att en myndighet, som eventuellt själv har ingått avtalet i fråga, och tagit emot uppgifter från en utländsk aktör på de villkor som angetts i ett internationellt avtal, saknar möjlighet att iaktta de användningsbegränsningar som angetts i avtalet om en annan myndighet begär ut uppgifter med stöd av 6 kap. 5 § OSL. För denna situation kan det alltså anses finnas ett praktiskt behov – inte bara ett formellt sådant – av att justera 6 kap. 5 § OSL så att den bestämmelsen generellt kan förhindra att uppgifter lämnas ut till en myndighet i sådana situationer där användningsbegränsningar av det nu aktuella slaget föreligger.
6.2.2. Hur kan 6 kap. 5 § OSL justeras?
Bestämmelser om användningsbegränsningar i föreskrifter som svenska myndigheter är skyldiga att följa
I våra direktiv påtalas att det är ett problem att det inte finns någon formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL. Tanken bakom detta synes vara att om en sådan formell koppling kan åstadkommas skulle användningsbegränsningar som finns i de lagar som räknas upp i paragrafen begränsa, liksom sekretess, den informationsskyldighet i förhållande till en annan myndighet som annars gäller enligt 6 kap. 5 § OSL.
Om syftet är att alla användningsbegränsningar som kommit till uttryck i en svensk lag också ska innebära att det finns ett hinder mot att lämna ut uppgifterna enligt 6 kap. 5 § OSL kan man emellertid sätta i fråga om det är tillräckligt att åstadkomma en formell koppling mellan 6 kap. 5 § och 9 kap. 2 §. Som framgår av redovisningen ovan reglerar inte 9 kap. 2 § i sig frågan om en uppgift kan användas eller inte i en viss verksamhet. Den bestämmelsen innehåller enbart upplysningar om att det finns andra lagar som innehåller bestämmelser om sådana användningsbegränsningar. I våra direktiv konstateras att uppräkningen inte är uttömmande. Vi har för egen del inte undersökt i vilken omfattning det förekommer lagar med bestämmelser om sådana användningsbegränsningar som inte finns med i uppräkningen i 9 kap. 2 § OSL.
Ett annat problem med 9 kap. 2 § OSL, dvs. förutom att paragrafen inte på ett fullständigt sätt räknar upp de lagar där bestämmelser om användningsbegränsningar finns, är att den inte heller upplyser om att användningsbegränsningar finns i vissa EU-förordningar. Om bestämmelser om användningsbegränsningar finns i sådana förordningar kan svenska myndigheter vara skyldiga att följa dem när det gäller uppgiftsutbyte med andra myndigheter på samma sätt som användningsbegränsningar som föreskrivits i en svensk lag.
Som framgår av redovisningen ovan kan det inte anses innebära något praktiskt problem att det saknas en formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL, eftersom det saknas skäl för en myndighet att begära ut uppgifter från en annan myndighet som den ändå inte får använda. I dessa fall uppstår det alltså normalt inte någon sådan situation där en myndighet måste uppfylla sin informationsskyldighet enligt 6 kap. 5 § OSL. Om man ändå anser att
det finns ett behov av att formellt säkerställa att en myndighet inte ska behöva lämna ut uppgifter i de fall då användningsbegränsningar finns enligt uppräkningen i 9 kap. 2 § OSL och inför en sådan bestämmelse i 6 kap. 5 §, innebär det att en konflikt mellan dessa bestämmelser inte längre finns. Däremot skulle en regelkonflikt kvarstå mellan 6 kap. 5 § OSL och övriga föreskrifter som innebär att svenska myndigheter är skyldiga att följa användningsbegränsningar, dvs. då sådana föreskrifter finns i EU-förordningar samt i lagar som inte räknas upp i 9 kap. 2 § OSL. Detsamma gäller för det fall det skulle vara så att regeringen i något eller några fall har meddelat föreskrifter om sådana användningsbegränsningar.
Att åstadkomma en formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL leder alltså endast till en viss förbättrad systematik i formellt hänseende. Det löser emellertid inte hela den konflikt som kan uppfattas finnas mellan svenska regler som å ena sidan säger att en myndighet har rätt att få ut uppgifter från en annan myndighet, medan andra regler föreskriver att myndigheten inte får använda uppgifterna. För att denna konflikt helt ska lösas bör i stället 6 kap. 5 § OSL formellt kopplas direkt till bestämmelser om användningsbegränsningar snarare än till 9 kap. 2 § OSL. Om man ändå skulle överväga en koppling till den senare bestämmelsen måste paragrafen kompletteras så att den på ett uttömmande sätt upplyser om samtliga användningsbegränsningar som svenska myndigheter är skyldiga att följa.
Bestämmelser om användningsbegränsningar som inte är bindande för alla myndigheter
Som har framgått finns det EU-rättsakter som visserligen är bindande för Sverige som medlemsstat, men inte är lagstiftningsakter som måste tillämpas av svenska myndigheter på grund av att de genomförts i svensk lagstiftning eller på annan grund. Om de innehåller bestämmelser om användningsbegränsningar gäller de alltså inte för alla myndigheter. Ett internationellt avtal som EU eller Sverige för egen del eller en svensk myndighet träffar kan också innehålla bestämmelser som reglerar frågor om informationsutbyte. Om sådana bestämmelser inte har kommit till uttryck i någon svensk föreskrift utan endast i avtalet, kan de bestämmelserna inte binda någon annan än den som har ingått avtalet. De gäller alltså i
så fall inte för alla svenska myndigheter, utan endast för den svenska myndighet som tar emot uppgifter från den utländska aktören.
När det gäller denna typ av användningsbegränsningar finns det alltså inte någon konflikt mellan svenska författningsbestämmelser som å ena sidan säger att uppgifter ska lämnas ut till en annan myndighet och å andra sidan att den myndigheten inte får använda uppgifterna. I detta fall finns ju inte några svenska bestämmelser som innebär begränsningar i möjligheterna för alla myndigheter att använda sig av uppgifter som härrör från det internationella informationsutbytet. Däremot kan det uppfattas finnas en konflikt mellan informationsskyldigheten enligt 6 kap. 5 § OSL och de åtaganden som Sverige som stat eller som medlemsstat i EU eller som en svensk myndighet har gjort i ett internationellt samarbete, om den svenska parten i ett sådant samarbete har åtagit sig att se till att uppgifter som en svensk myndighet kan få genom samarbetet endast ska användas för vissa ändamål.
Ett sätt att lagstiftningsvägen lösa den konflikt som nu är i fråga skulle kunna vara att föra in en bestämmelse i 6 kap. 5 § OSL som innebär att en myndighet är förhindrad att lämna ut en uppgift till en annan myndighet, om myndigheten har fått uppgiften genom ett internationellt samarbete på villkor att uppgifterna endast får användas för vissa ändamål. Det som skiljer detta fall från situationen ovan är att den myndighet som begär att få uppgifter med stöd av 6 kap. 5 § OSL inte är förbjuden att använda sig av uppgifterna enligt någon författningsbestämmelse. En ny föreskrift i 6 kap. 5 § OSL som hindrar ett utlämnande i dessa situationer skulle alltså inte enbart ta sikte på den formella frågan utan skulle innebära en reell inskränkning i myndigheters informationsskyldighet enligt 6 kap. 5 § OSL.
Om det införs en föreskrift i 6 kap. 5 § OSL som generellt hänvisar till användningsbegränsningar som har kommit till uttryck i ett internationellt samarbete som Sverige som stat eller en svensk myndighet deltar i, dvs. oavsett om begränsningarna också kommit till uttryck i en föreskrift som alla myndigheter är skyldiga att följa, innebär det exempelvis att en svensk myndighet skulle kunna avtala om villkor som får till effekt att informationsskyldigheten i 6 kap. 5 § OSL inskränks. En sådan ordning kan anses problematisk från principiella utgångspunkter. I sammanhanget kan nämnas att den nya generella sekretessbestämmelsen i 15 kap. 1 a § OSL om sekre-
tess i det internationella samarbetet har avgränsats så att om en myndighet har fått en uppgift på grund av ett internationellt avtal, är bestämmelsen endast tillämplig om avtalet har ingåtts av EU eller godkänts av riksdagen. I förarbetena anfördes att detta innebar en väsentlig inskränkning av bestämmelsens tillämpningsområde och skulle i praktiken göra att sekretess för uppgifter som utbyts enligt ett visst avtal endast skulle primärt komma att gälla hos ett begränsat och överblickbart antal myndigheter (prop. 2012/13:192 s. 32). Det finns emellertid även bestämmelser om sekretess till följd av internationella avtal som inte uppställer något krav på att avtalet ska ha godkänts av riksdagen. Enligt exempelvis 30 kap. 7 § första stycket andra meningen OSL gäller sekretess hos Finansinspektionen för uppgifter som inspektionen har fått från en utländsk myndighet eller ett utländskt organ enligt ett avtal. Som förutsättning gäller emellertid att regeringen har meddelat föreskrifter om detta (se 8 § offentlighets- och sekretessförordningen).
6.2.3. Vår bedömning
I de fall det finns bestämmelser om användningsbegränsningar enligt en EU-förordning eller en svensk författningsbestämmelse sker i normalfallet i praktiken inte något uppgiftsutbyte på grund av informationsskyldigheten enligt 6 kap. 5 § OSL. Skälet till det är, som redovisats ovan, att myndigheter inte begär ut uppgifter från en annan myndighet med stöd av den bestämmelsen om de ändå inte får använda uppgifterna. I dessa fall förefaller det alltså inte finnas något reellt behov av att justera 6 kap. 5 § OSL för att undvika en konflikt med internationella åtaganden. Vi kan emellertid inte se att det skulle finnas några systematiska eller liknande skäl som talar emot att 6 kap. 5 § OSL justeras så att man åstadkommer en formell koppling mellan den bestämmelsen och andra bestämmelser om användningsbegränsningar, vilka myndigheterna ändå är skyldiga att följa.
Det förefaller däremot inte ändamålsenligt att åstadkomma en formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL, eftersom det inte skulle innebära att samtliga fall då det finns bestämmelser som begränsar myndigheters möjlighet att använda vissa uppgifter fångas upp.
Den nya bestämmelsen om sekretess i samband med internationellt samarbete i 15 kap. 1 a § OSL har avgränsats så att den enbart ska tillämpas på uppgifter som utbyts på grund av en bindande EUrättsakt eller ett avtal som har ingåtts av EU eller av riksdagen godkänt avtal med en annan stat eller en mellanfolklig organisation. Som har framgått anfördes som skäl för denna avgränsning bl.a. att en ordning där uppgifter som finns hos en myndighet på grund av andra internationella avtal än sådana som har godkänts av riksdagen också skulle omfattas av den nya sekretessbestämmelsen skulle vara problematisk ur ett principiellt perspektiv för en bestämmelse med generell räckvidd. Några remissinstanser hade också satt i fråga om en sådan bestämmelse hade varit förenlig med lagkravet enligt 2 kap. 2 § TF.
Den bestämmelse som nu är i fråga i 6 kap. 5 § OSL innebär visserligen inte några begränsningar av den grundlagsstadgade rätten för var och en att ta del av allmänna handlingar utan reglerar enbart utbytet av uppgifter mellan myndigheter. Det kan emellertid konstateras att det svenska förvaltningsrättsliga systemet bygger på att myndigheter så långt möjligt ska samverka, även när det gäller utbyte av information (jfr 6 § FL). Regleringen bygger på principen att det är en fråga för lagstiftaren att avgöra när en sådan skyldighet ska finnas. Det bör således inte vara upp till den enskilda myndigheten att bedöma när information som myndigheten har tillgång till ska utbytas med en annan myndighet. Om 6 kap. 5 § OSL skulle justeras på ett sådant sätt att det generellt skulle finnas ett hinder mot att lämna ut uppgifter till andra myndigheter då det inom ramen för ett internationellt informationsutbyte har uppställts villkor om användningsbegränsningar, dvs. även om dessa begränsningar inte har kommit till uttryck i en föreskrift utan enbart i ett avtal som en enskild myndighet har slutit, skulle emellertid en enskild myndighet ha befogenhet att själv styra över vad den ska dela med sig av till andra myndigheter av den information som den fått genom ett internationellt avtal. Enligt vår uppfattning skulle en sådan ordning få alltför långtgående och principiellt betänkliga effekter. En bestämmelse med en sådan innebörd bör alltså inte införas. I sammanhanget kan det konstateras att det i och för sig saknas hinder för regeringen att genom en föreskrift bestämma att användningsbegränsningar som enbart kommit till uttryck i ett
internationellt avtal mellan exempelvis en svensk myndighet och en utländsk myndighet också ska gälla för andra myndigheter.
När det gäller andra bindande EU-rättsakter än lagstiftningsakter samt avtal som ingåtts av EU eller Sverige har vi inte erfarit att det i sådana sammanhang förekommer regler eller villkor om användningsbegränsningar i en sådan omfattning att detta påkallar en begränsning av informationsskyldigheten enligt 6 kap. 5 § OSL.
Sammanfattningsvis kan alltså konstateras att i fråga om bestämmelser om användningsbegränsningar i en EU-förordning eller en svensk författningsbestämmelse det saknas ett praktiskt behov av att ändra 6 kap. 5 § OSL. Det finns vidare principiella betänkligheter mot att ändra 6 kap. 5 § OSL så att användningsbegränsningar som inte kommit till uttryck i en föreskrift utan enbart i ett avtal som en enskild myndighet har slutit skulle begränsa informationsskyldigheten i förhållande till andra myndigheter. När det gäller andra bindande EU-rättsakter än lagstiftningsakter samt avtal som EU eller Sverige ingår har vi inte erfarit att det finns något påtagligt behov av en lagändring.
Vi lämnar därför inte något förslag till en ändring av 6 kap. 5 § OSL.
I den händelse det ändå bedöms finnas ett behov av en sådan ändring förordar vi att den enbart tar sikte på att åtgärda det formella behov av en ändring som kan uppfattas finnas i fråga om bestämmelser om användningsbegränsningar i en EU-förordning eller en svensk författningsbestämmelse. I så fall skulle 6 kap. 5 § OSL kunna ges följande lydelse:
En myndighet ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller inte
får användas av den andra myndigheten enligt lag eller förordning. En uppgift behöver inte heller lämnas om det skulle hindra arbetets be-
höriga gång.
Med uttrycket att en myndighet inte får använda uppgiften enligt lag avses också en bestämmelse i en EU-förordning (se prop. 1999/2000:126 s. 272 och 283).
Vi vill avslutningsvis framhålla att det under alla förhållanden inte kan anses vara en tillfredsställande ordning att uppräkningen av lagar med bestämmelser om användningsbegränsningar i 9 kap. 2 § OSL inte är fullständig. Om bestämmelsen ska kunna fylla sin funktion att upplysa om sådana användningsbegränsningar bör uppräk-
ningen givetvis vara komplett. Vi har emellertid inte sett det som en uppgift för oss att komplettera uppräkningen i bestämmelsen.
EN NY LAG OM MYNDIGHETERS BEHANDLING AV PERSONUPPGIFTER
7. En generell reglering – utgångspunkter och inledande ställningstaganden
7.1. Allmänna utgångspunkter
7.1.1. Uppdraget
Det övergripande uppdraget enligt våra direktiv (dir. 2011:86) är alltså att se över den s.k. registerlagstiftningen i syfte att skapa rättsliga förutsättningar för en mer effektiv e-förvaltning, där såväl den enskildes rätt till personlig integritet som allmänhetens berättigade anspråk på insyn i den offentliga förvaltningen tillgodoses. Utredningens förslag ska syfta till att regleringen i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) samt registerregleringen tillsammans inom respektive område ska utgöra en tydligare och mer lättillämpad helhet.
I direktiven pekas vidare på det problematiska i om de grundläggande reglerna i tryckfrihetsförordningen och offentlighets- och sekretesslagen samt den principiella uppbyggnaden av registerförfattningarna inte är anpassade till varandra. Det blir då svårt att i ett enskilt lagstiftningsärende om elektronisk informationsöverföring mellan två eller flera myndigheter hitta en lösning som är tillfredsställande från integritets-, effektivitets- och öppenhetssynpunkt. För att ytterligare kunna effektivisera förvaltningen med modern informationsteknik är det därför viktigt dels att respektive regelverk bör vara väl genomtänkta och så enkla som möjligt att tillämpa, dels att regelverken bör vara förenliga med varandra.
Den anvisade metoden för att åstadkomma genomtänkta regelverk som är lätta att tillämpa och som sinsemellan så långt möjligt är förenliga är enligt tilläggsdirektiv (dir. 2014:31) att utreda förut-
sättningarna för att skapa en generell, enhetlig och – helt eller i vart fall delvis – samlad reglering för myndigheternas behandling av personuppgifter. Tanken är att en sådan samlad reglering också är mer ändamålsenlig för att kunna möta den förändring som förmodligen kommer att ske inom EU genom en förordning som ersätter dataskyddsdirektivet. En samlad reglering kan fungera som ett komplement till eller, vid behov, genomföra delar av den unionsrättsliga regleringen på området. Vidare framhålls i direktiven att det också behöver göras en bedömning av vilket utrymme förordningen ger för att i nationell rätt göra undantag från förordningens bestämmelser för myndigheternas personuppgiftsbehandling.
Om vi bedömer att det finns förutsättningar att skapa en sådan samlad reglering, ska vi enligt direktiven lämna de författningsförslag som kan anses motiverade. Personuppgiftsbehandlingen inom den brottsbekämpande sektorn omfattas inte av utredningsuppdraget, eftersom den behandlingen inte omfattas av kommissionens förslag till en allmän uppgiftsskyddsförordning utan av ett förslag till ett direktiv.
Av våra direktiv följer vidare att vi ska överväga hur en generell reglering bör utformas utifrån vad som är lämpligt från bl.a. normgivningstekniska och systematiska utgångspunkter. I direktiven påpekas att även om personuppgiftsbehandling inom den brottsbekämpande verksamheten undantagits från utredningens arbete, behöver man vid utformningen av en ny reglering emellertid ta hänsyn till hur regleringen på såväl detta som andra områden är utformad för att regelverken inte ska komma i konflikt med varandra. Den generella regleringen bör om möjligt vara utformad så att den kan tillämpas på ett enhetligt sätt av myndigheter vars verksamhet i vissa delar kommer att omfattas av tillämpningsområdet för uppgiftsskyddsförordningen och i andra delar omfattas av tillämpningsområdet för EU-direktivet för den brottsbekämpande sektorn.
Av direktiven framgår slutligen att vi i vårt arbete noga ska följa den fortsatta behandlingen inom EU av förslaget till reformerad dataskyddsreglering. De förslag till författningsreglering som lämnas ska vara väl anpassade till denna översyn och dess resultat.
7.1.2. Förutsättningarna för en generell reglering
Automatiserad behandling är en integrerad del av myndigheters verksamhet
När personuppgiftslagen trädde i kraft den 24 oktober 1998 var den elektroniska förvaltningen fortfarande i början av sin uppbyggnad. I prop. 1997/98:136 En statlig förvaltning i medborgarnas tjänst redovisade regeringen ett handlingsprogram för bl.a. förvaltningens informationsförsörjning. Enligt detta program borde förvaltningen, med beaktande av integritets- och säkerhetsaspekter ta tillvara informationsteknikens möjligheter att förenkla och förbättra kontakterna för medborgare och företag med myndigheterna, öka allmänhetens insyn i och kontroll av myndigheternas verksamhet, effektivisera samverkan mellan myndigheter, med övrig offentlig sektor samt med EU-institutioner och andra länders förvaltning (a. prop. s. 54 f.). I programmet slogs vidare fast att den tekniska infrastrukturen för statsförvaltningens kommunikation med medborgare och företag borde bygga på internet, statliga myndigheter borde använda säker överföring av dokument och meddelanden i den öppna it-infrastrukturen samt att myndigheter vars verksamhet riktar sig främst till företag och medborgare borde erbjuda elektroniska tjänster för självbetjäning som komplement till traditionella tjänster. Regeringen uttalade också att en enkel, säker och kostnadseffektiv tillgång till samhällets grundläggande information är ett offentligt åtagande av väsentlig betydelse för den offentliga förvaltningen, för medborgarna och för företagen.
I dag är en elektronisk förvaltning en självklarhet för varje myndighet, statlig som kommunal. Handlingar framställs inom en myndighets verksamhet i princip uteslutande i elektronisk form och lagring sker på både kort och på lång sikt elektroniskt, även om det också förekommer lagring i pappersform. Ärenden handläggs elektroniskt och beslut fattas inom vissa myndigheters verksamhet, t.ex. Försäkringskassan och Skatteverket, i stor omfattning med beslutsstöd i automatiserad form. Handlingar kommer också in till myndigheterna på elektronisk väg i stor omfattning och expedieras från myndigheterna på samma sätt i allt högre grad. Arbetet med att öka effektiviteten i myndigheternas verksamhet och samverkan mellan myndigheterna samt att ge medborgarna en förbättrad service är i princip helt inriktat på att detta ska ske på elektronisk väg.
Det finns därför anledning att fråga sig om det fortfarande finns skäl att tala om en elektronisk förvaltning. Den elektroniska förvaltningen är ju inte längre någon särskild del av myndigheternas verksamhet, utan utgör i själva verket förvaltningen.
Användning av it genomsyrar i dag en myndighets hela verksamhet och utgör således basen för framställning av dokument, ärendehantering, lagring, kommunikation och samverkan. På motsvarande sätt kan myndigheternas automatiserade behandling av personuppgifter beskrivas, dvs. sådan behandling utgör det sätt på vilket myndigheterna hanterar personuppgifter. Vid tiden för personuppgiftslagens införande fanns det emellertid fortfarande anledning att tala om s.k. manuell hantering av personuppgifter, t.ex. för att handlägga ett ärende, som ett alternativ till automatiserad behandling. Detta betraktelsesätt har länge präglat lagstiftning som rör behandling av personuppgifter. I dag är den automatiserade behandlingen av personuppgifter alltså inte en del av en myndighets verksamhet som utförs åtskild från verksamheten i övrigt och därför kräver andra regler än de som i övrigt reglerar verksamheten. Däremot är det självfallet så att användningen av it fortfarande innebär att särskilda integritetsaspekter måste beaktas, bl.a. i form av regler om skydd för personuppgifter. Den elektroniska hanteringen medför också att myndigheterna behöver ta särskild hänsyn till säkerhetsaspekter, beträffande såväl personuppgifter som annan information som finns hos myndigheterna.
7.1.3. En generell reglering?
Bedömning: Vi menar att det finns förutsättningar för en sam-
lad reglering beträffande myndigheters behandling av personuppgifter och vi kan inte se några bärande skäl som talar emot att en sådan nu införs.
Det brukar anföras som skäl för att införa särskilda registerlagar att man på så sätt åstadkommer en heltäckande, tydlig och uttömmande reglering av vad som ska gälla i fråga om personuppgiftsbehandling hos en viss myndighet eller inom en viss samhällssektor. Det ligger uppenbarligen ett värde i detta. Samtidigt är det
tydligt att det finns klara nackdelar förenade med den regleringsmodellen.
Som vi har berört i avsnitt 4.3.2 – och som vi närmare kommer att redovisa i följande kapitel – finns det ett antal generella problem förenade med det svåröverblickbara och fragmenterade rättsområde som registerlagstiftningen har kommit att bli. Registerförfattningarna har kommit att utformas utan tillräcklig inre konsekvens och enhetlighet i fråga om struktur, normtekniska lösningar eller beträffande hur enskilda kategorier av bestämmelser har utformats. Med tiden har detta bl.a. medfört relativt stora tillämpningsproblem i olika avseenden, inte minst vid uppgiftsutbyten mellan myndigheter. Samtidigt finns det påfallande många likheter mellan registerförfattningarna – inte minst beträffande de vi kallar informationshanteringsförfattningar – när det t.ex. gäller vilka slags frågor som regleras, varianter på begrepp och normtekniska lösningar. Det är i hög grad fråga om ”dubbelreglering” i den meningen att likartade bestämmelser finns intagna i ett stort antal författningar.
Ett annat problem med den nuvarande dataskyddsregleringen – och som gäller i lika hög grad även för de myndigheter som inte omfattas av någon registerförfattning utan enbart tillämpar personuppgiftslagen – är att tillräcklig uppmärksamhet inte ägnats åt anpassningen av dataskyddsregleringen till annan central reglering för myndigheters verksamhet och informationshantering. Myndigheters personuppgiftsbehandling skiljer sig nämligen på ett markant sätt från vad som normalt gäller i enskilda verksamheter. En myndighet som behandlar personuppgifter i sin verksamhet har inte bara att följa personuppgiftslagen eller en eventuell registerförfattning i sin informationshantering. Myndigheters personuppgiftsbehandling sker i verksamheter som är författningsreglerade, oftast i fråga om såväl vad som ska göras som hur det ska göras. Dessutom styrs personuppgiftsbehandlingen parallellt av annan central reglering för myndigheternas informationshantering än den dataskyddsrättsliga, bl.a. reglerna om handlingsoffentlighet och sekretess samt förvaltningslagen. Med ett fåtal undantag är personuppgiftslagens bestämmelser inte anpassade till dessa särskilda förhållanden.
Inom ramen för en samlad reglering skulle det finnas förutsättningar att åstadkomma den enhetlighet och konsekvens i regleringen av myndigheternas personuppgiftsbehandling som den nuvar-
ande splittrade regleringen saknar. Genom en samlad reglering skulle det vidare finnas förutsättningar att på ett betydligt mer ändamålsenligt sätt beakta de särskilda förutsättningar som gäller beträffande personuppgiftsbehandling på myndighetsområdet. Därtill kommer att en samlad reglering skulle i betydande mån minska det framtida behovet av att behålla eller införa nya sektorspecifika bestämmelser. Viss särreglering kommer givetvis att behövas även med en generell reglering men kan då utformas som särbestämmelser som innehåller undantag från huvudregler. Regelmassan vad gäller dataskyddsbestämmelser skulle alltså totalt sett minska väsentligt.
Genom att regelverket blir tydligare i den meningen att det klargörs vad som utgör ett berättigat dataskydd och hur detta ska åstadkommas på myndighetsområdet, främjas skyddet för personuppgifter. Samtidigt ger ett sådant regelverk klarare besked om i vilken utsträckning dataskyddshänsyn inte påverkar övriga regelverk som reglerar myndigheternas verksamhet och de intressen som där värnas. En tydligare dataskyddsreglering på myndighetsområdet innebär t.ex. att förhållandet mellan dataskyddsregler och regler om sekretess blir klarare, vilket som vi ser det kommer att vara till gagn för offentlighet och insyn. En tydligare reglering ökar också i betydande grad förutsättningarna för att anpassa offentlighetsprincipen till moderna elektroniska kommunikationsformer. Huvudambitionen att på ett mer effektivt sätt tillgodose allmänhetens berättigade anspråk på insyn i den offentliga förvaltningen uppfylls därför också genom den generella regleringen.
Vi kan för vår del inte se några bärande skäl som talar mot en generell reglering beträffande myndigheters behandling av personuppgifter. Vi menar alltså att det finns förutsättningar för en sådan samlad reglering.
En utgångspunkt för arbetet med en generell reglering om myndigheters behandling av personuppgifter bör vara att den inte till någon del ska syfta till att reglera en myndighets verksamhet. Regleringen bör i stället utformas så att den enbart tar sikte på att reglera dataskyddsrättsliga frågor, dvs. i första hand frågor rörande det behov av skydd för enskilda registrerades personliga integritet som den automatiserade behandlingen av personuppgifter ger upphov till. Förändringar som sker beträffande myndigheters faktiska, organisatoriska eller rättsliga förutsättningar ska därmed inte ha betydelse på det sättet att innehållet i den generella lagen behöver
ändras. Vidare ska regleringen vara helt teknikneutral. Den ska uteslutande bygga på rättsliga gränsdragningar, inte tekniska sådana. Som vi ser det är det bara på det sättet det är möjligt att åstadkomma en reglering som blir hållbar över tid.
Vilka regelverk ska bilda en fungerande helhet?
I våra direktiv framhålls att de grundläggande reglerna i tryckfrihetsförordningen och offentlighets- och sekretesslagen samt den principiella uppbyggnaden av registerförfattningarna bör vara anpassade till varandra för att möjliggöra en ytterligare effektivisering av e-förvaltningen.
Som framgått ovan är en generell utgångspunkt för vårt arbete att myndigheters behandling av personuppgifter inte längre kan betraktas som en separat del av en myndighets verksamhet av det enda skälet att behandlingen är automatiserad. Det innebär att vi i arbetet med att principiellt bygga upp den generella regleringen för att åstadkomma en fungerande helhet tillsammans med andra regelverk inte enbart kan ta hänsyn till att reglerna ska vara anpassade till tryckfrihetsförordningen och offentlighets- och sekretesslagen. De behöver alltså också vara anpassade till de regler som på ett mer allmänt plan styr en myndighets verksamhet. För att åstadkomma en fungerande helhet behöver även t.ex. förvaltningslagen, arkivlagen, myndighetsförordningen m.m. samt andra regelverk och dokument som i olika hänseenden styr myndigheternas verksamhet beaktas. När det övervägs i vilken mån en tänkt generell reglering i ett visst avseende behöver innehålla regler för att ge personuppgifter det skydd som den elektroniska hanteringen ger upphov till, behöver detta alltså ske också mot bakgrund av sådana regler om rättigheter för enskilda och skyldigheter för myndigheter som finns i det förvaltningsrättsliga regelverket i stort.
Att behovet av regler till skydd för personuppgifter på myndighetsområdet övervägs i förhållande till hur myndigheters verksamhet är reglerade i övrigt och de intressen som bär upp sådana regler är helt i överensstämmelse med de grunder som dataskyddsdirektivet bygger på och ger uttryck för. Exempelvis innebär de grundläggande krav som alltid ska iakttas i samband med en viss enskild behandling, krav på lämpliga säkerhetsåtgärder och reglerna om
behandling av känsliga personuppgifter att frågan om en viss behandling är tillåten ska avgöras mot bakgrund av vilken verksamhet det rör och vilka avvägningar mellan olika intressen som behöver göras i den verksamheten och i det konkreta fallet. Vilka resultat sådana avvägningar kan få på myndighetsområdet kommer däremot inte till uttryck i direktivet. Arbetet med att ta fram en generell reglering för myndigheters behandling av personuppgifter innebär emellertid att dataskyddsdirektivets implementering kan konkretiseras och förtydligas på hela myndighetsområdet. Därmed minskar behovet av särskilda registerförfattningar i motsvarande mån.
En ambition med den generella regleringen är alltså att i så hög grad som möjligt fånga upp och formulera regler till skydd för personuppgifter som generellt utgör en ändamålsenlig reglering för myndigheters verksamhet, för att i så stor utsträckning som möjligt minska behovet av särreglering. På så sätt, och genom att den generella regleringen anpassas till samtliga relevanta regelverk på myndighetsområdet, skapas en tydligare och mer lättillämpad helhet när det gäller hantering av personuppgifter på hela myndighetsområdet.
Hur bör förslaget till uppgiftsskyddsförordning beaktas vid utformningen av en generell reglering?
Som redovisats ovan är ett av skälen till utredningens uppdrag att försöka skapa en samlad reglering för myndigheternas behandling av personuppgifter att en sådan kommer att vara mer ändamålsenlig för att möta den förändring som kan antas komma att ske på det unionsrättsliga området genom en förordning som ersätter dataskyddsdirektivet. En samlad reglering kan fungera som ett komplement till eller, vid behov, genomföra delar av den unionsrättsliga regleringen på området.
I skrivande stund pågår arbetet fortfarande med att inom EU förhandla fram förslaget till en uppgiftsskyddsförordning och det går knappast att göra några säkra prognoser om när det arbetet kommer att vara slutfört. Det förefaller mot den bakgrunden inte vara lämpligt att utforma den nya regleringen så att den nu utgör ett komplement till en kommande uppgiftsskyddsförordning. I så fall skulle väsentliga delar av personuppgiftsskyddet som kan förväntas komma att exklusivt regleras i förordningen, exempelvis de grundläggande krav som ska gälla vid all behandling av person-
uppgifter och tillsynsmyndighetens befogenheter, inte kunna regleras i den generella lagen. Ett förslag till en ny reglering skulle i så fall inte kunna innehålla något förslag om en tidpunkt för ikraftträdande, utan den tidpunkten skulle få göras beroende av om och när en uppgiftsskyddsförordning beslutas. Det skulle i sin tur kunna leda till att någon ny generell reglering om myndigheters behandling av personuppgifter inte kan införas förrän i en obestämd framtid. Vad som nu sagts talar för att införandet av en generell reglering inte bör göras beroende av om en uppgiftsskyddsförordning införs.
Vi ser det inte heller som möjligt att nu utforma ett förslag till en reglering som skulle kunna utgöra ett komplement till en kommande uppgiftsskyddsförordning, eftersom förordningens innehåll i skrivande stund inte i alla delar fullt ut kan överblickas, i synnerhet inte på myndighetsområdet. Det kan emellertid redan nu konstateras att förordningen kan antas lämna öppningar för medlemsstaterna att på myndighetsområdet införa en särreglering beträffande frågor som då kan utformas mot bakgrund av nationella regelverk och andra speciella förutsättningar för de egna myndigheternas verksamhet. Om och när en förordning införs kan det därför antas inte behöva göras några genomgripande ändringar i en ny generell reglering. Även denna omständighet talar alltså för att det saknas tillräckliga skäl för att låta införandet av en generell reglering vänta på att en förordning träder i kraft. Tvärtom kommer det nödvändiga anpassningsarbetet att bli betydligt enklare om en sådan reglering redan finns på plats.
Vår ambition vid utformningen av den generella regleringen har därför varit att i stället relatera våra förslag till det som hittills är känt om uppgiftsskyddsförordningens föreslagna innehåll och redovisa ett resonemang om hur en reglering utifrån gällande rätt kan komma att te sig vid ett införande av förordningen. Vi kommer också att i samband med att vi redovisar konsekvenserna av vårt förslag beskriva hur en anpassning av regleringen kan göras då förordningen införs (se avsnitt 19.2).
För att förverkliga en tydligare och mer ändamålsenlig reglering av myndigheters behandling av personuppgifter bör utgångspunkten således vara att den generella regleringen ska kunna träda i kraft så snart som möjligt. Detta talar, menar vi, för att vårt förslag bör ta sikte på att den generella regleringen till form och innehåll ska
förhålla sig till gällande rätt på området, dvs. dataskyddsdirektivet och personuppgiftslagen.
7.2. En generell lag för myndigheters behandling av personuppgifter
7.2.1. En generell reglering bör ha form av lag
Förslag: Den nya generella regleringen bör ha form av lag. Lagen
bör heta myndighetsdatalagen.
En generell reglering av vad som ska gälla beträffande myndigheters personuppgiftsbehandling bör ges form av lag. Detta följer redan av att tillämpningsområdet för en sådan reglering bör vara i princip detsamma som förvaltningslagens, dvs. även kommunala förvaltningsmyndigheter bör omfattas liksom myndigheterna under riksdagen. Till detta kommer att lagformen av flera skäl framstår som det naturliga för en reglering av nu aktuellt slag.
Vi redovisar nedan hur vi ser på den lagtekniska utformningen av den generella lagen och hur den förhåller sig till de särregler som kan behövas för vissa myndigheters behandling av personuppgifter. I ett därpå följande avsnitt lämnar vi en utförlig redovisning av vår bedömning när det gäller frågan om på vilken normgivningsnivå en särreglering kan ges, dvs. om särregler kan ges i förordning eller om de behöver ha form av lag.
En allmän utgångspunkt för våra överväganden är, som framgått av avsnitt 7.1, att den generella lagen enbart ska innehålla regler om persondataskydd. Vi föreslår därför att den nya lagen benämns ”myndighetsdatalag”. Namnet är också kort, vilket är ändamålsenligt med tanken på att lagen avses vara tillämplig för i princip alla myndigheter.
Vid personuppgiftslagens införande övervägdes även namnet persondatalag. Skälet till att det namnet inte valdes var bl.a. att det på ett missvisande sätt kunde leda tanken till enbart datorlagrade personuppgifter, trots att lagen inte bara omfattar automatiserad behandling i datorer utan även viss manuell behandling av personuppgifter (prop. 1997/98:44 s. 42). Eftersom myndigheterna i dag i
princip uteslutande hanterar personuppgifter med it-stöd, anser vi att namnet myndighetsdatalag inte gärna kan uppfattas som missvisande.
7.2.2. Kort om lagens innehåll och den lagtekniska utformningen
Vilka frågor bör regleras i lagen?
Vi har ovan redovisat att utgångspunkten för vårt arbete med den generella lagen är att den enbart ska ta sikte på att reglera frågor om det behov av skydd som den automatiserade behandlingen av personuppgifter ger upphov till när myndigheterna hanterar personuppgifter i sin verksamhet. Lagen ska alltså enbart innehålla bestämmelser som utgör dataskyddsregler.
Det innebär att lagen för det första bör innehålla regler som rör frågor där personuppgiftslagens bestämmelser inte på ett tillräckligt tydligt sätt uttrycker vad som gäller för myndigheters behandling av personuppgifter. Det handlar alltså om bestämmelser som särskilt reglerar vad som gäller för myndigheter i en viss fråga till skillnad från vad enskilda personuppgiftsansvariga har att iaktta.
I registerförfattningarna förekommer även bestämmelser som reglerar behandling av personuppgifter utan att de syftar till att införliva dataskyddsdirektivet i något visst avseende. Det är alltså bestämmelser som inte har någon motsvarighet i personuppgiftslagen. Det har ändå ansetts finnas ett behov av att denna typ av bestämmelser för att tydliggöra vad som gäller i förhållande till andra regelverk, framför allt beträffande offentlighets- och sekretesslagens bestämmelser om utbyte av uppgifter i förhållande till både enskilda och andra myndigheter. Som exempel på sådana bestämmelser kan nämnas regler om utlämnande av personuppgifter i elektronisk form, bl.a. genom direktåtkomst. Som har framgått av kapitel 5 menar vi att det finns skäl att upprätthålla den rättsliga skillnaden mellan direktåtkomst och andra former av elektroniskt utlämnande. Bestämmelser rörande detta bör alltså införas även i den generella lagen.
Ett annat exempel på en typ av bestämmelser som vanligen förekommer i registerförfattningar och som inte kan sägas ha sin omedelbara motsvarighet i dataskyddsdirektivet är s.k. sökbegränsningar. Sådana bestämmelser ger emellertid uttryck för den pro-
portionalitetsprincip som alltid måste iakttas när det gäller behandling av personuppgifter och inte minst på myndighetsområdet. Även regler om sökbegränsningar har därför sin plats i en generell lag.
Det kan konstateras att lagen således kommer att få en utformning som i hög grad liknar en författning av den kategori vi benämnt informationshanteringsförfattning, låt vara att denna ”registerförfattning” syftar till att generellt reglera myndigheters behandling av personuppgifter.
Den lagtekniska utformningen
Vi har ovan redovisat vår huvudambition med den generella lagen att i så hög grad som möjligt fånga upp och uttrycka regler till skydd för personuppgifter som generellt utgör en ändamålsenlig reglering för myndigheterna, för att i motsvarande mån minska behovet av särreglering. Det innebär att vi ser framför oss ett relativt begränsat behov av särreglering som kommer att avse förhållandevis få frågor i jämförelse med den regelmassa som i dag finns i registerförfattningarna. Vi bedömer att det därför – på sikt – inte alls kommer att behövas fullständiga registerförfattningar i den utsträckning som är fallet i dag. Författningar som syftar till att reglera regelrätta register, exempelvis fastighetsregistret och aktiebolagsregistret, påverkas dock endast delvis eftersom de typiskt sett syftar till att reglera annat än dataskydd, nämligen verksamhetsfrågor kring ett visst register. Sådana verksamhetsregler utgör ingen särreglering i förhållande till personuppgiftslagen och påverkas därmed inte av den nya lagen. Detta slags registerförfattningar kan alltså inte ersättas av den nya lagen. Inget hindrar dock att dataskyddsregleringen i den nämnda sortens registerförfattning – som efter en översyn fortfarande anses behövas – separeras från författningen och särregleras i anslutning till den nya lagen. Vi återkommer till denna fråga i kapitel 8.
Den generella lagen bör lagtekniskt utformas så att den i sin huvuddel innehåller de bestämmelser som generellt reglerar myndigheternas behandling av personuppgifter i olika avseenden. I en eller flera bilagor till lagen kan därefter tabellvis redovisas sådana särregler för enskilda myndigheter som bör – eller undantagvis behöver
– ges i form av lag. Det kan exempelvis handla om vissa fall av direktåtkomst eller mer tillåtande regler för att behandla känsliga personuppgifter som kan behövas på vissa myndighetsområden och som bedöms kräva lagstöd. Till lagen bör det också finnas en anslutande förordning som innehåller de särregler som kan ges på förordningsnivå. Vi bedömer att den helt övervägande delen av sådan utfyllande reglering kan ges i förordning. I avsnittet nedan redogör vi mer utförligt för vår bedömning av vilken normgivningsnivå som normalt krävs för de särregler som kan behövas.
7.3. Normgivningsnivå för särreglering
7.3.1. Bakgrund
Av 8 kap. 1 § första stycket RF framgår att föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag om de avser bl.a. skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2). Kravet på att en sådan föreskrift ska ha form av lag är emellertid inte obligatoriskt, utan riksdagen kan bemyndiga regeringen att meddela den typen av föreskrifter (8 kap. 3 §).
Enligt 8 kap. 7 § RF får regeringen bl.a. meddela föreskrifter som inte enligt grundlag ska meddelas av riksdagen. Att regeringen meddelar föreskrifter i ett visst ämne hindrar inte att riksdagen meddelar föreskrifter i samma ämne (8 kap. 8 §).
Av 8 kap. 10 och 11 §§ RF följer att en vidaredelegation till en förvaltningsmyndighet att meddela föreskrifter också kan medges av riksdagen eller, i fråga om regeringens primärområde, av regeringen själv.
De s.k. registerförfattningarna är ett exempel på en grupp författningar där lagformen ofta valts trots att detta enligt regeringsformen rent normgivningstekniskt i allmänhet inte har varit nödvändigt. Att det allmänna registrerar personuppgifter om enskilda innebär ingen skyldighet för den enskilde. Det har heller normalt sett inte ansetts som ett ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF (Anders Eka m.fl., Regeringsformen – med kommentarer, 2012, s. 311). Registerförfattningarna har därmed i princip ansetts höra till rege-
ringens primärområde – i vart fall såvitt avser myndigheter under regeringen – och således kunnat regleras i förordningsform. Som har berörts tidigare har det under åren emellertid i ett antal olika lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållits att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag (se t.ex. prop. 1997/98:44 s. 41, 1997/98:KU18 s. 43 och prop. 1999/2000:39 s. 78).
Enligt 8 kap. 18 § RF får en lag inte ändras eller upphävas på annat sätt än genom lag. Det är den formella lagkraftens princip som på så sätt kommer till uttryck i regeringsformen. Den formella lagkraftens princip innebär att en föreskrift som en gång beslutats som lag inte kan ändras eller upphävas på annat sätt än genom en ny lag. Regeln om den formella lagkraften får bl.a. den effekten att regeringen inte kan hindra eller upphäva en lag som riksdagen stiftat inom ett område som annars enligt grundlag primärt faller inom regeringens kompetensområde. Inte heller kan regeringen så länge lagen gäller meddela föreskrifter i ämnet i strid med lagen. Riksdagen tar på så vis i anspråk en del av regeringens primärområde. Detta innebär att i den mån myndigheters personuppgiftsbehandling har reglerats genom lag så krävs lagstiftning också för att ändra regleringen.
Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Av 2 kap. 20 § följer att skyddet mot övervakning och kartläggning av den enskildes personliga förhållanden får begränsas genom lag i den utsträckning det är tillåtet enligt de allmänna förutsättningarna för begränsning av fri- och rättigheter som anges i 21 §. Vid antagande av sådan lag som avses i 20 § är enligt 22 § det s.k. kvalificerade förfarandet tillämpligt. Detta innebär att ett förslag till rättighetsbegränsande lag ska, om det inte avslås av riksdagen, på yrkande av lägst tio av dess ledamöter vila i minst tolv månader från det att det första utskottsyttrandet över förslaget anmäldes i riksdagens kammare.
Motivuttalanden på registerförfattningsområdet rörande normgivningsnivå
De ovan berörda motivuttalandena om att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag tillkom i samband med det grundlagstiftningsärende där bl.a. Data- och offentlighetskommitténs slutbetänkande behandlades.
Prop. 1990/91:60 innehöll förslag som syftade till att stärka offentlighetsprincipen i fråga om ADB-upptagningar och till att förbättra integritetsskyddet för uppgifter i personregister. Där föreslogs vissa ändringar i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet – bl.a. beträffande den s.k. biblioteksregeln – samt ändringar i sekretesslagstiftningen som innebar preciseringar av det krav på ”god offentlighetsstruktur” som gällde för myndigheternas ADB-verksamhet. Vidare föreslogs bl.a. ändringar i datalagen (1973:289) i syfte att reglera och begränsa användningen av personnummer i personregister. Propositionen behandlades av konstitutionsutskottet i betänkandet 1990/91:KU11.
Vid den aktuella tidpunkten krävdes alltså normalt tillstånd från Datainspektionen för att inrätta och föra särskilt integritetskänsliga ADB-register, dvs. personregister som innehöll ömtåliga uppgifter om enskilda personer. Om inrättandet av ett sådant register beslutades av riksdagen eller regeringen – s.k. statsmaktsregister – räckte det dock med att beslutet föregicks av ett yttrande från Datainspektionen. I debatten hade då och då rests krav på att register av detta slag borde vara lagreglerade, vilket skulle innebära att det skulle krävas ett särskilt riksdagsbeslut för att en myndighet skulle få föra ett personregister som innehöll särskilt integritetskänsliga uppgifter.
I prop. 1990/91:60 gjorde föredragande statsrådet – i likhet med Data- och offentlighetskommittén – bedömningen att som ett led i en allmän strävan att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga personuppgifter i vissa myndighetsregister på sikt vissa register hos Socialstyrelsen, landstingen, kommunerna och dåvarande Riksförsäkringsverket borde regleras i särskilda registerlagar. Vidare uttalades följande (a. prop. s. 57 f.).
Som framgått av min redovisning är redan i dag vissa stora personregister med integritetskänsligt innehåll inom den offentliga sektorn författningsreglerade i större eller mindre mån. Flera av de viktigaste
registren saknar emellertid författningsstöd och några av dem har inte heller tillstånd från datainspektionen eftersom de är undantagna från tillståndsplikt till följd av 2 a § tredje stycket datalagen.
Bland de register som sålunda undantagits från tillståndsplikt kan nämnas personregister som förs av myndigheter inom hälso- och sjukvården för vård- eller behandlingsändamål. I dessa register finns uppgifter om enskildas sjukdomar och hälsotillstånd […]. Vidare kan nämnas de sociala myndigheternas personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten […]. Också dessa personregister har generellt sett ett mycket integritetskänsligt innehåll.
I likhet med [kommittén] och remissinstanserna anser jag att en målsättning bör vara att i de fall ett register med ett stort antal registrerade och ett särskilt känsligt innehåll inrättas, bestämmelser ska meddelas i form av lag. Detta gäller särskilt i de fall uppgifterna i registret sprids externt i icke obetydlig omfattning.
Om uppgifter används för strikt avgränsade ändamål i ett register där de primärt har registrerats, t.ex. inom försvaret eller arbetsmarknadsutbildningen och i många kommunala sammanhang behövs däremot i regel ingen specialreglering. I dessa register kan integritetsskyddet, enligt min mening, tillgodoses genom datainspektionens tillståndsprövning. Om de uppgifter som ingår i registret i sådana fall inte är sekretesskyddade, kan det övervägas om en utvidgning av bestämmelserna i sekretesslagen är en väg att uppnå ett bättre integritetsskydd.
Vidare fördes i propositionen resonemang om behovet av reglering på vissa angivna områden såsom landstingens och kommunernas barnavårds- och skolhälsoregister, Riksförsäkringsverkets och de dåvarande försäkringskassornas register, det s.k. FAS 90 m.fl., samt konstaterades att en reglering var möjlig bara på sikt och att det återstod att närmare överväga vilka register inom de angivna områdena som borde regleras.
Konstitutionsutskottet uttalade som sin mening att det allmänt sett var av stor betydelse att en författningsreglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Som anförts i propositionen borde register hos Socialstyrelsen, landstingskommunerna, kommunerna och Riksförsäkringsverket regleras i särskilda registerlagar. Utskottet delade departementschefens uppfattning att det krävdes ingående
överväganden i fråga om vilka register inom dessa områden som borde regleras (1990/91:KU11 s. 11).
I lagstiftningsärendet rörande personuppgiftslagen fördes ett resonemang beträffande registerförfattningarna. Det konstaterades att dessa innehöll många preciserade och viktiga regler som inte rimligen kunde ersättas av de generella bestämmelser som den nya lagen innehöll. Samtidigt stod det klart att det var nödvändigt med särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. beträffande polisens verksamhet. Frågan var därför om det redan i den nya lagen skulle göras undantag för vissa verksamheter eller om nödvändiga särregler för dessa verksamheter liksom dittills skulle ges i särskilda författningar som fick gälla framför den nya lagen.
Regeringen fann att det traditionella svenska systemet med särregler i särskilda författningar var att föredra framför generella undantag från den nya lagen. Eftersom det skulle krävas en särskild författning för att avvika från det integritetsskydd som den nya lagen skulle ge, garanterades att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning. Vidare uttalades – med hänvisning till de uttalanden som gjorts i 1991 års grundlagsstiftningsärende (prop. 1990/91:60 s. 50 och 1990/91:KU11 s. 11) – att målet också har varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Det fanns inte anledning att nu avvika från det målet (prop. 1997/98:44 s. 41).
I konstitutionsutskottets betänkande rörande personuppgiftslagen påpekades med anledning av en motion att i den utsträckning som det är befogat med ett ställningstagande från riksdagens sida, finns det alltid möjlighet att ge regleringen på ett visst område i lag. I sådant fall är normgivning på lägre nivå i strid med lagregleringen utesluten, om inte annat följer av den aktuella lagen. Utskottet ville också för egen del framhålla att det saknades anledning att nu avvika från den tidigare fastlagda målsättningen att myndighetsregister med att stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (1997/98:KU18 s. 43).
De uttalanden som gjordes beträffande behovet av lagform vid 1991 års grundlagsstiftningsärende och som bekräftades i samband med införandet av personuppgiftslagen har alltså under åren åberopats i ett stort antal lagstiftningsärenden i samband med överväganden kring frågan varför en viss registerförfattning borde ges
lagform (se t.ex. prop. 1999/2000:39 s. 78, prop. 2000/01:80 s. 131, prop. 2000/01:95 s. 55 och prop. 2002/03:135 s. 39).
Den tidigare grundlagsregleringen beträffande skyddet för den personliga integriteten
Under 1980-talet inträffade en rad händelser som väckte misstro mot den då ännu förhållandevis nya datatekniken och det sätt på vilket staten använde sig av denna för att registrera medborgarna. Exempelvis orsakade planer på en ny typ av folk- och bostadsräkning, benämnt Fobalt, byggd på samkörning av redan befintliga register, så häftiga protester att projektet inte kunde genomföras. År 1986 avslöjades att det sociologiska forskningsprojektet Metropolit med Datainspektionens medgivande under lång tid hade samlat in och registrerat stora mängder känsliga persondata avseende cirka 15 000 utvalda svenskar och deras familjer. Avslöjandet ledde till ytterst skarp kritik i medierna och fick också politiska återverkningar.
Den år 1984 tillkallade Data- och offentlighetskommittén sökte fånga upp den utbredda oro för myndigheternas registerutnyttjande som fanns vid denna tid genom att i delbetänkandet Integritetsskyddet i informationssamhället 3, Grundlagsfrågor (Ds Ju 1987:8) föreslå en ny regel i regeringsformens fri- och rättighetskapitel av innebörd att varje medborgare skulle vara ”tillförsäkrad skydd mot registrering av uppgifter om honom med hjälp av automatisk databehandling enligt bestämmelser som meddelas i lag”. Av delbetänkandet framgår att kommittén var väl medveten om att ett sådant lagstadgat skydd redan fanns, främst genom datalagen och sekretesslagen, och att det föreslagna stadgandet i regeringsformen därför inte syftade till att stärka det materiella skyddet för den personliga integriteten utan i stället borde ses som en markering av vilken vikt samhället tillmätte själva frågan. Regeringen instämde i allt väsentligt i Data- och offentlighetskommitténs bedömningar. Föredragande statsrådet anförde att regeringens utgångspunkt var att ”ge grundlagsförankring åt det skydd för medborgarna som redan finns genom vanlig lagstiftning och på detta sätt befästa det rådande rättsläget”. Den reella innebörden var enligt förarbetena att riksdagen måste vara aktiv genom att stifta och vidmakthålla en datalagstiftning (prop. 1987/88:57 s. 9 och 11).
Lagförslaget antogs av riksdagen och innebar att, med ikraftträdande den 1 januari 1989, ett nytt andra stycke infördes i 2 kap. 3 § RF med följande lydelse.
Varje medborgare skall i den utsträckning som närmare angives i lag skyddas mot att hans personliga integritet kränkes genom att uppgifter om honom registreras med hjälp av automatisk databehandling.
Bestämmelsen kom att gälla oförändrad fram till den 1 januari 2011.
År 1994 infördes i regeringsformen (dåvarande 8 kap. 7 §) en möjlighet för riksdagen att till regeringen eller den myndighet som regeringen bestämmer delegera rätten att meddela föreskrifter om skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling, varvid regeln i 2 kap. 3 § andra stycket inte ansågs hindra sådan delegation (prop. 1993/94:116 s. 15). I samband med införandet av personuppgiftslagen ändrades delegationsbestämmelsen i 8 kap. RF. Däremot gjordes alltså inga ändringar i 2 kap. 3 §.
Den nu gällande regleringen
Våren 2004 tillkallades en parlamentariskt sammansatt kommitté – Integritetsskyddskommittén – som bl.a. fick i uppgift att kartlägga och analysera sådan lagstiftning som rör den personliga integriteten, överväga om regeringsformens bestämmelse om skyddet för den personliga integriteten i dåvarande 2 kap. 3 § andra stycket RF borde ändras och i så fall föreslå en ny grundlagsreglering.
I januari 2008 överlämnade Integritetsskyddskommittén sitt slutbetänkande SOU 2008:3. I betänkandet uttalades bl.a. att kommitténs kartläggning och analys hade visat att lagstiftaren inte lägger tillräcklig vikt vid integritetsskyddsaspekter när ny lagstiftning arbetas fram. Även rent allmänt värderades integritetsskyddet förhållandevis lågt i lagstiftningen. En bidragande orsak till detta fick anses vara att det i grundlagen inte fanns någon rättsligt verkande bestämmelse om medborgarnas rätt till skydd för personlig integritet som balanserar de övriga fri- och rättigheter som medborgarna är tillförsäkrade. Enligt kommittén var det sammanfattningsvis tydligt att det på grundlagsnivå behövde ges uttryck för en större respekt än för närvarande för den enskildes rätt till personlig integritet. Bestämmelser som ger ett utvidgat materiellt integritets-
skydd borde därför införas i regeringsformens kapitel om grundläggande fri- och rättigheter (SOU 2008:3 s. 255 f.).
Integritetsskyddskommittén föreslog att ett nytt andra stycke av följande lydelse skulle införas i 2 kap. 6 §:
Även i annat fall än som avses i första stycket är varje medborgare gentemot det allmänna skyddad mot intrång, om det sker i hemlighet eller utan samtycke och i betydande mån innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Beträffande den föreslagna bestämmelsens tillämpning på hantering av personuppgifter i omfattande informationssamlingar gjorde kommittén följande uttalanden (a. a. s. 271).
Det allmännas hantering av uppgifter om enskilds personliga förhållanden sker inte sällan utan samtycke från den enskilde och kan till och med ske i hemlighet. Sådan hantering kan ha som uttalat syfte att kartlägga den enskildes personliga förhållanden. Som exempel på en hantering som rör uppgifter om enskilda personer som både sker i hemlighet och innebär en kartläggning av den enskildes personliga förhållanden av sådan omfattning att den bör omfattas av det nya grundlagsskyddet kan nämnas Säkerhetspolisens hantering av personuppgifter. Som ett annat exempel kan nämnas polisens personuppgiftshantering i underrättelseverksamhet och under en brottsutredning.
[…]
Som exempel på myndigheter eller myndighetsområden som har informationssamlingar beträffande enskildas personliga förhållanden som kan sägas ha en sådan omfattning att de i praktiken innebär en kartläggning, och i hög utsträckning består av uppgifter som ansetts särskilt skyddsvärda, kan nämnas Skatteverket, Kronofogdemyndigheten, Försäkringskassan och socialtjänsten. En personuppgiftshantering som uteslutande sker av administrativa skäl, vilken regelmässigt brukar omfattas av svag eller ingen sekretess, kan däremot inte anses ha ett sådant skyddsvärde att den bör omfattas av ett grundlagsskydd för den personliga integriteten.
När det gäller hantering av personuppgifter i de informationssamlingar som kommer att omfattas av det utvidgade grundlagsskyddet är det självfallet så att inte alla led i hanteringen är att betrakta som sådana intrång som behöver omfattas av de särskilda förutsättningar som gäller för att intrång i den grundlagsskyddade rättigheten skall vara tillåtet. De från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in, ändamålet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för
uppgifterna, skall lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl.
2010 års ändringar av regeringsformen
I prop. 2009/10:80 lade regeringen fram förslag till omfattande ändringar av regeringsformen som väsentligen byggde på Grundlagsutredningens förslag. I samma lagstiftningsärende föreslog regeringen en ny bestämmelse i 2 kap. RF som väsentligen byggde på Integritetsskyddskommitténs förslag. Förslaget antogs av riksdagen och den nya bestämmelsen i 2 kap. 6 § andra stycket RF trädde – liksom övriga grundlagsändringar – i kraft den 1 januari 2011.
Den nya bestämmelsen är utformad så att den reglerar förhållandet mellan den enskilde och det allmänna och sägs utgöra en begränsning av statsmakternas normgivningsbefogenheter inom ramen för rättighetsskyddet (prop. 2009/10:80 s. 176). Den är alltså avsedd att få sin huvudsakliga innebörd genom de begränsningar som gäller för riksdagen att inskränka fri- och rättigheter (20–22 §§). Det finns däremot inte några sådana särskilda begränsningsförutsättningar som finns för bl.a. begränsningar av yttrande- och informationsfriheten (jfr 2 kap. 23 och 24 §§).
Bestämmelsen innebär enligt sin ordalydelse att enskilda är skyddade mot åtgärder från det allmännas sida som innefattar betydande intrång i den personliga integriteten, om intrånget sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. I motiven förs resonemang om hur dessa olika kriterier är avsedda att förstås (prop. 2009/10:80 s. 177 f.).
Uttrycket ”personliga förhållanden” avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Det innebär att regleringen kan komma att omfatta vitt skilda slag av information som är knuten till den enskildes person, t.ex. uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning, omfattas av uttrycket. Liksom vid tillämpningen av offentlighets- och sekretesslagstiftningen får vid prövningen av uttryckets närmare innebörd
vägledning hämtas från vad som enligt normalt språkbruk kan läggas i dess betydelse.
Vid behandlingen av uppgifter som rör den enskilde får ett integritetsintrång normalt anses större om behandlingen sker utan den enskildes samtycke än om det sker efter dennes medgivande. Innebörden av kravet på samtycke bör enligt motiven bedömas på samma sätt som motsvarande krav enligt bestämmelsen om förbud mot åsiktsregistrering i regeringsformen (2 kap. 3 §). Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp (prop. 2009/10:80 s. 250). Beträffande ”kartläggning” görs i motiven vidare följande uttalande (a. prop. s. 180).
En åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om t.ex. beskattning eller liknande, kan – även om avsikten inte är att kartlägga enskilda – i många fall anses innebära kartläggning av enskildas förhållanden. Så torde fallet vara i fråga om ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns t.ex. lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser. Även Statistiska centralbyrån och andra statistikansvariga myndigheter, t.ex. Socialstyrelsen och Brottsförebyggande rådet, lagrar och bearbetar stora mängder uppgifter om enskildas personliga förhållanden i sina databaser. Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. Särskilda föreskrifter som anger de närmare förutsättningarna för informationshanteringen finns för t.ex. socialtjänsten, studiestödsverksamheten, Kriminalvården och den brottsbekämpande verksamheten hos såväl polismyndigheterna, Tullverket och åklagarmyndigheterna som Skatteverket och Kustbevakningen samt hos domstolarna. I flertalet fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat. Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Som exempel kan nämnas polisens belastningsregister. Registreringen av personuppgifter i registret kan sägas innebära en kartläggning av alla dem som har
dömts eller på annat sätt lagförts för brott, även om registrets uttalade ändamål är att ge information åt olika myndigheter om belastningsuppgifter som behövs bl.a. för att utreda brott och bestämma straff samt vid lämplighets- och tillståndsprövning av skilda slag. På liknande sätt förhåller det sig med många andra register som används i den brottsbekämpande verksamheten, t.ex. polisens misstankeregister, fingeravtrycks- och DNA-register m.m. I detta sammanhang kan även nämnas de olika associationsrättsliga register som Bolagsverket ansvarar för, bl.a. aktiebolagsregistret, handelsregistret och föreningsregistret. En omfattande behandling av personuppgifter sker vidare inom t.ex. hälso- och sjukvården.
Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska enligt motiven både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse.
Några exempel på tillämpningen
Datalagringsdirektivet
I prop. 2010/11:46 lämnades förslag till genomförande av Europaparlamentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG. Direktivet syftade till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra trafik- och lokaliseringsuppgifter samt uppgifter som behövs för att identifiera en abonnent eller användare för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott.
Direktivet föreslogs bli genomfört i svensk rätt genom regler intagna i lagen (2003:389) om elektronisk kommunikation, LEK. Lagringsskyldig skulle enligt 6 kap. 16 a § LEK den vara som bedriver anmälningspliktig verksamhet enligt 2 kap. 1 § samma lag. Därigenom omfattas leverantörer av allmänt tillgängliga kommunikationsnät.
I yttrande till justitieutskottet gjorde konstitutionsutskottet bedömningen att det var fråga om mycket omfattande informations-
samlingar som delvis avser integritetskänsliga uppgifter, nämligen om vem som kommunicerade med vem, när det skedde, var de som kommunicerade befann sig och vilken typ av kommunikation som användes. Enligt utskottets mening sker ett integritetsintrång redan genom att uppgifterna lagras, även om merparten av de uppgifter som föreslås ska lagras troligen aldrig kommer att begäras ut för brottsutredningar. I likhet med regeringen ansåg därför utskottet att lagringen av trafikuppgifter medför ett intrång i enskildas personliga integritet. Intrånget måste, mot bakgrund av den mängd trafikuppgifter om en enskild som kan komma att lagras, anses vara betydande. Den lagring av trafikuppgifter som föreslogs i propositionen omfattades därför enligt utskottets mening av regeringsformens skydd i 2 kap. 6 § andra stycket för den personliga integriteten (2010/11:JuU14).
Det aktuella lagförslaget förklarades i mars 2011 vilande enligt 2 kap. 22 § RF. I mars 2012 avgav justitieutskottet i enlighet med dåvarande 4 kap. 9 § RO ett nytt betänkande i ärendet (2011/12:JuU28). Utskottet fann vid sin förnyade beredning av ärendet inte skäl att frångå den bedömning som gjordes i betänkande 2010/11:JuU14. Lagändringarna trädde i kraft den 1 maj 2012 (SFS 2012:126 och 127).
Den 8 april 2014 meddelade EU-domstolen dom i de förenade målen C-293/12 och C594/12, Digital Rights Ireland m.fl. I domen förklarade EU-domstolen datalagringsdirektivet ogiltigt. I Ds 2014:23 har gjorts en analys av vad domen får för konsekvenser för svensk rätt.
I prop. 2011/12:45 lade regeringen fram förslag till en lag om behandling av personuppgifter i Kustbevakningens verksamhet, en kustbevakningsdatalag. Syftet med den föreslagna lagen var att ge Kustbevakningen möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Den föreslagna lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa
verksamhet. Lagen ersatte förordningen (2003:188) om behandling av personuppgifter inom kustbevakningen.
Kustbevakningens verksamhet kan, något förenklat, delas in under de två huvudrubrikerna sjöövervakning och räddningstjänst. Kustbevakningens uppgifter regleras primärt i förordningen (2007:853) med instruktion för Kustbevakningen, men även i de särskilda lagar och förordningar som innehåller bestämmelser om verksamheten samt i regleringsbrev och enskilda regeringsbeslut. Nämnas kan t.ex. lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning, lagen (2000:1225) om straff för smuggling, narkotikastrafflagen (1968:64), sjölagen (1994:1009), lagen (2003:778) om skydd mot olyckor och fartygssäkerhetslagen (2003:364).
Beträffande behovet av en ny lagstiftning rörande Kustbevakningens personuppgiftsbehandling gjordes bl.a. följande uttalande (prop. 2011/12:45 s. 62).
Personuppgiftslagen gäller generellt för all behandling av personuppgifter, såvida det inte finns avvikande regler i lag eller förordning. I det lagstiftningsärende som föregick personuppgiftslagen uttalade regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, främst i form av s.k. registerlagar, har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.
Sedan den 1 januari 2011 är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av personliga förhållanden (2 kap. 6 § RF). Inskränkningar i detta skydd kan enbart ske i lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap. 20 och 21 §§ RF). Utgångspunkten för behovet av och villkoren för lagregleringen av behandling av personuppgifter som utförs av myndigheter bör således numera tas i regeringsformens bestämmelser om integritetsskydd. Med hänsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingripande myndighetsutövning som ingår i uppgiften samt behovet av att kunna behandla personuppgifter även av känsligare slag inom främst den brottsbekämpande verksamheten anser regeringen att stora delar av Kustbevakningens personuppgiftsbehandling innefattar sådan integritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket RF. Det finns därför ett behov av en särskild författningsreglering i lag av behandlingen av personuppgifter i Kustbevakningens verksamhet.
Uppgiftsutlämnande till utlandet m.m.
I prop. 2010/11:129 lämnades förslag på de lagändringar som krävdes för att genomföra det automatiserade utbyte av DNA-profiler, fingeravtryck och fordonsuppgifter som föreskrivs i EU:s rådsbeslut om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och annan gränsöverskridande brottslighet, det s.k. Prümrådsbeslutet.
Medlemsstaterna ska enligt rådsbeslutet ge varandra tillgång till uppgifter i de nationella DNA-, fingeravtrycks- och fordonsregistren. Uppgifterna ska utbytas via nationella kontaktställen som ska kunna göra automatiska sökningar i övriga medlemsstaters register.
Mot bakgrund av 2 kap. 6 § andra stycket RF gjordes i propositionen den bedömningen att utländska myndigheters direktåtkomst till svenska register och svenska myndigheters direktåtkomst till utländska register bör regleras i lag (prop. 2010/11:129 s. 49 f).
Beträffande frågan om hur utbyte av uppgifter ur kriminalregister mellan EU:s medlemsstater i olika hänseenden förhåller sig till kravet på lagform enligt 2 kap. 6 § andra stycket RF, se prop. 2011/12:163 s. 26 f.
7.3.2. Våra överväganden
Bedömning: Det torde höra till undantagen att en behandling
av personuppgifter sedd för sig kan anses utgöra ett ingrepp i enskildas personliga förhållanden och därför kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF för att vara tillåten. Från normgivningssynpunkt saknas det därför som huvudregel hinder mot att bestämmelser som avviker från eller kompletterar innehållet i den generella lagen i form av t.ex. myndighetsspecifika föreskrifter om sökbegränsningar, direktåtkomst, behandling av känsliga personuppgifter m.m. ges i förordningsform.
I den mån sådana myndighetsspecifika föreskrifter av något skäl ändå bedöms utgöra ingrepp i enskilds personliga förhållanden och därför kräver lagform kan de tas in i bilaga till den generella lagen eller i annan lag.
Bortsett från de brottsbekämpande myndigheterna torde det bara vara i rena undantagsfall som behandling av personuppgifter
hos myndigheter kan anses innehålla några sådana särskilda moment som är av det slaget att behandlingen måste ha stöd i en sådan lag som endast får beslutas enligt reglerna i 2 kap. RF.
Den nya grundlagsbestämmelsen med ett kompletterande skydd för den personliga integriteten i 2 kap. 6 § andra stycket RF omfattar ett skydd mot betydande intrång. En fråga i detta sammanhang är därför vad som över huvud taget är att betrakta som intrång i den personliga integriteten när det gäller automatiserad behandling av personuppgifter. Den frågan har inte behandlats närmare i förarbetena till bestämmelsen. Bestämmelsen tar inte heller sikte specifikt på sådan behandling, utan i allmän mening användning av information som rör vars och ens personliga förhållanden. I förarbetena anförs att grundlagsbestämmelsen är tillämplig när det är frågan om ett betydande ingrepp i den enskildes privata sfär (prop. 2009/10:80 s. 250). Vi har alltså anledning att inledningsvis ställa oss frågan när en automatiserad behandling alls kan utgöra ett ingrepp i den enskildes privata sfär. Först därefter kan ställning tas till när en behandling av personuppgifter också är att anse som ett betydande ingrepp.
Utgångspunkten i flera av de internationella konventioner och andra dokument som Sverige har förbundit sig att följa på dataskyddets område är att den enskildes rätt till sin personliga integritet kan behöva skyddas i förhållande till principen om ett fritt flöde av information, oberoende av gränser, som också finns inskriven i många internationella överenskommelser om fri- och rättigheter. Så är exempelvis fallet med Europarådets konvention om skydd för enskilda vid automatisk databehandling (CETS 108) och dataskyddsdirektivet.
För svenskt vidkommande är utgångspunkten i normgivningshänseende – i vart fall såvitt avser myndigheter under regeringen – att det förhållandet att det allmänna registrerar personuppgifter om enskilda inte innebär några skyldigheter för den enskilde och inte heller i övrigt avser ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Bestämmelser om behandling av personuppgifter är i stället i princip att anse som bestämmelser som införs för att skydda den enskilde. Registerförfattningar som reglerar behandling av personuppgifter hos de statliga myndigheter som lyder under regeringen anses
därför i princip kunna ha form av förordning enligt 8 kap. 7 § första stycket 2, dvs. de hör till regeringens primärområde.
Föreskrifter om behandling av personuppgifter anses alltså i princip ha till effekt att skydda den enskilde från en annars fri användning av uppgifterna. Frågan om när en automatiserad behandling av personuppgifter kan utgöra ett intrång i den enskildes personliga integritet kan emellertid inte besvaras så enkelt som att så är fallet om behandlingen strider mot meddelade dataskyddsbestämmelser. Även bestämmelser som tillåter en viss behandling kan i princip innebära ett intrång i den enskildes personliga integritet. Det hör samman med att varken vars och ens rätt till respekt för sitt privat- och familjeliv enligt artikel 8 i Europakonventionen eller den mer begränsade rätten till grundlagsskydd för den personliga integriteten i 2 kap. RF utgör några absoluta rättigheter. De är i stället att betrakta som s.k. relativa rättigheter, eftersom de kan inskränkas i de fall och på det sätt som anges i respektive regelverk. Man måste alltså skilja på tillåtna och otillåtna intrång i den enskildes personliga integritet.
Av Europadomstolens praxis rörande artikel 8 kan läsas ut att behandling av personuppgifter som är av känslig art i många fall kan anses beröra rätten till respekt för privatlivet. Beroende på omständigheterna kan artikeln anses ställa krav på behandlingen av sådana uppgifter i tre avseenden; dels i fråga om det berättigade i att alls registrera dem, dels i fråga om rätt för den enskilde att själv få ta del av uppgifterna och dels slutligen i fråga om skydd mot att andra får tillgång till uppgifterna (SOU 2008:3 s. 78 f.). I sina avgöranden har domstolen först tagit ställning till om behandlingen av personuppgifter i sig har utgjort ett intrång i den enskildes privatliv. Om ett intrång föreligger, har domstolen därefter bedömt om intrånget har haft ett legitimt intresse och i övrigt uppfyllt förutsättningarna för att intrånget ska anses förenligt med konventionen. Först om det har varit frågan om ett intrång som inte uppfyller konventionens krav har intrånget varit att anse som ett brott mot konventionen, varmed den enskilde har rätt till kompensation för kränkningen (se t.ex. målet Segerstedt-Wiberg m.fl. mot Sverige, dom den 6 juni 2006).
Europakonventionen utgör sedan år 1995 svensk lag. Rättigheterna i konventionen har vidare bekräftats i EU:s rättighetsstadga, som gjorts bindande för medlemsstaterna genom att en hänvisning till
stadgan har införts i artikel 6.1 i EU-fördraget. I rättighetsstadgan anges i artikel 7 att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Vidare föreskrivs i artikel 8 att var och en har rätt till skydd för de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim eller lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. I artikeln anges också att en oberoende tillsynsmyndighet ska se till att dessa regler efterlevs.
Sett i perspektivet av den enskildes numera lagstadgade rätt till skydd för sitt privatliv i samband med behandling av personuppgifter kan en bestämmelse som exempelvis tillåter det allmänna att utan samtycke från den enskilde behandla känsliga personuppgifter utgöra ett intrång i den enskildes personliga integritet. En sådan bestämmelse är alltså inte någon skyddsbestämmelse, utan skyddet i det fallet ligger i rättighetsbestämmelsen. En helt annan sak är att det ändå kan vara frågan om ett tillåtet intrång, om det uppfyller Europakonventionens krav på legitimitet och proportionalitet. Samma resonemang torde exempelvis kunna föras i fråga om dataskyddsdirektivets möjlighet för medlemsstaterna att besluta om undantag från förbudet mot att utan samtycke behandla känsliga personuppgifter om det finns ett viktigt allmänt intresse. Om ett undantag beslutas, torde det alltså i och för sig utgöra ett intrång i den enskildes rätt till en privat sfär, men det kan vara ett tillåtet intrång. I detta fall är det alltså bestämmelsen i direktivet – införlivad i den nationella lagstiftningen – som utgör skyddsbestämmelsen, medan den bestämmelse som medger ett undantag med hänsyn till ett viktigt allmänt intresse är att se som ett intrång i den enskildes rätt.
En föreskrift som tillåter ett intrång i den enskildes rätt till personlig integritet, exempelvis genom att känsliga personuppgifter får behandlas utan samtycke, är rimligen också att se som ett ingrepp i enskilds personliga förhållanden. Det följer därmed av 8 kap. 2 § första stycket 2 RF att en sådan föreskrift ska ha form av lag eller i vart fall stöd av lag (jfr 8 kap. 3 § RF).
När registerlagar beslutas har det i allmänhet inte diskuterats i förarbetena huruvida lagnivån har betingats av att regleringen inte bara innehåller renodlade skyddsbestämmelser, som i och för sig
skulle kunna meddelas i form av en förordning, utan för att den också innehåller bestämmelser som tillåter ett ingrepp i den enskildes personliga förhållanden. Vanligt är i stället att den ovan redovisade motivledes uttalade ambitionen från tidigt 1990-tal åberopas, som innebär att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag. Denna uttalade ambition har med åren kommit att appliceras inte bara på förandet av regelrätta register, utan i vissa fall också på myndigheters personuppgiftsbehandling som sådan. Om behandlingen t.ex. har innefattat stora mängder uppgifter eller särskilt känsliga uppgifter har det ofta ansetts föreligga ett behov av lagstöd även utan någon koppling till företeelsen ”register”. Något klart uttalande om huruvida det finns moment i författningen som innebär att det enligt 8 kap. RF krävs lagstöd eller om det snarare är frågan om en politisk ambition att skyddsregler i dessa fall bör finnas på denna nivå har således i allmänhet inte lämnats. Efter personuppgiftslagens införande har det inte heller förts några resonemang om huruvida den lagen skulle kunna anses utgöra ett tillräckligt lagstöd.
Som exempel på de resonemang i normgivningsfrågan som brukar föras i lagstiftningsärenden om nya registerförfattningar kan nämnas att Lagrådet i samband med införandet av registerförfattningar för Skatteverket, Kronofogdemyndigheten och Tullverket uttalade att svensk rätt i och för sig inte fordrar att föreskrifter av det slag som fanns i de föreslagna lagarna ges form av lag. Det medförde att de normgivningsbemyndiganden som kunde finnas i förslagen i princip var onödiga (prop. 2000/01:33 s. 345). Regeringen kommenterade inte Lagrådets uttalande på annat sätt än att bestämmelser i de olika lagarna om att regeringen meddelar närmare föreskrifter hade utformats i enlighet med Lagrådets synpunkter (se t.ex. a. prop. s. 202). Det innebär emellertid att regeringen i och för sig får anses ha instämt i bedömningen att bestämmelserna inte till någon del omfattades av ett krav enligt 8 kap. RF på att välja lagformen för de aktuella författningarna, men att den formen ändå valdes (jfr a. prop. s. 121). När nya registerförfattningar införs handlar resonemangen kring normnivå också vanligtvis om vad författningen som sådan anses kräva, i stället för vilka enskilda föreskrifter som eventuellt ska meddelas i form av lag.
Att resonemangen om normnivå för registerförfattningar har en politisk snarare än en rättslig prägel torde ha sin bakgrund i att de
första uttalandena om denna politiska ambition gjordes vid en tid då skyddet för den enskildes integritet hade fått en ökad aktualitet genom en allmän debatt där myndigheternas användning av personuppgifter i vissa register kritiserades. Då fanns emellertid ännu inte någon rättsligt bindande regel som innebar ett allmänt skydd för personlig integritet i svensk lagstiftning, eftersom Europakonventionen ännu inte var inkorporerad. Det som fanns i form av en generell regel var målsättningsstadgandet i 1 kap. 2 § fjärde stycket RF som föreskriver att det allmänna ska verka för att demokratins idéer blir vägledande inom samhällets alla områden samt värna den enskildes privatliv och familjeliv.
Den nya bestämmelsen i 2 kap. 6 § andra stycket RF om ett generellt, om än begränsat, skydd för den personliga integriteten syftar alltså inte till att ange vilka föreskrifter om exempelvis behandling av personuppgifter som ska ha form av lag i stället för förordning. Snarare torde bestämmelsen, som vi ser det, såvitt avser behandling av personuppgifter primärt ha funktionen att bland sådana intrång som omfattas av lagkravet enligt 8 kap. 2 § första stycket 2 RF skilja ut de intrång som är så kvalificerade att de ska omfattas av de särskilda begränsningar som enligt 2 kap. 20–22 §§ gäller för riksdagens möjligheter att besluta om en rättighetsinskränkande lag. Samtidigt följer det av regleringen rörande ikraftträdandet av 2 kap. 6 andra stycket RF – äldre föreskrifter som ger stöd för åtgärder som innebär betydande intrång i den personliga integriteten behåller under en övergångsperiod sin giltighet även om föreskrifterna inte uppfyller regeringsformens krav på lagform – att lagstiftaren har utgått från att det kan finnas regler som omfattas av bestämmelsen utan att för den skull också omfattas av något lagkrav enligt 8 kap. RF.
Utgångspunkten är emellertid att integritetsintressen som faller utanför grundlagsbestämmelsens tillämpningsområde, exempelvis vid behandling av personuppgifter, alltså inte behöver sakna skydd utan att där ändå kan gälla ett krav på att ett intrång tillåts enbart i form av lag (jfr prop. 2009/10:80 s. 177). Utrymmet för åtgärder som innebär begränsningar i den enskildes rätt till respekt för privatlivet begränsas vidare genom de krav som följer av Europakonventionen.
Vad får den höga detaljeringsgraden på lagnivå för konsekvenser?
Det kan visserligen hävdas att den uttalade ambitionen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag i principiell mening har varit en god sak från integritetsskyddssynpunkt. Emellertid torde det enbart vara ett fåtal föreskrifter om myndigheters behandling av personuppgifter som i rättslig mening kräver lagstöd. I stället torde merparten kunna meddelas i form av förordning. Vi återkommer till denna fråga nedan.
Ambitionen att ha samtliga de föreskrifter som behövs för ett visst verksamhetsområde eller en viss myndighets behandling av personuppgifter i en särskild författning på lagnivå har emellertid medfört uppenbara olägenheter för utvecklingen av en effektiv förvaltning eftersom det har inneburit en onödigt hög detaljeringsgrad på lagnivå. Reformarbeten som syftar till att effektivisera myndigheternas hantering av sina ärenden, att ge en förbättrad service när det gäller enskildas insyn allmänt och i egna ärenden och att samverka med myndigheter och andra aktörer, och som inte i något avseende innebär ett intrång i de registrerades integritet, kompliceras av eller riskerar att inte alls bli av på grund av att den aktuella registerlagen i alltför hög grad detaljstyr behandlingen av personuppgifter.
Att bedöma vilken normnivå som krävs för föreskrifter om behandling av personuppgifter utifrån den uttalade politiska ambitionen kan, som redan påpekats, i principiell mening vara bra för skyddet av enskildas personliga integritet. Den omständigheten att resonemang om normnivå enbart har denna utgångspunkt, och att de dessutom snarare handlar om att ha en uppfattning om författningen som sådan än om de enskilda frågor den reglerar, riskerar enligt vår mening emellertid att leda till att de integritetsfrågor som skulle behöva bli belysta från ett rättighetsperspektiv inte får den uppmärksamhet de förtjänar. Det leder i sin tur till att det blir än svårare att identifiera i vilka fall det särskilda skyddet i 2 kap. 6 § andra stycket RF verkligen ska tillämpas.
Den uttalade ambitionen att vissa registerförfattningar ska ha form av lag kan alltså paradoxalt nog leda till en sämre rättslig ana-
lys av vilka intrång i den enskildes personliga integritet som en viss behandling av personuppgifter faktiskt kan innebära.
Finns det några typfall då en behandling av personuppgifter kan anses utgöra ett intrång och därför kräva stöd i lag?
Allmänt
Den omständigheten att personuppgifter behandlas på ett sätt som omfattas av dataskyddsdirektivet kan inte i sig anses utgöra ett intrång. Det är det sammanhang där behandlingen sker som avgör om behandlingen sedd för sig kan anses utgöra ett intrång i den enskildes rätt till en privat sfär. Föreskrifter om myndigheters behandling av personuppgifter reglerar i allmänhet inte vad en myndighet ska eller tillåts göra i sin verksamhet. Detta regleras i andra regelverk som föreskriver exempelvis vilka uppgifter och vilka befogenheter myndigheten har, vilka personuppgifter och andra uppgifter som ska samlas in och från vem samt vilka uppgifter som ska lämnas till andra utanför myndighetens verksamhet. Föreskrifter om behandling av personuppgifter handlar i stället i allmänhet om vilka krav som ska ställas på sådan behandling när myndigheten utför sina uppgifter. I den mån det allmänna tillåts att göra intrång i enskildas privata sfär för att en myndighet ska kunna utföra en viss uppgift, exempelvis genom att enskilda åläggs en skyldighet att lämna uppgifter om personliga förhållanden till myndigheten, regleras detta alltså i allmänhet i något annat regelverk än i en renodlad registerförfattning. Det innebär att föreskrifter om hur behandling av personuppgifter ska gå till i allmänhet kan meddelas i form av förordning genom regeringens egen rätt att besluta föreskrifter enligt 8 kap. 7 § RF, dvs. utan att något bemyndigande om detta i lag krävs.
Det torde alltså höra till undantagen att en behandling av personuppgifter sedd för sig kan anses utgöra ett ingrepp i enskildas personliga förhållanden och därför kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF för att behandlingen ska vara tillåten.
Vad som nu sagts gäller normalt också i de fall en behandling får ske utan samtycke från den enskilde. Det finns emellertid några typsituationer där det kan finnas anledning att särskilt överväga om
det behövs stöd i lag för den avsedda behandlingen av personuppgifter.
Som redan framgått är behandling av känsliga personuppgifter utan samtycke från den enskilde ett område som enligt Europadomstolens praxis kan aktualisera frågor om intrång i den enskildes rätt till en privat sfär. Beträffande sådana uppgifter krävs därför särskilt noggranna överväganden i frågan om det behövs ett uttryckligt stöd i lag för den avsedda behandlingen. Det kan vidare konstateras att uppgiftsutbyte genom direktåtkomst, som alltså normalt medför krav på en sekretessbrytande regel som möjliggör åtkomsten, vanligtvis hämtar sitt stöd i en författning som reglerar behandling av personuppgifter. Bestämmelser som uttryckligen medger utökade befogenheter att sammanställa känsliga personuppgifter eller uppgifter om brottslighet hämtar också vanligtvis sitt stöd i en s.k. registerförfattning. Nedan behandlas mer utförligt dessa typsituationer med avseende på när det kan vara frågan om ett intrång i den enskildes personliga integritet.
Personuppgifter med ett känsligt innehåll
Behandling av känsliga personuppgifter och även uppgifter om brottslighet kan i många fall anses beröra rätten till respekt för privatlivet enligt artikel 8 i Europakonventionen. Av dataskyddsdirektivet följer att behandling av känsliga personuppgifter i princip är förbjuden, om inte den enskilde har samtyckt till behandlingen. Denna huvudregel gäller även myndigheter. I direktivet räknas upp vissa undantagsfall då en behandling utan samtycke emellertid kan vara tillåten. Vidare ger direktivet medlemsstaterna möjlighet att i sin nationella lagstiftning eller genom beslut av tillsynsmyndigheten besluta om ytterligare undantag med hänsyn till ett viktigt allmänt intresse.
I 20 § PuL har det tagits in ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela undantag från förbudet att behandla känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse. Det kan konstateras att bestämmelsen utgör ett sådant bemyndigande i lag som krävs enligt 8 kap. 3 och 10 §§ RF i den mån den avsedda behand-
lingen av känsliga personuppgifter utgör ett sådant ingrepp i enskilds personliga förhållanden som avses i 2 § första stycket 2.
Genom 20 § PuL är det alltså möjligt att meddela bestämmelser som tillåter en myndighet att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse i form av förordning.
Som kommer att framgå i det följande föreslår vi att det i den generella lagen ges ett generellt stöd för myndigheter att behandla känsliga personuppgifter som motiveras med att det behövs med hänsyn till ett viktigt allmänt intresse. Det kommer alltså att finnas ett uttryckligt stöd för alla myndigheter att i viss omfattning behandla känsliga personuppgifter utan samtycke från den enskilde. Bestämmelsen kompletteras med ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om ytterligare undantag i de fall det behövs för en viss myndighet eller en viss sektorsvis verksamhet. Det kan därför här finnas anledning att överväga i vilken utsträckning en sådan bestämmelse faktiskt innebär ett sådant intrång i enskilds personliga förhållanden som avses i 8 kap. 2 § första stycket 2 RF.
Det kan då inledningsvis konstateras att det inte kan anses givet att en behandling av känsliga personuppgifter som tillåts med hänsyn till ett viktigt allmänt intresse utgör ett intrång i den enskildes personliga integritet. I vilken mån så är fallet får bedömas utifrån det sammanhang där föreskriften ges. Om myndighetens verksamhet i övrigt är reglerad så att det redan finns bestämmelser som förutsätter eller tillåter att myndigheten använder sig av känsliga personuppgifter för att den ska kunna utföra sina uppgifter, kan det inte behövas något ytterligare stöd för det genom en bestämmelse i lag som tillåter att uppgifterna hanteras genom automatiserad behandling, dvs. elektroniskt. Exempelvis torde den behandling av känsliga personuppgifter som sker hos Försäkringskassan vara en nödvändig följd av den verksamhet som myndigheten genom andra regelverk är ålagd att utföra. Den omständigheten att uppgifterna hanteras automatiserat torde alltså inte i sig innebära ett ingrepp i enskilds personliga förhållanden. Det förhållandet att Försäkringskassans verksamhet innebär att myndigheten samlar in och bevarar känsliga personuppgifter om en stor del av befolkningen torde emellertid innebära att särskilda överväganden behöver göras beträffande ingrepp i enskilds personliga förhållanden om det exempelvis skulle bli aktuellt att ge en annan myndighet,
som inte tidigare har haft befogenhet att själv samla in den typen av uppgifter, en omfattande tillgång till Försäkringskassans informationssamlingar.
Till skillnad från det som vi betecknar som informationshanteringsförfattningar innehåller regelrätta registerförfattningar ofta en bestämmelse som föreskriver att registret i fråga ska föras. Stödet att få behandla personuppgifter i registret ges alltså i samma författning som registret har inrättats genom. Om registret innehåller känsliga personuppgifter kan därmed de föreskrifter som innebär stöd för att föra registret i sig utgöra ett ingrepp i enskilds personliga förhållanden. Ett exempel på ett sådant register med ett känsligt innehåll är belastningsregistret. Bestämmelserna i lagen (1998:620) om belastningsregister som reglerar registrets ändamål, innehåll och vilka som har rätt att få uppgifter från registret torde vara att anse som ingrepp i enskilds personliga förhållanden som kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF, medan bestämmelserna om gallring, tystnadsplikt, rätt till skadestånd m.m. syftar till att skydda den enskilde.
Andra myndigheter än den som har till uppgift att föra belastningsregistret torde sällan ha något behov av att på motsvarande sätt samla uppgifter om brottslighet. Enligt dataskyddsdirektivet är det, till skillnad från vad som gäller i fråga om känsliga personuppgifter, inte förbjudet för myndigheter att behandla personuppgifter som rör lagöverträdelser. Av de grundläggande kraven som ska vara uppfyllda vid behandling av personuppgifter torde det emellertid i allmänhet följa begränsningar i myndigheters möjligheter att i den omfattning som är syftet med belastningsregistret sammanställa den typen av uppgifter. Om någon annan myndighet än den som för belastningsregistret ska tillåtas att i en större omfattning sammanställa uppgifter om brottslighet torde det alltså behöva övervägas om det innebär ett ingrepp i enskilds personliga förhållanden som i så fall kräver stöd i lag. Av dataskyddsdirektivet följer vidare att det är förbjudet för medlemsstaterna att tillåta att ett fullständigt register över brottmålsdomar förs under kontroll av någon annan än en myndighet (artikel 8.5).
Direktåtkomst
Bestämmelser som medger direktåtkomst till känsliga personuppgifter förutsätter i allmänhet att det finns en sekretessbrytande bestämmelse som medger att uppgifterna utan någon ytterligare prövning kan lämnas ut till den som medgetts en sådan åtkomst. En sådan sekretessbrytande bestämmelse kan därför beroende på omständigheterna i det enskilda fallet utgöra ett ingrepp i den enskildes personliga förhållanden, eftersom den innebär att den sekretess som normalt ska skydda uppgifterna inte längre ska gälla i förhållande till en viss aktör som befinner sig utanför myndighetens verksamhet.
En direktåtkomst medges ofta för att effektivisera ett uppgiftsutbyte mellan myndigheter som redan äger rum. Om det tidigare uppgiftsutbytet sker med stöd av en sekretessbrytande bestämmelse som medger att uppgifter lämnas ut utan hinder av sekretess, torde den omständigheten att uppgiftsutbytet nu ska ske genom direktåtkomst inte i sig innebära att det sker något ingrepp i enskilds personliga förhållanden. Att direktåtkomst får anses vara en mer ingripande form av uppgiftsutbyte än annat elektroniskt utlämnande hänger samman med att den väcker mer allmänna frågor om verksamhetsansvar och rättsäkerhet samt – beroende på omständigheterna – i ett mer övergripande perspektiv kan sägas påverka den enskildes rätt till skydd för sina personuppgifter därför att särskilda frågor om informationssäkerhet aktualiseras (se vidare kapitel 5).
Ett uppgiftsutbyte av sekretessreglerade uppgifter som sker med stöd av den s.k. generalklausulen i 10 kap. 27 OSL, dvs. efter en avvägning mellan intresset av sekretess och den mottagande myndighetens behov av uppgifter, torde ofta inte kunna effektiviseras genom direktåtkomst utan att en ny mer definitivt sekretessbrytande bestämmelse införs som möjliggör sådan åtkomst. Eftersom en sådan sekretessbrytande bestämmelse innebär att någon intresseavvägning i det enskilda fallet inte längre ska göras, kan det uppfattas innebära en försvagning av sekretesskyddet vilket i sin tur kan utgöra ett ingrepp i enskilds personliga förhållanden. Ett uppgiftsutbyte mellan myndigheter med stöd av 10 kap. 27 § OSL kan emellertid ofta vara av sådant slag att det redan finns författningsstöd för det genom en bestämmelse i lag eller förordning som medger att uppgifter rutinmässigt får lämnas ut. Utbytet kan också ha
sådan karaktär att uppgifter efter en intresseavvägning i praktiken alltid kan lämnas ut. Den omständigheten att en ny sekretessbrytande bestämmelse behöver införas för att möjliggöra att utbytet effektiviseras genom direktåtkomst behöver i ett sådant fall inte heller innebära ett ingrepp i enskildas personliga förhållanden.
Den omständigheten att direktåtkomst medges torde alltså många gånger inte i sig innebära att det sker något ingrepp i enskilds personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Föreskrifter om att direktåtkomst får medges torde därför som huvudregel kunna ges i förordning. Om direktåtkomsten emellertid förutsätter att enskildas sekretesskydd i realiteten försvagas på så sätt att känsliga personuppgifter kan lämnas ut i betydligt större omfattning än vad som annars hade varit möjligt kan den emellertid vara att anse som ett sådant ingrepp i enskildas personliga förhållanden som förutsätter stöd i lag.
Av betydelse för om en direktåtkomst kan anses utgöra ett ingrepp i enskilds personliga förhållanden eller inte är naturligtvis också vilket förhållande de myndigheter har till varandra mellan vilket uppgiftsutbytet sker. Om myndigheternas verksamheter har nära anknytning till varandra och förutsätter att ett visst uppgiftsutbyte sker för att respektive myndighet ska kunna utföra sina uppgifter talar detta för att en direktåtkomst mellan dessa myndigheter inte i sig utgör ett ingrepp i enskilds personliga förhållanden. Som exempel kan nämnas det uppgiftsutbyte som sker mellan Skatteverkets beskattningsverksamhet, Kronofogdemyndigheten och Tullverket, med bortseende från deras brottsutredande verksamhet. Om däremot brottsbekämpande myndigheter medges direktåtkomst till sekretessreglerade personuppgifter hos myndigheter som inte ägnar sig åt brottsbekämpning torde det regelmässigt vara frågan om ett ingrepp i enskilds personliga förhållanden som kräver stöd i lag, såvida inte uppgiftsutbytet är av ringa omfattning.
Sammanställningar av känsliga personuppgifter
I många registerförfattningar finns bestämmelser som begränsar myndigheters möjligheter att söka efter och sammanställa känsliga personuppgifter, s.k. sökbegränsningar. Redan av dataskyddsdirektivets regler om vilka grundläggande krav som ska uppfyllas vid en
behandling av personuppgifter följer visserligen begränsningar i möjligheterna att sammanställa personuppgifter på så sätt att sammanställningen ska vara förenlig med det ändamål för vilket uppgifterna samlades in. Uppgifterna ska också vara relevanta i förhållande till ändamålet med sammanställningen och inte fler än vad som är nödvändigt för ändamålet. I en myndighets verksamhet åligger det alltså den som behandlar personuppgifter att göra dessa överväganden innan en sammanställning görs. Genom en bestämmelse som föreskriver vissa sökförbud har emellertid lagstiftaren som vi ser det gjort denna bedömning ”på förhand” och klargjort att vissa sammanställningar inte ska få ske hos myndigheten. Sådana sökförbud innebär också begränsningar i enskildas möjlighet att få en sammanställning gjord med stöd av reglerna om allmänna handlingar i 2 kap. TF (jfr 2 kap. 3 § tredje stycket). Om en myndighet däremot bedöms ha behov av att kunna göra sådana sammanställningar för att utföra sina uppgifter och att det därför behöver införas en uttrycklig bestämmelse som tillåter det, kan detta beroende på omständigheterna måhända anses utgöra ett ingrepp i enskilds personliga förhållanden. Det ändamål för vilket sammanställningen tillåts ske torde vara avgörande för om det ska vara att anse som ett ingrepp i enskilds personliga förhållanden eller inte.
När kan behandling av personuppgifter vara ett betydande intrång?
Ovan har vi behandlat frågan om när behandling av personuppgifter i sig kan anses utgöra ett sådant ingrepp i enskilds personliga förhållanden att det enligt 8 kap. 2 § första stycket 2 RF kräver stöd i lag. Nästa fråga blir då i vilken mån sådan behandling också eller därutöver kan anses utgöra ett betydande intrång i den mening som avses i 2 kap. 6 § andra stycket RF och i övrigt uppfyller de förutsättningar som anges i stadgandet, dvs. sker utan samtycke och innebär kartläggning eller övervakning av den enskildes personliga förhållanden. Om grundlagsstadgandet är tillämpligt innebär det att kravet på lagform är obligatoriskt – dvs. bemyndiganden är uteslutna – och att de särskilda begränsningarna enligt 2 kap. 20– 22 §§ RF rörande förutsättningarna för riksdagen att besluta lagen gäller.
I 2 kap. 6 § första stycket RF räknas upp ett antal fall av intrång i den enskildes personliga integritet som ansetts kräva särskilt begränsande regler för att de ska kunna tillåtas genom lag. Det handlar exempelvis om kroppsvisitation, husrannsakan och hemlig avlyssning. I dessa fall är det alltså frågan om metoder för insamling av uppgifter om personliga eller ekonomiska förhållanden som ansetts utgöra särskilt svåra intrång i vars och ens rätt till en privat sfär. Vi har ovan konstaterat att behandling av personuppgifter däremot inte utgör en metod eller teknik som i sig innebär intrång i enskildas personliga integritet, utan att det är det sammanhang där behandlingen sker som avgör om så är fallet.
Inledningsvis kan påpekas att 2 kap. 6 § andra stycket RF till sin ordalydelse inte särskilt tar sikte på behandling av personuppgifter. Tillämpningsområdet avser, liksom 8 kap. 2 § första stycket 2 RF, ”personliga förhållanden”. Ordalydelsen saknar referenser till inrättandet och förandet av personregister även om det av motiven framgår att det är ett slag av verksamhet som har avsetts träffas av bestämmelsen. I motiven framhålls att vad som ska avses med ”kartläggning” och ”övervakning” får bedömas med vad som enligt normalt språkbruk läggs i dessa begrepp. Det leder knappast tanken till personuppgiftsbehandling som sådan. Samtidigt finns det, som har framgått, motivuttalanden som kan sägas ge uttryck för att redan det förhållandet att omfattande eller känsliga informationsmängder hanteras hos en viss myndighet kan ses som ett slags kartläggning som är av det slaget att grundlagsbestämmelsen ska anses vara tillämplig.
Det går alltså knappast att utifrån grundlagsstadgandets ordalydelse avgöra i vilken mån stadgandet är tillämpligt på personuppgiftsbehandling sedd för sig. Vad som kan komma att anses gälla här lär få utmejslas i det framtida lagstiftningsarbetet. Ytterst avgörs saken av konstitutionsutskottet som för riksdagens del prövar om ett visst lagförslag utgör en fri- och rättighetsbegränsning eller inte (jfr 2 kap. 22 § tredje stycket RF).
Av ställningstaganden som hittills gjorts i vissa lagstiftningsärenden rörande tillämpningen av stadgandet kan emellertid den slutsatsen dras att när en ny uppgift åläggs en myndighet uppgiften, beroende på omständigheterna, kan uppfattas som en sådan integritetskränkande behandling som omfattas av grundlagsbestämmelsen. En viss skyldighet för en brottsbekämpande myndighet att
lämna uppgifter till en annan sådan myndighet har t.ex. ansetts inte vara omfattat av grundlagsstadgandet så länge de båda myndigheterna är svenska. Förhållandet har emellertid ansetts vara det motsatta om uppgifterna ska lämnas till en brottsbekämpande myndighet i utlandet. I båda fallen är fråga om en behandling av personuppgifter men det är alltså inte denna omständighet utan snarare den sakliga innebörden av åtgärden – att uppgifter ska utbytas – som har ansetts utslagsgivande för om det ska vara frågan om ett betydande intrång.
Enligt vår mening förefaller det naturligt att vid bedömningen av om grundlagsstadgandet är tillämpligt eller inte på det sättet utgå från den sakliga innebörden av en viss tänkt reglering. Lagstiftaren får således ställa sig frågan vad det är som avses ska ske. Om bedömningen då blir att en viss myndighetsuppgift träffas av grundlagsstadgandet innebär detta att den uppgiften behöver regleras i lag och att de särskilda förutsättningarna för rättighetsbegränsade lagstiftning i 2 kap. RF då gäller. Det innebär däremot inte att all personuppgiftsbehandling som sker vid myndigheten i fråga nödvändigtvis kräver lagstöd. Det är alltså, som vi ser det, fråga om samma slags bedömning som behöver göras för att avgöra om en behandling av personuppgifter i sig utgör ett sådant ingrepp i enskilds personliga förhållanden som avses i 8 kap. 2 § första stycket 2 RF, dock att det nu också ska bedömas om det är frågan om ett betydande intrång.
Som framgått har det emellertid förekommit att lagstiftaren intagit den positionen att den behandling av personuppgifter som sker vid en viss myndighet till ”stora delar” är av det slaget att grundlagstadgandet blir tillämpligt och att därför all den personuppgiftsbehandling som sker vid myndigheten har reglerats i lag, dvs. utöver det författningsstöd som redan finns för den faktiska verksamhet som myndigheten bedriver.
Det ska dock framhållas att grundlagstadgandet knappast kräver att lagstiftaren på detta sätt gör en avvägning av om en hel reglering för en viss verksamhet ska ha form av lag eller förordning. Det är som vi ser det endast de moment i verksamheten som utgör ett betydande intrång och i övrigt uppfyller förutsättningarna enligt stadgandet som måste ha stöd i lag. Det lagstiftningsärende där datalagringsdirektivet infördes i svensk rätt innebar inte någon ny skyldighet för en myndighet när det gäller behandling av uppgifter
som rör enskilds personliga förhållanden, utan skyldigheten tog sikte på leverantörer av elektroniska kommunikationstjänster, dvs. enskilda aktörer. Emellertid syftade skyldigheten att lagra s.k. trafikuppgifter till att brottsbekämpande myndigheter skulle ha tillgång till uppgifterna för sin verksamhet. På så sätt rörde skyldigheten förhållandet mellan enskilda och det allmänna. Redan den lagring av vars och ens trafikuppgifter som leverantörerna blev ålagda att utföra ansågs utgöra ett intrång i enskildas personliga integritet. Mot bakgrund av den mängd trafikuppgifter om en enskild som kunde komma att lagras, ansågs intrånget också vara betydande.
Datalagringen torde utgöra ett tydligt exempel på ett fall då grundlagsstadgandet blir tillämpligt med hänsyn till både det sätt som valdes för att brottsbekämpande myndigheter skulle ha möjlighet att få tillgång till trafikuppgifter, nämligen att enskilda aktörer ålades att för brottsbekämpande ändamål lagra de uppgifter som de ursprungligen samlat in för att kunna utföra tjänster i förhållande till sina kunder, samt omfattningen av lagringen och uppgifternas integritetskänsliga karaktär.
Vi har för vår del svårt att se att grundlagsstadgandet kan ges den innebörden att det – bortsett från de brottsbekämpande myndigheterna – kan finnas myndigheter eller kategorier av myndigheter vilkas verksamhet är av det slaget att all den behandling av personuppgifter som äger rum där måste ha stöd i en sådan lag som endast får beslutas enligt reglerna i 2 kap. RF. Det förefaller också vara i rena undantagsfall som behandling av personuppgifter hos icke brottsbekämpande myndigheter kan anses innehålla några särskilda moment av personuppgiftsbehandling som typiskt sett kan ses som en sådan kartläggning eller övervakning som innebär ett betydande intrång i den personliga integriteten och därför omfattas av grundlagsstadgandet.
Sammanfattning
Från allmän normgivningssynpunkt ser vi inga hinder mot att bestämmelser som avviker från eller kompletterar innehållet i den generella lagen i form av t.ex. myndighetsspecifika föreskrifter om sökbegränsningar, direktåtkomst, behandling av känsliga personuppgifter m.m. ges i förordningsform. I den mån sådana bestämmelser
innebär åligganden för de kommunala myndigheterna krävs emellertid att bemyndiganden tas in i lagen (jfr 8 kap. 2 § första stycket 3 RF). Detsamma gäller förstås också beträffande sådana regleringar som är att se som ingrepp i enskilds personliga förhållanden. Vi återkommer till frågan om hur erforderliga bemyndiganden bör utformas i avsnitt 18.2.
Det torde bara vara i rena undantagsfall som något visst moment av behandling av personuppgifter i sig är att se som ett sådant betydande intrång att grundlagsstadgandet om skydd för den personliga integriteten blir tillämpligt och regleringen därför måste ges i lag och beslutas i enlighet med 2 kap. RF. I den mån det finns sådana moment i myndighets- eller sektorsspecifik behandling av personuppgifter som anses utgöra ett sådant betydande intrång kan bestämmelser om detta ges lagform genom att tas in i bilaga till den generella lagen. Om det skulle anses mer ändamålsenligt att behandlingen regleras i en egen författning, t.ex. för att det är frågan om hur ett visst integritetskänsligt register ska få föras snarare än att reglera hur personuppgifter får behandlas i en viss myndighetsverksamhet, kan regleringen givetvis också ges i en särskild lag som därmed gäller före den generella lagens bestämmelser.
Oavsett hur en viss reglering ska bedömas i normgivningshänseende är det naturligtvis inget som hindrar att myndighetsspecifika föreskrifter av lämplighetsskäl eller andra skäl ändå bedöms bör ges i lag. Sådana föreskrifter – liksom föreskrifter som faktiskt kräver lagstöd och där den bedömningen görs att det av något skäl inte är lämpligt att utnyttja ett bemyndigande – kan också tas in i bilaga till den generella lagen.
8. Allmänna bestämmelser
8.1. En bestämmelse om lagens syfte
8.1.1. Bakgrund
Både i dataskyddsdirektivet och i personuppgiftslagen finns inledande bestämmelser om vilket övergripande syfte respektive reglering har. Sådana syftesbestämmelser förekommer även i en del registerförfattningar.
Dataskyddsdirektivet
I artikel 1 i direktivet föreskrivs under rubriken Direktivets syfte att medlemsstaterna ska i enlighet med direktivet skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Vidare får medlemsstaterna varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det nyss nämnda föreskrivna skyddet. Det bakomliggande syftet med dataskyddsdirektivet brukar anges vara att åstadkomma ett fritt flöde av personuppgifter inom Europeiska unionen. Det syftet ska uppnås genom en harmonisering av medlemsstaternas lagstiftning för att få en likvärdig skyddsnivå för enskilda personers fri- och rättigheter, särskilt rätten till privatliv, med avseende på behandling av personuppgifter.
I 1 § anges att personuppgiftslagens syfte är att skydda människor mot att deras personliga integritets kränks genom behandling av personuppgifter. Eftersom ett fritt flöde av personuppgifter mellan
medlemsstaterna i Europeiska unionen åstadkoms genom en åtminstone delvis harmoniserad lagstiftning till skydd mot kränkning av personlig integritet genom behandling av personuppgifter, ansågs det vid personuppgiftslagens införande inte motiverat att särskilt upplysa även om det fria flödet som ett särskilt syfte (prop. 1997/98:44 s. 115).
Förslaget till uppgiftsskyddsförordning
Det pågående reformarbetet syftar inte till något avsteg från vad som slogs fast om det grundläggande syftet med dataskyddsdirektivet. Förordningens artikel 1 – med rubriken Syfte och mål – har visserligen modifierats något i struktur och ordalydelse i jämförelse med artikel 1 i direktivet. Någon ändring i sak torde detta inte innebära.
I förordningsförslaget (bl.a. motiveringen s. 1 och punkterna 5 och 6 i ingressen) framhålls att den snabba utvecklingen av informationstekniken har omvandlat såväl ekonomin som samhällslivet inom EU. Vidare framhålls att förändringarna kräver en stark och mer sammanhängande ram för uppgiftsskyddet, uppbackad av ett kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. Enskilda bör ha kontroll över sina egna personuppgifter och rättssäkerheten och smidigheten för enskilda, ekonomiska operatörer och myndigheter bör stärkas. Enligt kommissionen är det avgörande för den ekonomiska utvecklingen att bygga upp förtroendet för nätmiljön. Bristande förtroende gör att konsumenter tvekar att ”köpa på nätet” och att använda nya tjänster. Detta kan hämma utvecklingen av innovativa användningar av ny teknik. Skydd av personuppgifter spelar därför en central roll i den digitala agendan för Europa och mer allmänt i Europa 2020-strategin (se avsnitt 3.1.4).
Det kan således konstateras att informationstekniken ges en framskjuten betydelse för en önskvärd samhällsutveckling på bred front. En robust dataskyddsreglering är inte bara ett mål i sig utan också ett medel att uppnå en önskad samhällsutveckling i ett längre perspektiv.
Registerförfattningar
I registerförfattningar förekommer ibland bestämmelser som anger lagens övergripande syfte.
När det gäller informationshanteringsförfattningar förekommer syftesbestämmelser framför allt i sådana författningar som ersätter personuppgiftslagen och sedan hänvisar till olika bestämmelser i personuppgiftslagen som ska ha motsvarande tillämpning då personuppgifter behandlas inom ramen för informationshanteringsförfattningens tillämpningsområde.
I exempelvis 1 kap. 1 § polisdatalagen (2010:361) anges det övergripande syftet med lagen vara att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Enligt motiven (prop. 2009/10:85 s. 66 f.) avspeglar utformningen av bestämmelserna den avvägning mellan å ena sidan intresset av en effektiv brottsbekämpning och å andra sidan intresset av skydd för den personliga integriteten som gjorts i lagstiftningsärendet. I 1 kap. 1 § kustbevakningsdatalagen (2012:145) finns en motsvarande bestämmelse om lagens syfte. Det finns dock exempel på informationshanteringsförfattningar med samma lagtekniska konstruktion vad avser förhållandet till personuppgiftslagen som varken hänvisar till 1 § PuL eller har en egen syftesbestämmelse.
I sådana informationshanteringsförfattningar som är konstruerade på det sättet att personuppgiftslagen gäller i den mån författningen i fråga inte innehåller avvikande bestämmelser förekommer i allmänhet inte någon särskild syftesbestämmelse som ersätter eller gäller utöver vad som sägs i 1 § PuL.
Beträffande renodlade registerförfattningar förekommer bestämmelser som anger författningens syfte eller ett visst registers syfte. För de så kallade publicitetsregistren anges ofta att registret ska ”ge offentlighet åt” ett visst förhållande, se t.ex. 1 § lagen (2000:224) om fastighetsregister eller 2 kap. 1 § aktiebolagsförordningen (2005:559).
8.1.2. Våra överväganden och förslag
Förslag: I den nya lagen införs en bestämmelse som anger vilket
syfte lagen har. Detta är tudelat. Syftet är att dels ge myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i deras verksamheter, dels skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Bestämmelser om lagars syfte saknar normalt egentligt materiellt innehåll utan framstår mer som ett slags deklaration av de bakomliggande och övergripande målen med de efterföljande lagbestämmelserna med mer konkret reglering. Man kan därför fråga sig om det verkligen behövs en syftesbestämmelse av detta slag i den nya lagen. Onekligen har emellertid en syftesbestämmelse en informativ och pedagogisk betydelse.
Ett uttryckligt fastslående av lagens syfte har emellertid inte enbart en symbolisk eller informativ betydelse. Att en lags syfte anges i lagen kan få relevans i rättstillämpningen genom att ge vägledning för tolkningen av de materiella bestämmelserna i lagen. Vidare klargör en sådan bestämmelse att lagen enbart innehåller sådana bestämmelser som är av dataskyddsrättslig karaktär.
Sammanfattningsvis anser vi således att det finns skäl att ta in en bestämmelse om lagens syfte i den nya lagen.
Hur bör lagens syfte anges?
En syftesbestämmelse måste av naturliga skäl vara övergripande. Vi bedömer att en bestämmelse som föreskriver att lagens syfte är att dels ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt, dels skydda människor mot att deras personliga integritet kränks vid myndigheternas informationshantering väl fångar regleringens målsättning på ett sätt som passar för alla myndigheter oavsett vad för slags verksamhet de bedriver.
Syftet att ge möjligheter till en ändamålsenlig personuppgiftsbehandling är viktigt att framhålla. För myndigheter är det av helt avgörande betydelse att kunna behandla personuppgifter genom elektronisk informationshantering för att utföra sina uppgifter i överensstämmelse med de krav som ställs på bl.a. rättssäkerhet,
effektivitet och en önskvärd servicenivå. Detta kan inte sällan innebära att myndigheter exempelvis måste ges större förutsättningar att behandla personuppgifter utan den registrerades samtycke än vad som gäller utanför den offentliga sektorn. Den nya lagen med anknytande föreskrifter kommer att innehålla bestämmelser som skapar sådana förutsättningar.
Vad som är en ändamålsenlig personuppgiftsbehandling kan inte slås fast i generella termer utan varierar i hög grad beroende på vad för slags verksamhet det handlar om.
Det andra ledet i den föreslagna syftesbestämmelsen – att lagens syfte är att skydda människor mot att deras personliga integritet kränks vid myndigheters personuppgiftsbehandling – är av central betydelse. Genom syftesbestämmelsen kommer detta till uttryck i lagen. Härigenom framgår vidare indirekt att verksamhetsreglering av olika slag faller utanför lagens syfte. Lagens bestämmelser ska enbart inriktas på att reglera informationshanteringen i förhållande till det skydd som personuppgiftsbehandling påkallar.
Att myndigheters behandling av personuppgifter inte medför kränkningar av människors personliga integritet är alltså en central målsättning för regleringen. Samtidigt är vissa intrång nödvändiga för att myndigheterna ska kunna utföra sina uppgifter. Regleringen bör därför ge uttryck för en väl avvägd balans och proportionalitet mellan, å ena sidan, samhällets behov av att myndigheter kan behandla personuppgifter i sin verksamhet och, å andra sidan, skyddet för den personliga integriteten. Ett gott integritetsskydd är av fundamental betydelse för att myndigheterna alls ska kunna ges förutsättningar att behandla personuppgifter med ett bevarat förtroende från allmänhetens sida. På ett övergripande plan kan det alltså sägas finnas ett samspel mellan integritetsskydd och förutsättningar för en ändamålsenlig informationshantering. Detta tydliggörs genom den tudelade syftesbestämningen – ändamålsenlighet respektive integritetsskydd – och illustrerar att de båda målen gäller parallellt.
8.2. Lagens tillämpningsområde
8.2.1. Vilka myndigheter bör omfattas av lagens tillämpningsområde?
Förslag: Lagen ska i princip tillämpas av alla myndigheter. Med
myndigheter avses i lagen detsamma som i regeringsformen, dvs. alla statliga och kommunala organ utom riksdagen och de beslutande kommunala församlingarna.
Vi har i avsnitt 7.2 redogjort för varför det bör införas en samlad lag för myndigheterna med generella bestämmelser till skydd för personuppgifter.
Enligt vår mening talar övervägande skäl för att lagen bör vara tillämplig hos alla slags myndigheter och inte t.ex. bara sådana som i dag omfattas av särskilda registerförfattningar. Det är enligt vår mening angeläget att ett och samma grundläggande regelverk gäller inom hela myndighetssektorn. Att samma grundläggande regler för behandling av personuppgifter gäller för alla myndigheter ger ökad tydlighet och transparens. Det ger också bäst förutsättningar för effektivitetshöjande myndighetsgemensamma lösningar, exempelvis uppgiftsbyte myndigheter emellan.
Att alla myndigheter kommer att omfattas av lagens tillämpningsområde är också ägnat att väsentligt underlätta den reformering av regelverket som kommer att behöva göras som ett resultat av det pågående reformarbetet inom EU som kan förväntas leda till att dataskyddsdirektivet ersätts av en allmän uppgiftsskyddsförordning.
Med myndigheter avses här detsamma som i regeringsformen, dvs. alla statliga och kommunala organ utom riksdagen och de beslutande kommunala församlingarna.
8.2.2. Vilka verksamheter bör omfattas av lagens tillämpningsområde?
Förslag: Vissa verksamheter undantas från lagens tillämpnings-
område nämligen – en myndighets administrativa verksamhet, – en myndighets verksamhet som personuppgiftsbiträde, och – sådan verksamhet som bedrivs av behöriga myndigheter i syfte
att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.
Våra direktiv är öppna i fråga om tillämpningsområdet. I direktiven klargörs emellertid att den brottsbekämpande verksamheten inte omfattas av utredningsuppdraget. Ett skäl till detta är att den verksamheten inte omfattas av förslaget till allmän uppgiftsskyddsförordning utan av ett förslag till direktiv om uppgiftsskydd i den brottsbekämpande verksamheten. Härmed avses verksamhet som bedrivs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder (se artikel 2.2 e i uppgiftsskyddsförordningen, jfr även artikel 1.2 i gällande dataskyddsrambeslut). För Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kriminalvården och Övervakningsnämnderna är brottsbekämpande verksamhet den dominerande uppgiften. Även Kustbevakningen, Skatteverket och Tullverket har uppdrag att bedriva brottsbekämpande verksamhet. De allmänna domstolarnas verksamhet på det straffrättsliga och straffprocessuella området hör också till den brottsbekämpande verksamheten i här aktuell bemärkelse.
Den brottsbekämpande verksamheten ska alltså inte omfattas av lagens tillämpningsområde. Till bilden hör vidare att den brottsbekämpande verksamheten till stora delar nyligen genomgått eller genomgår en översyn av regleringen av personuppgiftsbehandling. Polisdatalagen och kustbevakningsdatalagen är tämligen nya författningar och det pågår lagstiftningsarbete bl.a. såvitt avser Åklagarmyndigheten samt beträffande Tullverkets brottsbekämpande verksamhet. Registerförfattningsregleringen av den brottsbekämpande
verksamheten är emellertid inte i alla delar heltäckande. Exempelvis förekommer behandling av personuppgifter med stöd av personuppgiftslagen i brottsbekämpande verksamhet vid Nationellt forensiskt centrum, en enhet inom Polismyndigheten.
Nästa fråga blir då om personuppgiftsbehandling i all slags övrig myndighetsverksamhet än den som uttryckligen undantagits från utredningsuppdraget bör omfattas av den nya lagens tillämpningsområde.
Det säger sig självt att myndigheters behandling av personuppgifter sker i varierande och mångfacetterade verksamheter. Redan de registerförfattningar som finns i dag spänner över en mycket brokig verksamhetskarta som innefattar myndighetsverksamhet inom såväl staten som landstingen och kommunerna. Både myndigheters handläggning av ärenden samt s.k. faktiskt handlande (t.ex. vård av en patient eller en myndighets serviceverksamhet enligt 4 § FL) omfattas inte sällan av informationshanteringsförfattningar. Båda slagen av verksamhet, som inte alltid är så lätta att avgränsa, bör enligt vår mening omfattas av den nya lagens tillämpningsområde. Behandling av personuppgifter behövs emellertid inte bara i den egentliga sakverksamheten utan även för t.ex. övergripande planering, verksamhetsuppföljning och egentillsyn. Normalt handlar det då om ”återanvändning” genom olika slags bearbetning av personuppgifter som redan samlats in i den löpande verksamheten. Även sådan behandling bör omfattas av lagen, eftersom det ingår i myndigheternas ansvar att planera, administrera och kvalitetssäkra sin verksamhet. Det är vår uppfattning att utgångspunkten bör vara att den nya lagen ska gälla, om det inte föreskrivits något undantag eller annat följer av avvikande bestämmelser. I linje härmed anser vi att det inte bör införas någon beskrivning av vilka verksamhetsområden som omfattas av lagens tillämpningsområde. Verksamhetsområdet ska i stället framgå motsatsvis.
I fråga om vilka undantag som uttryckligen bör föreskrivas, utöver den brottsbekämpande verksamheten, gör vi följande överväganden.
Generellt gäller på registerlagstiftningsområdet att den personuppgiftsbehandling som sker i myndigheternas rent administrativa verksamhet med t.ex. personal- och lokalfrågor, materialförsörjning och ekonomiadministrativa göromål utan närmare koppling till sakverksamheten faller utanför den särreglering som register-
författningarna omfattar. Detta brukar framgå indirekt av det sätt som registerförfattningens tillämpningsområde beskrivs på samt av förarbetsuttalanden (se t.ex. 1 § studiestödsdatalagen och prop. 2008/09:96 s. 76). Vi menar att det är naturligt att den rent internadministrativa verksamheten med t.ex. personal-, lokal- och ekonomiadministration även framgent regleras av personuppgiftslagen i stället för av den nya lagen. I myndigheternas administration behandlas nämligen inte personuppgifter som samlats in då myndigheterna fullgör de uppgifter som de är ålagda att utföra inom ramen för deras verksamhet. Myndigheternas administration är därmed i princip likställd den som sker hos enskilda personuppgiftsansvariga i rollen som t.ex. arbetsgivare och påkallar inte en särreglering i förhållande till den allmängiltiga regleringen i personuppgiftslagen. Visserligen finns det skillnader, hos myndigheter genereras exempelvis allmänna handlingar även inom personaladministrationen, men de skillnader som finns utgör enligt vår mening knappast tillräckliga skäl för att avvika från den ordning som hittills gällt. Det sagda innebär att myndigheternas administrativa verksamhet bör undantas från den nya lagens tillämpningsområde.
Av stor vikt för den samlade regleringens konsekvens och begriplighet är att bestämmelserna har en tydlig adressat. Det förekommer registerförfattningar som är otydliga på den punkten. Ett exempel är studiestödsdatalagen som enligt lagens bestämmelse om tillämpningsområde bara gäller för Centrala studiestödsnämndens verksamhet (1 § studiestödslagen). Dock är lagens bestämmelse om direktåtkomst så avfattad att den tycks rikta sig till mottagande myndigheter genom att reglera hur deras direktåtkomst till nämndens personuppgiftssamlingar får användas. Den samlade reglering som vi föreslår bör vara tydlig på denna punkt. Lagen ska i allt väsentligt därför enbart ta sikte på de förutsättningar och skyldigheter som gäller för en personuppgiftsansvarig myndighet. Bestämmelsernas adressat ska alltså genomgående vara den myndighet som är personuppgiftsansvarig.
Som närmare kommer att behandlas i avsnitt 10.1 förekommer emellertid att myndigheter behandlar personuppgifter såsom personuppgiftsbiträde till en personuppgiftsansvarig, vilken kan vara såväl en annan myndighet som en enskild. För att uppnå den eftersträvade tydligheten angående vem som är skyldig att följa lagens bestämmelser, eller se till att lagens bestämmelser följs, bör per-
sonuppgiftsbehandling som en myndighet utför i egenskap av personuppgiftsbiträde därför undantas från lagens tillämpningsområde. Det är sedan en annan sak att lagens bestämmelser i praktiken ändå kommer att gälla även för en myndighet som är personuppgiftsbiträde om den personuppgiftsansvarige är en myndighet vars behandling omfattas av lagen. Förhållandet blir dock ett annat då den personuppgiftsansvarige är en enskild aktör.
Det förekommer ibland att en myndighet utan att vara personuppgiftsbiträde behandlar personuppgifter genom sådan teknisk lagring eller teknisk bearbetning för annan myndighets räkning som avses i 2 kap. 10 § första stycket TF. Det kan vara fråga om såväl en begränsad it-tjänst som överlämnande av hela it-driften. Vi ser dock inte anledning att föreslå något undantag för en myndighets verksamhet med att lagra eller bearbeta upptagningar med personuppgifter för annans räkning som motsvarar undantaget för myndigheters personuppgiftsbehandling såsom personuppgiftsbiträde. Den nya lagens tillämpningsområde kommer således att omfatta en myndighets behandling bestående av lagring eller bearbetning för annans räkning som avses i 2 kap. 10 § första stycket TF.
I våra direktiv berörs inte frågan om vad som bör gälla beträffande personuppgiftsbehandlingar inom de delar av den offentliga sektorn som inte omfattas av den unionsrättsliga regleringen, t.ex. inom försvarsområdet. Från det materiella tillämpningsområdet för uppgiftsskyddsförordningen undantas, utöver brottsbekämpande verksamhet, enligt artikel 2 bl.a. behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen, särskilt avseende nationell säkerhet, eller som medlemsstaterna utför när de bedriver verksamhet som omfattas av kapitel 2 i EU-fördraget (som innehåller särskilda bestämmelser om den gemensamma utrikes- och säkerhetspolitiken).
Dataskyddsdirektivets materiella tillämpningsområde är på motsvarande sätt begränsat (artikel 3).
Personuppgiftslagen är däremot tillämplig även på verksamheter som inte omfattas av unionsrätten. I förarbetena anfördes bl.a. att en begränsning av lagens tillämpningsområde till vad som krävs enligt direktivet skulle strida mot vad som tillämpats under lång tid i Sverige, nämligen ett system som utgår från en generell lag kompletterad med särregler i s.k. registerförfattningar. Om viss offentlig verksamhet skulle generellt undantas från personuppgiftslagen, fanns det risk
för att viss behandling inom den offentliga sektorn inte skulle komma att omfattas av någon lagstiftning med motsvarande syfte som den lagen. Personuppgiftslagen gjordes därför generellt tillämplig till att omfatta även verksamhet utanför det som numera benämns unionsrätten (prop. 1997/98:44 s. 40).
Vårt uppdrag innebär, som tidigare framgått, att utforma en reglering som är väl anpassad till den pågående dataskyddsreformen inom EU. Om möjligt ska vi skapa en reglering som kan fungera som ett komplement till den unionsrättsliga regleringen på området. Detta skulle kunna tala för att en kommande anpassning av den föreslagna lagen till uppgiftsskyddsförordningen underlättas om lagens tillämpningsområde överensstämmer med uppgiftsskyddsförordningens. Därmed skulle det inte finnas någon risk för att ett inordnande i den föreslagna lagen av verksamhet som faller utanför unionsrätten bara blir en temporär ordning. Genomförandet av uppgiftsskyddsförordningen förefaller emellertid inte vara nära förestående och under alla förhållanden kan det antas, mot bakgrund av vad som nu är känt om innehållet i den kommande förordningen, att det kommer att finnas ett tämligen stort utrymme för nationell reglering av myndigheters behandling av personuppgifter. Det finns därmed, menar vi, goda förutsättningar för att finna en lösning för hur lagen bör anpassas till den kommande uppgiftsskyddsförordningen utan hinder av att även verksamhet som inte omfattas av unionslagstiftningen ingår i lagens tillämpningsområde. Vi anser därför att det stora värde ur tillämpningssynpunkt som finns i en så långt möjligt samlad reglering för enskilda myndigheters behandling av personuppgifter – alldeles oavsett om verksamheten omfattas av unionsrätten eller inte – väger tyngre än de komplikationer som måhända kan uppstå i samband med ett införande av uppgiftsskyddsförordningen. Vi bedömer därför att tillämpningsområdet inte bör begränsas till myndighetsverksamhet som omfattas av unionsrätten. I avsnitt 19.2.3 återkommer vi till frågan om lagens tillämpningsområde.
8.2.3. Lagens förhållande till befintliga registerförfattningar m.m.
Förslag och bedömning: Lagen ska – med undantag för person-
uppgiftslagen och bestämmelser som meddelats med stöd av den lagen – vara subsidiär i förhållande till bestämmelser i annan lag eller förordning som avviker från lagens bestämmelser. Befintliga registerförfattningar fortsätter därför att vara tillämpliga även efter lagens införande. Lagens tillämpningsområde vid ikraftträdandet blir därmed sådan personuppgiftsbehandling hos myndigheter som sker med stöd av personuppgiftslagen. Avsikten är emellertid att dataskyddsrättslig särreglering i form av registerförfattningar efter hand bör upphävas eller i vart fall förenklas och att den nya lagen därmed blir tillämplig i stället. Eventuella behov av fortsatt särreglering kan tillgodoses genom att sådana bestämmelser tas in i en till lagen anslutande förordning eller vid behov, i bilaga till lagen.
Flertalet regelrätta registerförfattningar innehåller verksamhetsreglering i det avseendet att de tilldelar en myndighet uppgiften att vara registerhållare och därutöver innehåller närmare regler om uppgifter som ska hämtas in, registreras osv., dvs. regler som inte tar sikte på personuppgiftsbehandling som sådan. Som har framgått av avsnitt 7.2 menar vi att den nya lagen enbart bör innehålla bestämmelser som utgör dataskyddsregler och att nyss nämnda registerförfattningar inte bör beröras förutom i de delar som avser dataskyddsreglering. Det finns ett flertal sådana reglerade register inom olika sektorer, t.ex. receptregistret, fastighetsregistret, handelsbolagsregistret, olika hälsodataregister m.m. Nya sådana register kommer att behöva inrättas och därmed regleras. Vi ser, som redan sagts, ingen anledning att ha som ambition att försöka ersätta den typen av regelrätta registerförfattningar genom att i stället reglera verksamhetsspecifika registerfrågor i anslutning till den nya lagen. Som har framgått talar sakliga skäl med styrka emot detta.
De bestämmelser som finns i sådana författningar om persondataskydd såsom t.ex. regler om personuppgiftsansvar, sökbegränsningar m.m. kommer emellertid att efter hand kunna anpassas för att harmoniera med den nya lagen. Huruvida den nya lagen ska ersätta sådana bestämmelser eller inte får bedömas från fall till fall.
Att det även i fortsättningen kommer att finnas renodlade registerförfattningar utesluter alltså på inget sätt att sådana författningar ”rensas” från dataskyddsbestämmelser varefter författningen bara innehåller de verksamhetsregler m.m. som bör gälla för registret. Sådana bestämmelser som utgör särreglering i förhållande till den av oss föreslagna lagen och som alltjämt anses behövas, skulle då kunna föras in i den till lagen anslutande förordningen. Huruvida en sådan ordning bör tillämpas för ett enskilt register eller om det är mera lämpligt att särregleringen finns kvar i den särskilda registerförfattningen måste dock avgöras i det särskilda fallet. Vi återkommer till detta i avsnitt 19.1.
På motsvarande sätt förhåller det sig beträffande andra typer av författningar som varken är renodlade registerförfattningar eller informationshanteringsförfattningar utan tillhör den kategori författningar som har inslag av bestämmelser om behandling av personuppgifter bland annan slags reglering. En sådan författning är kameraövervakningslagen (2013:416). Ett annat exempel är lagen (2001:99) om officiell statistik med anknytande förordning som innehåller särreglering om behandling av personuppgifter i sådan särskild statistikverksamhet som bedrivs av statistikansvariga myndigheter, t.ex. Försäkringskassan och Centrala studiestödsnämnden.
Däremot är det vår ambition att de registerförfattningar som har karaktär av informationshanteringsförfattningar efter hand avvecklas och ersätts av den nya lagen, eventuellt med viss fortsatt särreglering i anslutande förordning eller, vid behov, i bilaga till lagen.
Den nya lagen bör alltså inte redan genom ikraftträdandet ersätta några befintliga registerförfattningar. För detta krävs anpassningar som kräver en analys och avvägning av vilka behov av särregler det finns på olika områden och på vilken normnivå dessa särregler i så fall bör ges.
För att få en fungerande omställningsprocess och för att på längre sikt öppna för flexibilitet när det gäller utrymme för att, efter en närmare analys, låta viss reglering helt eller delvis kvarstå eller införas helt åtskild från den samlade regleringen bedömer vi alltså att den nya lagen måste göras subsidiär i förhållande till annan särreglering i lag eller förordning med undantag för personuppgiftslagen och personuppgiftsförordningen. Vi föreslår därför att en sådan bestämmelse tas in i lagen.
8.2.4. Vilka slags behandlingar och uppgifter bör omfattas av lagens tillämpningsområde?
Förslag: Lagen ska tillämpas vid sådan behandling av person-
uppgifter som är helt eller delvis automatiserad. Lagen gäller även för manuell behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Tillämpningsområdet motsvarar alltså personuppgiftslagens tillämpningsområde.
En fråga rörande tillämpningsområdet är vilka slags behandlingar som ska omfattas av regleringen. Dataskyddsdirektivet liksom personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad samt även annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (artikel 2 c och 3.1 i direktivet och 5 § PuL). Man brukar beskriva det sistnämnda med att det syftar på manuella register. Uppgiftsskyddsförordningens tillämpningsområde är i detta hänseende detsamma som dataskyddsdirektivets (artikel 2.1 och 4.4).
Det normala för befintliga informationshanteringsförfattningar är att de i detta avseende har samma tillämpningsområde som personuppgiftslagen. Något skäl till varför den nya lagen skulle avvika från denna ordning kan vi inte se. Vi föreslår därför en bestämmelse med en med dataskyddsdirektivet överensstämmande definition av vad för slags behandling som lagen är tillämplig på.
En annan fråga som ibland regleras i registerförfattningar är om även andra uppgifter än personuppgifter ska omfattas av regleringen.
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 § PuL, se även dataskyddsdirektivet artikel 2). Ibland utsträcks en reglering i en registerförfattning till att även avse uppgifter om avlidna (t.ex. patientdatalagen) eller juridiska personer (t.ex. lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet). Detta har då föranletts av särskilda förhållanden inom de reglerade verksamheterna.
De regler som den nya lagen ska innehålla ska gälla generellt. Det ter sig mot den bakgrunden inte lämpligt att utvidga regleringen till att omfatta andra kategorier av registrerade än vad som följer av den unionsrättsliga dataskyddsregleringen. Förslaget till uppgiftsskyddsförordning innehåller ingen förändring på denna punkt i förhållande till dataskyddsdirektivet. De generella bestämmelserna i lagen bör således endast gälla för behandling av personuppgifter i den mening som avses i 3 § PuL.
Det är en annan sak att det fortsatt på vissa områden kan finnas anledning att låta vissa särbestämmelser omfatta även uppgifter om avlidna personer eller juridiska personer.
8.3. Lagens förhållande till personuppgiftslagen
Som har framgått av avsnitt 7.1.3 anser vi alltså att det inte finns skäl att invänta resultatet av reformarbetet inom EU utan att den nya lagen bör ges en utformning som är förenlig med gällande rätt. Den nya lagen måste därför förhålla sig till personuppgiftslagen. Frågan är på vilket sätt det bör ske.
8.3.1. Bakgrund
Tre regleringsmodeller
Enligt 2 § PuL gäller avvikande bestämmelser i annan lag eller förordning framför personuppgiftslagens bestämmelser. Personuppgiftslagen är således subsidiär i förhållande till andra författningar i lag eller förordning.
Vid dataskyddsdirektivets genomförande förutsattes att det skulle finnas ett fortsatt behov, framför allt inom den offentliga sektorn, av sektorspecifik särreglering i särskilda författningar som skulle gälla före personuppgiftslagen. Traditionen från datalagens tid med en generellt tillämplig lag som kompletteras av specifika registerförfattningar borde därför fortsätta (prop. 1997/98:44 s. 40 f.). Med personuppgiftslagen kom emellertid den lagtekniska konstruktionen för särregleringens förhållande till den generella regleringen i personuppgiftslagen att bli en komplex och omdiskuterad fråga. Olika mer eller mindre parallella lagstiftningsärenden ledde till att det
ganska snart efter personuppgiftslagens införande utformades olikartade konstruktioner. Detta förhållande präglar än i dag registerlagstiftningen och utgör en av delförklaringarna till varför rättsområdet kommit att uppfattas som svårtillgängligt. Tre förekommande varianter eller modeller kan urskiljas, den kompletterande, den hänvisande och den heltäckande modellen.
De flesta registerförfattningar är utformade i enlighet med den kompletterande modellen. Den tekniken kännetecknas av att särregleringen endast kompletterar eller ersätter personuppgiftslagen i frågor som är specifika för de verksamheter som omfattas av särlagstiftningen. Detta innebär att den myndighet som berörs måste tillämpa såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Personuppgiftslagen ska alltså tillämpas om inte annat följer av registerförfattningen eller av föreskrifter som meddelats med stöd av registerförfattningen. Detta gäller alldeles oavsett om registerförfattningen i fråga innehåller eller inte innehåller någon bestämmelse som anger vilket förhållande som gäller mellan författningen och personuppgiftslagen. Frågan om en viss bestämmelse innefattar en avvikelse från vad som ska gälla enligt personuppgiftslagen får avgöras med tillämpning av sedvanliga metoder för tolkning av författningar (prop. 1997/98:44 s. 115 f.). Trots att det i teknisk mening alltså inte måste regleras att registerförfattningen och personuppgiftslagen kompletterar varandra på detta sätt innehåller registerförfattningar ofta bestämmelser som ger uttryck för förhållandet till personuppgiftslagen, dvs. det anges på ett eller annat sätt att personuppgiftslagen gäller utöver registerförfattningen.
Den kompletterande modellen, som alltså är den vanligaste, gäller för bl.a. Arbetsförmedlingen, Centrala studiestödsnämnden, Försäkringskassan, Kriminalvården, Skatteverkets skattebrottsenheter, Totalförsvarets rekryteringsmyndighet samt myndigheter inom hälso- och sjukvården och socialtjänsten. I författningar med denna konstruktion brukar det uttryckas särskilt hur lagen förhåller sig till personuppgiftslagen, som regel under en särskild rubrik, exempelvis Förhållandet till personuppgiftslagen eller något liknande, se t.ex. 2 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 1 kap. 4 § patientdatalagen (2008:355) och 2 § studiestödsdatalagen (2009:287).
Även i renodlade registerförfattningar förekommer att förhållandet till personuppgiftslagen klargörs genom uttryckliga bestämmelser. I 3 § lagen om receptregister (1996:1156) och i 2 § lagen (2001:558) om vägtrafikregister finns exempelvis uttryckliga bestämmelser av innebörd att personuppgiftslagen gäller utöver författningen i fråga. Lagen (2000:224) om fastighetsregister och handelsregisterlagen (1974:157) utgör exempel på motsatsen.
Enligt den hänvisande modellen anges i registerförfattningen att den gäller i stället för personuppgiftslagen, om inte annat anges i bestämmelser i registerförfattningen som hänvisar till särskilt utpekade bestämmelser i personuppgiftslagen som ska vara tillämpliga även vid behandling av personuppgifter enligt registerförfattningen i fråga. Även vid den hänvisande modellen måste alltså myndigheten tillämpa såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Däremot behöver man inte jämföra bestämmelserna i de båda författningarna för att komma fram till vad som gäller. Den hänvisande modellen används bl.a. i de informationshanteringsförfattningar som gäller för behandling av personuppgifter i Skatteverkets beskattnings- och folkbokföringsverksamhet, Kronofogdemyndighetens verksamhet och i Tullverkets verksamhet. Tekniken används även i bl.a. polisdatalagen (2010:361) och i kustbevakningsdatalagen (2012:145) samt föreslås i en ny lag för personuppgiftsbehandlingen i domstolarnas rättskipande och rättsvårdande verksamhet (Ds 2013:10).
Vid registerförfattningar som är konstruerade enligt den heltäckande modellen är personuppgiftslagen över huvud taget inte tillämplig beträffande den behandling av personuppgifter som regleras genom författningen. De bestämmelser i personuppgiftslagen som trots detta ska tillämpas i den aktuella verksamheten upprepas i stället i registerförfattningen, vilket i praktiken innebär ett slags dubbelreglering. Fördelen är att tillämparen inte behöver läsa i två olika lagar – registerförfattningen respektive personuppgiftslagen – för att konstatera vilka bestämmelser som reglerar den aktuella personuppgiftsbehandlingen. Registerförfattningen är således heltäckande i det avseendet att den helt ersätter personuppgiftslagen. Denna modell används i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst samt i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse-
och utvecklingsverksamhet. Den heltäckande modellen används också i kameraövervakningslagen (2013:460).
Vissa motivuttalanden rörande regleringsmodell
Man kan fråga sig av vilka skäl det har valts olika lösningar för relationen mellan personuppgiftslagen och den aktuella särregleringen. Något givet svar på den frågan finns dock inte. För- och nackdelar med de olika modellerna har emellertid diskuterats i förarbeten, en diskussion som här kort ska redogöras för.
En av de första informationshanteringsförfattningar som infördes efter personuppgiftslagens ikraftträdande var dåvarande polisdatalagen (1998:622) som utformades i enlighet med den kompletterande modellen. Flera remissinstanser, bl.a. JO, hade i stället förordat en mer fullständig lösning med en inarbetning i polisdatalagen av tillämpliga bestämmelser i personuppgiftslagen. Regeringen avvisade emellertid en sådan lösning och anförde att ett system som upprepar personuppgiftslagens bestämmelser i polisdatalagen och i de övriga registerförfattningar som måste anpassas till personuppgiftslagens bestämmelser skulle bli väldigt tungrott. Regeringen ansåg därför att man borde undvika en dubbelreglering. Däremot framhölls vikten av att behovet av särreglering noga övervägs och att registerlagstiftningen görs så tydlig att det inte råder någon tvekan om vilka regler i personuppgiftslagen som gäller trots särregleringen (prop. 1997/98:97 s. 97).
Registerförfattningsutredningen kom strax därefter att, i sina förslag rörande personuppgiftsbehandlingen inom bl.a. skatte-, exekution- och tullväsendet, föreslå en hänvisande modell där det angavs vilka bestämmelser i personuppgiftslagen som skulle vara tillämpliga. Enligt utredningen fanns ett stort värde i att inte lämna lagtillämparen utan vägledning när det gäller tolkningen av vilka bestämmelser i personuppgiftslagen som är tillämpliga inom de områden som regleras i speciallagarna. Utredningen framhöll att även om detta innebär att det är nödvändigt för lagtillämparen att ha personuppgiftslagen till hands, undanröjs en hel del av det merarbete det innebär för denne att gå igenom lagarna parallellt och jämföra olika bestämmelser (SOU 1999:105 s. 204). Lagrådet fann dock i det aktuella lagstiftningsärendet att lagstiftningstekniken var otillfreds-
ställande. Den var också enligt Lagrådet riskfylld, med hänsyn såväl till svårigheten att överblicka om dataskyddsdirektivet blir till fullo genomfört i registerlagarna som till möjligheten att, vid kommande lagändringar, hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga. Tekniken synes ha tillkommit av hänsyn till myndigheternas bekvämlighet men detta syfte skulle enligt Lagrådet lika gärna ha kunnat vinnas genom administrativa anvisningar (prop. 2000/01:33 s. 345). Regeringen valde dock, trots Lagrådets invändningar, att använda den av utredningen föreslagna hänvisande modellen och anförde, utöver de skäl utredningen hade framhållit, att lagen därmed blir överskådlig och tydlig för tillämparen. Den medför också överskådlighet för den enskilde som därigenom lättare kan utnyttja de rättigheter som tillerkänns denne (a. prop. s. 88).
Efter lagstiftningsärendet rörande skatte-, exekution- och tullväsendet utformades i stort sett alla nya informationshanteringsförfattningar enligt den kompletterande modellen, frånsett den för Tullverkets brottsbekämpande verksamhet från år 2005. I olika förarbeten och i utredningsdirektiv uttalade regeringen att de särskilda registerförfattningarna som huvudregel bör gälla utöver personuppgiftslagen och begränsas till att avse frågor som är specifika för den verksamhet som regleras av lagstiftningen (se t.ex. prop. 2008/09:96 s. 30 f. och dir. 2004:95).
Vid valet av den heltäckande modellen för informationshanteringsförfattningarna för Försvarsmaktens underrättelsetjänst respektive Försvarets radioanstalt framhölls som en viktig faktor att dataskyddsdirektivet inte är tillämpligt på den aktuella personuppgiftsbehandlingen. Det fanns således inte något behov av att kunna överblicka om direktivet blivit korrekt genomfört på det aktuella området (prop. 2006/07:46 s. 45).
Genom den nu gällande polisdatalagen kom den hänvisande modellen att på nytt genomföras i en större reform för dataskyddsregleringen inom polisväsendet. Även kustbevakningsdatalagen är utformad enligt den hänvisande modellen. Inte i något av dessa fall framförde Lagrådet några förnyade invändningar. I allt väsentligt anförde regeringen samma skäl för att välja den hänvisande modellen som i samband med lagstiftningsärendet för skatte-, exekution- och tullväsendet (se prop. 2009/10:85 s. 79 f.). Dessutom anfördes att det är av värde att lagar för myndigheter som i allt ökande
omfattning samarbetar är uppbyggda enligt samma lagstiftningsteknik (jfr lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet). Liknande argument för en hänvisande lösning anförs i promemorian med förslag till domstolsdatalag (Ds 2013:10 s. 54 f.).
8.3.2. Våra överväganden och förslag
Förslag och bedömning: Lagen ska gälla i stället för personupp-
giftslagen. Den ska dock särskilt hänvisa till vissa bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid myndigheters behandling av personuppgifter enligt den nya lagen. Sådana hänvisningar ska bl.a. göras till bestämmelserna om definitioner och om förhållandet till offentlighetsprincipen.
Det finns ett antal bestämmelser i personuppgiftslagen som över huvud taget inte är aktuella att tillämpa på myndighetsområdet. Det finns vidare ett antal regler i personuppgiftslagen som visserligen skulle kunna sägas ha relevans även vid myndigheters behandling av personuppgifter men som ändå inte bör vara tillämpliga vid personuppgiftsbehandling enligt den nya lagen. Det gäller bl.a. den s.k. missbruksregeln i 5 a §, bestämmelsen om personuppgiftsbehandling för direkt marknadsföring i 11 § och bestämmelsen om automatiserade beslut i 29 §.
Förhållandet till personuppgiftslagen
Det är väsentligt att den lagtekniska konstruktionen för hur förhållandet mellan den nya lagen och personuppgiftslagen ska regleras blir ändamålsenlig. I det ligger framför allt en ambition att regleringen ska vara tydlig, lätt att tillämpa och inte riskera att ge upphov till osäkerhet. De redovisade modeller som förekommer bland gällande registerförfattningar är, som framgått, alla förenade med vissa nackdelar. Vi har emellertid inte funnit någon ytterligare regleringsteknik som eliminerar samtliga dessa nackdelar. Någon av de nämnda modellerna bör därför väljas.
Vid valet av modell bör beaktas att lagen kommer att ha en mycket brett tillämpningsområde, i vart fall efter hand. Det är
därför ändamålsenligt med en reglering som är så ”självbärande” som möjligt, dvs. som inte i någon större omfattning förutsätter att det ska göras komplicerade analyser av relationen mellan bestämmelser i den nya lagen respektive personuppgiftslagen. Detta skulle kunna sägas tala för att utforma lagen i enlighet med den heltäckande modellen där man alltså inför bestämmelser som motsvarar sådana bestämmelser i personuppgiftslagen som ska vara tillämpliga. En sådan lösning skulle emellertid bli mycket tungrodd och resultera i en omotiverad dubbelreglering. Till detta kommer att den nya lagen inte syftar till en ny implementering av dataskyddsdirektivet på myndighetsområdet utan till att skapa en för myndigheter bättre anpassad reglering avseende de särförhållanden som inte på ett adekvat sätt kunnat tas om hand genom personuppgiftslagens generella reglering. En heltäckande lag torde vidare göra nödvändiga reformer i samband med införandet av den allmänna uppgiftsskyddsförordningen avsevärt mer komplicerade. En heltäckande modell bör därför inte väljas.
Vi instämmer i de invändningar mot den kompletterande modellen som framförts genom åren om att det inte sällan uppstår svårigheter att bedöma vilka bestämmelser i personuppgiftslagen som fortfarande är tillämpliga vid behandling av personuppgifter enligt en informationshanteringsförfattning. Fråga kan t.ex. uppstå huruvida en bestämmelse i författningen helt eller delvis ersätter en viss bestämmelse i personuppgiftslagen eller om den ”bara” kompletterar bestämmelsen som alltså fortfarande skulle kunna vara tillämplig i och för sig. Det är också svårt att bedöma vilka konsekvenser ändringar i personuppgiftslagen får på tillämpningsområdet för registerförfattningar utformade enligt den kompletterande modellen. Ett exempel är införandet av den s.k. missbruksregeln (5 a § PuL). Enligt den bestämmelsen behöver vissa centrala bestämmelser i personuppgiftslagen inte tillämpas vid behandling av personuppgifter i s.k. ostrukturerat material. I förarbetena till missbruksregeln berördes inte vilka konsekvenser den nya bestämmelsen skulle få för då gällande informationshanteringsförfattningar vars tillämpningsområde omfattar personuppgiftsbehandling i både strukturerat och ostrukturerat material. Ofta har dessa särlagar, såvitt kan förstås av deras förarbeten, utformats med den förutsättningen att exempelvis de grundläggande kraven i 9 § PuL alltid ska gälla. Det kan alltså konstateras att den farhåga Lagrådet förde fram rörande den hän-
visande modellen, om att svårigheter kan uppstå genom att hänvisningar blir felaktiga om personuppgiftslagen ändras, har ett slags motsvarighet beträffande vilka konsekvenser ändringar i personuppgiftslagen får för registerförfattningar utformade enligt den kompletterande modellen.
Vi menar att övervägande skäl talar för att den hänvisande modellen är den mest lämpliga lagtekniska konstruktionen beträffande den nya lagens förhållande till personuppgiftslagen. Därigenom blir regleringen tydlig och lättillämpad. Vi menar också att den modellen erfarenhetsmässigt skapar bäst förutsättningar för att undvika att oklara rättslägen uppstår. Vidare bedömer vi att den hänvisande modellen är avgjort bäst lämpad för att möta de förändringar som kan antas komma att behöva ske som ett resultat av ett införande av en unionsrättslig uppgiftsskyddsförordning.
Vi föreslår därför en bestämmelse som innebär att den nya lagen ska gälla i stället för personuppgiftslagen och att det särskilt hänvisas till vissa bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid myndigheters behandling av personuppgifter enligt den nya lagen. Anledningen till uttrycket ”på motsvarande sätt” är att flertalet bestämmelser i personuppgiftslagen avser situationer då något görs ”enligt lagen” eller så refereras på annat sätt till ”lagen”. Med lagen avses i dessa bestämmelser personuppgiftslagen. Meningen är emellertid att syftningen, i de fall en hänvisning görs från den nya lagen, ska avse den lagen och inte personuppgiftslagen (jfr prop. 2012/13:163 s. 47 f. och 109).
Nedan gör vi vissa allmänna överväganden rörande vissa bestämmelser som vi föreslår att den nya lagen ska hänvisa till eller som vi föreslår inte ska vara tillämpliga vid behandling av personuppgifter enligt lagen. Beträffande flertalet bestämmelser i personuppgiftslagen kommer det att i kapitel 9–18 närmare behandlas huruvida vi föreslår hänvisningar eller om ersättande bestämmelser innehållande motsvarigheter till bestämmelser i personuppgiftslagen i stället föreslås. I detta kapitel behandlas bara de bestämmelser som rör mer allmänna frågor eller som inte anknyter till något av de följande kapitlen.
Vissa bestämmelser i personuppgiftslagen som bör gälla enligt den nya lagen
I 3 § PuL definieras ett antal begrepp – behandling (av personuppgifter), blockering (av personuppgifter), mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, personuppgiftsombud, den registrerade, samtycke, tillsynsmyndighet, tredjeland och tredje man – som har sin motsvarighet i artikel 2 i dataskyddsdirektivet. I ett flertal fall används motsvarande begrepp i den nya lagen. Dessa bör ges samma innebörd som i personuppgiftslagen. En hänvisning till 3 § bör därför göras.
I 8 § första stycket PuL anges att bestämmelserna i personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. TF att lämna ut personuppgifter. Detta förhållande följer i och för sig redan av den formella lagkraftens princip, dvs. att grundlag har företräde framför vanlig lag. Det har dock ansetts väsentligt att förtydliga och upplysa om förhållandet mellan den grundlagsstadgade handlingsoffentligheten och dataskyddsdirektivet (prop. 1997/98:44 s. 46). Bestämmelsen är alltså inte avsedd att ha någon materiell betydelse.
I registerförfattningar konstruerade enligt den hänvisande modellen brukar hänvisas till att 8 § PuL ska vara tillämplig. Vi anser oss inte ha anledning att närmare gå in på den tidvis mycket omdiskuterade frågan om offentlighetsprincipens förhållande till dataskyddsdirektivet utan konstaterar bara att den svenske lagstiftaren intagit den positionen att tryckfrihetsförordningen i detta hänseende har företräde framför direktivet. Vi bedömer att en hänvisning till bestämmelsen om förhållandet till handlingsoffentligheten lämpligen bör göras även i den nya lagen.
Vissa bestämmelser i personuppgiftslagen som inte bör gälla enligt den nya lagen
Det finns ett antal bestämmelser i personuppgiftslagen som över huvud taget inte är aktuella att tillämpa på myndighetsområdet.
Bestämmelserna i 4 § om territoriella tillämpningsområdet är ett exempel. Det säger sig självt att svenska myndigheter är etablerade i Sverige.
Undantaget i 6 § för privat behandling av personuppgifter är ett annat exempel på en bestämmelse i personuppgiftslagen som inte är relevant för myndigheter.
Vad därefter gäller 7 § första stycket om förhållandet till tryck- och yttrandefriheten avser detta sådana grundlagsskyddade rättigheter för medborgarna i förhållande till det allmänna som inte är något som tillkommer eller kan åberopas av myndigheter. Någon sådan hänvisning är alltså inte aktuell.
Av 7 § andra stycket följer att vissa bestämmelser i personuppgiftslagen inte ska tillämpas på sådan personuppgiftsbehandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Inom en hel del myndigheter bedrivs onekligen journalistisk verksamhet, t.ex. genom personaltidningar eller utgivande av mer publika facktidningar eller facklitteratur. Även litterärt skapande förekommer. På vissa särskilda myndigheter, såsom t.ex. konsthögskolor, statliga eller kommunala teatrar eller museer bedrivs vidare konstnärligt skapande i betydande omfattning. För att undantagen i andra stycket ska kunna tillämpas krävs emellertid att personuppgiftsbehandlingen uteslutande sker för de angivna syftena. Ett sådant ensidigt syfte torde knappast kunna sägas förekomma i verksamhet som en myndighet ansvarar för. Vi anser därför att det inte bör hänvisas till 7 § andra stycket.
Utöver de nu nämnda bestämmelserna finns några ytterligare bestämmelser i personuppgiftslagen som bör behandlas i detta sammanhang.
En sådan bestämmelse är den s.k. missbruksregeln i 5 a §. Enligt paragrafens första stycke behöver 9, 10, 13–19, 21–26, 28, 33, 34 och 42 §§ PuL inte tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. I andra stycket föreskrivs att sådan behandling som avses i första stycket, dvs. behandling i s.k. ostrukturerat material, inte får utföras om den innebär en kränkning av den registrerades personliga integritet. Myndigheter är inte undantagna från tillämpningsområdet för missbruksregeln. Av förarbetena till bestämmelsen framgår emellertid att den motiverats av helt andra skäl än att underlätta myndigheternas informationshantering.
Till stöd för att göra undantagen enligt 5 a § har lagstiftaren i huvudsak åberopat artikel 13.1 g i dataskyddsdirektivet om möjligheter att göra undantag med hänsyn till skyddet av fri- och rättigheter. Härmed åsyftas framför allt rätten till yttrandefrihet och informationsfrihet, dvs. rättigheter som enligt 2 kap. 1 § RF tillkommer var och en gentemot det allmänna (prop. 2005/06:173 s. 31 f.). Myndigheter kan inte åberopa dessa rättigheter och torde inte ha sådana fri- och rättigheter som avses i artikel 13.1 g dataskyddsdirektivet. Man kan därvid fråga sig om det över huvud taget är förenligt med dataskyddsdirektivet att tillämpa 5 a § på myndighetsområdet. Från rent principiella utgångspunkter vore det vidare klart otillfredsställande om myndigheterna ägnade sig åt personuppgiftsbehandling som för att vara laglig skulle behöva rättfärdigas enbart med stöd av undantagsregeln i 5 a §. Utgångspunkten bör tvärtom vara att dataskyddsdirektivets hanteringsregler ska iakttas. Vi kan inte heller se att missbruksregeln generellt sett fyller något egentligt behov för myndigheternas del, bortsett från att man slipper göra vissa rättsliga bedömningar och analyser som annars skulle krävas. Sådana faktorer uppväger dock inte, menar vi, de tungt vägande principiella skäl som talar mot missbruksregelns tillämplighet hos myndigheterna.
Det kan för övrigt anmärkas att det mesta tyder på att missbruksregeln inte kommer att kunna behållas vid införandet av uppgiftsskyddsförordningen. Att för myndigheternas vidkommande utmönstra missbruksregeln ligger således helt i linje med vårt uppdrag att skapa en reglering som är väl anpassad till den unionsrättsliga dataskyddsreformen.
Någon hänvisning till 5 a § bör alltså inte göras. I senare avsnitt kommer vi att behandla huruvida det i avgränsade frågor behövs något motsvarande undantag för behandling av personuppgifter som sker i ostrukturerat material.
I 11 § anges att personuppgifter inte får behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.
Myndigheter ägnar sig inte åt direkt marknadsföring. Däremot förekommer att personuppgifter lämnas ut från en myndighet till en mottagare som avser använda uppgifterna för direkt marknadsföring. En del myndigheter har vidare rätt att i det syftet sälja per-
sonuppgifter. Det förekommer att myndigheter för en förteckning över anmälningar från enskilda registrerade som motsatt sig användning för marknadsföringssyfte. Någon möjlighet för myndigheten att med stöd av 11 § vägra lämna ut personuppgifter rörande registrerade som gjort en anmälan till myndigheten enligt 11 § torde i praktiken inte finnas när den som begär ut uppgifterna åberopar 2 kap. TF till stöd för sin begäran om att få ut uppgifterna. Däremot kan sekretess eventuellt föreligga enligt 21 kap. 7 § OSL (beträffande denna paragraf, se avsnitt 11.2). Någon hänvisning till 11 § PuL bör därför inte göras. Det innebär dock, som vi ser det, självfallet inte något hinder mot att myndigheter fortsätter att tillhandahålla blanketter och särskild information om möjligheten för registrerade att anmäla att de motsätter sig användning för marknadsföringsändamål och att myndigheten fortsätter föra en förteckning över sådana anmälningar.
Slutligen ska beröras 29 § PuL om automatiserade beslut. I den paragrafens första stycke föreskrivs att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlighet att på begäran få detta omprövat av någon person. Andra stycket handlar om information som ska lämnas vid beslut som avses i första stycket.
Automatiserat beslutsfattande förekommer i den offentliga förvaltningen. Däremot torde det inte förekomma det slags automatiserade beslut som avses i 29 § PuL. I den utsträckning sådana beslut ändå förekommer, följer av grundläggande rättssäkerhetsprinciper inom förvaltningen att besluten kan omprövas respektive överklagas. Vi bedömer att det inte torde förekomma automatiserade beslut av det slag som avses i 29 § som inte går att få omprövade av en befattningshavare. Mot den bakgrunden behövs ingen hänvisning till 29 §.
9. Tillåten behandling
9.1. Hur bestäms vad som är en statlig eller kommunal myndighets verksamhet?
Regeringsformen innehåller de grundläggande bestämmelserna om den svenska förvaltningsorganisationen. Enligt 1 kap. 1 § RF utgår all offentlig makt i Sverige från folket. Den förverkligas genom ett representativt och parlamentariskt statsskick och genom kommunal självstyrelse. Vidare anges att den offentliga makten utövas under lagarna. Därigenom slås fast principen om all maktutövnings lagbundenhet, legalitetsprincipen. Den gäller inte bara domstolar och förvaltningsmyndigheter utan även riksdag och regering. På det kommunala området gäller den i lika hög grad som på det statliga (Holmberg m.fl., kommentaren till 1 kap. 1 § RF).
I 1 kap. 4 § RF föreskrivs att riksdagen är folkets främsta företrädare. Riksdagen stiftar lag, beslutar om skatt till staten och bestämmer hur statens medel ska användas. Riksdagen granskar rikets styrelse och förvaltning.
Enligt 1 kap. 6 § RF är det regeringen som styr riket. Regeringen är ansvarig inför riksdagen. Av 1 kap. 8 § RF framgår att det för rättskipningen finns domstolar och för den offentliga förvaltningen statliga och kommunala förvaltningsmyndigheter.
I 8 kap. RF finns bestämmelser om vilka föreskrifter som meddelas genom lag, dvs. genom beslut av riksdagen, genom förordning av regeringen och av andra myndigheter efter bemyndigande av riksdagen eller regeringen. Enligt 8 kap. 2 § första stycket 3 meddelas föreskrifter om grunderna för kommunernas organisation och verksamhetsformer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden genom lag.
Ytterligare grundläggande bestämmelser om den statliga förvaltningen finns i 12 kap. RF. Av 1 § följer att Justitiekanslern och
andra statliga förvaltningsmyndigheter, som inte enligt regeringsformen eller annan lag är myndigheter under riksdagen, lyder under regeringen.
I 12 kap. 2 och 3 §§ finns bestämmelser om den statliga förvaltningens självständighet. Enligt 2 § får ingen myndighet, inte heller riksdagen eller en kommuns beslutande organ, bestämma hur en förvaltningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot en enskild eller mot en kommun eller som rör tillämpningen av lag. I 3 § föreskrivs att förvaltningsuppgifter inte får fullgöras av riksdagen i vidare mån än vad som följer av grundlag eller riksdagsordningen.
Enligt 12 kap. 4 § RF kan förvaltningsuppgifter överlämnas åt kommuner. Denna föreskrift innebär endast en erinran om vad som ändå gäller på grund av 1 kap. 8 § och 8 kap. 2 § första stycket 3 (Holmberg m.fl., kommentaren till 12 kap. 4 § RF).
I 14 kap. finns bestämmelser om kommunerna. Enligt 1 § utövas beslutanderätten i kommunerna av valda församlingar. I 2 § föreskrivs att kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmelser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag.
Närmare om de statliga myndigheterna
I den mån statliga myndigheters verksamhet inte är lagreglerad ankommer det på regeringen att bestämma om detta. Som framgått följer av 12 kap. 1 § RF att huvudregeln är att de statliga myndigheterna lyder under regeringen. Förvaltningen har således att förverkliga regeringens politik. Den har en lydnadsrelation till regeringen, inte till riksdagen eller medborgarna och inte heller till ett enskilt statsråd. Det är också regeringen som lämnar uppdragen till förvaltningen. Annorlunda uttryckt kan man säga att regeringen delegerar en del av sitt ansvar till myndigheterna. Förutom på det område där förvaltningens lydnadsplikt gentemot regeringen enligt 12 kap. 2 § RF inte gäller, dvs. då det är fråga om ärenden som rör myndighetsutövning mot enskilda eller mot kommuner eller när det gäller tillämpning av lag, är alltså regeringen inför riksdagen ytterst ansvarig för allt som myndigheterna gör (SOU 2007:75
s. 40). När det gäller samspelet mellan regeringen och myndigheterna har det ansetts viktigt att betona att förvaltningen också har en legitim rätt att hävda sina ståndpunkter och att den också förutsätts stå för olika värden (a. bet. s. 41).
Regeringen lämnar sina uppdrag till förvaltningen på olika sätt. Det kan ske genom att regeringen inom ramen för sin kompetens enligt 8 kap. RF utfärdar föreskrifter för förvaltningen. I den mån en myndighets uppgifter inte har fastställts i en lag, lägger regeringen fast myndighetens uppgifter i en förordning med instruktion för myndigheten. Regeringen anvisar vidare medel för myndigheternas verksamhet inom ramen för riksdagens budgetbeslut enligt bestämmelserna i 9 kap. RF. I regleringsbrev till de statliga myndigheterna utfärdar regeringen regler om hur dessa medel får användas av myndigheterna. Även regleringsbreven kan innehålla uppdrag från regeringen till myndigheten i fråga. Uppdrag till myndigheterna kan också ges i särskilda beslut.
Regeringen har bedömt att det för varje förvaltningsmyndighet – kommittéer och särskilda utredare undantagna – bör finnas en förordning med instruktion för myndigheten (prop. 2009/10:175 s. 111 f.). En sådan förordning kan vara gemensam för flera myndigheter med liknande verksamhet eller för flera myndigheter inom samma förvaltningsområde. I instruktionen bör myndighetens ansvarsområde, uppgifter, ledningsform och andra för myndigheten specifika förhållanden regleras. Instruktionen bör enligt regeringen vara det grundläggande instrumentet i regeringens styrning av myndigheterna. Uppgifter som är tidsbegränsade eller som kan förväntas att ändras inom en närmare framtid liksom uppgifter eller uppdrag där regeringen ser behov av att vara utförlig i beskrivningen är exempel på sådant som vanligen däremot inte regleras i instruktionen utan i annat beslut. Sedan 2009 gäller vidare att myndigheterna i enlighet med förordningen (2000:605) om årsredovisning och budgetunderlag i sin årsredovisning ska redovisa och kommentera verksamhetens resultat i förhållande till de uppgifter som framgår av myndighetens instruktion och till vad regeringen, i förekommande fall, har angett i regleringsbrev eller i något annat beslut. Detta innebär att revisionen fortsättningsvis som regel görs med utgångspunkt i myndigheternas instruktion.
Regeringens åtgärder för att lyfta fram myndigheters instruktion som basen för den löpande styrningen och återrapporteringen
av respektive myndighets verksamhet syftade till att öka inslaget av långsiktighet i styrningen av myndigheterna och därmed skapa en mer ändamålsenlig styrning (skr. 2013/14:155 s. 71). Regeringen har genomfört ett omfattande arbete med att se över merparten av alla instruktioner och regleringsbrev i syfte att renodla användningen av dessa styrinstrument, där instruktionen alltså är det huvudsakliga styrinstrumentet. Detta arbete har lett till att regeringens beskrivning av myndigheternas ordinarie verksamhet har minskat väsentligt i regleringsbreven samtidigt som den ökat i myndighetsinstruktionerna under åren 2008–2012 (2012/13:KU10 s. 88 och 98 f.).
Närmare om de kommunala myndigheterna
Enligt 2 kap. 1 § KL får kommuner och landsting själva ha hand om sådana angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar och som inte ska handhas av enbart staten, en annan kommun, ett annat landsting eller någon annan. Paragrafen innehåller den grundläggande bestämmelsen om kommunernas och landstingens allmänna kompetens, alltså vad de frivilligt får ägna sig åt. Allmänintresset är det ledande motivet för kommunal verksamhet (Lindquist/Losman, Kommunallagen, 14:e uppl., 2013, s. 22 f). För att en angelägenhet ska kunna betecknas som kommunal måste den i någon mening knyta an till kommunens eller landstingets geografiska område eller till medlemmarna. Paragrafen ger därmed uttryck för den s.k. lokaliseringsprincipen. Till områdena för kommuners och landstings allmänna kompetens hör bl.a. elförsörjningen, idrotts- och fritidsanläggningar, folkbildning och kulturverksamhet samt bostadsbyggande. Verksamhet som utgör frivilliga åtaganden för kommunerna beslutas av kommunerna själva.
I 2 kap. 4 § KL hänvisas till att det finns särskilda föreskrifter om kommunernas och landstingens befogenheter och skyldigheter på vissa områden. Sådan speciallagstiftning innebär utvidgningar eller undantag i förhållande till de allmänna principerna för kommunal verksamhet och tar över reglerna i kommunallagen. Särskilda föreskrifter finns bl.a. i lagen (2009:47) om vissa kommunala befogenheter, den s.k. befogenhetslagen. Den reglerar i flera hänseenden
kompetensgränsen mellan stat och kommun. Med särskilda föreskrifter avses också speciallagar som ålägger kommuner och landsting att bedriva eller sörja för vissa verksamheter och fullgöra olika uppgifter. För kommunerna gäller det exempelvis förskola, skola, socialtjänst, äldreomsorg, stöd och service till vissa funktionshindrade, kommunal hälso- och sjukvård, kollektivtrafik, färdtjänst, plan- och byggväsende, räddningstjänst, renhållning/avfallshantering, lokal miljötillsyn och livsmedelskontroll, vattenförsörjning och avlopp, bostadsförsörjningsansvar, överförmyndarverksamhet och bibliotek. Obligatoriska uppgifter för landstingen är bl.a. hälso- och sjukvård, tandvård, smittskydd och kollektivtrafik. Ekonomiskt sett utgör kommunernas och landstingens obligatoriska verksamheter den absolut största delen av deras verksamhet.
I 3 kap. KL finns bestämmelser om kommunernas och landstingens organisation och verksamhetsformer. Enligt 1 § ska det i varje kommun eller landsting finnas en beslutande församling; kommunalfullmäktige eller landstingsfullmäktige. I 2 § föreskrivs att fullmäktige i en kommun eller ett landsting ska tillsätta en styrelse. Vidare sägs i 3 § att fullmäktige ska tillsätta de nämnder som utöver styrelsen behövs för att fullgöra kommunens eller landstingens uppgifter enligt särskilda författningar och för verksamheten i övrigt. Uppgifterna enligt 3 § får också fullgöras genom en för kommuner och landsting gemensam nämnd (3 a §). I 9 och 10 §§ finns bestämmelser om i vilka ärenden som enbart fullmäktige är behörig att besluta respektive när fullmäktige kan uppdra åt en nämnd att besluta i dess ställe. I 6 kap. 33–38 §§ KL finns föreskrifter om delegering av beslutanderätt i ärenden inom en nämnds verksamhetsområde.
Enligt 3 kap. 13 § KL har nämnderna en egen beslutanderätt, förutom i de frågor som fullmäktige delegerat till dem, dels i fråga om den egna förvaltningen, dvs. vardagliga beslut i den löpande verksamheten, dels i frågor som de enligt lag eller annan författning ska handha.
I detta sammanhang kan också nämnas att det genom föreskrifter i 3 kap. 16 § andra stycket KL ges möjlighet för en kommun eller ett landsting att, under vissa förutsättningar, lämna över vården av en kommunal angelägenhet till ett privaträttsligt subjekt.
9.2. När får myndigheter behandla personuppgifter?
9.2.1. Allmänna dataskyddsrättsliga regler
Dataskyddsdirektivet
Kapitel II i dataskyddsdirektivet innehåller allmänna bestämmelser om när personuppgifter får behandlas. Medlemsstaterna ska inom de begränsningar som bestämmelserna i artiklarna 6–21 innebär, precisera på vilka villkor behandling av personuppgifter är tillåten (artikel 5). Kapitlet är indelat i nio underavdelningar. Avdelning I – Principer om uppgifternas kvalitet – innehåller artikel 6. Avdelning II – Principer som gör att uppgiftsbehandling kan tillåtas – innehåller artikel 7. Dessa artiklar ska redovisas mer ingående i det följande. Övriga avdelningar innehåller bestämmelser om bl.a. särskilda behandlingskategorier (artikel 8–9), informationsplikt m.m. (artikel 10–12), möjligheter till undantag och begränsningar (artikel 13), den registrerades rätt att göra invändningar (artikel 14–15), sekretess och säkerhet (16–17) samt anmälningsplikt till tillsynsmyndighet m.m. (artikel 18–21).
Enligt artikel 6.1 dataskyddsdirektivet ska medlemsstaterna föreskriva att personuppgifter a. ska behandlas på ett korrekt och lagligt sätt, b. ska samlas in för särskilda, uttryckligt angivna och berättigade
ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder, c. ska vara adekvata och relevanta och inte får omfatta mer än vad
som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas, d. ska vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgär-
der måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,
e. förvaras på ett sätt som förhindrar identifiering av den regi-
strerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna ska vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.
Enligt artikel 6.2. åligger det den registeransvarige att säkerställa att punkten 1 efterlevs.
I artikel 7 anges att medlemsstaterna ska föreskriva att personuppgifter får behandlas endast om a. den registrerade otvetydigt har lämnat sitt samtycke, eller b. behandlingen är nödvändig för att fullgöra ett avtal i vilket den
registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller c. behandlingen är nödvändig för att fullgöra en rättslig förplikt-
else som åvilar den registeransvarige, eller d. behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade, eller e. behandlingen är nödvändig för att utföra en arbetsuppgift av all-
mänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgifterna har lämnats ut, eller f. behandlingen är nödvändig för ändamål som rör berättigade
intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1.
Artiklarna 6 och 7 kan sägas bilda den yttre ramen för hur och när behandling av personuppgifter alls får ske. De rättsliga grunderna i artikel 7 är en uttömmande uppräkning av de situationer när en behandling av personuppgifter kan anses vara tillåten. Får uppgifterna behandlas enligt någon av de rättsliga grunderna i artikel 7, måste emellertid också kraven i artikel 6 följas. Bestämmelserna är alltså kumulativa och utgör de allmänna förutsättningarna för tillåten personuppgiftsbehandling enligt dataskyddsdirektivet. För särskilda
uppgiftskategorier, överföring till tredjeland m.m. finns ytterligare begränsningar.
Från de grundläggande principerna i artikel 6.1 får medlemsstaterna genom lagstiftning begränsa omfattningen av de skyldigheter och rättigheter som anges i artikel 6.1 då det är nödvändigt med hänsyn till vissa specifika intressen som anges i artikel 13.1, bl.a. a) statens säkerhet, b) försvaret, c) allmän säkerhet, e) ett viktigt ekonomiskt eller finansiellt intresse hos unionen eller en medlemsstat och g) skyddet av den registrerades eller andras fri- och rättigheter. I övrigt finns inga bestämmelser i dataskyddsdirektivet som medger medlemsstaterna att föreskriva undantag eller begränsningar i förhållande till artikel 6.
Vad gäller artikel 7 finns inget motsvarande utrymme för undantag genom nationell lagstiftning. EU-domstolen har uttalat att medlemsstaterna, enligt artikel 5, varken får foga ytterligare principer för tillåtligheten av behandlingen av personuppgifter till dem som nämns i artikel 7 eller föreskriva ytterligare villkor som påverkar räckvidden av artikelns sex principer (dom den 24 november 2011 i förenade målen C-468/10 och C-469/10, ASNEF och FECEMED punkt 32 och 36).
Artiklarna 6 och 7 i dataskyddsdirektivet har genomförts i svensk rätt i princip ordagrant genom 9 och 10 §§ PuL. När myndigheter, liksom enskilda, behandlar personuppgifter måste det således ske dels i enlighet med vissa grundläggande krav på behandlingen som föreskrivs i 9 § PuL, dels måste behandlingen kunna hänföras till något av de i 10 § uppräknade fall då det över huvud taget är tillåtet att behandla personuppgifter. De båda bestämmelserna är alltså, liksom motsvarigheterna i dataskyddsdirektivet, kumulativa. Avser behandlingen känsliga personuppgifter eller personnummer eller samordningsnummer finns därutöver ytterligare restriktioner vilka gäller också för myndigheter, se 13–16, 18–19 och 22 §§ PuL.
Om personuppgifter behandlas på så sätt att de inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, dvs. behandling i s.k. ostrukturerat
material, gäller ett flertal undantag från personuppgiftslagens hanteringsregler, däribland 9, 10 och 13 §§ PuL. Detta följer av den s.k. missbruksregeln i 5 a § enligt vilken bestämmelserna i vissa uppräknade paragrafer inte behöver följas vid behandling av personuppgifter i s.k. ostrukturerat material under förutsättning att behandlingen inte innebär en kränkning av den registrerades personliga integritet. Missbruksregeln, som infördes genom 2006 års ändringar i personuppgiftslagen (prop. 2005/06:173), är fakultativ, inget hindrar att hanteringsreglerna ändå tillämpas.
Närmare om de grundläggande kraven
I 9 § PuL anges alltså de grundläggande krav på behandlingen av personuppgifter som alltid måste vara uppfyllda när personuppgifter behandlas, även i en myndighets verksamhet, i den mån inte missbruksregeln kan tillämpas. Det är den personuppgiftsansvarige som ansvarar för att de grundläggande kraven är uppfyllda. Det gäller även om den faktiska personuppgiftsbehandlingen sker hos ett personuppgiftsbiträde och oavsett om biträdet är en myndighet eller en enskild aktör. Den registrerade anses inte kunna med rättslig verkan ge sitt samtycke till att personuppgifter om honom eller henne behandlas i strid med paragrafen (Öman/Lindblom, s. 194).
Bestämmelserna i 9 § PuL är avsedda att ha samma innebörd som bestämmelserna i artikel 6 i dataskyddsdirektivet. I 9 § första stycket formuleras kraven uppdelade i följande punkter. Den personuppgiftsansvarige ska se till att a. personuppgifter behandlas bara om det är lagligt, b. personuppgifter alltid behandlas på ett korrekt sätt och i enlig-
het med god sed, c. personuppgifter samlas in bara för särskilda, uttryckligt angivna
och berättigade ändamål, d. personuppgifter inte behandlas för något ändamål som är ofören-
ligt med det för vilket uppgifterna samlades in, e. de personuppgifter som behandlas är adekvata och relevanta i
förhållande till ändamålen med behandlingen,
f. inte fler personuppgifter behandlas än som är nödvändigt med
hänsyn till ändamålen med behandlingen, g. de personuppgifter som behandlas är riktiga och, om det är nöd-
vändigt, aktuella, h. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna
sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och i. personuppgifter inte bevaras under en längre tid än vad som är
nödvändigt med hänsyn till ändamålen med behandlingen.
Punkterna a och b om att personuppgifter får behandlas bara om det är lagligt och korrekt syftar bl.a. på att behandlingen måste kunna hänföras till de rättsliga grunder för behandlingen som anges i 10 § PuL och inte heller i övrigt strider mot någon bestämmelse i personuppgiftslagen eller anknytande föreskrifter. Ordalydelsen utesluter i och för sig inte att annan lagstiftning också åsyftas. Enligt uttalanden i doktrinen kan det framgå av annan lagstiftning, t.ex. brottsbalken eller marknadsföringslagen, när det är olagligt att behandla personuppgifter (Öman/Lindblom, s. 195). Den frågan kan dock ställas vad som egentligen avses med lagligheten som ett grundkrav enligt personuppgiftslagen. Inte minst när det gäller myndigheters behandling av personuppgifter finns en mycket stor mängd författningar utöver personuppgiftslagen som är styrande för informationshanteringen och vars lagenliga efterföljande berörd personuppgiftsansvarig myndighet har ett övergripande ansvar för, oavsett personuppgiftsansvaret. Som exempel kan nämnas reglerna om användningen av hemliga tvångsmedel i 27 kap. RB som utgör en förfarandereglering för hemlig inhämtning av information, vilken givetvis kan innefatta personuppgifter. Det kan te sig naturligt att läsa 9 § första stycket a PuL på så sätt att en hantering av upptagningar från hemliga tvångsmedel som strider mot rättegångsbalkens krav också skulle vara i strid mot personuppgiftslagens grundläggande krav på att personuppgifter bara får behandlas om det är lagligt. Likaså skulle en behandling av personuppgifter som strider mot något förbud mot att röja en sekretessbelagd personuppgift kunna anses olaglig i den mening som avses i 9 § första stycket a PuL.
Datalagskommittén ansåg för sin del att det är osäkert om dataskyddsdirektivets krav i artikel 6.1 a på att medlemsstaterna ska föreskriva att personuppgifter ska behandlas på ett korrekt och lagligt sätt har någon självständig betydelse. Punkterna a om laglighet och b om korrekthet togs dock med bland de grundläggande kraven i 9 § PuL för säkerhets och fullständighets skull (SOU 1997:39 s. 350). Detta kommenterades inte i propositionen till personuppgiftslagen (prop. 1997/98:44). Det förefaller således inte ha funnits någon klar uppfattning hos den svenska lagstiftaren om vad som egentligen åsyftas med kravet enligt 9 § första stycket a om att personuppgifter ska behandlas lagligt och vilken konsekvensen blir i dataskyddsrättsligt hänseende om t.ex. en myndighet behandlar personuppgifter i strid mot någon bestämmelse i en annan författning än personuppgiftslagen. Detta kan i sin tur ha betydelse för frågan om räckvidden av det skadeståndssanktionerade personuppgiftsansvaret enligt 48 § PuL, dvs. skyldigheten att betala skadestånd för en kränkning av den registrerades personliga integritet orsakad av en personuppgiftsbehandling i strid med personuppgiftslagen. I vilken mån en sådan skyldighet kan uppstå på grund av att en personuppgiftsbehandling t.ex. strider mot rättegångsbalken och därför inte är laglig även om någon annan bestämmelse i personuppgiftslagen inte överträtts förefaller oklart.
Punkterna c och d anger att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål samt att redan insamlade personuppgifter inte får användas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, den s.k. finalitetsprincipen. Finalitetsprincipen är en allmän dataskyddsrättslig princip som getts en uttrycklig och central roll i dataskyddsdirektivet och därmed även i personuppgiftslagen, bl.a. genom att finalitetsprincipen konkretiserats till att vara en av de hanteringsregler som den personuppgiftsansvarige ska vara ålagd att följa. Att bestämningen av ändamålet eller ändamålen för insamling av personuppgifter sker på ett korrekt sätt i enlighet med punkten c har emellertid betydelse inte bara för vilka efterföljande behandlingar som får ske utan även för de återstående grundläggande kraven i 9 § första stycket. Utan särskilda och uttryckligt angivna ändamål går det knappast att bedöma huruvida personuppgifter är adekvata, relevanta och inte för många eller lagras för länge osv. Detta därför att sådana bedömningar alltid ska ske i
förhållande till det eller de ändamål som personuppgifterna behandlas för. Ändamålsbestämning och finalitetsprincipen m.m. kommer att behandlas mer ingående nedan i avsnitt 9.2.3.
När det gäller punkten i om hur länge personuppgifter får bevaras har den bestämmelsen en tämligen begränsad räckvidd på myndigheternas område eftersom den inte gäller i den mån den inkräktar på myndigheters skyldigheter enligt arkivlagstiftningen att bevara allmänna handlingar, 8 § andra stycket PuL. Däremot gäller punkten i för personuppgifter som ingår i upptagningar som inte utgör allmänna handlingar.
När behandling av personuppgifter är tillåten
Bestämmelserna i 10 § PuL innehåller – liksom artikel 7 i dataskyddsdirektivet – en uttömmande uppräkning av de fall då personuppgifter alls får behandlas. Faller en myndighets personuppgiftsbehandling inte in under någon av de rättsliga grunder som anges i 10 § är den alltså otillåten. Det spelar därvid ingen roll om det handlar om personuppgifter som direkt pekar ut en registrerad person eller om det handlar om t.ex. s.k. pseudonymiserade uppgifter eller uppgifter som annars endast indirekt kan härledas till den registrerade personen. Det spelar heller ingen roll om det handlar om insamling av personuppgifter för ett visst ändamål eller behandling av redan insamlade uppgifter för ett nytt ändamål. Även om det nya ändamålet inte är oförenligt med det ursprungliga ändmålet och därför uppfyller det grundläggande kravet i 9 § första stycket d, måste den nya behandlingen dessutom omfattas av någon av grunderna i 10 §.
Enligt 10 § PuL är huvudregeln att personuppgifter får behandlas om den registrerade, dvs. den som en personuppgift avser, har lämnat sitt samtycke till behandlingen. Med samtycke avses enligt 3 § PuL varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Behandling får också ske om personuppgiftsbehandlingen är nödvändig för att a. ett avtal med den registrerade ska kunna fullgöras eller åtgärder
som den registrerade begärt ska kunna vidtas innan ett avtal träffas,
b. den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl-
dighet, c. vitala intressen för den registrerade ska kunna skyddas, d. en arbetsuppgift av allmänt intresse ska kunna utföras, e. den personuppgiftsansvarige eller en tredje man till vilken person-
uppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller f. ett ändamål som rör ett berättigat intresse hos den personupp-
giftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Det kan knappast sägas gälla några skarpa gränser mellan de rättsliga grunderna i 10 a–e § utan de kan vara överlappande på det sättet att en situation faller in under mer än en punkt. Det är dock i och för sig alltid tillräckligt att en behandling faller in under i vart fall en punkt. Det är alltså fråga om alternativa grunder för behandling.
För myndigheter torde framför allt punkterna b, d och e omfatta sådan personuppgiftsbehandling som behövs i myndigheternas verksamheter. Som redan har framhållits torde t.ex. en stor del av den behandling som utförs inom den offentliga sektorn vara tillåten med stöd av punkten e, i vart fall när det gäller en myndighets egentliga verksamhet (Öman/Lindblom, s. 239). Det är mer tveksamt om bestämmelsen omfattar behandling som äger rum inom en myndighets interna administration och som exempelvis rör personalfrågor. Sådan behandling kan emellertid vara tillåten enligt någon av de andra punkterna som räknas upp i 10 §. Punkten a om behandling i samband med avtal torde t.ex. kunna aktualiseras hos en personuppgiftsansvarig myndighet när den agerar på det civilrättsliga området t.ex. i samband med anställningsförhållanden eller vid köp av varor eller tjänster. Punkten c om behandling för att skydda den registrerades vitala intressen torde också kunna aktualiseras hos vissa myndigheter. I litteraturen har nämnts som exempel situationer i samband med tvångsvård eller vård av medvetslösa eller i räddningstjänsten (Öman/Lindblom, s. 236).
I punkten f finns vidare ett slags generalklausul som medger behandling efter en intresseavvägning. För myndigheters del kan konstateras att en behandling av personuppgifter som bedöms tillåten efter den intresseavvägning som ska göras enligt f också torde vara tillåten enligt något av fallen i a–e och i vart fall enligt d, dvs. att en arbetsuppgift av allmänt intresse ska kunna utföras. Punkten f torde därmed normalt sett inte ha så stor självständig relevans vid myndigheters behandling av personuppgifter. Det har dock förekommit att punkten f ansetts tillämplig vid myndigheters behandling av personuppgifter. Exempelvis har olika myndigheters publicering av personuppgifter på internet prövats utifrån en intresseavvägning enligt 10 § f PuL (Datainspektionens beslut 2004-09-08, dnr 454-2004 och Justitiekanslerns beslut 2007-09-26, dnr 3497-06-40). Högsta förvaltningsdomstolen har vidare i ett fall rörande en kommuns behandling av gymnasieelevers fingeravtryck prövat förutsättningarna för behandling genom en intresseavvägning enligt punkten f (RÅ 2008 ref. 83).
Innebörden av det nödvändighetsrekvisit som föreskrivs för behandling oberoende av samtycke enligt punkterna a–f kan inte sägas vara helt klar. Rekvisitet innebär emellertid inte att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan automatiserad behandling av personuppgifter som omfattas av personuppgiftslagen. Enligt Datalagskommittén är nödvändighetsrekvisitet i detta avseende inte uppfyllt om arbetsuppgiften kan utföras nästan lika enkelt eller billigt utan behandling av personuppgifter (SOU 1997:39 s. 359). Domstolsdatautredningen uttalade som sin mening att det sannolikt räcker med att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg (SOU 2001:100 s. 90).
Sedan dessa uttalanden gjordes har emellertid EU-domstolen gjort vissa uttalanden om nödvändighetsrekvisitet i artikel 7 i dom den 16 december 2008 i mål C-524/06, Huber. Målet rörde bl.a. tolkningen av artikel 7 e – om behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning – i samband med en förbundsstatlig tysk myndighets centrala utlänningsregister. Domstolen uttalade att begreppet nödvändighet, såsom det följer av artikel 7 e, inte kan förstås olika från medlemsstat till medlemsstat utan att det är ett självständigt gemenskapsrättsligt begrepp. Det konstaterandet gjordes med beakt-
ande av målet enligt artikel 1.1 i direktivet att göra skyddsnivån likvärdig i alla medlemsstater och att syftet med artikel 7 e är att begränsa ett av de fall i vilket behandling av personuppgifter tillåts (punkt 52). I det aktuella fallet gjorde domstolen bedömningen att nödvändighetsrekvisitet var uppfyllt och behandlingen därmed tillåten om registret a) för det första endast innehöll uppgifter som var nödvändiga för myndighetens rättsliga hantering i ett visst avseende och b) för det andra om den centrala registerföringen medgav en mer effektiv hantering jämfört med om aktuella myndigheter i stället skulle behöva vända sig till varje kommunalt register där motsvarande uppgifter fanns. Nödvändighetsrekvisitet var dock inte uppfyllt såvitt avsåg personuppgifter som behövdes för statistiska ändamål, eftersom det bedömdes räcka med anonyma uppgifter (punkt 58–68).
Något nödvändighetsrekvisit gäller alltså inte enligt 10 § PuL vid behandling som sker med den registrerades samtycke. Oavsett på vilken grund en behandling är tillåten enligt 10 § måste emellertid de grundläggande kraven enligt 9 § följas, t.ex. att inte fler personuppgifter behandlas än vad som behövs för ändamålen m.m.
Bestämmelserna i 10 § PuL om grund för behandlingen hör till det slag av hanteringsregler som inte behöver tillämpas om missbruksregeln i 5 a § gäller, dvs. vid behandling av personuppgifter i ostrukturerat material. Detta kan tyckas motsägelsefullt eftersom dataskyddsdirektivet som framgått inte medger undantag från artikel 7 vilken alltså motsvaras av 10 § PuL. Av förarbetena till 5 a § framgår emellertid att bedömningen baseras på att den typ av behandling som omfattas av 5 a § kan antas alltid falla in under bestämmelsen 7 f i dataskyddsdirektivet om tillåten behandling efter en intresseavvägning och att det enligt direktivet är tillåtet för medlemsstaterna att närmare precisera hur den angivna intresseavvägningen utfaller i olika fall (prop. 2005/06:173 s. 33 f.).
Som redan nämnts finns utöver uppräkningen i 10 § ytterligare restriktioner som träffar myndigheters behandling av speciella uppgiftskategorier, nämligen känsliga personuppgifter samt personnummer eller samordningsnummer. Dessa restriktioner berörs mer ingående nedan i avsnitt 9.3. Innebär en personuppgiftsbehandling att uppgifter överförs till tredjeland, dvs. till en stat som inte ingår i EU eller EES, måste också 33–35 §§ följas. Myndigheters överföring av personuppgifter till tredjeland behandlas i kapitel 12.
Förslaget till uppgiftsskyddsförordning
Kommissionen
Kommissionens förslag till uppgiftsskyddsförordning motsvarar i grunden de principer och kriterier för under vilka förutsättningar behandling av personuppgifter är tillåten som anges i dataskyddsdirektivet.
Artikel 5 i uppgiftsskyddsförordningen – med rubriken Principer om behandling av personuppgifter – motsvarar artikel 6 i direktivet, dock med några förändringar. Bland annat finns ett tillägg om att uppgifterna ska behandlas på ett öppet sätt i förhållande till den registrerade (öppenhetsprincipen) och ett klargörande beträffande att behandlade uppgifter ska vara begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter (uppgiftsminimeringsprincipen). Det har vidare uppställts ett krav på att uppgifterna alltid ska vara aktuella, dvs. inte bara när detta är nödvändigt vilket gäller enligt direktivet. Vidare har ordet ”utplånas” i direktivet ersatts med ordet ”raderas” i kommissionens förslag. Dessutom har beträffande den registeransvariges övergripande ansvar tillagts att ansvaret omfattar efterlevnaden av de olika kraven ”vid varje behandling”. Ytterligare vissa justeringar har gjorts.
Genom artikel 21 i förordningen klargörs unionens eller medlemsstaternas befogenheter att behålla eller införa begränsningar av de principer som fastställs i artikel 5. Sådan begränsning får dock bara ske om den är en nödvändig och proportionell åtgärd i ett demokratiskt samhälle och syftar till att garantera vissa uppräknade intressen som i stort överensstämmer med de som omfattas av artikel 13 i dataskyddsdirektivet. En viss skillnad gentemot dataskyddsdirektivet synes dock föreligga genom att det i 21.1 c förordningen hänvisas till ”andra av unionens eller en medlemsstats allmänna intressen, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland…”. I jämförelse med motsvarande bestämmelse i artikel 13.1 e i direktivet tycks alltså begränsningar för ett allmänt intresse inte bara kunna avse ekonomiska eller finansiella intressen även om det är dessa intressen som i första hand avses komma i fråga. I artikel 21.2 i förordningen föreskrivs att alla begränsningar enligt 21.1 ska innehålla
särskilda bestämmelser åtminstone avseende målen för behandlingen och fastställandet av den personuppgiftsansvarige.
Artikel 6 i kommissionens förslag – med rubriken När personuppgifter får behandlas (Lawfulness of processing) – motsvarar artikel 7 i dataskyddsdirektivet men är utbyggd. Samma rättsliga grunder för behandling, punkterna a–f, återfinns även i uppgiftsskyddsförordningen. En skillnad är att det i artikel 6.1 a i förordningen uttryckligen anges att den enskildes samtycke måste avse behandling för ett eller flera specifika ändamål. Ett samtycke in blanco till personuppgiftsbehandling för ospecifika ändamål är alltså inte en rättsligt godtagbar grund. Detta har dock redan tidigare ansetts gälla – bl.a. genom definitionen av begreppet samtycke i artikel 2 dataskyddsdirektivet om att samtycke ska vara en ”särskild” viljeyttring – och förordningen innebär därvid mest ett klargörande.
När det gäller artiklarna 6.1 c om behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registrerade och 6.1 e om behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som utförs som ett led i myndighetsutövning som utförs av den registrerade anges i artikel 6.3, att dessa grunder för behandling ska föreskrivas i unionslagstiftningen eller lagstiftningen i den medlemsstat vars lagstiftning den registeransvarige lyder under. Sådan nationell lagstiftning måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.
En nyhet föreskrivs i artikel 6.4 där det anges att när ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i artikel 6.1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. Bestämmelsen torde innebära en uppmjukning av den s.k. finalitetsprincipen.
Vad gäller artikel 6.1. f om behandling efter en intresseavvägning, dvs. den bestämmelse som motsvarar artikel 7 f i direktivet, föreskrivs att den bestämmelsen inte ska gälla för behandling som utförs av myndigheter i deras myndighetsutövning. I den engelska versionen uttrycks detta med ”…carried out by public authorities in the performance of their tasks.” Den svenska lydelsen, som talar
om myndighetsutövning i stället för en myndighets uppgifter, ger således ett snävare intryck än den engelska. Det kan nämnas att Artikel 29-gruppen har angett att förändringen eventuellt kan komma att leda till en bredare tolkning av vad som är ett allmänt intresse eller myndighetsutövning alternativt att tolkningen av undantaget från intresseavvägningsgrunden kommer att bli restriktiv (Opinion 06/14 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC s 23).
Artikel 7 – med rubriken Villkor för samtycke – har inte någon motsvarighet i dataskyddsdirektivet. Däri föreskrivs bl.a. att den registrerades samtycke inte ska utgöra en rättslig grund för behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning (artikel 7.4). Enligt punkt 34 i ingressen till förordningen torde, när den registeransvarige är en myndighet, obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt.
Europaparlamentet
Europaparlamentet har i sin resolution rörande uppgiftsskyddsförordningen föreslagit vissa ändringar i förordningen.
När det gäller artikel 5 kan nämnas att vad gäller kravet enligt punkten d på att uppgifter ska vara aktuella har parlamentet föreslagit en återgång till att det bara ska gälla om det är nödvändigt. Vidare har parlamentet föreslagit två nya punkter med krav på personuppgiftsbehandlingen, nämligen att de ska behandlas på ett sätt som ger de registrerade möjlighet att effektivt utöva sina rättigheter (effektivitet), och att de ska behandlas på ett sätt som medför ett skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse med hjälp av lämpliga tekniska eller organisatoriska åtgärder (integritet). Parlamentet har vidare föreslagit väsentliga ändringar i artikel 21 om möjligheter att lagstifta om begränsningar, bl.a. har man föreslagit att det inte ska vara möjligt för medlemsstater att genom lagstiftning begränsa skyldigheterna enligt artikel 5.
Beträffande artikel 6.3 har parlamentet föreslagit ett tillägg om att medlemsstaterna inom ramen för bestämmelserna i förordningen får i nationell lagstiftning reglera detaljer som rör behandlingens laglighet, särskilt med avseende på registeransvariga, behandlingsändamål och ändamålsbegränsning, uppgifternas karaktär och de registrerade, behandlingsmetoder och behandlingsförfaranden, mottagare samt lagringstid. Vidare har parlamentet bl.a. förordat en strykning av den av kommissionen föreslagna bestämmelsen i artikel 6.4, som delvis rör finalitetsprincipen.
Parlamentet har vidare föreslagit att bestämmelsen i artikel 7.4 om att samtycke inte är en rättslig grund för behandling, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning, stryks.
Några kommentarer
Vad gäller de allmänna förutsättningarna för myndigheters behandling av personuppgifter kan konstateras att förordningens bestämmelser i grunden bibehåller vad som följer av direktivet. De förändringar som i detta sammanhang kan påtalas särskilt är dels uppmjukningen av finalitetsprincipen, dels att behandling efter en intresseavvägning enligt nuvarande 9 § f PuL inte kommer att vara tillämplig vid myndigheters behandling av personuppgifter, i vart fall inte vid behandling som sker i deras myndighetsutövning.
Vilken betydelse i praktiken det skulle innebära för myndigheter att behandlingar för nya men oförenliga ändamål får ske om den nya behandlingen faller in under någon av de rättsliga grunderna för behandling är svårt att bedöma. Helt klart innebär det – från ett dataskyddsrättsligt perspektiv – ett ökat utrymme för nya behandlingar av redan insamlade personuppgifter. Som vi redan påpekat i olika sammanhang omfattas myndigheternas verksamheter och informationshantering emellertid av annan reglering som sätter gränser för myndigheters aktiviteter, en reglering som delvis leder till samma resultat som den nuvarande finalitetsprincipen varför en sådan förändring troligen skulle få en mindre betydelse för myndigheter än för enskilda personuppgiftsansvariga. Det förefaller för övrigt ganska osäkert om kommissionens förslag i denna del kommer att genomföras.
Även när det gäller den andra förändringen, att behandling efter en intresseavvägning enligt punkten f inte kommer att vara tillämplig vid myndigheters behandling av personuppgifter, anser vi att det inte är troligt att den förändringen får så stor betydelse för myndigheter. De övriga rättsliga grunderna för behandling av personuppgifter oberoende av samtycke täcker, som har framgått, myndigheters behov av personuppgiftsbehandling i deras verksamheter. Något egentligt behov av att kunna behandla personuppgifter efter en intresseavvägning torde alltså inte finnas.
9.2.2. Reglering i registerförfattningar
Registerförfattningar har som redan framgått utformats på olika sätt vad avser bl.a. struktur och begreppsapparat. Det är en tämligen stor skillnad mellan det vi kallar renodlade registerförfattningar, som alltså gäller viss registerföring och som ofta handlar om personuppgiftsbehandling som myndigheter ska utföra, och sådana informationshanteringsförfattningar som reglerar vilken personuppgiftsbehandling som myndigheter får utföra inom vissa närmare angivna verksamheter.
Den förstnämnda kategorin kännetecknas av att författningarna inte lämnar så stort utrymme för den personuppgiftsansvariga myndigheten att göra bedömningar utifrån 9 eller 10 § PuL, i vart fall inte när det gäller myndighetens eget primära handhavande av registret i fråga. Registrets ändamål, vilka personuppgifter som ska samlas in och registreras, hur länge uppgifterna får bevaras m.m., dvs. frågor som annars måste bedömas utifrån de grundläggande kraven i 9 §, är ofta redan reglerade och själva registerföringen är en uppgift för myndigheten som medför sådan nödvändig personuppgiftsbehandling som omfattas av 10 § b (om registret ska föras enligt författningen) eller d eller e (om registret får föras).
Gemensamt för registerförfattningar av den kategori som vi kallar informationshanteringsförfattningar är normalt att det av förarbetsuttalanden eller av direkta hänvisningar till personuppgiftslagen framgår att de grundläggande kraven i 9 § PuL också ska gälla vid behandling av personuppgifter enligt registerförfattningen i fråga medan 10 § ersätts av regleringen i registerförfattningen.
9.2.3. Särskilt om ändamålsbestämning
Den allmänna regleringen
Dataskyddsdirektivet och personuppgiftslagen
Som har framgått följer av artikel 6.1 i dataskyddsdirektivet och 9 § första stycket c och d och andra stycket PuL att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att senare behandling av redan insamlade personuppgifter får inte ske för något ändamål som är oförenligt med det eller de ursprungligt angivna ändamålen (finalitetsprincipen).
Det följer av definitionen av begreppet personuppgiftsansvarig i 3 § PuL att det är den personuppgiftsansvarige som har att bestämma och ange de särskilda ändamålen med behandlingen. Det är en skyldighet att se till att ändamålet eller ändamålen är uttryckligt angivna redan när uppgifterna samlas in. Något hinder mot att ange flera parallella insamlingsändamål finns inte alldeles oavsett om de sinsemellan kan tyckas vara oförenliga. Något rättsligt krav på den personuppgiftsansvarige att nedteckna ändamålen eller ändamålet med behandlingen av personuppgifter finns heller inte (prop. 1997/98:44 s. 63 f.). Bestämmelserna i 23–25 §§ PuL om information till den registrerade när personuppgifterna samlas in medför dock som regel att ändamålen måste uppges redan när behandlingen påbörjas. Den personuppgiftsansvarige är därutöver skyldig att uppge ändamålen antingen i anmälan till tillsynsmyndigheten (36 §) eller till var och en som begär en sådan upplysning (42 §) eller i s.k. registerutdrag till den registrerade (26 §).
Enligt personuppgiftslagen krävs vidare att de ursprungliga ändamålen är ”särskilda”. En alltför allmänt eller vagt hållen ändamålsbeskrivning är alltså inte godtagbar. Hur pass detaljerad ändamålsangivelsen ska vara för att uppfylla lagens krav på att vara särskild kunde enligt Datalagskommittén avgöras i praxis eller genom preciserande reglering i förordning eller genom Datainspektionens föreskrifter (SOU 1997:39 s. 350).
Ändamålen ska vidare vara berättigade (”legitimate” i direktivets engelska version). I förarbetena till personuppgiftslagen angavs att det rekvisitet infördes närmast för säkerhets och fullständighets skull eftersom det angavs som ett krav i artikel 6 i dataskyddsdirektivet. Det är dock, på samma sätt som nämnts ovan beträff-
ande kravet på lagenlighet enligt 9 § första stycket a PuL, osäkert om bestämmelsen om berättigade ändamål har någon självständig betydelse. I vilka fall det är berättigat att samla in och behandla personuppgifter följer ju indirekt av personuppgiftslagen.
Finalitetsprincipen – senare behandling av insamlade personuppgifter för nya ändamål
Om en tilltänkt behandling av redan insamlade personuppgifter inte direkt omfattas av de ursprungliga ändamålen måste det prövas om ändamålet med den senare behandlingen är oförenligt med de ursprungliga ändamålen. Detta följer av 9 § första stycket d. Det är genom den bestämmelsen finalitetsprincipen kommer till uttryck. Datalagskommittén (SOU 1997:39) uttalade att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspektionen kan utfärda (a. bet. s. 351).
Bestämmelsen i 9 § första stycket d PuL medför bl.a. att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda insamlade uppgifter finns angivna redan då uppgifterna samlas in. Enligt Registerförfattningsutredningen (SOU 1999:105 s. 253) antydde begreppet ”oförenligt” som sådant att det finns visst utrymme för tolkningen att behandling som sker efter insamlandet inte direkt måste motsvaras av ett från början givet ändamål utan ett visst spelrum torde alltså finnas. Socialdatautredningen resonerade kring oförenlighetsrekvisitet, i ett ofta åberopat uttalande, genom att anföra att man vid en ”oförenlighetsprövning” bör hypotetiskt utgå från hur en registrerad typiskt sett, alltså inte den registrerade i det enskilda fallet, skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet (SOU 1999:109 s. 160).
Finalitetsprincipen aktualiseras bl.a. då en personuppgiftsansvarig lämnar ut uppgifter till en annan personuppgiftsansvarig för att användas av denne för något eget ändamål. Mottagarens ändamål får då inte vara oförenligt med utlämnarens ursprungliga ändamål. Om så är fallet strider utlämnarens behandling mot finalitetsprin-
cipen. Mottagarens behandling, å andra sidan, torde i så fall kunna strida mot 9 § första stycket a och b PuL om att behandlingen ska vara laglig och korrekt.
I doktrinen har det hävdats att en registrerad inte med rättslig verkan kan samtycka till att personuppgifter behandlas i strid med finalitetsprincipen. Om den registrerade ger sitt samtycke till att redan insamlade personuppgifter används för nya ändamål som är oförenliga med de som var bestämda vid insamlandet, får detta anses jämställt med en ny insamling av personuppgifterna. Det är alltså inte nödvändigt att samla in personuppgifterna en gång till (Öman/Lindblom, s. 204). Artikel 29-gruppen har dock anlagt ett annat synsätt som innebär att inhämtande av särskilt samtycke till behandling för ett nytt ändamål är en omständighet, ett slags kompensatorisk faktor, bland flera omständigheter som kan tillmätas relevans när det ska bedömas om den nya behandlingen är oförenlig med det ursprungliga ändamålet eller inte (Data Protection Working Party, Opinion 03/2013 on purpose limitation, 00569/13/EN WP 203, s. 27).
Ändamålsbestämning i registerförfattningar
Allmänt
Utgångspunkten är alltså att det följer av personuppgiftslagen att det är den personuppgiftsansvarige som bestämmer för vilka ändamål personuppgifter behandlas. I registerförfattningar anges emellertid regelmässigt uttryckligen i författningen de ändamål för vilka personuppgifter får behandlas. Regeringen har, bl.a. i motiven till studiestödsdatalagen (2009:287), uttryckt att det i en speciallag som riktar sig mot en särskilt angiven verksamhet faller sig naturligt att direkt i lagen ange för vilka ändamål personuppgifter får behandlas på det mer avgränsade område lagen avser att täcka (prop. 2008/09:96 s. 40.).
Syftet med ändamålsbestämmelser i registerförfattningar är normalt att ange en yttersta ram inom vilken uppgifterna får behandlas (se t.ex. prop. 1997/98:97 s. 121, prop. 2000/01:33 s. 99 och SOU 2006:82 s. 178). Ramen gäller alla typer av behandlingar som kan komma ifråga (jfr definitionen av behandling av personuppgifter i 3 § PuL). Ändamålsbestämmelser är därför av central betydelse i dessa för-
fattningar. I många registerförfattningar förekommer ändamålsbestämmelserna under rubriker som ”Ändamål”, ”Ändamålen med behandlingen” eller ”När behandling av personuppgifter är tillåten”.
Preciseringen av ändamål
Ändamålen ska alltså enligt 9 § första stycket c PuL vara särskilda, dvs. ändamålsangivelserna får inte vara alltför allmänt hållna. Det ligger dock i sakens natur att när ändamål regleras genom författningsbestämmelser dessa ofta måste formuleras ganska generellt, det gäller särskilt beträffande det vi kallar informationshanteringsförfattningar.
När det gäller frågan om vilken grad av precisering som kan krävas har Socialdatautredningen påpekat att viss ledning kan fås av bestämmelserna i 9 § första stycket e och f PuL om att det är ett grundläggande krav att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen. Om inte ändamålet eller ändamålen har en viss grad av precision, kan man knappast bedöma huruvida personuppgifterna är adekvata och relevanta eller för många (SOU 1999:109 s. 156). I motiven till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten anfördes att ändamålen bör vara så preciserade att förhållandena utgör ett tillräckligt skydd för den personliga integriteten samtidigt som de inte utgör ett hinder vid förändring av verksamheten (prop. 2000/01:80 s. 142). I det lagstiftningsärendet frångick regeringen Socialdatautredningens förslag om att de närmare ändamålen skulle bestämmas av personuppgiftsansvarig myndighet. I lagen anges under rubriken När behandling av personuppgifter är tillåten att personuppgifter får behandlas bara om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Lagrådet anmärkte att en sådan bestämmelse framstår som en motsvarighet till 10 § PuL och inte som en ändamålsbestämning, något som Lagrådet ansåg var en brist (a. prop. s. 272). Regeringen fann dock att det var lämpligare att reglera ändamålen i förordning. Den aktuella bestämmelsen kompletteras därför med att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om begränsning av
tillåtna ändamål. Regeringen har i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten meddelat närmare föreskrifter om tillåtna ändamål.
Ändamålsregleringen på socialtjänstens område är dock inte typisk. I de fall det är fråga om en registerlag som kompletteras av bestämmelser i en anslutande förordning är de närmare ändamålsbestämmelserna oftast intagna på lagnivå och inte i förordning. Skälet till detta torde vara att, mot bakgrund av ändamålsbestämningens centrala roll för persondataskyddet, det sedan länge har ansetts som principiellt viktigt att riksdagen beslutar ändamål för stora och integritetskänsliga personregister. Samma synsätt har präglat utformningen av senare decenniers författningar som reglerar personuppgiftsbehandling vid informationshantering i viss verksamhet och inte bara vid förandet av ett visst register. I en hel del informationshanteringsförfattningar anges i förarbetena att ändamålsbestämmelserna är den yttre ramen för den tillåtna personuppgiftsbehandlingen inom tillämpningsområdet samt att det förutsätts eller krävs att den personuppgiftsansvariga myndigheten anger mer preciserade ändamål för specifika behandlingar inom den tillåtna ramen. I registerförfattningar förekommer vidare föreskrifter om att regeringen eller den myndighet som regeringen bestämmer får föreskriva begränsningar i förhållande till lagens ändamålsbestämmelser. Ett exempel är 6 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten.
Vad gäller innehållet i de specifika ändamål som anges i de olika informationshanteringsförfattningarna skiljer de sig åt beroende på vilken verksamhet som avses. I motiven har normalt gjorts vissa generella uttalanden angående vad som behöver anges i ändamålsbestämmelserna.
I lagstiftningsärendet angående lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet uttalade Lagrådet att en särskild ändamålsbestämmelse som ger stöd för att uppgifter som behandlas i verksamheten även får behandlas för planering, uppföljning och utvärdering är obehövlig (prop. 2004/05:164 s. 179). Lagrådet ansåg att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Behandling av personuppgifter för dessa ändamål får alltså ske utan att det uttryckligen framgår av de i lagen angivna ändamålen. Liknande
bedömningar har även gjorts i senare lagstiftningsärenden (se t.ex. prop. 2009/10:85: s. 116).
Det förekommer dock att planering, uppföljning och utvärdering anges som särskilda uttryckliga ändamål i registerförfattningar, t.ex. i 114 kap. 7 § 5 socialförsäkringsbalken, 3 § andra stycket lagen (2001:617) om behandling av personuppgifter inom kriminalvården och 2 kap. 4 § 5 patientdatalagen (2008:355). I motiven till patientdatalagen anfördes att behovet av att särskilt ange för vilka ändamål personuppgifter ska få behandlas måste bedömas från fall till fall, med utgångspunkt från bl.a. hur övriga ändamålsbestämmelser är utformade i den aktuella författningen (prop. 2007/08:126 s. 58 f.). En tydlig ändamålsreglering kräver att ändamålen formuleras specifikt och med en hög konkretiseringsgrad och till följd härav bör planering, uppföljning och utvärdering, enligt motiven, uttryckligen anges i lagens uppräkning av ändamål. Det kan här nämnas att Patientdatautredningen beträffande ändamålen verksamhetsuppföljning och kvalitetssäkring anförde att de behövde anges som självständiga ändamål eftersom det i vissa fall kunde förekomma insamling av personuppgifter för dessa ändamål., t.ex. i form av brukarenkäter eller kvalitetsregisterföring, och inte bara sekundär återanvändning för dessa syften av redan insamlade personuppgifter för det primära ändamålet vårddokumentation (SOU 2006:82 s. 185 f.).
En registerförfattning kan vidare innehålla dels generella ändamålsbestämmelser avseende all personuppgiftsbehandling inom en viss verksamhet, dels ändamålsbestämmelser som endast avser ett visst register eller databas som regleras i registerförfattningen. Ett exempel är lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet. I lagen särregleras personuppgiftsbehandlingen i fyra olika databaser, där varje databas har egna ändamålsbestämmelser.
Behandling som är nödvändig eller som behövs
I personuppgiftslagen används dataskyddsdirektivets nödvändighetsbegrepp när det t.ex. handlar om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen liksom beträffande i vilka situationer behandling kan vara tillåten
utan den registrerades samtycke (artikel 6 d och 7 b–f direktivet och 9 § f och 10 § a–f PuL). I många informationshanteringsförfattningar används nödvändighetsbegreppet även i ändamålsbestämmelser. Det förekommer emellertid också att det i stället anges att personuppgifter får behandlas om det behövs för ett visst ändamål osv. Så är t.ex. fallet beträffande informationshanteringsförfattningarna för Skatteverkets beskattningsverksamhet och folkbokföring, Tullverkets tullverksamhet, Kronofogdemyndigheten, Arbetsförmedlingens arbetsmarknadspolitiska verksamhet, hälso- och sjukvården (patientdatalagen) samt Centrala studiestödsnämnden (studiestödsdatalagen). Såvitt kan utläsas av förarbetena finns inga indikationer på att uttryckssättet ”behövs” betydelsemässigt skulle åsyfta något annat än vad som avses med nödvändighetsbegreppet i personuppgiftslagen. I vart fall framgår ingen sådan avsedd skillnad av motiven. I motiven till studiestödsdatalagen har i stället klargjorts att med att ”behandlingen behövs” för olika syften avses detsamma som när det i 10 § PuL anges att behandlingen är nödvändig (prop. 2008/09:96 s. 134).
Primära och sekundära ändamål
Det förekommer vidare att det i registerförfattningar görs en uppdelning av ändamålen i primära och sekundära sådana. De primära ändamålen avses tillgodose den behandling som behövs i myndighetens egna verksamhet medan de sekundära ändamålen tar sikte på myndighetens utlämnande av uppgifter för att tillgodose andras behov. Syftet är således att göra det tydligt hur uppgifterna får användas i den egna verksamheten och i vilka syften de får lämnas ut till andra. Ett utlämnande av personuppgifter som sker som ett led i den egna verksamheten, inte i syfte att tillgodose andras behov, anses vanligtvis omfattas av de primära ändamålen (Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 699 f.).
De primära ändamålen kan alltså sägas vara styrande för vilka personuppgifter som får samlas in hos myndigheten. I doktrinen har hävdats att relationen mellan de primära och sekundära ändamålen får förstås så att behandling för att lämna ut personuppgifter till annan enligt de sekundära ändamålen bara får avse person-
uppgifter som myndigheten samlat in och i övrigt behandlat för sina egna primära ändamål. Att ett utlämnande enligt de sekundära ändamålen endast avser sådana personuppgifter som får behandlas enligt de primära ändamålen framgår ibland av författningstexten i registerförfattningarna. Regleringen i 2 kap.7 och 8 §§polisdatalagen är ett exempel på detta, dvs. att det framgår att behandling för sekundära ändamål bara får avse personuppgifter som redan samlats in för primära ändamål. Detta framgår av att det i 8 §, som reglerar de sekundära ändamålen, uttryckligen anges att personuppgifter som redan behandlas enligt 7 §, dvs. för primära ändamål, även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet.
Regleringen i 1 kap.4 och 5 §§ lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet har en annan konstruktion. Där anges det inte att de sekundära ändamålen som listas i 5 § endast avser behandling av uppgifter som redan har samlats in och behandlas av Skatteverket för något av de primära ändamål som anges i 4 §. Enligt denna lagtekniska utformning finns det således inget som i och för sig hindrar att Skatteverket samlar in personuppgifter för ändamål som bara tillgodoser andra aktörers behov så länge som dessa behov återfinns bland de sekundära ändamålen i lagens 1 kap. 5 §. Syftet med regleringen tycks emellertid ha varit att de sekundära behoven i allt väsentligt ska avse uppgifter som Skatteverket redan har samlat in för den egna verksamhetens behov, dvs. att de sekundära ändamålen avser ett slags återanvändning. På så sätt liknar regleringen den i polisdatalagen, även om detta alltså inte har kommit till uttryck i utformningen av regleringen.
Ytterligare en skillnad i utformningen av ändamålsregleringen i registerförfattningarna är att det dels förekommer uttömmande bestämningar av samtliga ändamål – såväl primära som sekundära – för vilka behandling får ske, dels den varianten att de i författningen angivna ändamålen kompletteras med en möjlighet att vidarebehandla redan insamlade uppgifter även för ändamål som inte är oförenliga med insamlingsändamålet. Skillnaden består således i att lagstiftaren i det senare fallet har gett den personuppgiftsansvariga myndigheten utrymme att själv bestämma kompletterande ”sekundära” ändamål. Det är alltså myndigheten själv som måste beakta finalitetsprincipen. Man brukar då tala om att ”finalitetsprincipen
tillämpas” men vad som i strikt rättslig mening avses är snarare en tillämpning av bestämmelsen i 9 § första stycket d PuL.
Ändamålsbestämmelser och uppgiftsutlämnande
Särskilt beträffande myndigheters personuppgiftsbehandling genom utlämnande av personuppgifter har finalitetsprincipen varit föremål för diskussion eftersom det inte sällan uppstått osäkerhet kring frågan om förhållandet mellan denna princip, ändamålsbestämmelser i registerförfattningar och bestämmelser i bl.a. offentlighets- och sekretesslagen som föreskriver utlämnande eller medger att uppgifter lämnas ut utan hinder av sekretess. Enligt t.ex. 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Skyldigheten anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter enligt 6 § FL. Det har ifrågasatts om denna skyldighet står i strid med finalitetsprincipen och därmed dataskyddsdirektivet.
Offentlighets- och sekretesskommittén uttalade i sitt huvudbetänkande Ny sekretesslag (SOU 2003:99 s. 231 f.) att regering och riksdag redan vid personuppgiftslagens tillkomst fick anses ha tagit ställning till att bestämmelsen i 15 kap. 5 § SekrL (numera 6 kap. 5 § OSL) inte strider mot dataskyddsdirektivet. Det beror på att den detaljerade sekretessregleringen avseende integritetskänsliga uppgifter gäller även i förhållandet mellan myndigheter och mellan självständiga verksamhetsgrenar inom samma myndighet, dock att lagstiftaren har infört sekretessbrytande regler som innebär att sekretesskyddade uppgifter under vissa förutsättningar kan lämnas ut till annan myndighet. Kommittén fortsatte (a. bet. s. 232):
Genom denna ordning uppnås samma syfte som man vill åstadkomma genom finalitetsprincipen. Myndigheterna hindras att lämna ut integritetskänsliga uppgifter till andra myndigheter, för ändamål som av lagstiftaren bedömts vara oförenliga med de ändamål för vilka uppgifterna samlats in. De uppgifter som inte försetts med något sekretesskydd eller som omfattas av sekretessbrytande regler har av lagstiftaren ansetts vara av sådan karaktär att utlämnanden till andra myndigheter, eller, när det gäller sekretessbrytande regler, vissa myndigheter, inte kan anses vara oförenliga med det ändamål för vilket
uppgifterna samlats in. Detta ställningstagande kommer till uttryck i [dåvarande] 15 kap. 5 § sekretesslagen.
Offentlighets- och sekretesskommittén resonerade på samma sätt rörande utlämnande av sekretesskyddade uppgifter som sker på en myndighets eget initiativ, eftersom utlämnandet även i sådant fall måste ske med stöd av en sekretessbrytande bestämmelse. När de sekretessbrytande bestämmelserna införts har lagstiftaren, anförde kommittén, gjort en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet. För enskilda måste det anses stå klart att utlämnande med stöd av sekretessbrytande bestämmelser kan komma att ske.
Kommitténs bedömningar är emellertid inte okontroversiella. Det har hävdats att kommitténs tolkning av finalitetsprincipen i detta avseende är synnerligen liberal (Öman/Lindblom, s. 167).
Såvitt avser finalitetsprincipens tillämplighet på registerförfattningarnas område anförde kommittén vidare följande (SOU 2003:99 s. 236 f.).
När det gäller frågan om ett utlämnande mellan myndigheter enligt sekretesslagen är förenligt med finalitetsprincipen som den kommer till uttryck i registerförfattningarna bör samma bedömning som ovan redovisats göras. Ett uppgiftslämnande till en annan myndighet skall anses förenligt med finalitetsprincipen om det är tillåtet enligt sekretesslagen, annars inte.
Beträffande utlämnanden som sker på begäran av en annan myndighet och där alltså 15 kap. 5 § sekretesslagen är tillämplig kan det dessutom hävdas att utlämnandet skall ske på grund av lex specialis. En särskild lag om behandling av personuppgifter anger vanligtvis generellt i vilka fall behandling av en uppgift får ske. Ett utlämnande av uppgiften är en av många olika slags behandlingar av uppgiften. En bestämmelse om uppgiftsskyldighet avser emellertid en specifik behandling. Bestämmelserna om uppgiftsskyldighet bör därmed betraktas som lex specialis i förhållande till en mer generell bestämmelse om när uppgifter får behandlas och gälla i första hand.
[…]
Om det visar sig vara så att en särskild lag om behandling av personuppgifter uttömmande anger i vilka fall uppgifter får lämnas är finalitetsprincipen inte tillämplig. Skulle utlämnandet ske efter begäran bör det närmast vara 15 kap. 5 § sekretesslagen som utgör den generella lagstiftningen, medan den särskilda lagen om behandling av personuppgifter blir lex specialis i förhållande till 15 kap. 5 §. Bestäm-
melserna i registerlagstiftningen skulle alltså i detta fall gå före sekretesslagen och utlämnandet utgöra en otillåten behandling.
Även Integritetsskyddskommittén har berört frågeställningen om ändamålsbestämmelser i registerförfattningar och finalitetsprincipen samt påpekat att oklarheterna härvidlag och bristen på samordning och enhetlighet i utformningen av registerförfattningarna medför svårigheter i tillämpningen och överblickbarheten i regelverket, vilket i sin tur innebär en risk för onödiga integritetsintrång, se delbetänkandet Skyddet för den personliga integriteten – Kartläggning och analys (SOU 2007:22 s. 462).
Såvitt avser registerförfattningars ändamålsbestämmelser anförde kommittén bl.a. följande (a. bet. s. 465 f.).
Bestämmelser om sekundära ändamål är emellertid problematiska från den synpunkten att de ibland också avses ge svar på frågan om när uppgifter får lämnas ut. Ibland avser de sekundära ändamålen att uttömmande reglera för vilka ändamål och till vilka som uppgifter får lämnas ut. Så är fallet i den reglering som avser behandling av personuppgifter inom Tullverkets brottsbekämpande verksamhet. Där synes bestämmelserna syfta till att, i betydligt större omfattning än vad som gäller enligt sekretesslagen, inskränka möjligheterna att lämna ut uppgifter till andra myndigheter. Om bestämmelserna skall tillämpas i enlighet med detta syfte torde man för uppgifter som behandlas i enlighet med lagen – vilket bör vara i stort sett alla uppgifter eftersom handläggningen i allt väsentligt är datoriserad – i praktiken ha infört en absolut sekretess i förhållande till andra myndigheter, trots att det i sekretesslagen anges att sekretess på detta område gäller med ett omvänt skaderekvisit.
Bestämmelser om sekundära ändamål kan också vara avsedda att inte uttömmande ange när uppgifter får lämnas ut. Ett sådant syfte framgår i allmänhet inte av lagtexten, men brukar anges i förarbetena. På skatteområdet omfattar de sekundära ändamålen utlämnande till såväl myndigheter som till enskilda som bedriver författningsreglerad verksamhet. I lagtexten görs ingen skillnad mellan utlämnanden som sker på grund av uppgiftsskyldighet, efter en sekretessprövning enligt 14 kap. 3 § sekretesslagen eller därför att det är fråga om utlämnande av offentliga uppgifter. Bestämmelsen synes snarast utgöra någon slags exemplifiering av när utlämnanden kan komma att ske (jfr prop. 2000/01:33 s. 99). Även denna typ av bestämmelser försvårar möjligheterna att avgöra vilket skydd respektive vilka inskränkningar i den enskildes integritet som det är fråga om.
Ett grundläggande problem i sammanhanget synes vara att inte heller när det gäller bestämmelser i registerförfattningar om ändamål med behandlingen har lagstiftaren på något enhetligt sätt tagit ställning till hur sådana regler förhåller sig till bestämmelser i andra lagar som också kan ha betydelse i sammanhanget. Problemet behandlades bland annat av Lagrådet beträffande förslaget om lagstiftning för behandling av personuppgifter på socialförsäkringsområdet (prop. 2002/03:135 s. 159 f.).
I våra direktiv anför regeringen att såsom Integritetsskyddskommittén uppmärksammat förekommer det numera sådana uttömmande ändamålsregleringar som leder till att ett utlämnande av uppgifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen. Enligt regeringens mening bör utgångspunkten vara att ändamålsregleringar som utesluter en tillämpning av finalitetsprincien inte ska förekomma. För att undvika oklarheter beträffande huruvida finalitetsprincipen får tillämpas, dvs. att myndigheten kan göra en egen bedömning av om nya ändamål är oförenliga med ursprungliga ändamål eller inte – för att exempelvis bedöma om en vidarebehandling av personuppgifter som inte uttryckligen anges i de reglerade ändamålen är tillåten eller inte – finns det i nyare registerförfattningar inte sällan uttryckliga hänvisningar till regeln i 9 § första stycket d PuL alternativt att en bestämmelse med motsvarande innehåll tagits in i författningen. Ett exempel är 2 kap. 5 § patientdatalagen där det framgår att personuppgifter som samlats in och behandlas för primära ändamål enligt 2 kap. 4 § också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning samt att i övrigt gäller 9 § första stycket d och andra stycket PuL. Ändamålsregleringen i patientdatalagen är emellertid uttömmande i den meningen att vårdgivare inte själva får besluta om ytterligare primära ändamål för vilket eller vilka personuppgifter kan samlas in i och behandlas i verksamheten, i vart fall inte utan den registrerades uttryckliga samtycke.
Men det finns också från senare tid exempel på författningar som innehåller en uttömmande ändamålsbeskrivning även såvitt avser användning av insamlade uppgifter för nya ändamål. Exempelvis har lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa utformats på så sätt att det inte lämnats något utrymme åt den personuppgiftsansvariga
myndigheten att göra en egen bedömning av om nya ändamål är oförenliga med ursprungliga ändamål eller inte.
I förarbetena till sådana bestämmelser har det brukat anges att personuppgiftslagens finalitetsprincip därmed inte är tillämplig (se t.ex. prop. 2012/13:163 s. 50). Det kan emellertid hävdas att innebörden av uttömmande ändamålsregleringar av det slaget också kan beskrivas på det sättet att lagstiftaren redan har tillämpat finalitetsprincipen och därvid funnit att varje nytt ändamål skulle vara oförenligt med de författningsreglerade ändamålen. Registerförfattningens ändamålsreglering är alltså snarare ett uttryck för finalitetsprincipen så som den tillämpats av lagstiftaren.
Avslutningsvis finns det skäl att erinra om att även om en ändamålsreglering är uttömmande så är, utan att detta särskilt anges, en behandling av personuppgifter som sker för att uppfylla offentlighetsprincipen enligt 2 kap. TF under alla förhållanden alltid tillåten. Detta följer av grundlags företräde framför vanlig lag.
9.2.4. Våra överväganden och förslag
Personuppgiftslagens grundläggande krav ska gälla även då myndigheter behandlar personuppgifter
Förslag: De grundläggande kraven på behandling av person-
uppgifter i 9 § PuL ska tillämpas då myndigheter behandlar personuppgifter. Detta ska gälla oberoende av om behandlingen sker i s.k. strukturerat eller ostrukturerat material. I den nya lagen ska detta tydliggöras genom en hänvisning till 9 § PuL.
Principerna om uppgifternas kvalitet i dataskyddsdirektivets artikel 6 – eller de grundläggande kraven på behandling av personuppgifter som principerna benämns i 9 § PuL – är några av de mest centrala och grundläggande i den dataskyddsrättsliga regleringen.
Att myndigheter ska uppfylla de grundläggande dataskyddsrättsliga principerna vid behandling av personuppgifter får anses självklart och någon annan generell ordning torde strida mot dataskyddsdirektivets krav.
Däremot skulle det måhända kunna hävdas att de grundläggande kraven i 9 § PuL i hög grad ändå redan gäller indirekt för myn-
digheterna genom annan reglering. Exempelvis ställer objektivitetsprincipen och likhetsprincipen enligt 1 kap. 9 § RF, allmänna förvaltningsrättsliga principer såsom dessa kommer till uttryck i förvaltningslagen, reglerna om handlingsoffentlighet och insyn enligt 2 kap. TF, offentlighets- och sekretesslagens och arkivlagens regler om ordning och bevarande av allmänna handlingar m.m. samt myndighetsinstruktioner och andra regleringar som styr vilka uppgifter en myndighet har, sammantaget krav på myndigheterna att bara behandla personuppgifter lagligt och korrekt, att samla in uppgifter bara för författningsreglerade syften eller annars bestämda och berättigade ändamål, att se till att personuppgifter är riktiga och att korrigera felaktigheter osv.
Vid dataskyddsdirektivets implementering i Sverige fördes det inte något resonemang om huruvida det redan fanns nationell reglering som motsvarade kraven i artikel 6.1 när det gäller personuppgiftsbehandling i myndigheters informationshantering och vilken betydelse detta i så fall skulle ha.
Som vi ser det är det med tanke på kopplingen mellan de grundläggande kraven i 9 § PuL och dels den registrerades rättigheter, t.ex. att kunna göra anspråk på skadestånd för kränkning vid behandling i strid mot bl.a. 9 § PuL, dels tillsynsmyndighetens befogenheter, emellertid uppenbart att den särskilda regleringen i 9 § har en självständig betydelse även på myndighetsområdet. Detta alldeles oavsett att motsvarande krav på personuppgiftsbehandlingen i vart fall delvis kan härledas ur annan reglering som har betydelse för myndigheternas informationshantering. Den dataskyddsrättsliga regleringen med specifika skyldigheter, rättigheter och ett eget sanktionssystem utgör nämligen en rättslig dimension som går utöver den som följer av annan reglering av myndigheters informationshantering. Vidare är det av praktiska skäl givetvis en fördel om regleringen är heltäckande och tydlig i fråga om vilka skyldigheter som myndigheten har vad gäller just personuppgiftsbehandling.
Till detta kommer alltså att det under alla förhållanden knappast torde vara förenligt med dataskyddsdirektivet att enbart förlita sig på att annan redan befintlig reglering av myndigheternas informationshantering skulle vara tillräcklig för att fullt ut garantera det skydd som artikel 6 föreskriver. De grundläggande kraven i 9 § PuL bör således gälla även enligt den generella lag som vi föreslår. Vi ser
ingen anledning att reglera detta på något annat sätt än genom en hänvisning till den paragrafen. Nästa fråga blir då om hänvisningen till 9 § ska gälla utan undantag. Vi återkommer till den frågan i det följande.
Vi har i avsnitt 8.3.2 gjort bedömningen att den s.k. missbruksregeln i 5 a § PuL inte bör vara tillämplig vid myndigheters behandling av personuppgifter. Därmed följer att de grundläggande kraven enligt 9 § måste följas av myndigheter även vid behandling av personuppgifter i ostrukturerat material, t.ex. vid e-posthantering, på webbplatser eller i sociala medier m.m. Som har framgått ser vi det som en självklarhet att myndigheter i sin informationshantering alltid ska följa sådana basala krav på laglighet, korrekthet, ändamålsbestämning, adekvans, riktighet och återhållsamhet m.m. som 9 § PuL ger uttryck för. Vi har inte heller kunnat identifiera något reellt eller berättigat behov för myndigheterna till avvikelser från något av paragrafens grundläggande krav. Till detta kommer att det av annan reglering alltså följer att myndigheterna ska hantera personuppgifter på ett sätt som står i samklang med 9 § PuL och detta gäller givetvis alldeles oavsett om behandlingen sker i strukturerad eller ostrukturerad form. Någon bestämmelse som i något avseende kompenserar för att missbruksregeln inte ska vara tillämplig i fråga om de grundläggande kraven vid behandling av personuppgifter i ostrukturerat material anser vi alltså inte vara motiverad.
Ändamålsbestämning
Bedömning: Någon begränsning av för vilka ändamål myndig-
heter får behandla personuppgifter bör inte införas i den nya lagen. Därmed blir huvudregeln att det är den personuppgiftsansvariga myndigheten som, inom ramen för sitt uppdrag, har att närmare specificera för vilket eller vilka ändamål personuppgifter behandlas i verksamheten. Dessa ändamål måste uppfylla det grundläggande kravet på att vara särskilda och uttryckligt angivna redan vid insamlingen.
Det kan dock på vissa områden, t.ex. i fråga om särskilt integritetskänsliga informationssamlingar, finnas anledning att genom särskilda föreskrifter i lag eller förordning om ända-
målsbegränsningar ange ramar för myndigheters personuppgiftsbehandling. Sådana föreskrifter kan tas in i bilaga till lagen eller i annan lag eller förordning.
En grundläggande princip i dataskyddsregleringen är alltså att den personuppgiftsansvarige, senast när personuppgifter samlas in, ska ange särskilda ändamål för den planerade behandlingen. Dessa ändamål sätter gränser för hur uppgifterna därefter får behandlas. Både dataskyddsdirektivet och den föreslagna uppgiftsskyddsförordningen öppnar dock för att medlemsstaterna i sin lagstiftning kan bestämma ändamålen för behandlingen (se dataskyddsdirektivets definition av personuppgiftsansvarig i artikel 2, motsvarande bestämmelse finns i artikel 4 i uppgiftsskyddsförordningen).
Vid vår inventering och genomgång av befintliga registerförfattningar, i synnerhet beträffande sådana som vi kallar informationshanteringsförfattningar, har vi kunnat konstatera att många ändamålsbestämmelser inte tycks leva upp till de krav som ställs på att bestämda ändamål ska vara särskilda och bestämda (9 § första stycket c PuL). Ofta är tillämpningsområdet för en informationshanteringsförfattning beskrivet som ett visst slags verksamhet hos en personuppgiftsansvarig myndighet. Ibland är de primära ändamålen i lagens ändamålsbestämmelser i princip identiska med det beskrivna tillämpningsområdet. Ett exempel är polisdatalagen som har tillämpningsområdet den brottsbekämpande verksamheten. Denna består av verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet samt utreda och beivra brott. Samma kriterier utgör tillåtna primära ändamål enligt lagen vid sidan om ändamålet diarieföring (1 kap. 2 § samt 2 kap.7 och 9 §§polisdatalagen). Den föreslagna domstolsdatalagen har en liknande konstruktion med ett tillämpningsområde, rättskipande och rättsvårdande verksamhet, som i realiteten är identiskt med det tillåtna primära ändamålet enligt lagen, handläggning av mål och ärenden (Ds 2013:10).
Det är tydligt att på så sätt angivna ändamålsbeskrivningar knappast har som syfte att utgöra egentliga ändamålsbestämningar. Syftet är snarare att ändamålsbeskrivningen ska utgöra en precisering i förhållande till 10 § PuL av när personuppgifter alls får behandlas i en viss verksamhet och ofta även i förhållande till 15– 20 §§ PuL såvitt avser känsliga personuppgifter. Ett ofta uttalat
syfte är att på så sätt sätta en ram för personuppgiftsbehandlingen inom vilken den personuppgiftsansvarige måste bestämma sådana särskilda, uttryckliga och berättigade ändamål som avses i 9 § första stycket c PuL (se t.ex. prop. 2007/08:126 s. 227 f.). Man kan alltså säga att det har kommit att ske en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilda bestämda ändamål respektive tillåtna rättsliga grunder för behandling. Detta kan tyckas vara otillfredsställande från rent systematisk utgångspunkt. Det finns vidare från integritetsskyddssynpunkt, menar vi, vissa problem med sådana vida ändamålsbestämningar som nyss nämnts. Det finns nämligen en risk för att tillämparen sammanblandar ändamål med rättslig grund och godtar ett i författning bestämt allmänt ändamål som ett i och för sig särskilt och tillräckligt preciserat ändamål och därför drar den felaktiga slutsatsen att personuppgiftslagens krav är uppfyllda. Ett belysande exempel är uppgiftssamlingen benämnd ”Kringresande” som förts hos Polismyndigheten i Skåne med uppgifter om en stor mängd personer av romsk härkomst. I sin granskning av registret fann Säkerhets- och integritetsskyddsnämnden stora brister. Den allvarligaste bristen ansåg nämnden vara att ändamålet med personuppgiftsbehandlingen var alldeles för vitt. Visserligen föll det ändamål som åberopats, ”Länsövergripande brottslighet”, inom ramen för sådan underrättelseverksamhet som avses med det ändamål som anges i 2 kap. 7 § 1 polisdatalagen. Det uppfyllde dock inte det grundläggande kravet i 9 § första stycket c PuL – som också gäller vid behandling enligt polisdatalagen – på att insamling bara ska ske för särskilda, uttryckligt angivna och berättigade ändamål. Nämnden fortsatte enligt följande (uttalande 2013-11-15, dnr 173-2013).
Ett oprecist ändamål ger inga ramar för personuppgiftsbehandlingen, vilket i praktiken sätter integritetsskyddet ur spel. Vidare är det klarlagt att det inte finns behov av att registrera alla de personer som finns i uppgiftsamlingen, inte ens med det vida ändamål som gällt. En annan allvarlig brist är att det inte finns ett tillräckligt tydligt samband mellan den av polismyndigheten angivna brottsligheten och de personuppgifter som behandlas. Sammantaget förefaller därför uppgiftssamlingen i vart fall delvis ha fått karaktären av en ”bra att ha”-uppgiftssamling.
Genom att i registerlagar ange mycket vida ändamål riskerar man alltså att tillämparen betraktar varje personuppgiftsbehandling som faller in under det i författning beskrivna ändamålet som en laglig
personuppgiftsbehandling eller, i vart fall, att varje begränsning i förhållande till lagens ändamålsbestämning är tillräcklig som ändamålsprecisering. Mot den bakgrunden menar vi att det kan ge ett i praktiken bättre integritetsskydd om den personuppgiftsansvarige är hänvisad enbart till att utifrån de grundläggande kraven i 9 § första stycket c på eget ansvar formulera ändamål som är tillräckligt specifika för att ge ledning för vilka uppgifter som är adekvata och inte för många för den aktuella behandlingen osv. Sådana mer specifika ändamålsbestämningar är vidare ägnade att underlätta för dels enskilda registrerade som vill kontrollera ändamålsenligheten i behandlingen av uppgifter om honom eller henne, dels tillsynsmyndighetens motsvarande kontroll.
Även när författningsreglerade ändamål är mer begränsade till sin utformning innefattar bestämningen ofta ett bemyndigande för den personuppgiftsansvariga myndigheten att behandla personuppgifter som behövs för att utföra en uppgift som myndigheten under alla förhållanden är ålagd att utföra enligt annan lagstiftning, myndighetsinstruktion, regeringsbeslut eller liknande. Något förenklat kan förhållandet beskrivas som att myndigheten enligt registerlagen får behandla de personuppgifter som myndigheten måste behandla i enlighet med vad som direkt eller indirekt följer av annan reglering som styr vilka uppgifter myndigheter har. Såvitt avser Skatteverket föreskrivs t.ex. i 1 kap. 4 § första stycket 2 lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet att verket får behandla uppgifter som behövs för det bestämmande av pensionsgrundande inkomst som Skatteverket samtidigt har ett åliggande att beräkna enligt 59 kap. SFB.
Som vi ser det är emellertid regler om vad myndigheter ska och får göra – och därmed vilken informationshantering som de behöver ägna sig åt – i grunden verksamhetsfrågor som inte hör hemma i dataskyddsregleringen utan bör regleras i annat sammanhang. En informationshanteringsförfattning bör enligt vår mening bara innehålla sådana bestämmelser som behövs därför att den insamlade informationen innehåller personuppgifter som hanteras elektroniskt – eller i manuella register – och därmed aktualiserar dataskyddsrättsliga frågor. Att genom ändamålsbestämningar styra vilka personuppgifter myndigheterna får samla in i sin verksamhet för att utföra sina åligganden innebär alltså ett slags dubbelreglering som inte alltid ter sig som en lämplig ordning.
Visserligen görs det genom ändamålsbestämningar tydligt för allmänhet och för registrerade inom vilka ramar myndigheter får samla in och behandla personuppgifter. Detta kan ha ett värde, särskilt när den reglering utifrån vilken myndigheter bedriver sin verksamhet är uppsplittrad på en mängd olika författningar och på skilda normnivåer. Information om vilken personuppgiftsbehandling som sker inom en viss myndighet kan emellertid mycket väl ges på annat sätt än genom författningsreglering. Vi återkommer till den frågan i kapitel 16.
Enligt vår mening kan det – bortsett från särskilt integritetskänslig behandling – ifrågasättas i vilken mån det egentligen är till gagn för registrerades personliga integritet med den ”dubbelreglering” som ges genom att först föreskriva att myndigheten ska göra något och sedan att den också får göra det. Till detta kommer att sådan dubbelreglering kan motverka effektiviteten i förvaltningen även när detta knappast är påkallat från integritetsskyddsynpunkt. Om en ny uppgift åläggs en myndighet och uppgiften ställer krav på personuppgiftsbehandling som inte redan faller in under en befintlig ändamålsbestämmelse, måste denna först ändras. Det kan vara en tämligen arbetskrävande och utdragen process eftersom ändamålsbestämmelser ofta har lagform. Såvitt vi har erfarit är det på inget sätt ovanligt att planerade nya effektivitetsfrämjande myndighetsövergripande samarbeten bromsas eller omöjliggörs därför att nödvändigt informationsutbyte förhindras på grund av att någon parts ändamålsbestämmelser inte är anpassade till den nya uppgiften. Ändamålsbestämmelser kan alltså föranleda tids- och resurskrävande lagstiftningsåtgärder även i situationer när detta inte framstår som särskilt angeläget från integritetsskyddssynpunkt.
Det är vidare vår uppfattning att frågan i vad mån en myndighet får lämna ut personuppgifter till andra myndigheter inte bör regleras genom ändamålsbestämmelser. Den diskussion som förekommit genom åren visar t.ex. att bestämmelser om s.k. sekundära ändamål ofta leder till tillämpningsproblem och osäkerhet angående förhållandet till andra bestämmelser, främst de i offentlighets- och sekretesslagen. Dessutom kan sekundära ändamål, som i realiteten ofta inte är uttömmande angivna, bidra till att uppgifter uppfattas vara i högre grad kringgärdade av restriktioner beträffande utlämnanden än vad som egentligen är fallet. Vi instämmer alltså i vad Integritetsskyddskommittén anfört om att utlämnande av uppgifter
till andra myndigheter inte bör regleras genom ändamålsbestämmelser. En helt annan sak är att det kan krävas bestämmelser som tillåter rutinmässigt utbyte av sekretessreglerade personuppgifter mellan myndigheter på sätt som ger stöd för att tillämpa den sekretessbrytande s.k. generalklausulen i 10 kap. 27 § OSL. Sådana bestämmelser bör dock, som vi redan har berört i avsnitt 5.7.2, inte rubriceras som eller i övrigt utformas som dataskyddsrättsliga ändamålsbestämmelser.
Sammanfattningsvis menar vi alltså att det finns avsevärda nackdelar förknippade med den regleringsmodell som hittills tillämpats och som inneburit att ändamålen – såväl primära som sekundära – ofta har författningsreglerats. Vi ser det inte som ändamålsenligt att den nya lagen skulle utgå från en huvudregel om att sådana bestämmelser ska finnas. Visserligen kan det inte uteslutas att det i specifika fall kan finnas en befogad anledning för lagstiftaren att genom ändamålsbestämningar reglera utrymmet när det gäller för vilka syften personuppgifter får behandlas. Det torde framför allt vara aktuellt beträffande personuppgifter i särskilt integritetskänsliga register eller andra uppgiftssamlingar. Exempelvis kan det vid direktåtkomst till sådana uppgiftssamlingar finnas anledning att genom för den mottagande myndigheten bindande bestämmelser reglera för vilka ändamål den ska få använda sin direktåtkomst genom att faktiskt överföra tillgängliga personuppgifter till sin verksamhet för läsning, nedladdning eller någon annan åtgärd som innebär en behandling i lagens mening. Sådana avgränsade ändamålsbestämmelser kan ges i den förordning som är avsedd att ansluta till den nya lagen eller, om det är lämpligare, i en särskild författning. I den mån det bedöms att lagform erfordras kan sådana bestämmelser tas in i en bilaga till den nya lagen. Valet kan bl.a. påverkas av var själva direktåtkomsten regleras, se vidare avsnitt 11.1 angående våra överväganden och förslag beträffande regleringen av direktåtkomst.
Mot bakgrund av det sagda är det vår samlade bedömning att den nya lagen inte bör innehålla några ändamålsbestämmelser eller förutsätta att sådana bestämmelser ska finnas. Vi föreslår därför inte någon sådan reglering. Vidare är det vår uppfattning att huvudregeln bör vara att ändamålen för myndigheters personuppgiftsbehandling inte bör särregleras i förhållande till den nya lagen.
Behandling av insamlade personuppgifter för nya ändamål
Bedömning: Finalitetsprincipen ska gälla då myndigheter behand-
lar personuppgifter med stöd av den generella lagen. Detta följer av hänvisningen till 9 § PuL.
Myndigheter kan bedriva sådan verksamhet där separata behandlingar sker för skilda ändamål eller för flera ändamål samtidigt. Finalitetsprincipen såsom den kommer till uttryck i 9 § första stycket d PuL ger utrymme för en rimlig flexibilitet hos personuppgiftsansvariga myndigheter utan att det i alltför hög grad sker på bekostnad av den registrerades intresse av att insamlade uppgifter om honom eller henne inte används i en oöverblickbar kedja av nya ändamål och sammanhang. Finalitetsprincipen såsom den kommer till uttryck i personuppgiftslagen bör alltså gälla även för myndigheter. Detta behöver inte regleras särskilt utan följer av hänvisningen till 9 § PuL. Den grundläggande regeln om att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in blir därmed generellt tillämplig enligt den nya lagen.
Liksom normalt är fallet i dag, får det då behov uppstår inom den egna myndigheten av att behandla personuppgifter för nya ändamål göras en bedömning av om det nya ändamålet är oförenligt med de ursprungliga ändamål som fanns angivna då uppgifterna samlades in till myndigheten. Även om bedömningen blir att det nya ändamålet inte är oförenligt med det ursprungliga, så innebär det inte med självklarhet att behandlingen för det nya ändamålet är tillåten. Behandlingen för det nya ändamålet måste även vara nödvändig för att myndigheten ska kunna utföra en verksamhet som myndigheten ska eller får bedriva. Även de övriga grundläggande kraven i 9 § PuL måste iakttas. Personuppgifterna måste t.ex. vara adekvata och inte för många i förhållande till det nya ändamålet m.m.
När det gäller frågan om utlämnande av personuppgifter till andra myndigheter eller till enskilda är det alltså vår uppfattning att behandling i form av utlämnanden är förenliga med finalitetsprincipen så länge som utlämnandena som sådana sker i överensstämmelse med lag eller förordning enligt vilken uppgifterna får eller ska lämnas ut. Härmed avses i första hand utlämnanden till annan myndighet enligt 6 kap. 5 § OSL och utlämnanden av sekre-
tessreglerade uppgifter till en annan myndighet eller enskild, på begäran eller på eget initiativ, som sker med stöd av någon sekretessbrytande bestämmelse. Vi menar alltså att lagstiftaren genom att reglera ett uppgiftslämnande får anses ha tagit ställning till att sådana utlämnanden som ska eller får ske inte är oförenliga med ursprungliga ändamål. Myndigheterna är alltså bundna av den prövning enligt finalitetsprincipen som lagstiftaren gjort genom exempelvis en sekretessbrytande bestämmelse. I praktiken innebär detta att den nya lagen inte reglerar i vad mån personuppgifter får behandlas genom att lämnas ut från en myndighet så länge som utlämnandet sker i enlighet med offentlighets- och sekretesslagen eller bestämmelser i annan författning av innebörd att uppgifter får eller ska lämnas, på begäran eller självmant. En helt annan sak är att de krav som den nya lagen ställer på den personuppgiftsbehandling som själva utlämnandet innefattar givetvis ändå gäller, exempelvis kravet på adekvata säkerhetsåtgärder. Även vid sådana utlämnanden – liksom vid annan behandling av insamlade personuppgifter för icke oförenliga nya ändamål – måste vidare de grundläggande kraven i 9 § PuL iakttas. Det är t.ex. inte tillåtet vid ett enstaka fall av utlämnande på begäran av annan myndighet att lämna ut fler personuppgifter än vad som behövs för syftet med utlämnandet, dvs. att tillgodose mottagande myndighets begäran. Detta gäller alldeles oavsett om det kan leda till merarbete inom myndigheten att t.ex. sortera bort viss överflödig information före utlämnandet (9 § första stycket f PuL).
Tillämpningen av finalitetsprincipen ger således inte upphov till någon verklig – eller skenbar – konflikt mellan den nya lagen och sekretesslagstiftningen och bestämmelser i andra författningar som påbjuder eller tillåter uppgiftsutbyte. Vi har övervägt behovet av att klargöra detta genom en särskild föreskrift i den nya lagen men kommit till slutsatsen att detta inte behövs. Eftersom den nya lagen ska vara subsidiär till avvikande bestämmelser i annan lag eller förordning kommer bestämmelser i annan lag eller förordning om att utlämnanden ska eller får ske alltid att ha företräde.
Vilka personuppgifter får behandlas?
Bedömning: Utöver det slags personuppgifter för vilka data-
skyddsdirektivet uppställer särskilda krav – känsliga personuppgifter, uppgifter om lagöverträdelser m.m. och personnummer eller samordningsnummer – bör det inte införas några regler om vilka personuppgifter som får eller inte får behandlas. Det grundläggande kravet på att inte fler personuppgifter än vad som är nödvändigt för ändamålet med behandlingen tillsammans med de övriga grundläggande kraven i 9 § PuL sätter gränsen för vilka personuppgifter som får behandlas.
Från integritetssynpunkt är det väsentligt att inte andra personuppgifter behandlas hos en myndighet än vad som är befogat utifrån myndighetens verksamhetsbehov. Dessa behov varierar i samma grad som det finns skillnader i myndigheternas verksamheter, dvs. i hög grad. Vi har emellertid ställt oss frågan om det finns skäl att – utöver det slags personuppgifter för vilka dataskyddsdirektivet uppställer särskilda krav, känsliga personuppgifter och uppgifter om lagöverträdelser m.m. – införa generella regler om vilket slags personuppgifter som myndigheter ska få behandla.
De grundläggande kraven enligt 9 § PuL innebär att insamling av uppgifter bara får ske för särskilda, uttryckliga och berättigade ändamål. De grundläggande kraven innebär vidare att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella. Hänvisningen till 9 § PuL innebär att de kraven kommer att gälla även vid behandling enligt den nya lagen. Att behandla ovidkommande eller onödigt många personuppgifter sett till de bestämda ändamålen är därmed olagligt. Dessa grundläggande krav innebär en såväl kvantitativ som kvalitativ begränsning i fråga om vilka personuppgifter som alls får behandlas inom en myndighet. Kan t.ex. en arbetsuppgift utföras tillfredsställande även med utlämnande av personuppgifter, t.ex. uppgifter om registrerades namn, är de grundläggande kraven i 9 § första stycket e och f inte uppfyllda, namnet behövs nämligen inte.
Prövningen av om en personuppgift är nödvändig för en viss behandling eller inte måste enligt vår mening göras kontinuerligt av myndigheterna och inte bara då uppgiften registreras eller på annat sätt samlas in i verksamheten. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den hanteringen. Det sagda innebär t.ex. att även om uppgiften om den registrerades namn med nödvändighet måste behandlas i handläggningen av ett ärende där den registrerade är part, så kanske namnuppgiften inte behövs vid en senare behandling t.ex. för att göra verksamhetsuppföljningar, i undervisningssammanhang eller för att informera allmänheten om principiellt viktiga avgöranden exempelvis genom att publicera dem på myndighetens webbplats. Det måste alltså vid sådan senare behandling alltid prövas om det går att utelämna personuppgifterna eller, i vart fall, att endast använda uppgifter som indirekt går att härleda till enskild person.
Enligt vår mening följer det av kraven enligt 9 § första stycket e, om adekvans och relevans i förhållande till ändamålen med behandlingen, samt f, om uppgiftsminimering, att myndigheter i så stor utsträckning som är möjligt använder personuppgifter som endast indirekt är hänförliga till den registrerade. Vi menar att detta också är förenligt med en rättssäker, effektiv och smidig förvaltning. I många sammanhang då sammanställd data tas fram för utförandet av en viss arbetsuppgift kan t.ex. olika former av kodning vara ett lämpligt sätt att skydda enskildas integritet.
I sammanhanget bör vidare erinras om att för det fall fullständig avidentifiering från verksamhetssynpunkt är ett fullgott alternativ till att använda direkta eller indirekta personuppgifter, är de lagliga förutsättningarna för att alls behandla personuppgifter utan den registrerades samtycke inte uppfyllda. Behandlingen behövs helt enkelt inte.
Som vi ser det innebär de grundläggande kraven enligt 9 § PuL en tillräcklig avgränsning i fråga om vilka slags personuppgifter myndigheter ska få behandla. Vi ser därmed inget behov av att införa några ytterligare regler om detta i den nya lagen.
En allmän och heltäckande rättslig grund för myndigheternas behandling av personuppgifter
Förslag: Bestämmelserna i 10 § a–f PuL om när behandling av
personuppgifter är tillåten oberoende av samtycke ska inte tillämpas när myndigheter behandlar personuppgifter enligt den nya lagen. I stället införs en bestämmelse i lagen som innebär att en myndighet får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sin verksamhet.
Det är ett starkt allmänt intresse att myndigheterna ska kunna bedriva sina olika slags verksamheter på ett ändamålsenligt sätt, även om det innefattar elektronisk behandling av personuppgifter. Informationsteknikens genomslag på alla nivåer och i alla sammanhang medför att myndigheter i praktiken inte kan välja att behandla personuppgifter manuellt, i vart fall inte på ett sätt som inte omfattas av personuppgiftslagens regler. Det allmänna intresset av att myndigheternas verksamhet bedrivs effektivt och ändamålsenligt tillsammans med karaktären på myndigheternas verksamhet medför vidare att personuppgiftsbehandlingen knappast kan bygga på att registrerade lämnar sitt samtycke till behandlingen.
Artikel 7 i dataskyddsdirektivet innebär att medlemsstaterna ska föreskriva att personuppgifter får behandlas utan samtycke bara i de fall som anges i artikeln. Bestämmelsen i artikel 7 har i princip ordagrant implementerats genom 10 § PuL om när personuppgiftsbehandling är tillåten. Det står klart att artikel 7 i dataskyddsdirektivet på ett eller annat sätt måste genomföras även i den lag med en samlad reglering av myndigheters personuppgiftsbehandling som vi föreslår. Frågan är om detta, såsom beträffande 9 § PuL, bör ske genom en hänvisning till 10 § eller om det bör ske genom införandet av en reglering som ersätter den paragrafen, dvs. genom den metod som kan sägas vara den normala beträffande registerförfattningar.
De allmänt hållna bestämmelserna i 10 § PuL riktar sig till alla personuppgiftsansvariga oavsett om de är enskilda eller myndigheter och är bl.a. av den anledningen inte helt enkla att tillämpa på myndighetsområdet. Vi menar att en särskild bestämmelse med motsvarande innebörd i den generella lagen kan antas på ett bättre sätt tydliggöra och förenkla vad som ska gälla i fråga om när myn-
digheter får behandla personuppgifter. När det gäller utformningen av en sådan bestämmelse beaktar vi följande.
Varken en statlig eller kommunal myndighet kan på eget initiativ ta på sig nya uppgifter. Utgångspunkten är således att frågan om vilken personuppgiftsbehandling som behöver ske inom en viss myndighet styrs av vad myndigheten ålagts i form av uppgifter. Myndigheters verksamhet består emellertid inte enbart av aktiviteter som direkt går att identifiera såsom utförande av rättsliga skyldigheter, myndighetsutövning eller andra uppgifter och befogenheter som klart framgår av författning, regleringsbrev eller särskilda beslut. Varje myndighet har också ett ansvar för att planera, följa upp och kontrollera den egna verksamheten. En aktiv verksamhetsutveckling och kvalitetssäkring är vidare av mycket stor betydelse inom den offentliga sektorn och något som förväntas av alla myndigheter. Även i sådan verksamhet uppstår emellertid behov av att behandla personuppgifter. Ofta handlar det om analyser eller statistiska bearbetningar av uppgifter som redan har samlats in i myndighetens löpande verksamhet, men det kan också handla om insamling av uppgifter t.ex. genom enkäter m.m. Här kan också nämnas myndigheternas serviceverksamhet, kommunala medborgardialoger m.m. som bl.a. kan innebära aktiviteter som innefattar personuppgiftsbehandling. Nu nämnda exempel på aktiviteter är i normalfallet inte reglerade beträffande vad som ska utföras och hur det ska ske på samma sätt som är fallet beträffande myndigheternas ordinarie verksamheter. Det innebär dock inte att de sker i ett rättsligt vakuum. Den yttre ramen är givetvis det samband som alltid måste finnas med myndighetens grundläggande uppgifter och befogenheter.
Vissa myndigheter har utöver sina reglerade uppgifter också getts befogenheter att bedriva uppdragsverksamhet som kan innefatta försäljning av varor eller tjänster m.m. Detta framgår ofta av myndighetens instruktion, såsom är fallet t.ex. beträffande Statens fastighetsverk, E-hälsomyndigheten eller Skogsstyrelsen. Ett annat exempel är Lantmäteriet som har ålagts att försörja samhället med grundläggande information och därutöver getts befogenheter att bedriva uppdragsverksamhet i form av försäljning av olika tjänster. Forskningsverksamhet är en verksamhet som Folkhälsomyndigheten har getts befogenhet att bedriva medan det för andra myndigheter är ett åliggande, t.ex. för universitet och högskolor eller Brotts-
förebyggande rådet. Verksamhet av nu angivet slag kan regelmässigt också antas förutsätta att behandling av personuppgifter sker.
Till det sagda kommer reglering som direkt eller indirekt ålägger myndigheterna skyldigheter att registrera eller dokumentera information vari det med nödvändighet kan ingå personuppgifter, t.ex. generella bestämmelser såsom 5 kap. OSL om registrering av allmänna handlingar eller mer specifik reglering för olika myndigheter att utföra t.ex. viss dokumentering m.m. Alla myndigheter har vidare skyldigheter att tillhandahålla och bevara allmänna handlingar vilket som regel inbegriper behandling av personuppgifter.
Myndigheters verksamhet är således inte egeninitierad utan styrd både när det handlar om ålagda uppgifter och givna befogenheter. Vi föreslår mot den bakgrunden en bestämmelse som anger att en myndighet får behandla personuppgifter när det är nödvändigt för att myndigheten ska kunna utföra sin verksamhet. Härmed avses sådan verksamhet som en myndighet enligt det ovan sagda ska eller får bedriva. En sådan generell rättslig grund för myndigheters personuppgiftsbehandling är ägnad att i hög grad förenkla för myndigheterna när de ska bedöma om en viss personuppgiftsbehandling är tillåten eller inte samtidigt som den tydliggör för allmänheten vilken rätt myndigheterna har att behandla personuppgifter oberoende av de registrerades samtycke.
Enligt vår bedömning kan det inte råda någon tvekan om att en generell regel av angivet slag är förenlig med dataskyddsdirektivet. Som har framgått ovan råder det knappast något tvivel om att myndigheters verksamhet ryms under de olika punkterna i artikel 7 och den föreslagna bestämmelsen kan inte sägas innebära någon utvidgning i sak av vad som följer av den artikeln. Vad det är fråga om är behandling av personuppgifter som är nödvändig för att en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ska kunna utföras (artikel 7 e, jfr 10 § d och e PuL). Förutom att myndighetsverksamhet som ska eller får bedrivas är av allmänt intresse, sker informationshanteringen i verksamheten ofta som en följd av en rättslig förpliktelse (artikel 7 c, jfr 10 § b PuL). Den av oss föreslagna bestämmelsen kommer alltså sakligt sett inte att innebära någon förändring gentemot vad som skulle följa av en tillämpning av 10 § PuL.
För att en personuppgiftsbehandling ska vara tillåten räcker det emellertid inte med att myndigheten är ålagd eller har befogenhet
att utföra en viss verksamhet. Enligt artikel 7 i direktivet krävs också att det är nödvändigt att behandla personuppgifterna.
Vi har övervägt om nödvändighetsbegreppet, på motsvarande sätt som gjorts i flera informationshanteringsförfattningar, kunde ersättas av uttryckssättet att personuppgiftsbehandlingen ska behövas. På så sätt skulle obalansen i förhållande till begreppsanvändningen i offentlighets- och sekretesslagen kunna elimineras. I sekretesslagstiftningen används nämligen rekvisitet nödvändigt med en avsevärt mera snäv innebörd än vad som åsyftas med samma rekvisit i dataskyddsdirektivet. Enligt exempelvis 10 kap. 2 § OSL om nödvändigt utlämnande används rekvisitet nödvändigt för att tillämpningen av den sekretessbrytande bestämmelsen ska vara restriktiv och för att markera att det inte ska finnas utrymme för att tillämpa bestämmelsen för att motverka nedsatt effektivitet i myndighetens verksamhet. Men dataskyddsdirektivets och personuppgiftslagens nödvändighetsbegrepp är alltså avsevärt mera tillåtande. Det vore en god sak om man genom ett annat ordval kunde markera betydelseskillnaden mellan sekretesslagstiftningen och dataskyddsregleringen. Ordet nödvändig – ”necessary” i den engelska versionen – används emellertid i direktivet som ett självständigt unionsrättsligt begrepp (EU-domstolens dom den 16 december 2008 i mål C-524/06, Huber). Mot den bakgrunden anser vi inte att det finns utrymme att ersätta ordet nödvändig med ordet behövs eller något annat uttryck eftersom detta skulle riskera att leda till en tolkning som vore oförenlig med unionsrätten. Vi föreslår därför att begreppet nödvändig ska användas även i den nya lagen.
Med nödvändighetsrekvisitet avses detsamma som i 10 § PuL. Den närmare innebörden är således inte entydig. Som har framgått har det antagits att om en arbetsuppgift kan utföras nästan lika enkelt eller billigt med utelämnande av personuppgifter eller med personuppgifter som har avidentifierats, är rekvisitet inte uppfyllt (SOU 1997:39 s. 359). Viss vägledning ges vidare av EU-domstolens ovan nämnda dom i målet Huber. Till bilden hör vidare att det inte är helt oproblematiskt att särskilja frågorna om dels vilken behandling som är nödvändig för en verksamhet av visst slag, dels huruvida det grundläggande kravet att inte använda fler personuppgifter än vad som är nödvändigt för ändamålet med behandlingen är uppfyllt (9 § f PuL). Det är emellertid en svårighet som redan gäller vid en tillämpning av personuppgiftslagen och som
tycks vara inbyggd i dataskyddsdirektivet. Detta exemplifieras av Huber-domen där det t.ex. inte ansågs nödvändigt enligt artikel 7 e att behandla personuppgifter för statistikändamål. Den prövningen kan tyckas ligga nära det slags prövning som måste göras enligt principen om uppgiftsminimering enligt de grundläggande kraven. Frågeställningen om avgränsningen – eller rättare överlappningen – mellan nödvändighetskravet enligt den rättsliga grunden för myndigheters behandling som föreslås tas in i den nya lagen och de grundläggande kraven enligt 9 § PuL är alltså en generell företeelse som måste hanteras i rättstillämpningen. Det är också en överlappning som tycks leva vidare vid införandet av en kommande uppgiftsskyddsförordning. Enligt kommissionens förslag ska dels gälla som en princip om behandling av personuppgifter att ”personuppgifter bara ska behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter” (artikel 5 c), dels gälla att behandlingen, om den sker utan samtycke, ska vara nödvändig för vissa situationer (artikel 6.1 b–c).
Betydelsen av den registrerades inställning
Förslag: Det ska anges i den nya lagen att behandling av per-
sonuppgifter som är tillåten enligt lagen eller föreskrifter som meddelats i anslutning till lagen får utföras även om den enskilde motsätter sig behandlingen.
Vi föreslår alltså en grundläggande regel om att personuppgifter får – utan den registrerades samtycke – behandlas av en myndighet när det är nödvändigt för att myndigheten ska kunna utföra verksamhet som myndigheten ska eller får bedriva. Bestämmelsen ersätter 10 § PuL och är, som vi framhållit ovan, enligt vår mening förenlig med vad som sammantaget följer av artikel 7 b–f dataskyddsdirektivet.
I dataskyddsdirektivet tillmäts emellertid den enskilde registrerades inställning till personuppgiftsbehandling som regel en central och avgörande betydelse. Direktivet innehåller bestämmelser som berör frågor om verkan av att den enskilde registrerade dels samtycker till, dels motsätter sig en personuppgiftsbehandling. Genom artikel 7 åläggs medlemsstaterna att föreskriva att personuppgifter
får behandlas endast om den registrerade otvetydigt har lämnat sitt samtycke eller någon av de grunder för behandling utan samtycke som anges i b–f om nödvändig behandling är uppfyllda. Samtycke definieras i artikel 2 h som varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom. Enligt artikel 14 a i dataskyddsdirektivet ska den registrerade tillförsäkras rätten att – i vart fall då personuppgifter får behandlas utan samtycke därför att en arbetsuppgift av allmänt intresse skall kunna utföras eller i samband med myndighetsutövning eller efter en intresseavvägning (artikel 7 e och f, jfr 10 § d–f PuL) – ”när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat” När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter.
Sverige har utnyttjat den möjlighet till undantag i den nationella lagstiftningen som ges i artikel 14 a. Enligt personuppgiftslagen har den registrerade bara getts en uttrycklig rätt att motsätta sig behandling för direkt marknadsföring, 11 § PuL, samt en rätt enligt 12 § PuL att återkalla ett lämnat samtycke då behandling av personuppgifter bara är tillåten med ett sådant samtycke enligt vissa angivna paragrafer. I övrigt kan den registrerade inte med rättslig verkan motsätta sig sådan behandling som är tillåten enligt 10 § personuppgiftslagen.
I särlagar i förhållande till personuppgiftslagen, främst informationshanteringsförfattningar, förekommer ibland bestämmelser som klargör att den registrerade inte med rättslig verkan kan motsätta sig den behandling av personuppgifter som är tillåten enligt lagen i fråga. Bestämmelserna har tillkommit mot bakgrund av att Lagrådet i några tidiga lagstiftningsärenden rörande särlagar för myndigheters behandling av personuppgifter förordade att bestämmelser skulle intas i lagarna som uttryckligen angav att den registrerade inte hade rätt att motsätta sig personuppgiftsbehandlingen enligt särlagarna, se t.ex. prop. 2000/01:33 s. 346 och lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet samt 114 kap. SFB rörande behandling av personuppgifter inom socialförsäkringens administration. Lagrådet, och senare även regeringen, har därvid åberopat ett behov av en uttrycklig reglering mot
bakgrund av vad artikel 14 a i dataskyddsdirektivet föreskriver om att den enskilde åtminstone i vissa fall skall garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning, se ovan.
Mera sällan förekommer reglering som klargör vad som gäller i fråga om huruvida den registrerades eventuella samtycke till en viss personuppgiftsbehandling i sig kan utgöra en legitim grund för behandlingen.
I 2 kap. 3 § patientdatalagen föreskrivs att behandling som inte är tillåten enligt lagen ändå får ske, med vissa undantag enligt angivna paragrafer i lagen, om den enskilde lämnat uttryckligt samtycke till behandlingen. Vidare föreskrivs att regeringen får meddela föreskrifter om att en behandling som inte är tillåten enligt lagen inte heller i andra fall får utföras trots att den enskilde uttryckligen samtyckt till behandlingen. I motiven till bestämmelsen anfördes bl.a. att paragrafen kan sägas ge uttryck för att en enskilds uttryckliga samtycke till en viss behandling av personuppgifter rörande honom eller henne normalt ska respekteras (prop. 2007/08:126 s. 227).
Av 7 § studiestödsdatalagen framgår att den enskilde kan samtycka till behandling för andra ändamål än de i lagen angivna ändamålen för behandling som är tillåten oavsett om den registrerade motsätter sig den. I motiven till bestämmelsen anfördes bl.a. att Centrala studiestödsnämnden redan erbjuder service av visst slag åt studiestödsberättigade. I den serviceverksamheten kan det finnas behov av att behandla registrerades personuppgifter för andra ändamål än dem som anges i studiestödsdatalagen. En förutsättning för den erbjudna servicen är att de registrerade samtycker till att deras personuppgifter behandlas för serviceändamålet. Enligt regeringen fanns det inget beaktansvärt integritetsskyddsintresse som talade mot att sådan behandling skulle få ske med stöd av den registrerades samtycke. Mot den bakgrunden fann regeringen vidare att det inte var nödvändigt med bestämmelser som förbjuder eller gör det möjligt att förbjuda behandling i studiestödsverksamheten som sker med den registrerades samtycke (prop. 2008/09:96 s. 47 f.).
När det gäller sådana informationshanteringsförfattningar som gäller i stället för personuppgiftslagen men där det hänvisas till bestämmelser i personuppgiftslagen som ska vara tillämpliga före-
kommer i gällande rätt ingen hänvisning till 10 § PuL, vare sig till samtyckesgrunden eller till grunderna för behandling utan samtycke. Inte heller brukar hänvisas till 15 § enligt vilken förbudet mot behandling av känsliga personuppgifter inte gäller om den registrerade uttryckligen samtyckt till behandlingen. Däremot hänvisas inte sällan till 34 § PuL enligt vilka den registrerades samtycke utgör laglig grund för överföring av personuppgifter till tredjeland. Ett exempel på det sagda är lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Såsom denna lag konstruerats torde det emellertid inte finnas något utrymme för Skatteverket att behandla personuppgifter med stöd av den enskildes samtycke om inte behandlingen ryms inom de ramar som ges i ändamålsregleringen i 1 kap. 4 och 5 §§.
Ska den registrerade kunna motsätta sig behandling?
Som vi redan har konstaterat kan myndigheternas informationshantering knappast göras beroende av att den registrerade samtycker till behandlingen. Inte heller bör den registrerade kunna motsätta sig behandlingen. Liksom i dag bör således gälla att den enskildes inte med stöd av dataskyddsregleringen ska kunna hindra en personuppgiftsbehandling som sker lagligen. Mot den bakgrunden bör det införas en bestämmelse som klargör att den registrerade inte kan motsätta sig en sådan behandling av personuppgifter som är tillåten enligt lagen. Utan en uttrycklig bestämmelse om detta är det nämligen tveksamt om regleringen kan anses utgöra en sådan nationell lagstiftning som krävs enligt artikel 14 a i dataskyddsdirektivet för att göra undantag från kravet på att enskilda ska garanteras en rätt att motsätta sig behandling som sker för att bl.a. utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Av lagtekniska skäl bör detta framgå i en egen bestämmelse i den nya lagen snarare än genom en hänvisning till 12 § PuL.
Samtycke som rättslig grund för behandling?
Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt såväl dataskyddsdirektivet som personuppgiftslagen. En avgörande skillnad mellan samtycke och de övriga rättsliga grunderna för behandling är att det vid samtycke inte finns något nödvändighetsrekvisit. Vi har ställt oss frågan i vilken mån det kan finnas anledning att i den nya lagen föreskriva samtycke som rättslig grund för viss behandling. Om samtycke skulle vara en rättslig grund för myndigheters personuppgiftsbehandling skulle en myndighet inte behöva ta ställning till om personuppgiftsbehandlingen är nödvändig för att myndigheten ska kunna utföra sin verksamhet.
Man kan anta att det kommer att uppkomma situationer i myndigheternas verksamheter där det antingen anses etiskt lämpligt att inhämta den enskildes samtycke eller där detta behövs för att undanröja tveksamheter om behandlingen i fråga verkligen är nödvändig för att myndigheten ska kunna utföra sin verksamhet. Rena servicefunktioner kan vara exempel på detta. Många myndigheter är aktiva när det gäller att skapa och tillhandahålla elektronisk service för medborgarna, t.ex. e-tjänster eller andra serviceåtaganden som kan inbegripa personuppgiftsbehandling. Detsamma kan gälla för verksamhetsutveckling genom egeninitierad försöksverksamhet, bemötandeprojekt eller liknande som t.ex. kan inbegripa enkätundersökningar eller intervjuer och som myndigheterna visserligen utför inom ramen för sina verksamheter men som man inte är direkt ålagda att utföra. I den mån det är fråga om frivilligt deltagande kommer detta givetvis rent faktiskt bara att kunna äga rum med den registrerades samtycke. Huruvida samtycket också ska utgöra den rättsliga grunden för personuppgiftsbehandlingen är en helt annan sak.
Vi menar att det är av avgörande betydelse för förtroendet för myndigheternas verksamhet att utgångspunkten bör vara att myndigheterna dels bara behandlar personuppgifter när det är nödvändigt i dataskyddsrättslig mening, dels inte ägnar sig åt verksamhet som ligger utanför vad myndigheterna alls får göra. För det fall den registrerades otvetydiga samtycke skulle utgöra en rättslig grund för myndigheters behandling av personuppgifter skulle det ge en myndighet ett indirekt stöd för att samla in personuppgifter och bedriva verksamhet som det inte är meningen att myndigheten ska
ägna sig åt, vilket knappast är önskvärt. Det är en helt annan sak att myndigheterna inom ramen för sina respektive uppdrag har stor frihet att själva bestämma vad som ska göras och hur det ska ske när det t.ex. gäller sådana frågor som service, verksamhetsplanering och utveckling m.m.
Den generella rättsliga grunden som vi föreslagit ovan – att sådan behandling är tillåten som är nödvändig för att myndigheten ska kunna utföra sin verksamhet – hindrar inte att personuppgifter behandlas i samband med t.ex. e-tjänster, bemötandeprojekt eller vid myndigheters verksamhet i sociala medier. Däremot måste myndigheten, som vid alla andra aktiviteter, alltså ställa sig frågan om etjänsten, projektet osv. är en verksamhet som myndigheten får ägna sig åt. Dessutom måste den frågan ställas om personuppgiftsbehandlingen verkligen är nödvändig för aktiviteten i fråga. En ordning som innebär att myndigheterna skulle kunna behandla personuppgifter utan att det rent faktiskt är påkallat för bedrivandet av myndighetens verksamhet vore enligt vår mening från principiella synpunkter klart betänklig.
Det finns vidare skäl att betona att man måste skilja på frågan om rättslig grund för behandlingen av personuppgifter och på hur uppgifter rent faktiskt kan eller får samlas in. Även om en viss personuppgiftsbehandling i och för sig är tillåten innebär det inte att uppgifter får samlas in med tvång. Insamlandet kan förutsätta den registrerades frivilliga medverkan och eget uppgiftslämnande eller att myndigheten har givits rätt att inhämta uppgifterna från annan myndighet eller enskild, t.ex. en arbetsgivare. Frågor som t.ex. uppgiftsskyldighet för enskilda ska regleras i anslutning till regleringen av respektive sakverksamhet och har inget samband med samtycke som rättslig grund för personuppgiftsbehandling. Såvitt avser t.ex. e-tjänster innebär detta att tvångsanslutning förutsätter författningsstöd i något slags verksamhetsreglering.
Mot bakgrund av det sagda menar vi att den registrerades samtycke inte bör vara en självständig rättslig grund för myndigheters behandling av personuppgifter enligt den nya lagen. Vi föreslår alltså ingen sådan regel. Det innebär principiellt sett en förändring i förhållande till gällande rätt, i vart fall såvitt avser den behandling som inte är särreglerad i registerförfattningar utan som stöder sig på personuppgiftslagen. Det praktiska behovet av samtycke som enda rättsliga grund för myndigheters personuppgiftsbehandling torde
emellertid vara obetydligt, varför vi inte ser att detta kommer att leda till några olägenheter.
Det kan tyckas som om dataskyddsdirektivet ovillkorligen kräver att även artikel 7 a om samtycke måste genomföras i all lagstiftning rörande personuppgiftsbehandling som omfattas av direktivets tillämpningsområde. Direktivet är emellertid i allt väsentligt inriktat på att skapa en dataskyddsreglering som åstadkommer ett harmoniserat integritetsskydd inom unionen vad gäller enskilda aktörers behandling av personuppgifter för att på så sätt möjliggöra ett fritt utbyte av personuppgifter över nationsgränserna. Visserligen omfattas även myndigheter av direktivet. Vi kan dock inte se det som stridande mot direktivet att beträffande den offentliga sektorn avstå från att föreskriva samtycke som rättslig grund. Det kan knappast sägas att Sverige därmed avviker från direktivet genom att skapa ett bättre eller sämre integritetsskydd än vad direktivet innebär. Inte heller kan det förhållandet att samtycke inte ska vara rättslig grund för myndigheters personuppgiftsbehandling rimligen verka hindrande för det fria flödet av personuppgifter mellan medlemsstaterna.
9.3. Tillåten behandling av särskilda kategorier av personuppgifter
9.3.1. Känsliga personuppgifter
Allmänna dataskyddsrättsliga regler
Dataskyddsdirektivet
Enligt artikel 8.1 i dataskyddsdirektivet ska medlemsstaterna förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
I artikel 8.2 föreskrivs undantag från förbudet att behandla de uppgifter som avses i 8.1. Dessa rör om
a) den registrerade lämnat sitt uttryckliga samtycke till sådan be-
handling, utom i de fall medlemsstatens lagstiftning säger att samtycke inte kan upphäva förbudet i punkt 1,
b) behandlingen är nödvändig för att fullgöra de skyldigheter och
särskilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder, eller
c) behandlingen är nödvändig för att skydda den registrerades eller
någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller
d) behandlingen utförs inom ramen för berättigad verksamhet hos
en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnats ut till tredje man utan den registrerades samtycke, eller
e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs
av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.
Vidare sägs i artikel 8.3 att punkt 1 inte gäller när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person är ålagd en liknande tystnadsplikt.
Enligt artikel 8.4 får medlemsstaterna antingen i sin nationella lagstiftning eller genom beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2. Som förutsättningar gäller att det finns lämpliga skyddsåtgärder och att det sker av hänsyn till ett viktigt allmänt intresse.
Personuppgiftslagen m.m.
Bestämmelserna i artikel 8.1–8.4 dataskyddsdirektivet har genomförts i svensk rätt genom 13–20 §§ PuL. De uppgifter som avses i artikel 8.1 betecknas i personuppgiftslagen som känsliga personuppgifter (13 § tredje stycket).
Direktivets bestämmelser har i sak oförändrade förts över till personuppgiftslagen. Det generella förbudet mot behandling av känsliga personuppgifter finns i 13 §. I 14 § första stycket finns endast en upplysning om att det finns undantag från förbudet i 13 § i de fall som anges i 15–19 §§. I 15 § finns en bestämmelse som tillåter behandling vid samtycke och efter den registrerades tydliga offentliggörande, i 16 § anges de fall av nödvändig behandling som avses i artikel 8.2 a–c, undantaget för ideella organisationer m.fl. finns i 17 § och för hälso- och sjukvård i 18 §.
I 19 § har den svenske lagstiftaren utnyttjat möjligheten enligt 8.4 i direktivet att i nationell lagstiftning medge undantag från förbudet att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse. Genom bestämmelsen tillåts att sådana uppgifter, under vissa förutsättningar, får behandlas för forsknings- eller statistikändamål. I förarbetena anförde regeringen att forskning och statistik är så viktiga områden att de borde regleras redan i den nya lagen (prop. 1997/98:44 s. 70).
Genom 20 § bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Uttrycket viktigt allmänt intresse avses ha samma innebörd som enligt artikel 8.4 i direktivet (prop. 1997/98:44 s. 129).
Om känsliga personuppgifter behandlas på så sätt att de inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, är behandlingen tillåten enligt den s.k. missbruksregeln i 5 a § som innebär undantag från flera av lagens hanteringsregler. Det gäller under förutsättning att behandlingen inte innebär en kränkning av den registrerades personliga integritet.
Bemyndigandet i 20 § har utnyttjats av regeringen genom att det i 8 § PuF har införts en bestämmelse som föreskriver att det, utöver vad som följer av 5 a § och 15–19 §§ PuL, är tillåtet för myn-
digheter att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Förslaget till uppgiftsskyddsförordning
Även i kommissionens förslag till uppgiftsskyddsförordning finns i artikel 9.1–9.3 särskilda bestämmelser om när behandling av känsliga personuppgifter är tillåten. Bestämmelserna är utformade på grundval av motsvarande regler i dataskyddsdirektivet och avser samma typer av uppgifter, dock med tillägg för genetiska uppgifter. Också förordningen innehåller ett principiellt förbud mot behandling av sådana uppgifter. Nu gällande undantagsgrunder återfinns i förslaget. Därutöver har en ny grund tillkommit. Det rör undantaget som tillåter behandling enligt artikel 9.2 i som rör personuppgifter som är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.
I artikel 9.2 g finns förslag till ett undantag som motsvarar det som nu finns i artikel 8.4 i dataskyddsdirektivet och som är av särskilt intresse såvitt avser myndigheters verksamhet. Enligt förslaget är behandling av känsliga personuppgifter tillåten om den är nödvändig för att genomföra en arbetsuppgift som utförs i allmänhetens intresse, på grundval av unionslagstiftningen eller en medlemsstats lagstiftning som ska innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades berättigade intressen. Det krävs alltså inte längre att det ska vara fråga om ett viktigt allmänt intresse, utan det räcker med att det finns ett allmänintresse för att undantag ska kunna göras. Vidare nämns inte längre uttryckligen att tillsynsmyndigheten får besluta om undantag.
I den svenska översättningen görs en kommatering som ger intryck av att det är fråga om en uppräkning, dvs. att behandling får ske dels om den är nödvändig för att genomföra en arbetsuppgift som utförs i allmänhetens intresse, dels på grundval av unionslagstiftningen eller en medlemsstats lagstiftning. Den engelska versionen ger emellertid intryck av att det ska vara fråga om en behandling som utförs i allmänhetens intresse på grundval av antingen unionslagstiftningen eller en medlemsstats lagstiftning.
Enligt förslaget till artikel 9.3 ska kommissionen ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2.
I Europaparlamentets resolution med ändringsförslag föreslås att det alltjämt ska krävas att det är frågan om ett ”viktigt” allmänt intresse för att ett undantag ska vara tillåtet. Parlamentet föreslår också tillägg i uppräkningen av vilka uppgifter som ska omfattas, bl.a. ifråga om uppgifter om sexuell läggning och biometriska uppgifter.
Några kommentarer
Det kan konstateras att såväl dataskyddsdirektivet som förslaget till uppgiftsskyddsförordning medger att det införs lagstiftning som tillåter behandling av känsliga personuppgifter om det behövs med hänsyn till ett allmänt intresse. Enligt direktivet krävs vidare att det är fråga om ett viktigt allmänt intresse. I kommissionens förslag till uppgiftsskyddsförordning finns emellertid inte något krav på att allmänintresset ska vara viktigt.
Som ytterligare förutsättningar gäller enligt direktivet och förslaget till förordning att en tillåtelse att behandla känsliga personuppgifter ska förenas med lämpliga åtgärder för att skydda den registrerades berättigade intressen.
Det kan konstateras att uppgiftsskyddsförordningen, till skillnad från dataskyddsdirektivet, inte är lika tydlig med på vilket sätt en undantagssituation ska manifesteras. Enligt direktivet är det tydligt att ett undantag förutsätter att det beslutats om ett sådant genom antingen lagstiftning eller beslut av tillsynsmyndigheten. Av förordningen framgår inte lika tydligt vad det är som ska framgå av antingen unionslagstiftningen eller en medlemsstats lagstiftning, dvs. om det är undantaget eller om det är den arbetsuppgift av allmänt intresse som kräver behandling av känsliga personuppgifter för sitt fullgörande som kan motivera ett undantag.
Våra överväganden och förslag
Förslag: Utöver vad som följer av 15, 16, 18 och 19 §§ PuL – vilka
paragrafer den nya lagen ska hänvisa till som tillämpliga på motsvarande sätt vid personuppgiftsbehandling enligt lagen – tillåts myndigheter att behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av det. I annan verksamhet får känsliga personuppgifter behandlas endast i löpande text.
Regeringen eller den myndighet som regeringen bestämmer bemyndigas att medge ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.
Nuvarande författningsstöd för myndigheters behandling av känsliga personuppgifter
Enligt dataskyddsdirektivet gäller alltså speciella regler för särskilda kategorier av uppgifter. En sådan kategori är det slag av uppgifter som i personuppgiftslagen betecknas som känsliga personuppgifter. Enligt direktivet är det som huvudregel förbjudet att behandla sådana uppgifter. Ett sådant förbud har därför införts genom 13 § PuL.
Som framgått är det emellertid tillåtet att behandla känsliga personuppgifter om den registrerade har lämnat sitt samtycke till behandlingen eller det är fråga om vissa särskilda situationer som räknas upp i artikel 8.2–8.3 i direktivet. Motsvarande undantag har införts i 15–19 §§ PuL. Det kan konstateras att dessa särskilda undantagsfall inte på långa vägar ger möjlighet för myndigheter att behandla känsliga personuppgifter i alla de situationer då en sådan behandling kan vara nödvändig. Myndigheters möjlighet att behandla personuppgifter kan inte heller göras beroende av att den enskilde ger sitt samtycke till behandlingen. Det finns därför ett behov av att på myndighetsområdet ge möjlighet att, oavsett av om det finns samtycke från enskilde, behandla känsliga personuppgifter även i andra fall än de som särskilt räknas upp i dataskyddsdirektivet.
Enligt artikel 8.4 i direktivet finns det möjlighet att medge ytterligare undantag från förbudet att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse. I en mängd registerlagar
medges med stöd av undantaget i direktivet och 2 § PuL behandling av känsliga personuppgifter på aktuella myndighetsområden. Genom 20 § PuL bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om sådana undantag. Generellt tillämpliga bestämmelser har också meddelats på förordningsnivå med stöd av det bemyndigandet. Enligt 8 § PuF tillåts myndigheter att – utöver vad som följer av 5 a och 15–19 §§ PuL – behandla känsliga personuppgifter i löpande text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Som framgått har det med stöd av direktivets möjlighet till undantag även införts bestämmelser i 19 § PuL som tillåter behandling av känsliga personuppgifter för forsknings- eller statistikändamål. Dessa bestämmelser gäller för både myndigheter och enskilda.
För en myndighet som behandlar personuppgifter enbart med stöd av personuppgiftslagen och det inte är fråga om en sådan behandling som avses i 15–19 §§ PuL eller 8 § PuF, kan således 5 a § PuL ge ett visst ytterligare utrymme för att behandla känsliga personuppgifter. Av förarbetena till bestämmelsen framgår emellertid att syftet med denna undantagsbestämmelse knappast var att underlätta myndigheters behandling av personuppgifter. Det följer emellertid uttryckligen av utformningen av 8 § PuF att stadgandet i 5 a § PuL är tillämpligt även för myndigheterna (se vidare övervägandena i avsnitt 8.3.2 om behovet av en regel motsvarande 5 a § PuL på myndighetsområdet).
Det finns behov av ett generellt undantag som i tillräcklig utsträckning tillåter myndigheter att behandla känsliga personuppgifter
Mot bakgrund av betydelsen av en väl fungerande förvaltning är det enligt vår uppfattning ett viktig allmänt intresse att myndigheter kan behandla de känsliga personuppgifter som förekommer i deras verksamhet, oavsett hur uppgifterna har hamnat där, och att myndigheterna kan behandla dem på samma sätt som de i övrigt behandlar personuppgifter. Samtidigt indikerar direktivets krav på att det ska vara frågan om ett viktigt allmänt intresse att en tillåtande bestämmelse ska ges en restriktiv utformning och ha som utgångspunkt att kravet på nödvändighet för att det ska vara tillåtet att behandla känsliga personuppgifter bör vara större än vad som gäller i fråga om personuppgifter som inte är känsliga.
En bestämmelse som generellt medger att myndigheter får behandla känsliga personuppgifter bör därför ges en sådan utformning att den motsvarar ett minsta möjliga gemensamma behov hos myndigheterna av att behandla sådana personuppgifter.
Det kan konstateras att det i princip förekommer eller i vart fall kan förekomma känsliga personuppgifter i all myndighetsverksamhet. På en del verksamhetområden är behovet av att behandla känsliga personuppgifter stort, exempelvis inom socialförsäkringen, hälso- och sjukvården och socialtjänsten. På andra områden är behovet betydligt mindre och någon insamling för egen del av känsliga personuppgifter sker därför inte, eftersom det inte behövs för att hantera myndighetens ärenden. Parter i ärenden hos sådana myndigheter kan emellertid själva uppge känsliga personuppgifter – exempelvis uppgifter om hälsa – i sina inlagor till myndigheten. Det ligger således i dessa fall delvis utanför myndighetens kontroll om känsliga personuppgifter förekommer i verksamheten eller inte. En myndighet bör i ett sådant fall inte vara hänvisad till att behandla dessa uppgifter på ett annat sätt än det som annars gäller beträffande myndighetens verksamhet, dvs. exempelvis genom att endast dokumentera eller bevara uppgifterna i pappersform. Det kan alltså konstateras att alla myndigheter har behov av att automatiserat kunna behandla även känsliga personuppgifter.
Dataskyddsdirektivet kräver att förbudet mot att behandla sådana uppgifter i princip även gäller på myndighetsområdet. Det principiella förbudet enligt 13 § PuL mot att behandla känsliga personuppgifter måste således gälla även för myndigheter. En hänvisning till den bestämmelsen bör därför göras i den nya lagen. Det behövs emellertid ett generellt undantag som i erforderlig utsträckning medger sådan behandling utöver vad som följer av de särskilda undantagsfall som kan bli aktuella att tillämpa på myndighetsområdet (15, 16, 18 och 19 §§ PuL).
Det generella undantag för myndigheters behandling av känsliga personuppgifter som finns i 8 § PuF är begränsat på så sätt att det endast tar sikte på behandling i löpande text. Det tillåter vidare endast behandling av uppgifter som har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Det kan konstateras att bestämmelsen således inte tillåter den behandling av känsliga personuppgifter som kan förekomma i en myndighets verksamhet som inte utgör ärendehandläggning, dvs. s.k. faktisk verksamhet. Det
kan exempelvis handla om rådgivning och annan service, uppföljning eller olika former av samverkan utan ärendeanknytning mellan myndigheter eller i förhållande till enskilda.
Det behov som i övrigt kan finnas eller uppstå av att behandla känsliga personuppgifter inom olika myndigheter får antas ha hämtat sitt stöd i undantagsbestämmelsen i 5 a § PuL, såvida inte någon tillämplig särreglering föreligger. Den bestämmelsen har emellertid inte införts i syfte att underlätta myndigheters behandling av personuppgifter. Det torde vidare i praktiken vara mycket svårt för en myndighet att avgöra om dess behandling av känsliga personuppgifter riskerar att utgöra en kränkning av den registrerades personliga integritet i den mening som avses i 5 a § PuL. Det kan därför varken med hänsyn till behovet av en fungerande verksamhet hos myndigheterna eller till den enskildes rätt till skydd för sina personuppgifter anses tillfredsställande att myndigheterna i sista hand måste förhålla sig till denna bestämmelse då det uppstår ett behov av att behandla känsliga personuppgifter som inte kan uppfyllas inom ramen för övriga bestämmelser. Vi anser därför att det finns ett tydligt behov av att i den nya lagen införa en bestämmelse som generellt tillåter behandling av känsliga personuppgifter i större omfattning än vad det nuvarande generella undantaget i 8 § PuF innebär. En sådan generellt tillåtande bestämmelse kan också i väsentlig mån bidra till att minska behovet av att genom särreglering på olika myndighetsområden tillåta sådan behandling.
Den omständigheten att myndigheter automatiserat behandlar de känsliga personuppgifter som de behöver för att kunna utföra sina uppgifter kan i normalfallet inte i sig anses utgöra något sådant ingrepp i enskilds personliga förhållanden som avses i 8 kap. 2 § andra stycket 2 RF och som i så fall kräver stöd i lag. Utgångspunkten är således att bestämmelser av detta slag i normalfallet ligger inom regeringens primärområde och därför kan meddelas i förordning. Genom en bestämmelse i den nya lagen som i viss begränsad utsträckning tillåter att myndigheter behandlar känsliga personuppgifter ges emellertid ett stöd i lag i den mån detta krävs enligt 8 kap. 2 § andra stycket 2 RF.
Känsliga personuppgifter i ärenden
Myndigheter bör generellt tillåtas att behandla känsliga personuppgifter som har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I de fall känsliga personuppgifter förekommer i en inlaga som har lämnats till myndigheten i ett ärende som den handlägger kan det knappast krävas att det är nödvändigt att myndigheten behandlar uppgiften. Myndigheten saknar ju kontroll över vilka uppgifter som förekommer i inlagor som kommer in till den, men har samtidigt ett behov av att kunna hantera en inlaga även om myndigheten inte har något behov av att i ett senare skede behandla de känsliga personuppgifter som kan finnas där. I den mån känsliga personuppgifter behöver behandlas av annat skäl, exempelvis på grund av att myndigheten själv har samlat in uppgiften, bör det emellertid krävas att det är nödvändigt att den känsliga personuppgiften behandlas i ärendet. Frågan om det är nödvändigt att behandla uppgiften får därmed avgöras med hänsyn till vilken typ av ärende det är frågan om.
Bestämmelsen i 8 § PuF som generellt tillåter myndigheter att behandla känsliga personuppgifter är begränsad på så sätt att den bara är tillämplig på ärendehandläggning. Den är också begränsad såtillvida att den bara tillåter behandling av sådana uppgifter i löpande text.
Det kan konstateras att myndigheters ärenden i dag vanligen hanteras inom ramen för ett elektroniskt ärendehanteringssystem, dvs. annorlunda uttryckt i en databas. Som exempel på databaser som bl.a. innehåller ärendehanteringssystem kan nämnas beskattningsdatabasen och socialförsäkringsdatabasen. I den mån det i myndigheters ärendedokumentation finns känsliga personuppgifter behöver de alltså kunna behandlas i ärendehanteringssystemen inte bara om de förekommer i löpande text. En bestämmelse som generellt tillåter myndigheter att behandla känsliga personuppgifter bör således tillåta hantering av känsliga personuppgifter inom ramen för ett ärendehanteringssystem oavsett om de förekommer i löpande text eller inte. Myndigheters möjlighet att behandla känsliga personuppgifter vid handläggning av ärenden kan därför inte begränsas till löpande text.
Genom att personuppgifter samlas i ett system som innebär att de blir tillgängliga även utanför de enskilda ärendena kan det finnas
tekniska möjligheter att göra sammanställningar eller bearbeta informationen på annat sätt. Den särskilda risk för skyddet av känsliga personuppgifter som kan anses uppstå genom att uppgifterna samlas på detta sätt och görs möjliga för bearbetning får motverkas bl.a. genom att det införs sökbegränsningar. Vi återkommer till den frågan i avsnitt 9.4.
Känsliga personuppgifter i annan verksamhet
Myndigheters verksamhet består inte endast av handläggning av ärenden. Även annan verksamhet förekommer, såsom exempelvis rådgivning och annan service, uppföljning och olika former av samverkansprojekt. Känsliga personuppgifter kan behöva behandlas också i sådan verksamhet. I vilken utsträckning sådan verksamhet förekommer hos myndigheterna går inte att beskriva på något enhetligt sätt. Det kan dock konstateras att s.k. faktisk verksamhet torde förekomma i någon mån hos alla myndigheter och kan t.o.m. vara den dominerande inom vissa myndighetsområden, exempelvis inom utbildningsväsendet. Enligt vår uppfattning har den generellt tillåtande bestämmelse som för myndigheternas del redan finns i 8 § PuF, därför en alltför begränsad utformning för att kunna uppfylla ett minsta möjliga behov av att behandla känsliga personuppgifter på myndighetsområdet. Vi anser därför att en bestämmelse som generellt tillåter myndigheter att behandla känsliga personuppgifter också bör kunna tillämpas på annan verksamhet än ärendehandläggning. Den generellt tillåtande bestämmelsen bör i denna del emellertid vara begränsad till behandling av känsliga personuppgifter i löpande text. Enligt vår uppfattning kan man däremot inte motivera att det med hänsyn till ett viktigt allmänt intresse finns ett behov hos alla myndigheter att i verksamhet som inte utgör handläggning av ärenden bygga upp datoriserade uppgiftssamlingar, exempelvis i form av regelrätta register eller databaser, där känsliga personuppgifter får registreras i strukturerad form. I viss sådan myndighetsverksamhet kan det däremot finnas ett sådant behov. Detta förutsätter i så fall särskild reglering.
Med den utformning som nu föreslås för en bestämmelse som generellt tillåter myndigheter att behandla känsliga personuppgifter
torde det inte finnas något kvarstående behov av ett undantag motsvarande 5 a § PuL för att sådan behandling ska vara möjlig.
Ytterligare behov av att behandla känsliga personuppgifter får regleras särskilt
I den mån det finns andra behov hos vissa myndigheter av att få behandla känsliga personuppgifter som inte kan uppfyllas inom ramen för den generella bestämmelse som nu föreslås, får det i sådant fall ske genom särskilda bestämmelser. Det kan då ske genom särreglering som i större utsträckning än den generella lagen tillåter behandling av känsliga personuppgifter hos en viss myndighet eller inom ett visst verksamhetsområde.
I 20 § PuL ges regeringen eller den myndighet som regeringen bestämmer bemyndigande att meddela föreskrifter om ytterligare undantag, utöver 15–19 §§, från förbudet i 13 § mot att behandla känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse. Enligt vår uppfattning bör ett liknande bemyndigande införas i den nya lagen. En myndighets behov av att behandla känsliga personuppgifter som inte kan uppfyllas genom den generella bestämmelsen kan därmed regleras särskilt både på lag- och förordningsnivå eller i form av en myndighetsföreskrift.
Avslutningsvis kan noteras att det inte är självklart att ett sådant bemyndigande är förenligt med den föreslagna utformningen av artikel 9.2 g i uppgiftsskyddsförordningen. Enligt den föreslagna artikeln ska en behandling av känsliga personuppgifter vara tillåten på grundval av unionslagstiftningen eller en medlemsstats lagstiftning. Till skillnad från artikel 8.4 i dataskyddsdirektivet föreslås således ingen uttrycklig hänvisning till att en medlemsstats tillsynsmyndighet kan besluta om undantag från förbudet att behandla känsliga personuppgifter med hänsyn till ett allmänt intresse. Som redan påpekats är det frågan om förordningen över huvud taget anbefaller att det ska beslutas om ett undantag. Texten kan också tolkas så att det är själva den arbetsuppgift av allmänt intresse som kan motivera ett undantag som ska framgå av lagstiftning inom antingen unionen eller medlemsstaten.
Kommissionens förslag till uppgiftsskyddsförordning innehåller inte heller, till skillnad från dataskyddsdirektivet, något krav på att ett undantag från förbudet att behandla känsliga personuppgifter
behövs med hänsyn till ett viktig allmänt intresse, utan det räcker med att det är frågan om ett allmänt intresse. EU-parlamentet har i sin resolution med ändringsförslag emellertid föreslagit att det alltjämt ska finnas ett krav på att det frågan om ett viktigt allmänt intresse. I nuläget är det oklart vilket krav som kommer att ställas för att ett undantag ska vara tillåtet.
I avvaktan på att det bringas klarhet i nämnda frågor föreslår vi inte någon alternativ utformning av den aktuella bestämmelsen med hänsyn till en kommande uppgiftsskyddsförordning, utan utgår från att lagen även på sikt kan innehålla såväl ett krav på att det ska vara frågan om ett viktigt allmänt intresse som ett bemyndigande i denna del.
9.3.2. Personuppgifter om lagöverträdelser m.m.
Allmänna dataskyddsrättsliga regler
Dataskyddsdirektivet
Enligt artikel 8.5 i dataskyddsdirektivet får behandling av uppgifter om lagöverträdelser, brottsmålsdomar eller säkerhetsåtgärder utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.
Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet.
Personuppgiftslagen m.m.
Bestämmelserna i artikel 8.5 har genomförts i svensk rätt på så sätt att det genom 21 § första stycket PuL har införts ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Enligt 21 § andra stycket PuL tillåts att andra än myndigheter behandlar sådana personuppgifter som avses i första stycket för forskningsändamål, om behandlingen har godkänts enligt lagen (2002:460)om etikprövning av forskning som avser människor. I tredje och fjärde stycket bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela dels föreskrifter, dels beslut i enskilda fall om undantag från förbudet i första stycket. Datainspektionen har meddelat föreskrifter som medger enskilda att i vissa fall behandla personuppgifter om lagöverträdelser m.m. (DIFS 2010:1). Som exempel kan nämnas att behandling är nödvändig för att fullgöra en föreskrift på socialtjänstområdet, för att föra anteckningar i fristående skolors elevvårdande verksamhet och för att kontrollera jävssituationer i advokatverksamhet.
Förslaget till uppgiftsskyddsförordning
Enligt artikel 9.1 i Kommissionens förslag till uppgiftsskyddsförordning är det förbjudet att behandla personuppgifter om fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder.
I 9.2 j anges att förbudet i punkt 1 inte ska gälla om behandlingen utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet.
Av artikel 9.3 följer att kommissionen ska ha befogenhet att anta delegerade rättsakter i syfte att precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av även denna kategori av uppgifter och de undantag som fastställs i punkt 2.
I Europaparlamentets resolution med ändringsförslag föreslås att förbudet i artikel 9.1 också ska ta sikte på administrativa åtgärder, domar, brott eller misstänkta brott. Det föreslår också att det i artikel 9.2 anges att alla register över brottmålsdomar ska föras endast under kontroll av en myndighet.
Våra överväganden
Bedömning: Det behövs ingen bestämmelse som generellt tillåter
myndigheter att behandla personuppgifter om lagöverträdelser m.m. eftersom detta redan följer av dataskyddsdirektivets och personuppgiftslagens bestämmelser. Det finns inte heller något behov av att, utöver vad som redan följer av de grundläggande kraven i 9 § PuL, generellt begränsa myndigheters möjlighet att behandla denna kategori av personuppgifter.
Gällande rätt uppställer inget krav på särskilt författningsstöd för myndigheters behandling av personuppgifter om lagöverträdelser m.m.
Dataskyddsdirektivets förbud mot att behandla personuppgifter om lagöverträdelser m.m. och personuppgiftslagens motsvarande bestämmelse i 21 § riktar sig till andra än myndigheter.
För myndigheter gäller således enligt direktivet och personuppgiftslagen inga särskilda krav för att de ska få behandla denna kategori av personuppgifter. Myndigheter har således möjlighet att behandla sådana uppgifter under samma förutsättningar som gäller för övriga personuppgifter, dvs. att det är fråga om en tillåten behandling enligt 9 och 10 §§ PuL.
Det är emellertid vanligt att man i registerförfattningar reglerar i vilken utsträckning personuppgifter om lagöverträdelser m.m. får behandlas. Som exempel kan nämnas lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet där det i 1 kap. 7 § och 2 kap. 4 § föreskrivs att personuppgifter om lagöverträdelser m.m. och känsliga personuppgifter får behandlas under samma förutsättningar i beskattningsdatabasen och i annat sammanhang. I förarbetena till dessa bestämmelser nämns inte personuppgifter om lagöverträdelser särskilt, utan de omtalas som ”känsliga personuppgifter m.m.” (prop. 2000/01:33 s. 100 f.). Motiven för att särreglera dessa kategorier av personuppgifter förefaller alltså vara desamma. En särreglering av känsliga personuppgifter är emellertid nödvändig för att det ska vara tillåtet för t.ex. Skatteverket att behandla den typen av uppgifter, medan detta alltså inte är fallet när det gäller uppgifter om lagöverträdelser m.m. Av förarbetena framgår inte vad särregleringen i fråga om den senare kategorin av uppgifter avses tillföra i förhållande till vad som annars gäller enligt
personuppgiftslagen, exempelvis att regleringen skulle syfta till att begränsa den behandling som annars skulle vara tillåten.
Det saknas behov av att införa en särskild reglering för myndigheters behandling av personuppgifter om lagöverträdelser m.m.
Det finns alltså varken i dataskyddsdirektivet eller i personuppgiftslagen något förbud för myndigheter att behandla personuppgifter om lagöverträdelser m.m. Det ställs således inget krav på att det införs särskilda regler för att det ska vara tillåtet för myndigheter att behandla denna kategori av uppgifter. Någon generell bestämmelse som tillåter myndigheter att behandla personuppgifter om lagöverträdelser m.m. behövs alltså inte. Vi föreslår därför inte någon sådan bestämmelse.
Frågan blir därefter om det finns ett generellt behov av att begränsa myndigheters möjlighet att behandla denna kategori av personuppgifter i likhet med vad som ibland förekommer i registerförfattningar. Ett sådant behov skulle kunna föreligga om det finns en särskild anledning att anta att de grundläggande kraven i 9 § PuL inte utgör ett tillräckligt ”skydd” för denna kategori av uppgifter.
I likhet med vad som gäller i fråga om känsliga personuppgifter kan uppgifter om lagöverträdelser m.m. komma in till myndigheten genom en inlaga från en person som har ett ärende aktuellt hos myndigheten, oavsett om myndigheten har bett om det eller inte. Det finns således ett generellt behov hos myndigheterna av att kunna behandla även denna kategori av uppgifter inom ramen för sina sedvanliga förvaltningsuppgifter. Till skillnad från vad som gäller i fråga om känsliga personuppgifter torde det däremot vara en relativt begränsad grupp myndigheter som har behov av att för egen del samla in och behandla personuppgifter om lagöverträdelser m.m. Om så är fallet, beror det på att myndigheten har fått i uppdrag att bedriva en verksamhet där denna typ av uppgifter behövs. Redan därigenom bör det således vara tydligt vilka myndigheter som behöver behandla denna typ av uppgifter för att kunna utföra sina uppgifter. För dessa myndigheter bör det således redan vara särskilt uttryckt eller stå klart på annat sätt för vilka konkreta ändamål och på vilket sätt personuppgifter om lagöverträdelser m.m. får behandlas. Myndigheter som inte behöver behandla denna kategori av uppgifter för att kunna utföra sina uppgifter torde följakt-
ligen inte heller kunna formulera något ändamål som kan motivera en sådan behandling. Enligt vår uppfattning innebär de grundläggande kraven i 9 § således en tillräcklig begränsning för myndigheters möjlighet att behandla personuppgifter om lagöverträdelser m.m., liksom beträffande övriga personuppgifter. Vi föreslår därför inte att det införs någon generell begränsning i fråga om myndigheters möjlighet att behandla denna kategori av personuppgifter.
9.3.3. Personnummer och samordningsnummer
Allmänna dataskyddsrättsliga regler
Dataskyddsdirektivet
Enligt artikel 8.7 ska medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.
Enligt 22 § PuL får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till
a) ändamålen med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Av förbetena till 22 § PuL framgår att bestämmelserna i princip oförändrade i sak har överförts från den tidigare datalagen (1973:289). Regeringen anförde i sammanhanget att om någon ger sitt samtycke är det självklart att personnummer också ska få behandlas (prop. 1997/98:44 s. 77). Vidare påpekades, med anledning av att datalagens bestämmelse om återgivande av personnummer på datautskrifter inte hade överförts till nya lagen, att redan den överförda huvudregeln innebär att en uppgift om personnummer får behandlas bara när den behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl. Att ha en särskild regel med annat rekvisit
– särskilda skäl – om just den behandling som själva återgivandet utgör skulle enligt regeringen bara grumla regleringen.
Av 50 § c PuL följer att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.
Bemyndigandet har utnyttjats av regeringen bl.a. på så sätt att det i 12 § tredje stycket PuF föreskrivs att en kommun, ett landsting eller ett kommunalförbund aldrig får föra över personnummer eller samordningsnummer till tredjeland.
Förslaget till uppgiftsskyddsförordning
Kommissionens förslag till uppgiftsskyddsförordning innehåller inte någon motsvarande bestämmelse som den i dataskyddsdirektivet. Den uppställer alltså inget krav på medlemsstaterna att bestämma på vilka villkor ett nationellt identifikationsnummer m.m. får behandlas.
Våra överväganden och förslag
Förslag och bedömning: Bestämmelsen i 22 § PuL bör inte
gälla för myndigheter utan 9 § innebär tillräckliga krav för när behandling av personnummer eller samordningsnummer är tillåten. Däremot bör det införas en ny bestämmelse som innebär att denna kategori av uppgifter får tas in i ett beslut endast om beslutet rör frågan om någons identitet eller motsvarande personliga förhållanden, det är nödvändigt för att beslutet ska kunna verkställas eller om det krävs med hänsyn till beslutande myndighets behov av identifieringsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer bör också i fortsättningen ha möjlighet att meddela bestämmelser om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
Vad innebär gällande rätt i fråga om myndigheters möjlighet att behandla uppgifter om personnummer och samordningsnummer?
Det kan konstateras att dataskyddsdirektivet ställer upp ett krav på att medlemsstaterna ska bestämma på vilka villkor som ett nationellt identifikationsbegrepp får behandlas. Direktivet föreskriver dock inte hur dessa villkor ska se ut. Det står alltså medlemsstaterna fritt att bestämma detta.
Enligt 22 § PuL gäller att myndigheter får behandla uppgifter om personnummer och samordningsnummer under samma förutsättningar som gäller för enskilda. Sådan behandling får utan samtycke ske bara när det är klart motiverat med hänsyn till ändamålen med behandlingen (a), vikten av en säker identifiering (b) eller något annat beaktansvärt skäl (c).
I registerförfattningar hänvisas ofta till att 22 § PuL gäller även vid en behandling enligt den författningen. Om en registerförfattning innehåller särskilda bestämmelser som tar sikte på behandling av personuppgifter i en databas, ingår ofta personnummer i den uppräkning av personuppgifter som får behandlas i databasen med hänvisning till de ändamål för vilka behandling av personuppgifter får ske. Som exempel på sådan reglering kan nämnas registerförfattningarna på skatte- respektive socialförsäkringsområdet (1 kap. 3 § andra stycket och 2 kap. 3 § lagen [2001:181] om behandling av uppgifter i Skatteverkets beskattningsverksamhet samt 114 kap. 15 § första stycket SFB). Genom särregleringen har det således gjort klart att behandling av personnummer och samordningsnummer i databasen är klart motiverad om den sker för de ändamål som gäller för behandling av personuppgifter i den aktuella verksamheten.
Bestämmelserna i 22 § PuL om när personnummer får användas har alltså överförts från den tidigare datalagen. Motsvarande bestämmelser fanns i 7 § andra stycket datalagen. Den paragrafens första stycke föreskrev de allmänna villkoren för att ett personregister skulle få inrättas och hur det skulle föras. I fråga om registrering av personnummer gällde dessutom att registrering fick ske endast när det var klart motiverat med hänsyn till registrets ändamål, vikten av en säker identifiering eller av annat beaktansvärt skäl. Vidare gällde att personnummer fick återges på datautskrifter endast när det
fanns särskilda skäl. Denna sista mening överfördes inte till personuppgiftslagen eftersom den ansågs obehövlig.
I förarbetena till 7 § andra stycket datalagen (prop. 1990/91:60 s. 69) anfördes bl.a. följande. Användningen av personnummer i registersammanhang bör alltid prövas från integritetssynpunkt, och onödig användning ska betraktas som integritetsintrång. Registreringen ska vara påkallad av något skäl. Det ska vara fråga om ett skäl som objektivt framstår som befogat. Fall då det kan finnas sådana objektiva skäl är bl.a. vissa forskningsregister och andra register där det är särskilt viktigt med en säker identifiering, t.ex. för att tillgodose förutsedda framtida forskningsbehov.
Av 7 § andra stycket datalagen framgick att en registrering av personnummer var tillåten om det var klart motiverat antingen med hänsyn till registrets ändamål eller på grund av vikten av en säker identifiering eller av annat beaktansvärt skäl. Om ändamålet med registret i sig inte motiverade att personnummer registrerades kunde alltså en registrering ändå vara tillåten, om den var klart motiverad med hänsyn till vikten av en säker identifiering eller något annat beaktansvärt skäl.
Formuleringen i 7 § andra stycket datalagen överfördes till 22 § PuL i princip oförändrad med undantag för att ordet register byttes ut mot ordet behandling. Det innebär att bestämmelsen i personuppgiftslagen har fått ett betydligt vidare tillämpningsområde än bestämmelsen i datalagen, som bara omfattade användning av personnummer i personregister. Den ska nu tillämpas vid all behandling av personnummer och samordningsnummer (Öman/Lindblom, s. 348). En konsekvens av att bestämmelsen nu riktar sig mot all behandling av sådana uppgifter, och inte bara i personregister, är att vad som sägs i 22 § a PuL även torde innefatta det som föreskrivs i b och c. Att personnummer och samordningsnummer kan få behandlas om det är klart motiverat med hänsyn till vikten av en säker identifiering eller något annat beaktansvärt skäl har således inte längre någon självständig betydelse, utan får uppfattas som en exemplifiering av vad som kan vara ett godtagbart ändamål.
Enligt 9 § första stycket f PuL får inte fler uppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålet, vilket också kan uttryckas som att det ska vara klart motiverat att en uppgift om personnummer behandlas. Vidare sägs i samma stycke c att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och