SOU 2024:75
Personuppgifter och mediegrundlagarna
Till statsrådet och chefen för Justitiedepartementet
Regeringen beslutade den 19 oktober 2023 att ge en särskild utredare i uppdrag att se över grundlagsskyddet för söktjänster som offentliggör personuppgifter om lagöverträdelser samt söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden (dir. 2023:145).
Som särskild utredare förordnades den 19 oktober 2023 dåvarande hovrättsrådet Daniel Gustavsson.
Som sakkunnig att biträda utredningen förordnades den 30 januari 2024 rättssakkunniga Linda Åkerblom. Som experter att biträda utredningen förordnades samma dag juristen vid Tidningsutgivarna Per Hultengård, byråchefen vid Justitiekanslern Daniel Kjellgren, seniora juristen vid Integritetsskyddsmyndigheten Hans Kärnlöf, universitetslektorn Mikael Ruotsi och juristen Daniel Westman.
Som ledamöter att ingå i en parlamentarisk referensgrupp till utredningen förordnades den 30 januari 2024 riksdagsledamöterna Malin Björk (C), Ida Karkiainen (S), Ulrik Nilsson (M), Larry Söder (KD) och Jessica Wetterling (V) samt f.d. riksdagsledamoten Tina Acketoft (L), kanslichefen Joakim Larsson (MP) och kanslijuristen Kristoffer Löfblad (SD).
Som sekreterare anställdes den 15 november 2023 justitiesekreteraren Emma Björneke.
Härmed överlämnas utredningens betänkande Personuppgifter och mediegrundlagarna SOU 2024:75. Utredningens uppdrag är härigenom genomfört.
Till betänkandet fogas ett särskilt yttrande från experten Per Hultengård.
Uppsala i oktober 2024
Daniel Gustavsson
Emma Björneke
Sammanfattning
Utredningens uppdrag
Utredningen har haft i uppdrag att se över grundlagsskyddet för söktjänster som offentliggör personuppgifter om lagöverträdelser samt söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden. Syftet med uppdraget har varit att stärka skyddet för den personliga integriteten när personuppgifter offentliggörs i sådana söktjänster.
I uppdraget har bl.a. ingått att analysera och ta ställning till om det finns behov av att inskränka grundlagsskyddet för nämnda söktjänster. Vidare har utredningen haft i uppgift att ingående redovisa de ändringar i grundlag och, vid behov, i vanlig lag som skulle kunna göras för att stärka skyddet för personuppgifter i söktjänster. Utredningen har även haft i uppdrag att lämna de förslag på författningsändringar som bedöms som motiverade och, i det fall delegationsbestämmelser föreslås, redogöra för de regler som kommer att gälla för söktjänsterna.
Grundlagsskyddet bör begränsas för söktjänster som offentliggör personuppgifter
Tryckfrihetsförordningen (TF) och Yttrandefrihetsgrundlagen (YGL) ger ett visst skydd för enskilda individers personliga integritet genom den s.k. brottskatalogen. I övrigt framstår möjligheterna att värna enskildas personliga integritet som begränsade inom mediegrundlagarnas områden. Exempelvis tillämpas inte dataskyddsregleringen i den utsträckning det skulle strida mot TF eller YGL. De aktörer som omfattas av mediegrundlagarna kan därför som utgångspunkt fritt offentliggöra personuppgifter.
Det finns i dag ett antal söktjänster som offentliggör personuppgifter. Informationen hämtas i regel från olika myndigheter med stöd av offentlighetsprincipen. Söktjänsterna har olika inriktning och det varierar vilken slags personlig information som tillhandahålls. Det finns exempelvis söktjänster som tillgängliggör uppgifter om adress, telefonnummer, ålder, bostadens och hushållets storlek, bolagsengagemang samt fordonsinnehav. Andra söktjänster erbjuder användarna att söka på namn eller personnummer för att ta reda på om en viss person förekommer i olika typer av domstols- och myndighetshandlingar.
Söktjänster som på detta sätt tillhandahåller personuppgifter ligger långt från kärnområdet för mediegrundlagarna och har lite att göra med sådan verksamhet som mediegrundlagarna är tänkta att skydda. Här avses främst den fria nyhetsförmedlingen, den – med ett uttryck som användes i förarbetena till TF – obeskurna politiska debatten och annan närliggande verksamhet. Söktjänsternas främsta ändamål tycks i stället vara att till allmänheten tillgängliggöra redan offentliga personuppgifter.
Det finns en oro hos enskilda över hur söktjänster behandlar personuppgifter och vad uppgifterna kan användas till. Det förekommer t.ex. att kriminella använder söktjänster för att välja ut och kartlägga brottsoffer vid bedrägerier och tillgreppsbrott. Detta har inte sällan drabbat äldre. Den enkelhet med vilken personuppgifter är tillgängliga genom söktjänster gör vidare offentliganställda mer exponerade för hot och trakasserier. Detta kan i sin tur leda till att tjänstepersoner tvekar eller avstår från att vidta vissa tjänsteåtgärder.
Bilden av att söktjänster kan förorsaka integritetsskada förstärks av att fullt grundlagsskydd enligt TF och YGL gäller för webbplatser som offentliggör uppgifter om lagöverträdelser. Även om det kan finnas legitima skäl att ta del av den här typen av information, framstår behovet av att låta söktjänsterna skyddas av de tryck- och yttrandefrihetsrättsliga grundprinciperna som begränsat.
Den nu gällande ordningen kan leda till att det långsiktiga förtroendet för den särskilda regleringen av tryck- och yttrandefriheten urholkas. Detta riskerar att öka trycket på att journalistik och annan närliggande verksamhet ska regleras på ett annat sätt och som inte tar tillvara särarten hos TF och YGL. Det vore en olycklig effekt som skulle ha negativ påverkan på yttrandefriheten.
Utredningen bedömer sammantaget att grundlagsskyddet bör begränsas för söktjänster som offentliggör personuppgifter. Ett begränsat grundlagsskydd för dessa tjänster skulle dessutom tydliggöra att regleringen i svensk rätt uppfyller de krav som EU-rätten ställer på personuppgiftsområdet.
Ett generellt grundlagsundantag bör införas
Utredningen har övervägt olika sätt att åstadkomma ett förstärkt skydd för den personliga integriteten när personuppgifter offentliggörs i söktjänster. Den modell som framstår som mest ändamålsenlig är införandet av generella undantagsbestämmelser i TF och YGL, s.k. delegationsbestämmelser. Sådana bestämmelser finns redan i dag på flera områden och inskränkningar i mediegrundlagarna brukar göras på detta sätt.
Regleringsmodellen innebär att lagstiftaren får möjlighet att stifta lag på det område som omfattas av grundlagsundantaget. Modellen medger också tillämpning av redan befintlig lagstiftning och EUförordningar på området. Det sistnämnda medför att EU:s dataskyddsförordning och dataskyddslagen i praktiken blir tillämpliga för de aktörer som träffas av bestämmelserna.
Till skillnad från mediegrundlagarna är dataskyddsförordningen och dataskyddslagen utformade för just behandling av personuppgifter. Dataskyddsregleringen är därmed ett regelverk som är mer anpassat för söktjänster. En tillämpning av dataskyddsregleringen på dessa verksamheter skulle stärka skyddet för den personliga integriteten. Utredningen bedömer därför att flertalet av de problem som förknippas med söktjänster kan åtgärdas genom att dataskyddsregleringen blir tillämplig vid söktjänsternas personuppgiftsbehandling.
Tre alternativ för utformningen av ett grundlagsundantag
Utredningen har presenterat tre alternativ för hur ett undantag kan utformas för att stärka skyddet för personuppgifter i söktjänster. Samtliga alternativ ger förutsättningar att undanta alla typer av personuppgifter från grundlagsskyddet och kan därmed ersätta det befintliga undantaget för s.k. känsliga personuppgifter.
De två första alternativen utgår från samma regleringsmodell som används beträffande känsliga personuppgifter. Detta innebär att grundlagsundantagen i alternativ 1 och 2 är avgränsade till att omfatta uppgiftssamlingar som har ordnats så att det är möjligt att söka efter eller sammanställa personuppgifter. Med detta uttryck avses framför allt söktjänster. Därutöver avgränsas undantagens tillämpningsområde till situationer där det finns särskilda risker för otillbörliga integritetsintrång. Vad som skiljer alternativen åt är utformningen av otillbörlighetskravet.
Alternativ 1 innebär att otillbörlighetsbedömningen kommer att göras på samma sätt som redan sker vad gäller de känsliga personuppgifterna. Avgörande för grundlagsundantagets tillämpningsområde är således om det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet.
I alternativ 2 prövas risken för otillbörligt integritetsintrång i förhållande till offentliggörandet av personuppgifter i stället för till verksamheten. Det införs dessutom nya kriterier för otillbörlighetsbedömningen. Vid prövningen av risken för otillbörligt intrång i enskildas personliga integritet ska särskilt beaktas personuppgifternas karaktär, omfattningen av offentliggörandet och syftet med offentliggörandet.
Grundlagsundantaget i alternativ 3 är utformat på ett annat sätt än undantagen i de två första alternativen. Undantaget i alternativ 3 är tillämpligt vid all personuppgiftsbehandling som inte sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Det nya grundlagsundantaget bör utformas i enlighet med alternativ 2
Utredningen föreslår att det nya grundlagsundantaget utformas i enlighet med alternativ 2. Avgörande för utredningens ställningstagande är till att börja med att detta alternativ är begränsat till att gälla de verksamheter som har bedömts som mest problematiska ur integritetssynpunkt. På så sätt blir inskränkningen i grundlagsskyddet inte större än vad som är nödvändigt för att komma till rätta med de påtalade problemen.
I alternativ 2 har bedömningskriterierna dessutom utformats i syfte att så långt som möjligt tillmötesgå den kritik som riktats mot tidigare förslag. Detta alternativ lämnar alltså inte utrymme för att göra skillnad beroende på den tänkta eller faktiska användarkretsen. Vidare framgår det direkt av lagtexten vilka faktorer som har betydelse för otillbörlighetsbedömningen. Dessa faktorer överensstämmer med vad som enligt konstitutionsutskottet borde vara avgörande för bedömningen av om en uppgiftssamling faller innanför eller utanför det grundlagsskyddade området.
Vid tillämpningen av utredningens förslag ska en betydande marginal tillämpas i fråga om vad som faller inom det grundlagsskyddade området. Intresset för yttrandefrihet får inte ge vika för intresset av att skydda enskildas integritet i gränsfall eller svårbedömda situationer.
Utredningen bedömer att det inte behövs några ändringar i vanlig lag för att ytterligare stärka skyddet för personuppgifter i söktjänster. Däremot kan utredningens förslag föranleda behov av lagändringar av andra hänsyn än till den personliga integriteten. En sådan översyn ligger dock utanför utredningens uppdrag.
Summary
The Inquiry’s remit
The Inquiry has been tasked with reviewing the constitutional protection for search services that publish personal data concerning violations of law and search services that publish personal data concerning addresses, phone numbers, marital status and other information relating to personal circumstances. The aim of the remit is to strengthen protection of personal privacy when personal data is published by such search services.
The remit includes analysing and determining whether there is a need to limit the constitutional protection of the aforementioned search services. Moreover, the Inquiry has had the task of providing a thorough account of the constitutional amendments and, if necessary, ordinary law that would make it possible to strengthen the protection of personal data within search services. The Inquiry has also been tasked with presenting proposals for any amendments it considers justified and, if a constitutional exception is proposed, outlining the rules that would apply to search services.
The constitutional protection for search services that publish personal data should be limited
The Freedom of the Press Act and the Fundamental Law on Freedom of Expression provide certain protection for individuals’ personal privacy through the catalogue of offences. Otherwise, the possibilities of protecting individuals’ personal privacy appear to be limited within the areas covered by these fundamental laws concerning the media. For example, the data protection provisions are not applied to such an extent that they would conflict with the Freedom of the Press Act or the Fundamental Law on Freedom of Expression.
The actors covered by the fundamental laws concerning the media are therefore essentially free to publish personal data.
There are currently a number of search services that publish personal data. The data is normally collected from various government agencies based on the principle of public access to information. The search services take different approaches and the type of personal data that is made available varies. For example, some search services provide data such as address, telephone number, age, size of home and household, involvement in companies and vehicle ownership. Other search services enable users to search for names or personal identity numbers to determine whether a certain individual appears in various types of court documents or other official documents.
Search services that provide personal data in this manner are far removed from the core area covered by the fundamental laws concerning the media and have little to do with the activities that the fundamental laws are intended to protect. These primarily concern free news coverage, uncensored political debate and other related activities. By contrast, the foremost purpose of search services seems to be to make already public personal data generally available.
There is concern among private individuals regarding how search services process personal data and what it can be used for. For example, criminals use search services to select and study potential victims against which to carry out acts of fraud and appropriative offences. They often target older people. The simplicity with which personal data is made available through search services also makes publicly employed individuals more vulnerable to threats and harassment. This can in turn lead to officials hesitating to carry out official duties or refraining from carrying them out altogether.
The notion that search services can breach personal privacy is reinforced by the fact that full constitutional protection in accordance with the Freedom of the Press Act and the Fundamental Law on Freedom of Expression applies to websites that publish information about violations of law. Although there may be legitimate reasons to access this type of information, the need to allow search services to be protected by the fundamental principles of freedom of the press and freedom of expression seems limited.
The current situation could lead to faith in the special regulation of freedom of the press and freedom of expression being under-
mined in the long term. This runs the risk of increasing the pressure to regulate journalism and other related activities in another way that does not make use of the distinctive character of the Freedom of the Press Act and the Fundamental Law on Freedom of Expression. This would be an unfortunate effect that would negatively impact freedom of expression.
On the whole, the Inquiry finds that the constitutional protection for search services that publish personal data should be limited. Limiting constitutional protection for such search services would also make it clear that the regulations in Swedish law fulfil the requirements under EU law for the area of personal data.
A general constitutional exception should be introduced
The Inquiry has considered various ways to achieve enhanced protection for personal privacy when personal data is published within search services. The model that seems most appropriate is to introduce provisions on general exceptions in the Freedom of the Press Act and the Fundamental Law on Freedom of Expression. Such provisions are already in place for several other areas, and limitations in the fundamental laws concerning the media are usually established in this manner.
This regulation model would give the legislator the ability to enact laws in the area covered by the constitutional exception. The model also allows for the application of existing legislation and EU regulations in this area. This means that the EU General Data Protection Regulation and the Data Protection Act would become applicable to the actors to which the provisions apply.
Unlike the fundamental laws concerning the media, the General Data Protection Regulation and the Data Protection Act are formulated specifically for the processing of personal data. These data protection provisions are therefore a regulatory framework that is more adapted to search services. Applying the data protection provisions to those activities would strengthen protection of personal privacy. The Inquiry therefore finds that the majority of the problems associated with search services can be rectified by making the data protection provisions applicable to their processing of personal data.
Three alternatives for the framing of the constitutional exception
The Inquiry has presented three alternatives for how an exception could be framed to strengthen the protection of personal data in search services. All three alternatives provide conditions for excluding all types of personal data from the constitutional protection and can thus replace the existing exception for sensitive personal data.
The first two alternatives are based on the same regulation model that is used for sensitive personal data. This means that the constitutional exceptions in the first and second alternatives are limited to covering the collection of data that has been organised so as to make it possible to search for or compile personal data. This is expressed in a way that applies primarily to search services. Moreover, the exceptions’ scope of application is limited to situations where there is a particular risk of improper breaches of privacy. The difference between the alternatives is the framing of the impropriety requirement.
In the first alternative, the impropriety assessment would be carried out in the same manner as it already takes place with respect to sensitive personal data. The decisive factor in the constitutional exception’s scope of application is whether there are particular risks of improper breaches of individuals’ personal privacy in consideration of the activity and the forms in which the information is made available.
In the second alternative, the risk of improper breaches of privacy as regards the publication of personal data is examined instead of the activity itself. In addition, new criteria for the impropriety assessment would be introduced. In examining the risk of an improper breach of an individual’s personal privacy, particular consideration should be given to the nature of the personal data and the scope and purpose of the publication.
The constitutional exception in the third alternative is framed differently than the exceptions in the first two alternatives. The exception in the third alternative is applicable to all personal data processing that does not take place for journalistic purposes or academic, artistic or literary expression.
The new constitutional exception should be framed in line with the second alternative
The Inquiry proposes that the new constitutional exception be framed in line with the second alternative. It is essential to the Inquiry’s position that this alternative initially applies only to the activities that have been deemed most problematic from a privacy perspective. As a result, the limitation of the constitutional protection would not be greater than necessary to solve the aforementioned problems.
Under the second alternative, the assessment criteria have also been framed with the aim of addressing the criticism of earlier proposals as far as possible. Therefore, this alternative does not allow scope for differentiation based on intended or actual user groups. Moreover, the legislative text specifically states which factors are significant in the impropriety assessment. Those factors correspond to what should be decisive for the assessment of whether a collection of data falls within or outside the constitutionally protected area according to the Committee on the Constitution.
If the Inquiry’s proposals are applied, substantial leeway would apply regarding what falls within the constitutionally protected area. The interest in freedom of expression must not be superseded by the interest of protecting individuals’ privacy in borderline cases or situations that are difficult to assess.
The Inquiry finds that no ordinary legislative amendments are necessary to strengthen the protection of personal data in search services. On the other hand, the Inquiry’s proposals could give rise to a need for legislative amendments based on considerations other than personal privacy. However, such a review is beyond the scope of the Inquiry’s remit.
1. Författningsförslag
1.1. Förslag till lag om ändring i tryckfrihetsförordningen
Härigenom föreskrivs i fråga om tryckfrihetsförordningen1 att 1 kap. 13 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
13 §
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter
1. som avslöjar etniskt ursprung, hudfärg eller annat liknande förhållande, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. om hälsa, sexualliv eller sexuell läggning, eller
3. som består av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person.
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter som ingår i en uppgiftssam-
ling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa.
Vad som anges i första stycket gäller endast om
Vad som anges i första stycket gäller endast om offentliggörandet
innebär särskilda risker för otill-
1Tryckfrihetsförordningen omtryckt 2022:1524.
1. personuppgifterna ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa, och
2. det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet.
börliga intrång i enskildas personliga integritet. Vid denna bedömning ska särskilt beaktas
1. personuppgifternas karaktär,
2. omfattningen av offentliggörandet, och
3. syftet med offentliggörandet.
Denna lag träder i kraft den 1 januari 2027.
1.2. Förslag till lag om ändring i yttrandefrihetsgrundlagen
Härigenom föreskrivs i fråga om yttrandefrihetsgrundlagen1 att 1 kap. 20 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
20 §
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter
1. som avslöjar etniskt ursprung, hudfärg eller annat liknande förhållande, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. om hälsa, sexualliv eller sexuell läggning, eller
3. som består av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person.
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter som ingår i en uppgiftssam-
ling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa.
Vad som anges i första stycket gäller endast om
1. personuppgifterna ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa, och
2. det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet.
Vad som anges i första stycket gäller endast om offentliggörandet
innebär särskilda risker för otillbörliga intrång i enskildas personliga integritet. Vid denna bedömning ska särskilt beaktas
1. personuppgifternas karaktär,
2. omfattningen av offentliggörandet, och
3. syftet med offentliggörandet.
Denna lag träder i kraft den 1 januari 2027.
1Yttrandefrihetsgrundlagen omtryckt 2022:1525.
2. Utredningens uppdrag och arbete
2.1. Utredningens uppdrag
Utredningen har haft i uppdrag att se över grundlagsskyddet för söktjänster som offentliggör personuppgifter om lagöverträdelser samt söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden. Syftet med uppdraget har varit att stärka skyddet för den personliga integriteten när personuppgifter offentliggörs i sådana söktjänster.
Publiceringar på internet faller enligt huvudregeln utanför tryckfrihetsförordningens (TF:s) och yttrandefrihetsgrundlagens (YGL:s) tillämpningsområden, vilket innebär att grundlagsskyddet i stället finns i regeringsformen. Från denna huvudregel görs det undantag genom bl.a. den s.k. databasregeln i 1 kap. 4 § YGL.
Databasregeln ger under vissa förutsättningar grundlagsskydd för yttranden som sker genom tillhandahållanden till allmänheten ur databaser. Det som typiskt sett avses är tillhandahållanden av lagrad information från webbplatser på begäran. För vissa aktörer som exempelvis traditionella massmedieföretag gäller grundlagsskyddet automatiskt, dvs. utan att någon särskild åtgärd behöver vidtas. Andra aktörer har möjlighet att hos Mediemyndigheten ansöka om utgivningsbevis och kan på så sätt komma att omfattas av mediegrundlagarnas skydd. Det sistnämnda brukar kallas för frivilligt grundlagsskydd.
Möjligheten till grundlagsskydd genom utgivningsbevis infördes år 2003 som en anpassning till den tekniska utvecklingen och till förhållandet att alltmer nyhetsförmedling, opinionsbildning och upplysning bedrevs av andra aktörer än traditionella massmedieföretag. Tanken var främst att skydda nya former av massmedial
verksamhet. Vid en ansökan om utgivningsbevis görs dock inte någon prövning av verksamhetens syfte eller databasens förväntade eller faktiska innehåll. Det går alltså att få grundlagsskydd även för databaser som inte har någon massmedial karaktär.
Redan vid införandet av möjligheten till frivilligt grundlagsskydd uttalade konstitutionsutskottet (KU) att det skulle kunna uppstå konflikter med skyddet för den personliga integriteten. Sedan dess har flera utredningar haft i uppdrag att utreda om regleringen i Sverige i olika avseenden är utformad så att en rimlig balans mellan yttrandefriheten och skyddet för den personliga integriteten uppnås.
En viktig anledning till att integritetsskyddet framhålls i anslutning till grundlagsskyddet är att TF och YGL som utgångspunkt har företräde framför EU:s dataskyddsförordning1 och dataskyddslagen2. Det innebär att dataskyddsregleringen inte ska tillämpas i den utsträckning det skulle strida mot mediegrundlagarna (jfr 1 kap. 7 § första stycket dataskyddslagen).
Den parlamentariskt sammansatta Mediegrundlagskommittén (Ju 2014:17) ansåg att starka skäl talade för en inskränkning av grundlagsskyddet för söktjänster som offentliggjorde särskilt integritetskänsliga personuppgifter och lämnade också förslag på delegationsbestämmelser i TF och YGL som skulle möjliggöra en tillämpning av dataskyddsregleringen på sådana söktjänster. Förslaget ledde till lagstiftning beträffande söktjänster som offentliggör vissa känsliga personuppgifter (se 1 kap. 20 § YGL och 1 kap. 13 § TF) men inte i den del det avsåg söktjänster som tillhandahåller uppgifter om lagöverträdelser. KU ansåg dock att även söktjänster av det sistnämnda slaget utgör ett allvarligt intrång i enskildas personliga integritet och att frågan därför borde utredas vidare.
En ny parlamentarisk kommitté, 2018 års tryck- och yttrandefrihetskommitté (Ju 2018:01), fick i uppdrag att på nytt överväga en begränsning av grundlagsskyddet för söktjänster som offentliggör uppgifter om lagöverträdelser. Kommittén ansåg att en begränsning var motiverad och föreslog därför delegationsbestämmelser i TF och YGL som skulle möjliggöra en sådan inskränkning. Förslaget ledde dock inte till lagstiftning. KU, som avstyrkte för-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 2 Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
slaget, ansåg att de föreslagna bestämmelserna skapade en alltför bred och oprecis möjlighet att göra inskränkningar i grundlagsskyddet genom vanlig lag.
I utredningens direktiv har frågan om skyddet för den personliga integriteten när personuppgifter offentliggörs i söktjänster tagits upp på nytt. Det konstateras i direktiven att det i dagsläget finns ett antal söktjänster som utan urskillning offentliggör enskildas personuppgifter. Exempelvis kan det röra sig om uppgifter om adress, ålder, telefonnummer, bostadens och hushållets storlek, bolagsengagemang samt fordonsinnehav. Det påtalas i direktiven att en oro kan skapas hos enskilda för hur uppgifter om deras personliga förhållanden behandlas när en stor mängd personlig information sprids på detta sätt. Informationen kan också användas av kriminella för att välja ut och kartlägga brottsoffer. I direktiven nämns det vidare att informationen kan användas för att kartlägga offentliganställda för att sedan genom hot eller på annat sätt försöka påverka de beslut som de fattar i tjänsten.
Vad gäller offentliggörandet av uppgifter om lagöverträdelser konstateras att detta många gånger ger upphov till en påtaglig integritetsskada för de individer som förekommer i söktjänsterna. Sådana söktjänster kan också försvåra för dömda personer att bryta en kriminell livsstil och återgå till ett hederligt levnadssätt. Det har vidare ifrågasatts om den nuvarande regleringen ger ett tillräckligt skydd mot integritetskränkningar på det sätt som både Europakonventionen och EU-rätten kräver.
Utredningen har mot den bakgrunden getts i uppdrag att
- analysera och ta ställning till om det finns behov av att inskränka grundlagsskyddet för söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt för söktjänster som offentliggör personuppgifter om lagöverträdelser,
- ingående redovisa de ändringar i grundlag och, vid behov, i vanlig lag som skulle kunna göras för att stärka skyddet för personuppgifter i sådana söktjänster samt konsekvenserna av varje författningsändring,
- lämna de förslag på författningsändringar som bedöms motiverade för att stärka skyddet för den personliga integriteten när personuppgifter offentliggörs i sådana söktjänster, och
- redogöra för de regler som kommer att gälla för söktjänsterna för det fall utredaren bedömer att delegationsbestämmelser bör införas i TF och YGL.
Av direktivet följer att en utgångspunkt för utredningens arbete ska vara att det även fortsättningsvis ska vara möjligt att få grundlagsskydd genom utgivningsbevis.
Utredningens direktiv finns bifogat som bilaga 1.
2.2. Utredningens arbete
Utredningens arbete påbörjades i oktober 2023. Arbetet har bedrivits på sedvanligt sätt genom regelbundna sammanträden med experter och med den parlamentariska referensgrupp som har knutits till utredningen. Vid dessa sammanträden har utredningens sakkunniga ledamot deltagit. Sammanlagt har tre sammanträden hållits med expertgruppen. Lika många sammanträden har hållits med den parlamentariska referensgruppen.
Utredningens arbete har i huvudsak bedrivits i tre olika faser. I den första fasen har inriktningen varit att inhämta kunskap om de frågeställningar som omfattas av direktivet. Detta har skett genom att sekretariatet har skrivit promemorior som diskuterats vid sammanträden med expertgruppen och den parlamentariska referensgruppen.
Under den första fasen har också en kartläggning av databaser med utgivningsbevis utförts av en extern uppdragstagare, juristen Daniel Vetterfalk Strömblad. Syftet med kartläggningen har främst varit att undersöka förekomsten av söktjänster som offentliggör personuppgifter samt få kunskap om innehållet i och utformningen av dessa tjänster. Ett annat syfte har varit att få en övergripande bild av hur söktjänsternas personuppgiftsbehandling förhåller sig till dataskyddsförordningen och kreditupplysningslagen samt till brottsbalkens bestämmelse om förtal. Parallellt med denna kartläggning har utredningen undersökt förekomsten av söktjänster bland databaser som anmälts till Mediemyndigheten och som har ett s.k. automatiskt grundlagsskydd.
I den andra fasen har arbetet varit inriktat på att kartlägga vilka handlingsalternativ som finns mot bakgrund av innehållet i direk-
tivet. Konsekvenserna av de olika handlingsalternativen har också analyserats. I likhet med arbetet under den första fasen har arbetet huvudsakligen utförts genom upprättandet av texter för diskussion vid möten med expertgruppen och den parlamentariska referensgruppen.
Under den tredje fasen har arbetet inriktats på att finna en konkret lösning på de frågeställningar som omfattas av direktivet. Förslag på författningstext och motivtext har tagits fram av sekretariatet och behandlats vid möte med expertgruppen och den parlamentariska referensgruppen.
Utöver sammanträden med expertgruppen och den parlamentariska referensgruppen har utredningen genomfört ett seminarium för externa aktörer. Vid seminariet behandlades frågan om grundlagsskyddet bör inskränkas för söktjänster som offentliggör personuppgifter. Inbjudna var söktjänstföretag, mediaorganisationer och andra organisationer som kunde antas ha kunskap inom ämnet. Företrädare för Hitta.se och Villaägarnas Riksförbund samt journalisten och utbildaren Nils Funcke höll var sin presentation. Övriga deltagare fick möjlighet att ställa frågor och lämna synpunkter. Vid seminariet närvarade representanter från Advokatfirman Cederquist, Nyhetsbyrån Siren, CARFAX Sverige, SPF Seniorerna, Svensk Bakgrundsanalys, Tidningsutgivarna, Journalistförbundet, Verifiera, Eniro Sverige, Nodeus Group, Biluppgifter Sverige, Fuplex, UC, Nusvar, Svenska Bankföreningen, Dun & Bradstreet, SWEDMA, Advokatsamfundet, Bolin Communications, Priority Group, Mobility Sweden, Legal Newsdesk Sweden och SEB.
För att få en bredare bild av de frågeställningar som omfattas av direktivet och konsekvenserna av olika handlingsalternativ har sekretariatet haft särskilda möten med representanter från Brottsförebyggande rådet, Mediemyndigheten, Ekobrottsmyndigheten och Polismyndighetens nationella operativa avdelning. Ett gemensamt möte med representanter från några kommunala organisationer har också genomförts (inköps- och upphandlingsförvaltningen i Göteborgs Stad, socialförvaltningen nordost i Göteborgs Stad, AB Bostaden i Umeå, Umeå Energi, Vakin samt kommunstyrelseförvaltningen i Järfälla kommun). Av samma skäl har möten genomförts med vård- och omsorgsförvaltningen vid Mölndals stad, SWEDMA, Panoptes Sweden, SEB, Företagarna, Norstedts
Juridik samt med medie- och journalistorganisationer (Journalistförbundet, Publicistklubben och Utgivarna). De särskilda mötena har skett digitalt och främst på utredningens initiativ.
Utredningen har skickat en förfrågan till samtliga tingsrätter vad gäller hanteringen av begäran om utlämnande av ett stort antal brottmålsdomar och förundersökningsprotokoll från aktörer med utgivningsbevis.
Utredningen har även skickat en förfrågan till tillsynsmyndigheterna inom dataskyddsområdet i Norge, Finland och Danmark för att få en bild av förekomsten av söktjänster i dessa länder. Svar har kommit in från tillsynsmyndigheterna i Norge och Finland samt från justitieministeriet i Danmark.
3. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen
3.1. Skyddet för yttrandefriheten
Enligt 1 kap. 1 § regeringsformen (RF) bygger den svenska folkstyrelsen på fri åsiktsbildning och på allmän och lika rösträtt. Var och en tillförsäkras enligt 2 kap. RF vissa grundläggande fri- och rättigheter gentemot det allmänna, däribland yttrandefrihet och informationsfrihet.
Enligt 2 kap. 1 § andra stycket RF gäller dock tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL) i fråga om tryckfriheten och motsvarande frihet att yttra sig i ljudradio, television och i vissa liknande överföringar, offentliga uppspelningar ur en databas samt tekniska upptagningar. Yttrandefriheten i de här fallen regleras alltså i dessa grundlagar och inte i RF.
I TF och YGL läggs ett mycket detaljerat skyddssystem för tryck- och yttrandefriheten fast. Systemet vilar på ett antal grundprinciper som syftar till att ge ett särskilt starkt skydd för yttranden i tryckta skrifter och vissa andra medieformer. En viktig komponent i skyddet är att inga andra begränsningar i tryck- och yttrandefriheten får göras än de som följer av TF och YGL. Begränsningar av det slaget förutsätter alltså grundlagsändring. Det här innebär en tydlig skillnad mot regleringen i RF, enligt vilken yttrandefriheten kan inskränkas genom vanlig lag om det sker inom de ramar som anges i 2 kap. 20–23 §§ och 25 §.
Nedan redogörs för huvuddragen i mediegrundlagarna. Först berörs grundlagarnas tillämpningsområde och därefter de tryck- och yttrandefrihetsrättsliga grundprinciperna. Redogörelsen avslutas med en kort beskrivning av grundprincipernas betydelse på det område som faller utanför grundlagarnas s.k. materiella tillämpningsområde.
3.1.1. Tillämpningsområde
Inledning
Tillämpningsområdet för TF och YGL bestäms utifrån vissa formella, materiella och territoriella krav.
Beträffande de formella kraven bör det redan inledningsvis nämnas att den särskilda grundlagsregleringen av tryck- och yttrandefriheten har konstruerats så att den bara omfattar vissa kommunikationstekniker. Bakgrunden är att det historiskt sett har ansetts vara effektivare att konstruera skyddet som ett värn för tekniken respektive förmedlingssättet, än för det egentliga yttrandet. Den här skyddsmetoden har sitt ursprung i skyddet för tryckta skrifter och innebär att yttrandets innehåll som huvudregel inte är avgörande för grundlagarnas tillämplighet.
En viktig konsekvens av att TF och YGL har kopplats till användandet av viss teknik är att s.k. direkt kommunikation inte omfattas av det särskilda grundlagsskyddet. Det innebär att yttranden som framförs vid t.ex. demonstrationer, teaterföreställningar eller konstutställningar inte skyddas av TF och YGL. Motsvarande gäller för webbplatser som bygger på att vem som helst kan bidra till innehållet utan förhandsgranskning. För dessa yttrandeformer gäller i stället det skydd som följer av RF, Europakonventionen och EU-rätten.
Ett annat grundläggande villkor för att TF och YGL ska bli tillämpliga är kravet på spridning. Det vilar på tanken att den särskilda tryck- och yttrandefrihetsregleringen ska skydda friheten att sprida yttranden till allmänheten. Som kommer framgå i detta kapitel kan dock yttranden under vissa förutsättningar skyddas av TF och YGL även före publicering och spridning.
I det följande ges en översiktlig presentation av TF:s och YGL:s formella, materiella och territoriella krav för grundlagsskydd.
Tryckfrihetsförordningens formella tillämpningsområde
Av 1 kap. 2 § framgår att det är väsentligen två olika slag av skrifter som omfattas av TF.
För det första omfattas sådana skrifter som har framställts i tryckpress. Med begreppet tryckpress avses alla metoder för mångfaldigande som innebär att färg överförs från ett tryckmedium (t.ex. en tryckplåt) till en tryckbärare (t.ex. papper) genom en direktkontakt och ett fysiskt tryck mellan dem (se bl.a. ”Flaggan” NJA 2019 s. 72 p. 7 och betänkandet Yttrandefrihetsgrundlagen och Internet.
Utvidgat grundlagsskydd och andra frågor om tryck- och yttrandefrihet, SOU 2001:28 s. 359 f.)
För det andra omfattas genom den s.k. stencilregeln skrifter som har mångfaldigats genom fotokopiering eller någon liknande teknik. I dessa fall uppställs det även ett krav på att utgivningsbevis gäller för skriften eller att den har försetts med vissa ursprungsuppgifter. Bestämmelserna i TF avseende tryckta skrifter tillämpas som huvudregel även på skrifter av det här slaget.
TF kan under vissa förutsättningar även bli tillämplig på program eller tekniska upptagningar som avses i YGL och som oförändrat återger innehållet i en tryckt skrift (se 1 kap. 5 och 6 §§ TF). Programmet eller upptagningen anses då utgöra en bilaga till skriften och den som ansvarar för skriftens innehåll ansvarar därmed även för innehållet i programmet eller upptagningen.
Kravet på spridning kommer till uttryck i 1 kap. 3 § TF. Där anges att en skrift anses som en tryckt skrift när den är utgiven. Utgivningskravet är uppfyllt om skriften har blivit utlämnad till försäljning eller för spridning på annat sätt i Sverige. Kravet på spridning kan anses fullgjort även om skriften bara finns i något eller några exemplar. Det förutsätts dock att skriften når eller avses nå andra än dem som befinner sig i en mindre, sluten krets.
En innebörd av kravet på utgivning är att ingripanden enligt TF mot en tryckt eller därmed jämställd skrift får ske först efter utgivningen. Däremot innebär kravet på utgivning inte att TF bara är tillämplig på skrifter som är utgivna. Det framgår bl.a. av förbudet mot censur som tar sikte på omständigheter som ligger före utgivningstidpunkten.
Yttrandefrihetsgrundlagens formella tillämpningsområde
YGL är i huvudsak tillämplig på två olika kommunikationstekniker.
Den första kategorien avser överföringar av ljud, bild eller text som sker med hjälp av elektromagnetiska vågor, t.ex. radio- och tv-program samt internetpubliceringar. Bland överföringarna skiljer YGL mellan sändningar av program och tillhandahållande av information ur databaser.
Den andra kategorien är tekniska upptagningar, dvs. upptagningar som innehåller text, bild eller ljud och som kan uppfattas endast med ett tekniskt hjälpmedel. Ett exempel på det sistnämnda är en dvd-skiva.
Sändningar av program
När det gäller överföringar med hjälp av elektromagnetiska vågor har begreppet program en särskild betydelse. YGL är som huvudregel tillämplig på sändningar av program som är riktade till allmänheten och avsedda att tas emot med tekniska hjälpmedel (se 1 kap. 3 § första stycket). Innebörden är att sändningen ska vara riktad till alla som önskar ta emot den. Det ska inte krävas någon särskild begäran från mottagaren. Överföringen startas av sändaren och mottagaren är bara aktiv genom att slå på mottagarapparaten och välja kanal (se delbetänkandet Vissa tryck- och yttrandefrihetsrätts-
liga frågor, SOU 2004:114 s. 69).
Bestämmelsen om sändningar av program omfattar i första hand traditionella ljudradio- och tv-sändningar, s.k. linjär radio och tv, där sändningen startar och slutar vid en given tidpunkt som den som sänder bestämmer.
Med sändningar av program avses även tillhandahållande till allmänheten på särskild begäran av direktsända eller inspelade program, om starttidpunkten och innehållet inte kan påverkas av mottagaren, s.k. webbsändningar. En förutsättning är dock att programmen tillhandahålls av någon som omfattas av databasregeln i 1 kap. 4 § (se 1 kap. 3 § andra stycket). Innebörden av databasregeln beskrivs nedan.
Satellitsändningar följer i princip samma regler som marksändningar förutsatt att satellitsändningen utgår från Sverige. Även program i tv som förmedlas hit genom satellitsändning som utgår
från utlandet kan dock i vissa fall anses utgå från Sverige. (Se 1 kap. 3 § tredje stycket.)
Tillhandahållande av information ur databaser
Enligt den s.k. databasregeln ska YGL:s föreskrifter om sändningar av program också tillämpas när information ur databaser tillhandahålls allmänheten under vissa angivna förutsättningar (se 1 kap. 4 §). En databas är en samling av information som är lagrad för automatiserad behandling och betyder i detta sammanhang vanligen detsamma som en webbsida.
En grundläggande förutsättning för att databasen ska omfattas av YGL är att innehållet i databasen endast kan ändras av den som driver verksamheten. Interaktiva delar av internet är alltså inte tänkta att omfattas av YGL. Även om viss information i databasen har tillförts av någon annan gäller dock grundlagen för sådana delar av databasen där det framstår som klart att informationen härrör från den som driver verksamheten. Så kan vara fallet på en webbsida som tillåter användarkommentarer utan förhandsgranskning.
Databasregeln omfattar t.ex. dagstidningars nätupplagor samt radio- och tv-företagens uppspelningstjänster (streaming). I det sistnämnda fallet är det fråga om ett tillhandahållande på särskild begäran, där användaren har möjlighet att själv bestämma vilket tv- eller radioprogram han eller hon vill ta del av och när programmet ska starta. Detta skiljer sig från de linjära sändningarna och webbsändningarna där lyssnaren eller tittaren kommer in i sändningen där den råkar befinna sig.
Grundlagsskyddet enligt databasregeln gäller också för print on demand, dvs. tekniska upptagningar, skrifter eller bilder som framställs på begäran i enstaka exemplar genom överföring av innehållet från en databas. En ytterligare form av tillhandahållande till allmänheten som faller under databasregeln är överföringar som sker enligt en överenskommelse i förväg, s.k. push-teknik. Grundlagsskyddet enligt databasregeln omfattar även offentlig uppspelning ur en databas, något som bl.a. berör digital bio.
I första hand omfattar databasregeln verksamhet som bedrivs av traditionella massmedieföretag. Det omfattar bl.a. redaktioner för periodiska skrifter och radio- och tv-program samt förlag,
tryckerier och nyhetsbyråer. Dessa aktörer har s.k. automatiskt grundlagsskydd, vilket innebär att någon särskild åtgärd inte behöver vidtas för att skyddet ska uppkomma t.ex. för webbplatser som dessa aktörer tillhandahåller. Massmedieföretag som endast är verksamma på internet, såsom webbtidningar utan tryckt upplaga, har däremot som huvudregel inte automatiskt grundlagsskydd.
Databasregeln gör det dock även möjligt för andra aktörer än traditionella massmedieföretag att få grundlagsskydd genom att ansöka om ett utgivningsbevis hos Mediemyndigheten. Man brukar här tala om att skyddet är frivilligt eftersom den som driver verksamheten kan välja om denna ska omfattas av YGL eller inte.
För att utgivningsbevis ska utfärdas ställs vissa krav. Till att börja med måste verksamheten bedrivas enligt de förutsättningar som gäller generellt för att databasregeln ska tillämpas. Vidare ska överföringarna utgå från Sverige, databasen ha en behörig utgivare som åtagit sig uppdraget och verksamheten ha ett namn som är sådant att det inte lätt kan förväxlas med namnet på en annan verksamhet som omfattas av databasregeln. Någon prövning av de tänkta yttrandenas innehåll eller av verksamhetens karaktär sker däremot inte utan kraven är av formellt slag. (Se 1 kap. 5 §.)
Tekniska upptagningar
Med tekniska upptagningar avses upptagningar som innehåller text, bild eller ljud och som kan läsas, avlyssnas eller på annat sätt uppfattas endast med ett tekniskt hjälpmedel (se 1 kap. 2 §). Exempel på tekniska upptagningar är äldre tiders filmer, cd-skivor och dvd-skivor.
När det gäller kravet på spridning av tekniska upptagningar liknar regleringen den som gäller för tryckta skrifter. YGL är bara tillämplig på tekniska upptagningar som är utgivna. En upptagning anses utgiven då den har lämnats ut för att spridas till allmänheten i Sverige genom att spelas upp, säljas eller tillhandahållas på något annat sätt. (Se 1 kap. 8 §.)
På samma sätt som beträffande tryckta skrifter är innebörden av kravet på utgivning att ingripanden mot en teknisk upptagning får ske först efter utgivningen.
Mediegrundlagarnas materiella tillämpningsområde
TF och YGL gäller för vissa framställningsformer. Tanken med att avgränsa grundlagsskyddet på detta sätt är att grundlagsskyddet ska kunna upprätthållas oberoende av yttrandets innehåll. Skyddet blir på det sättet innehållsneutralt.
Utgångspunkten är således att allt som framförs i en sådan medieform som omfattas av mediegrundlagarna ska bedömas enligt dessa. Den här principen har dock inte gått att upprätthålla undantagslöst. Tillämpningsområdet för grundlagarna har därför kommit att avgränsas ytterligare genom flera materiella krav som tar sikte på yttrandenas innehåll.
TF:s och YGL:s materiella tillämpningsområde avgränsas på två sätt. För det första kan grundlagsskyddet åsidosättas genom tolkning av grundlagarnas innebörd och syfte. För det andra finns ett antal undantag som uttryckligen har skrivits in i mediegrundlagarna.
Frågan var gränserna för det materiella tillämpningsområdet går är komplicerad och behandlas här i korthet. Det bör påpekas att de materiella undantagen som regel inte innebär att TF eller YGL undantas helt. Ofta kan resultatet bli att vissa delar av grundlagarna inte tillämpas (t.ex. de straffrättsliga aspekterna) medan de fortfarande gäller i andra avseenden (t.ex. i fråga om censurförbudet).
Innehåll som undantas genom ändamålstolkning
Av TF:s och YGL:s portalbestämmelser framgår att tryck- och yttrandefriheten syftar till att säkerställa ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande (se 1 kap. 1 § TF och 1 kap. 1 § YGL). Med utgångspunkt i detta stadgande går det – enligt rådande synsätt – att fastställa vilket bruk av tryck- och yttrandefriheten som mediegrundlagarna är tänkta att omfatta.
I förarbetena till TF framhålls att yttranden eller meddelanden i tryckt skrift som är brottsliga i annat avseende än som ett överskridande av yttrandefrihetens gränser, kan bestraffas enligt vanlig lag. Det är då avgörande vad som är tryckfrihetens innebörd och syfte. Enligt förarbetena är tryckfrihetens främsta uppgift att säkerställa en fri nyhetsförmedling och en obeskuren politisk debatt. Det är denna uppgift som föranlett att tryckfriheten, såsom en
förutsättning för ett fritt samhällsskick, reglerats i grundlag. I nära samband med tryckfrihetens politiska uppgift står vidare dess betydelse ur en mera vidsträckt kulturell synpunkt såsom grundval för en allmän upplysning. (Se betänkandet Förslag till tryckfrihets-
förordning, SOU 1947:60 s. 120 och prop. 1948:230 s. 172).
Genom ändamålstolkning av det syfte som bär upp TF och YGL har således t.ex. bedrägeri, oredligt förfarande och svindleri kunnat beivras genom vanlig lag trots att yttrandena spridits i ett grundlagsskyddat medium. Utgångspunkten är visserligen att bara de gärningar som nämns i den s.k. brottskatalogen (se nedan) är brott när de begås i ett grundlagsskyddat medium. Det nyss sagda innebär dock ett undantag från denna princip. Riktigt hur långt detta undantag sträcker sig är inte klart. I praxis har betonats att frågan om en framställning omfattas av mediegrundlagarna bör bedömas utifrån omständigheterna i det enskilda fallet (jfr ”Aftonbladet-målet” NJA 1999 s. 275 och RÅ 2010 ref. 115).
Synsättet att tryck- och yttrandefrihetens ändamål medför vissa undantag från det materiella tillämpningsområdet får även betydelse på området för kommersiell marknadsföring. Generellt sett omfattar yttrandefriheten enligt grundlagarna reklam och annan marknadsföring varför det ofta behövs delegationsbestämmelser för att möjliggöra förbud för viss typ av reklam. I praxis har emellertid utvecklats ett undantag från det grundlagsskyddade området för framställningar av utpräglat kommersiell natur. Att en framställning är av utpräglat kommersiell natur innebär att den ska ha gjorts i en kommersiell verksamhet samt ha ett kommersiellt syfte och rent kommersiella förhållanden till ändamål (se ”Trisskrapningarna” NJA 2023 s. 211 p. 23 och NJA 2001 s. 319).
Genom ändamålstolkningen har således rent kommersiell reklam i grundlagsskyddade medier ansetts kunna underkastas bestämmelserna i marknadsföringslagen (2008:486) om god marknadsföringssed. Det framgår dock av praxis att vid oklarhet eller tveksamhet ska företräde ges åt TF och YGL med hänsyn till deras ställning och de viktiga intressen som de avser att skydda (se ”Björnes Magasin” NJA 1999 s. 749).
En ändamålstolkning av YGL:s syfte har vidare lett fram till en ändrad myndighetspraxis för utfärdande av utgivningsbevis. Fram till år 2023 utfärdades utgivningsbevis även för myndigheters databaser eftersom databasregeln inte innehåller någon bestämmelse
som undantar myndigheter från det frivilliga grundlagsskyddet. Mot bakgrund av YGL:s syfte – att tillförsäkra var och en rätt att gentemot det allmänna uttrycka sig i vissa massmedier – har dock Mediemyndigheten omprövat tidigare ståndpunkt och avslagit förvaltningsmyndigheters ansökan om utgivningsbevis. Frågan prövas för närvarande av förvaltningsdomstol (se Förvaltningsrätten i Stockholms mål nr 24231-23).
Uttryckliga undantag – delegationsregler
I 1 kap. 11–14 §§ TF finns ett antal uttryckliga undantag från grundlagens tillämpningsområde, s.k. delegationsbestämmelser. Det handlar om begränsningar av tryckfriheten inom vissa områden där behovet av grundlagsskydd har ansetts vara mindre. På dessa områden har grundlagsstiftaren delegerat till lagstiftaren att reglera omfattningen av tryckfriheten i vanlig lag. YGL:s delegationsbestämmelser finns i 1 kap. 17–21 §§. Delegationsbestämmelserna i mediegrundlagarna är i stor utsträckning överlappande men det förekommer vissa avvikelser.
Bland undantagen i TF kan nämnas bestämmelserna i 1 kap. 12 § som bl.a. ger möjlighet att i lag uppställa förbud mot vissa typer av kommersiella annonser, exempelvis i samband med marknadsföring av alkohol och tobak (punkterna 1–3). Det ges även möjlighet att i lag ställa krav på införande och utformning av produktinformation om syftet är skydd för hälsa eller miljö eller konsumentskydd (punkt 4). I lag ges det vidare möjlighet att under vissa förutsättningar meddela förbud m.m. som tar sikte på offentliggörande av kreditupplysningar, bl.a. om upplysningen innebär ett otillbörligt intrång i den enskildes personliga integritet (punkt 5). Lagbestämmelser som innehåller den här typen av förbud eller krav ska alltså kunna tillämpas trots att det är fråga om en publicering som omfattas av TF:s formella tillämpningsområde, t.ex. en annons i en dagstidning.
I 12 § finns också undantag som möjliggör begränsningar i anskaffarfriheten. Det är exempelvis regler i vanlig lag som gäller i fråga om ansvar och ersättningsskyldighet som avser det sätt på vilket en uppgift eller underrättelse har anskaffats (punkt 6). Det här
innebär t.ex. att man inte har rätt att straffritt göra inbrott för att anskaffa en uppgift som ska publiceras.
Det finns vidare regler i vanlig lag som gäller för ansvar och ersättningsskyldighet för överträdelse av förbud mot att göra avbildningar, beskrivningar eller mätningar av eller inom objekt som är av betydelse för Sveriges totalförsvar (punkt 7). Som exempel kan nämnas att det i regel inte är tillåtet att fotografera skyddsobjekt ens i publiceringssyfte.
Nämnda delegationsbestämmelser i TF tillämpas även på program och tekniska upptagningar (se 1 kap. 18 § YGL). När det gäller program finns det i YGL också en särskild bestämmelse om möjligheter att i lag meddela föreskrifter om förbud eller villkor när det gäller bl.a. kommersiell reklam och sponsring (se 19 §).
Det förekommer ytterligare ett antal andra uttryckliga undantag från mediegrundlagarna. TF och YGL är t.ex. inte tillämpliga alls på barnpornografi (se 1 kap. 14 § TF och 1 kap. 21 § YGL). Vidare kan, något förenklat, viss hantering av pornografiska eller förråande bilder m.m. bestraffas enligt vanlig lag trots att de förekommer i grundlagsskyddade medier (se 6 kap. 2 § TF och 3 kap. 12 § YGL). I lag kan det också meddelas föreskrifter om spridning av kartor, ritningar eller bilder som återger Sverige helt eller delvis och innehåller upplysningar av betydelse för rikets försvar (se 6 kap. 3 § TF och 3 kap. 9 § YGL). Sådan reglering återfinns i lagen (2016:319) om skydd för geografisk information.
Ett annat undantag rör upphovsrätten (se 1 kap. 11 § TF och 1 kap. 18 § YGL). Innebörden är att upphovsrätten inte regleras i mediegrundlagarna utan i vanlig lag, främst lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.
Brott som begås av en meddelare eller anskaffare bestraffas inte enligt TF och YGL utan i stället enligt brottsbalken (se mer härom nedan). I fråga om brott görs det vidare undantag för annonser och liknande där det inte av innehållet omedelbart framgår att meddelandet är straffbart (se 7 kap. 21 § TF och 5 kap. 3 § YGL). Detta innebär att i fall där det inte är möjligt för utgivaren att förstå det brottsliga i exempelvis en annons kan förfarandet bestraffas enligt vanlig lag.
Vidare finns det undantag som tar sikte på yttranden i program som består i direktsändningar av dagshändelser eller av sådana gudstjänster eller offentliga tillställningar som anordnas av någon
annan än den som bedriver programverksamheten. Av 1 kap. 16 § YGL följer att brottsbalken, inte YGL, ska tillämpas vid straffrättsliga ingripanden mot sådana yttranden.
Särskilt om undantaget för offentliggörande av vissa personuppgifter
Bland grundlagarnas delegationsbestämmelser finns sedan den 1 januari 2019 ett undantag för offentliggörande av vissa personuppgifter. Undantaget, som införts i både TF och YGL, innebär att det i vanlig lag kan meddelas föreskrifter om förbud mot offentliggörande av personuppgifter
- som avslöjar etniskt ursprung, hudfärg eller annat liknande förhållande, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
- om hälsa, sexualliv eller sexuell läggning, eller
- som består av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person.
Möjligheten att meddela föreskrifter om förbud på detta område gäller dock endast när personuppgifterna ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa uppgifterna. Därtill krävs att det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet. (Se 1 kap. 13 § TF och 1 kap. 20 § YGL.)
Med uppgiftssamling avses vad som enligt ett vardagligt språkbruk kan anses utgöra ett register. Uppgifterna ska ha samlats ihop och gjorts sökbara eller möjliga att sammanställa. Med uppgiftssamlingar avses i detta sammanhang alltså inte löpande text i t.ex. en skrift eller i en databas.
Uppgiftssamlingen behöver inte ha strukturerats på ett sätt som underlättar sökning efter just de personuppgifter som omfattas av bestämmelsen. För att bestämmelsen ska bli tillämplig är det tillräckligt att uppgiftssamlingen gör det möjligt att genom fritextsökning söka efter någon av de uppgifter som anges i bestämmelsen.
Uttrycket uppgiftssamlingar omfattar även rent manuella samlingar av uppgifter som t.ex. hämtats från skriftliga dokument och
ställts samman till ett register. För manuellt förda uppgiftssamlingar bör kravet på sökbarhet som regel anses uppfyllt bl.a. om en förteckning över personer sorteras efter bokstavsordning. (Se prop. 2017/18:49 s. 150 f. och s. 189.)
Bestämmelsernas tillämpningsområde har vidare smalnats av och gjorts beroende av vilka risker för intrång i den personliga integriteten som en viss typ av uppgiftssamling för med sig. Prövningen av risken för otillbörligt integritetsintrång innefattar en helhetsbedömning av uppgiftsamlingens karaktär. Enligt propositionen bör bedömningsgrunder av betydelse kunna vara målgruppen, formerna för tillhandahållande och tjänsternas sök- och sammanställningsfunktioner. En allmänt tillgänglig söktjänst får t.ex. typiskt sett sägas medföra ett större integritetsintrång än en uppgiftssamling som riktar sig till aktörer med behov av informationen i sin yrkesutövning. (Se prop. 2017/18:49 s. 151 f. och s. 189 f.)
Vid behandlingen av lagförslaget vände sig konstitutionsutskottet (KU) emot en åtskillnad mellan söktjänster som vänder sig till allmänheten och tjänster som vänder sig till en viss yrkeskategori. KU ansåg att målgruppen inte skulle tillmätas någon självständig betydelse vid bedömningen av om en uppgiftssamling faller innanför eller utanför det grundlagsskyddade området. Bedömningen borde i stället göras med utgångspunkt i syftet med tillhandahållandet av uppgiftssamlingen och vilken typ av uppgifter som tillhandahålls. (Se bet. 2017/18:KU16 s. 41.)
Avsikten med delegationsbestämmelserna är inte att medge reglering på lagnivå av publicistisk verksamhet. I propositionen anförs att sammanställningar av sådana personuppgifter som omfattas av bestämmelserna kan förekomma i traditionell journalistisk verksamhet, bl.a. i anslutning till olika typer av granskande artiklar. Kravet på att det ska vara fråga om ett otillbörligt intrång innebär dock att bestämmelserna normalt sett inte medger att föreskrifter meddelas om förbud mot uppgiftssamlingar som tillhandahålls inom ramen för sådan journalistisk verksamhet. Intresset av mediernas oberoende bevakning är i detta avseende överordnat intresset av att skydda den personliga integriteten. (Se prop. 2017/18:49 s. 189 f.)
Vidare underströk KU att det är mycket angeläget att en betydande marginal tillämpas i fråga om vad som faller inom det grundlagsskyddade området så att intresset för yttrandefrihet inte får ge
vika för intresset av att skydda enskildas integritet i gränsfall eller svårbedömda situationer. (Se bet. 2017/18:KU16 s. 41.)
Bestämmelserna ger, liksom andra delegationsbestämmelser som hänvisar till föreskrifter i lag, även utrymme för reglering genom EU-förordningar. Med detta synsätt är EU:s dataskyddsförordning t.ex. en sådan lag med förbud mot offentliggörande av personuppgifter som aktualiseras inom bestämmelsernas tillämpningsområde. (Se prop. 2017/18:49 s. 147 f. och s. 188 samt rättsfallet HFD 2024 ref. 43.)
Territoriella krav
Det tryck- och yttrandefrihetsrättsliga systemet gäller fullt ut för yttranden i tryckta skrifter och tekniska upptagningar som är avsedda för spridning i Sverige (se 1 kap. 3 § TF samt 1 kap. 8 § och 11 kap. 2 § YGL).
För databaser med utgivningsbevis och sändningar av program som sänds via elektromagnetiska vågor krävs att de utgår från Sverige för att YGL ska vara fullt ut tillämplig (se 1 kap. 3 och 5 §§ samt 11 kap. 1 § YGL). För databaser med automatiskt grundlagsskydd enligt 1 kap. 4 § YGL anses kravet på anknytning uppfyllt genom att den redaktion eller det medieföretag som bedriver verksamheten har tillräckligt stark koppling till Sverige. Däremot behöver tillhandahållandet inte ske från en server i Sverige. (Se NJA 2001 s. 445.)
Det som föreskrivs om program i YGL gäller även program som förmedlas genom satellitsändning som utgår från Sverige. Program i tv som förmedlas hit genom satellitsändning som utgår från utlandet anses utgå från Sverige om de huvudsakligen är avsedda att tas emot här i landet och vidaresänds här samtidigt och oförändrat (se 1 kap. 3 § tredje stycket YGL).
Grundlagsskyddet enligt TF och YGL är till viss del även tilllämpligt på medier med en svagare anknytning till Sverige. I 13 kap. TF finns det regler om utrikes tryckta skrifter och 11 kap. YGL innehåller bestämmelser om program och tekniska upptagningar från utlandet.
Detta begränsade skydd innebär något förenklat att om skriften inte ges ut i Sverige eller om programmet inte utgår härifrån gäller
ändå ett skydd för den framställning som eventuellt sker här. Skyddet avser förbud mot censur och hindrande åtgärder samt en något inskränkt meddelar- och anskaffarfrihet. Om däremot skriften ges ut i Sverige gäller nästan fullt grundlagsskydd. Detsamma gäller för tekniska upptagningar som lämnas ut för spridning här.
Skyddet i grundlagarna för tryckfriheten är riktat till var och en. Begränsningar i tryck- och yttrandefriheten får dock göras genom lag för andra än svenska medborgare och svenska juridiska personer (se 14 kap. 5 § TF och 12 kap. 3 § YGL).
3.1.2. De tryck- och yttrandefrihetsrättsliga grundprinciperna
Inledning
Det brukar framhållas att TF och YGL vilar på vissa grundprinciper. Dessa kan beskrivas på olika sätt. Ett vanligt framställningssätt är att tala om att systemet bygger på principerna om
- förbud mot censur och hindrande åtgärder,
- etableringsfrihet,
- ensamansvar,
- meddelarskydd,
- särskild brottskatalog, och
- särskild rättegångsordning.
Av central betydelse för grundlagssystemet är även den s.k. exklusivitetsprincipen. Den ska garantera att mediegrundlagarnas särställning som straff- och processlagar på tryck- och yttrandefrihetens områden inte urholkas.
De nämnda principerna presenteras kortfattat nedan.
Förbud mot censur och hindrande åtgärder
Förbudet mot censur
Censurförbudet innebär beträffande tryckta skrifter att en skrift inte före tryckningen får granskas av en myndighet eller ett annat allmänt organ (se 1 kap. 8 § första stycket TF). Det grundläggande syftet med censurförbudet är att en skrift alltid ska kunna offentliggöras före ett eventuellt ingripande mot dess innehåll. TF har därför konstruerats så att straffrättsliga åtgärder med anledning av innehållet får ske först i efterhand.
Förbudet mot censur gäller som huvudregel även för de medier som omfattas av YGL (se 1 kap. 11 § första meningen YGL). I ett avseende görs det dock undantag från förbudet mot förhandsgranskning. Enligt 1 kap. 12 § YGL får det nämligen i lag meddelas bestämmelser om granskning och godkännande av rörliga bilder i offentliga uppspelningar ur en databas. Detsamma gäller rörliga bilder i tekniska upptagningar som ska visas offentligt. Bestämmelsen ger utrymme för s.k. biografcensur.
Förbudet mot hindrande åtgärder
Innebörden av förbudet mot hindrande åtgärder är, när det gäller tryckta skrifter, att det allmänna inte får hindra tryckning, utgivning eller spridning av skriften på grund av dess innehåll om åtgärden inte har stöd i TF (se 1 kap. 8 § andra stycket TF). Motsvarande förbud gäller för de medier som omfattas av YGL (se 1 kap. 11 § andra meningen YGL). Förbudet mot hindrande åtgärder är inte absolut. Vissa åtgärder av det här slaget har stöd i TF och YGL, t.ex. beslag eller konfiskering av en framställning som innefattar tryck- eller yttrandefrihetsbrott.
Till förbudet mot hindrande åtgärder hör även att det allmänna inte på grund av innehållet i en framställning får förbjuda eller hindra innehav av tekniska hjälpmedel som behövs för att ta emot program eller uppfatta innehållet i tekniska upptagningar (exempelvis satellitmottagare eller dvd-spelare) utan stöd i YGL. Det får inte heller meddelas förbud mot att anlägga trådnät för sändning av program. (Se 1 kap. 13 § YGL.)
Etableringsfrihet
Den grundlagsskyddade etableringsfriheten innebär på tryckfrihetens område att varje fysisk och juridisk person har rätt att ge ut, trycka och sprida tryckta skrifter.
Etableringsfriheten skyddar i princip alla led i framställningen och spridningen av grundlagsskyddade medier. Verksamhet som omfattas av etableringsfriheten kan dock vara underkastad vissa formkrav, exempelvis kravet på att sätta ut s.k. ursprungsuppgifter på skrifter samt skyldigheten att lämna pliktexemplar. Krav av det slaget måste ha stöd i grundlagen.
För utgivning av tekniska upptagningar råder i princip samma fulla etableringsfrihet som enligt TF (se dock ovan beträffande biografcensur).
När det gäller etableringsfriheten för program skiljer grundlagen mellan sändningar genom tråd och sändningar på annat sätt. Begreppet ”tråd” definieras inte i grundlagstexten. Vid YGL:s tillkomst hänvisades dock till radiolagens definition av begreppet ”trådsändning” (se prop. 1990/91:64 s. 83). Vad som avsågs med trådsändningar i början av 1980-talet var främst kabelsändningar av radio och tv men även överföringar över det fasta telenätet. I dagens sammanhang kan konstateras att även ip-nät är exempel på sådana trådnät. Sändningar och tillhandahållanden över internet sker ofta genom tråd, i huvudsak genom fiber eller via ADSL- bredband. Mobilnätet är däremot en trådlös teknik.
Med sändningar på annat sätt än genom tråd avses först och främst de markbaserade etersändningarna men även satellitsändningar är en trådlös teknik.
För sändningar genom tråd råder etableringsfrihet. Det kommer till uttryck i 3 kap. 1 § YGL där det anges att varje fysisk och juridisk person har rätt att sända program genom tråd. Etableringsfriheten för sändningar genom tråd är emellertid inte helt oinskränkt utan i 3 kap. 2 § anges när krav trots huvudregeln får ställas.
För program som sänds på annat sätt än genom tråd råder inte motsvarande etableringsfrihet. Anledningen är att etersändningar sker i ett begränsat frekvensutrymme. Det har därför av tekniska skäl ansetts nödvändigt att reglera användningen av detta utrymme (se prop. 1990/91:64 s. 79 f.). Rätten att sända program i etern får därför regleras genom lag som innehåller föreskrifter om tillstånd och villkor för att sända (se 3 kap. 3 § första stycket YGL). Sådana föreskrifter finns i radio-_och_tv-lagen (2010:696).
Satellitsändningar följer som framgått i stort sett samma regler som marksändningar. Eftersom sändningarna sker trådlöst medger YGL att krav ställs på sändningstillstånd. Enligt nu gällande radio- och tv-lagstiftning krävs dock inte tillstånd. Det råder följaktligen etableringsfrihet enligt lag, men den är inte grundlagsskyddad. (I betänkandet Sveriges säkerhet i etern, SOU 2023:63, föreslås lagreglerad tillståndsplikt för vissa satellitsändningar.)
Vad som gäller för databaser framgår inte uttryckligen av YGL. Såsom nämnts tillämpas visserligen YGL:s föreskrifter om sändningar av program också när information ur en databas tillhandahålls allmänheten med hjälp av elektromagnetiska vågor (se 1 kap. 4 §). Det framgår dock inte om databaserna i detta sammanhang ska betraktas som trådsändningar, sändningar på annat sätt än genom tråd eller utgöra en egen kategori. Webböverföringar kan såsom nämnts grunda sig i både trådbunden och trådlös teknik.
Det har i fråga om databaserna diskuterats om denna avsaknad av uttrycklig reglering i YGL innebär att det i princip råder grundlagsskyddad etableringsfrihet. Motsvarande diskussion har även förts beträffande sådana radio- och tv-program som omfattas av webbsändningsregeln i 1 kap. 3 § andra stycket YGL. (Se Axberger,
Yttrandefrihetsgrundlagarna, version 5, JUNO, 2023, s. 93 f.)
Ensamansvar
Principen om ensamansvar innebär att bara en person kan hållas straff- och skadeståndsrättsligt ansvarig för innehållet i en framställning som omfattas av TF eller YGL. Vem som ansvarar för brott pekas ut i grundlagarna (se 8 kap. TF och 6 kap. YGL). Det finns således inte utrymme för att hålla någon ansvarig för medverkan till brott. I fråga om skadestånd kan dock ett solidariskt betal-
ningsansvar gälla i vissa situationer (se 11 kap. 2–5 §§ TF samt 9 kap. 2–6 §§ YGL).
Som ett exempel kan nämnas att för periodiska skrifter är utgivaren den som i första hand är ansvarig enligt TF. För icke- periodiska skrifter är det i stället författaren som primärt kan hållas ansvarig. Även när det gäller program och tekniska upptagningar enligt YGL är det utgivaren som i första hand ansvarar.
Kan den som pekas ut som ansvarig inte åtalas går ansvaret över på den som därefter anses stå närmast det aktuella brottet. Man brukar här tala om att ansvaret är successivt och följer en ansvarighetskedja som framgår av grundlagarna. Som ett exempel kan nämnas fallet då någon utgivare inte har anmälts för en periodisk skrift (t.ex. en tidskrift). I det läget går ansvaret över på skriftens ägare.
Den som pekas ut i grundlagarna ansvarar oavsett hur han eller hon har bidragit till framställningen och oberoende av om vederbörande faktiskt har känt till massmediets innehåll i förväg (den s.k. uppsåtspresumtionen i 8 kap. 14 § TF och 6 kap. 9 § YGL). Undantag kan göras i vissa speciella fall, t.ex. om en utgivare har utsetts för skens skull.
Meddelarskydd
Ett sätt att betrakta meddelarskyddet är att se detta som uppbyggt av ett antal grundkomponenter: meddelarfrihet, anskaffarfrihet, rätt till anonymitet, efterforskningsförbud och repressalieförbud. Skyddet för meddelaren gäller i förhållande till myndigheter och andra allmänna organ. Huvuddragen i TF:s och YGL:s meddelarskydd redovisas i det följande.
Meddelarfrihet
Reglerna om meddelarfrihet innebär att det står var och en fritt att meddela uppgifter i vilket ämne som helst i syfte att göra dem offentliga i ett massmedium som omfattas av TF eller YGL (se 1 kap. 7 § första stycket TF och 1 kap. 10 § första stycket YGL).
Meddelarfriheten hänger samman med principen om ensamansvar dvs. att bara en person (i de flesta fall utgivaren) kan hållas straff- och skadeståndsrättsligt ansvarig för innehållet. I vissa
undantagsfall kan dock meddelaren straffas för uppgiftslämnandet (se 7 kap. 22 § TF och 5 kap. 4 § YGL). Det gäller om lämnandet av uppgifter innefattar
- vissa grövre brott mot rikets säkerhet (t.ex. högförräderi och spioneri),
- ett oriktigt utlämnande av en hemlig handling, eller
- ett uppsåtligt åsidosättande av s.k. kvalificerad sekretess (bl.a. när det gäller sekretess inom vården och socialtjänsten).
Som en följd av det s.k. repressalieförbudet (se nedan) finns det utöver detta inga möjligheter för det allmänna att ingripa mot en meddelare, varken straffrättsligt eller genom disciplinära åtgärder.
Anskaffarfrihet
Anskaffarfriheten innebär att det står var och en fritt att anskaffa uppgifter i vilket ämne som helst i syfte att göra dem offentliga i ett massmedium som omfattas av grundlagarna (se 1 kap. 7 § andra stycket TF och 1 kap. 10 § andra stycket YGL). Undantag gäller om anskaffandet innefattar ett sådant grovt brott mot rikets säkerhet som har nämnts under föregående rubrik. I de fallen kan anskaffaren dömas enligt bestämmelserna i brottsbalken (se 7 kap. 23 § TF och 5 kap. 5 § YGL).
Det bör noteras att vanlig lag tillämpas på det sätt genom vilket anskaffandet sker (se 1 kap. 12 § 6 TF och 1 kap. 18 § YGL). Om anskaffaren kommer över den aktuella uppgiften genom t.ex. dataintrång eller inbrott kan han eller hon dömas för den gärningen efter en vanlig straffrättslig prövning.
Rätt till anonymitet
Rätten till anonymitet tillkommer enligt 3 kap. 1 § TF och 2 kap. 1 § YGL följande personer.
- Författare till tryckta skrifter.
- Utgivare av tryckta skrifter som inte är periodiska.
- Upphovsmannen till ett program eller en teknisk upptagning.
- Den som har framträtt i ett program eller en teknisk upptagning.
- Meddelare.
Rätten till anonymitet innebär att dessa personers identitet måste skyddas av dem som tagit befattning med tillkomsten, utgivningen eller spridningen av en framställning som omfattas av TF eller YGL. Det här betyder t.ex. att en journalist inte får avslöja namnet på en uppgiftslämnare som inte vill framträda öppet. Tystnadsplikten är straffsanktionerad i grundlagarna. Det finns möjlighet att i speciella fall göra undantag från tystnadsplikten, bl.a. när det behövs för att lagföra vissa typer av brott.
Förbud mot efterforskning
En viktig del i anonymitetsrätten är vidare det förbud mot efterforskning av källor som gäller för det allmänna. Efterforskningsförbudet innebär att myndigheter och andra offentliga organ inte får efterforska identiteten hos en sådan författare, upphovsman, meddelare m.fl. som omfattas av rätten till anonymitet (se 3 kap. 5 § första stycket TF och 2 kap. 5 § första stycket YGL).
Även här förekommer undantag i speciella fall, bl.a. om brott enligt TF eller YGL har begåtts av den som omfattas av anonymitetsskydd. I en sådan situation får efterforskning ske av honom eller henne, dock endast i vissa former.
Överträdelser av efterforskningsförbudet är straffsanktionerat i grundlagarna.
Repressalieförbud
Repressalieförbudet innebär att en myndighet eller ett annat allmänt organ inte får ingripa mot någon, utan stöd i TF eller YGL, för att han eller hon i ett massmedium som omfattas av grundlagarna har brukat sin tryck- eller yttrandefrihet eller medverkat till ett sådant bruk (se 3 kap. 6 § TF och 2 kap. 6 § YGL). Förbudet mot repressalier är straffsanktionerat i grundlagarna.
Särskild brottskatalog
TF innehåller en uttömmande uppräkning av de gärningar som utgör tryckfrihetsbrott när de begås genom tryckt skrift och är straffbara enligt vanlig lag (se 7 kap. 1–20 §§).
Här kan bl.a. nämnas ett antal olika brott mot rikets säkerhet (t.ex. högförräderi och spioneri), uppvigling, hets mot folkgrupp, ärekränkningsbrott (dvs. förtal och förolämpning) samt flera brott som innefattar hot i olika avseenden (t.ex. olaga hot och hot mot tjänsteman). Till tryckfrihetsbrotten hör även vissa gärningar som förutsätter att den ensamansvarige själv har tystnadsplikt beträffande de handlingar eller uppgifter som offentliggörs samt vissa brott som bara kan förekomma vid krig eller omedelbar krigsfara.
De gärningar som utgör tryckfrihetsbrott anses som yttrandefrihetsbrott om de begås i ett program eller en teknisk upptagning och är straffbara enligt vanlig lag (se 5 kap. 1 § YGL). Därtill finns ett tillägg i YGL för olaga våldsskildring på grund av att brottet är annorlunda utformat i det fall rörliga bilder kan användas (jfr 7 kap. 7 § TF och 5 kap. 2 § YGL).
Gemensamt för tryck- och yttrandefrihetsbrotten är att det krävs att gärningen också är straffbar enligt lag (principen om dubbel täckning). Det innebär att om lagstiftaren ändrar brottsbalken och tar bort ett visst brott, t.ex. uppvigling, försvinner även möjligheten att döma till ansvar för motsvarande tryck- och yttrandefrihetsbrott. Dessutom kan inte ansvarsområdet för tryck- och yttrandefrihetsbrott utvidgas endast genom en ändring i brottsbalken. För det krävs också en ändring av TF och YGL.
En annan innebörd av principen om dubbel täckning är att ett brott inte kan införas enbart som ett tryck- eller yttrandefrihetsbrott. Det krävs alltså att motsvarande straffbestämmelse också finns i vanlig lag (normalt i brottsbalken). En viss gärning ska således vara straffbar även om den utförs på andra sätt än genom en framställning som omfattas av TF eller YGL. En utvidgning av tillämpningsområdet för något av tryck- eller yttrandefrihetsbrotten måste, enligt den här principen, motsvaras av samma utvidgning i brottsbalken.
Särskild rättegångsordning
Genom den s.k. instruktionen innehåller TF och YGL en särskild erinran om vilket synsätt som ska tillämpas av den som tillämpar grundlagarna, främst Justitiekanslern och domstolarna (se 1 kap. 10 § TF och 1 kap. 15 § YGL). Instruktionen innebär att den som dömer över missbruk av tryck- och yttrandefriheten eller vakar över denna alltid bör ha i åtanke att tryck- och yttrandefriheten är en grundval för ett fritt samhällsskick, alltid bör uppmärksamma ämnet och tanken mer än uttrycket, liksom syftet mera än framställningssättet samt i tveksamma fall hellre fria än fälla.
Mediegrundlagarna innehåller vidare en särskild reglering om åtal och rättegång vid tryck- och yttrandefrihetsbrott (se 9 kap. och 12 kap. TF samt 7 kap. och 10 kap. YGL). I lagen (1991:1559) med föreskrifter på tryckfrihetsförordningens och yttrandefrihetsgrundlagens områden finns det dessutom ett antal kompletterande bestämmelser om förfarandet. Grunddragen i denna ordning är följande.
Justitiekanslern är ensam allmän åklagare i mål om tryck- och yttrandefrihetsbrott. För väckande av allmänt åtal gäller särskilda preskriptionstider som är kortare än vad som följer av allmänna regler i brottsbalken. Det ordinarie polis- och åklagarväsendet är i princip inte behörigt att agera i sådana ärenden. I praktiken anlitas dock ofta polis och vanlig åklagare att bistå Justitiekanslern under förundersökningen och, när det gäller åklagaren, med att föra talan vid domstol.
I fråga om ärekränkningsbrott (förtal och förolämpning) gäller inskränkningar i Justitiekanslerns möjligheter att väcka åtal. Huvudregeln är att enbart målsäganden får väcka åtal för sådana brott. Justitiekanslern kan enbart väcka åtal om målsäganden är minderårig eller om målsäganden anger brottet till åtal samt om åtalet kan anses påkallat från allmän synpunkt (jfr 5 kap. 5 § brottsbalken).
I tryck- och yttrandefrihetsmål som gäller ansvar för brott ska som utgångspunkt en jury med nio ledamöter pröva om brott föreligger. Brott föreligger om minst sex juryledamöter är ense om det. Rätten, som då består av tre yrkesdomare, har möjlighet att gå emot juryns utslag och meddela frikännande dom eller att döma enligt en mildare straffbestämmelse. Om juryn friar den tilltalade är utslaget dock bindande för rätten. Det gäller även om tingsrättens dom
överklagas i något avseende. En högre instans är med andra ord lika bunden av juryns utslag som yrkesdomarna i tingsrätten. Parterna har möjlighet att avstå från juryprövning. Domstolen är då i stället sammansatt enligt de bestämmelser som gäller för vanliga brottmål.
Rätten kan besluta om konfiskering av en tryckt skrift eller en teknisk upptagning som innehåller tryck- eller yttrandefrihetsbrott. Ett sådant ingripande innebär att alla exemplar som är avsedda för spridning förstörs och att det vidtas åtgärder för att förhindra ytterligare spridning (se 7 kap. 26 § TF och 5 kap. 8 § YGL). Under en förundersökning om brott har Justitiekanslern möjlighet att besluta om beslag av en skrift eller teknisk upptagning i syfte att säkerställa en framtida dom om konfiskering (s.k. konfiskationsbeslag).
Exklusivitetsprincipen
En viktig aspekt av skyddet för tryck- och yttrandefriheten är att hela det detaljerade regelsystemet har placerats på grundlagsnivå. Det förhållandet får bl.a. som konsekvens att TF och YGL i konfliktsituationer alltid ska ges företräde framför författningar som befinner sig längre ned i normhierarkin samt att lagstiftaren inte kan ändra reglerna utan att iaktta de former som gäller för grundlagsändringar (jfr 1 kap. 1 § femte stycket TF och 1 kap. 1 § andra stycket andra meningen YGL).
Av särskild betydelse är också den s.k. exklusivitetsprincipen, eller exklusivitetsgrundsatsen som den ibland kallas, som återfinns i TF (se 1 kap. 9 §) och YGL (se 1 kap. 14 §). Bestämmelserna slår fast mediegrundlagarnas ställning som exklusiva straff- och processlagar vid missbruk av tryck- och yttrandefriheten. I sådana fall får myndigheter och andra allmänna organ bara ingripa på ett sätt som är förenligt med TF och YGL. Det här innebär i första hand ett skydd mot straffrättsliga ingripanden och skadestånd som inte har stöd i mediegrundlagarna. Principen omfattar dock även andra sanktioner från det allmännas sida, såsom avskedande och liknande disciplinära åtgärder (t.ex. omplacering).
Det är viktigt att notera att exklusivitetsprincipen enbart gäller under förutsättning att TF eller YGL är tillämplig. Om så inte är fallet kan ett ingripande ske enligt vanlig lag, t.ex. enligt brottsbalken om det är fråga om brott.
3.1.3. De materiella undantagens räckvidd
Utgångspunkten är såsom framgått att alla yttranden som framförs i en medieform som omfattas av TF:s och YGL:s formella tillämpningsområde ska bedömas enligt grundlagarna. Som framgått av avsnitt 3.1.1 finns här vissa materiella undantag som innebär att mediegrundlagarnas grundprinciper helt eller delvis kan åsidosättas genom vanlig lag.
De materiella undantagen innebär först och främst att TF:s och YGL:s skydd som exklusiva straff- och processlagar inte gäller inom undantagens respektive område. Yttranden som faller utanför mediegrundlagarnas ändamål eller omfattas av någon av delegationsbestämmelserna kan alltså föranleda straff- eller skadeståndsansvar enligt bestämmelser i vanlig lag. Ensamansvaret tillämpas inte i en sådan situation. Det innebär att det går att hålla någon annan än utgivaren ansvarig för t.ex. bedrägerier där gärningspersonen vilseleder brottsoffer i ett medium som omfattas av mediegrundlagarnas formella tillämpningsområde. Bland annat meddelaren kan hållas ansvarig i en sådan situation.
Det betyder dock inte att samtliga grundprinciper kan åsidosättas på området för de materiella undantagen. Vid ändamålstolkning brukar exempelvis censurförbudet anses gälla även för framställningar som inte omfattas av TF:s och YGL:s syfte (se Ruotsi,
Svensk yttrandefrihet och internationell rätt, Iustus Förlag, 2020,
s. 262 f.). Vad gäller de övriga grundprinciperna – meddelarskyddet, förbudet mot hindrande åtgärder och etableringsfriheten − råder det viss osäkerhet i vilken mån dessa kan åsidosättas genom ändamålstolkning.
Ibland hävdas att åsidosättande av grundlagsskyddet med stöd av ändamålstolkning enbart kan ske för ingripande mot sådant som har publicerats. Det skulle innebära att bl.a. etableringsfriheten och förbudet mot hindrande åtgärder inte kan åsidosättas (se t.ex. betänkandet Ändrade mediegrundlagar,SOU 2016:58 s. 465 och Axberger, Yttrandefrihetsgrundlagarna, 2023, JUNO version 5, s. 68). Å andra sidan har det inte ansetts möta några tryck- eller yttrandefrihetsrättsliga hinder att en myndighet förbjuder att kommersiell reklam upprepas om den strider mot marknadsföringslagen. En förutsättning är dock att förbudet inte är alltför generellt utformat (se prop. 2001/02:64 s. 31 och jfr RÅ 2010
ref. 115 II). Möjligheten att ingripa mot t.ex. bedrägerier på försöks- respektive förberedelsestadiet, trots att brotten utförs i tryckta skrifter, talar vidare för att det inte finns något generellt hinder mot att införa regler som annars skulle strida mot hindersförbudet och meddelarfriheten (se Ruotsi, a.a., s. 264 f.).
Vad gäller just meddelarfriheten bör det framhållas att den endast är en av flera komponenter i meddelarskyddet. Exempelvis har anonymitetsskyddet och efterforskningsförbudet ansetts gälla i vart fall på området som omfattas av det kommersiella undantaget. Journalisters tystnadsplikt gäller alltså även för upphovspersoner till rent kommersiella framställningar, t.ex. annonser, och myndigheter får inte efterforska en sådan upphovspersons identitet. (Se ”Trisskrapningarna” NJA 2023 s. 211 och RÅ 2000 ref. 58.)
Utöver ändamålstolkning avgränsas TF:s och YGL:s materiella tillämpningsområde även av delegationsbestämmelser. Dessa delegationsbestämmelser har utformats på sinsemellan olika sätt vilket har betydelse för respektive regels räckvidd. En tydlig skiljelinje går mellan regeln om barnpornografi och övriga regler i TF och YGL. Genom att uttryckligen ange att grundlagarna inte
är tillämpliga på barnpornografi har lagstiftaren markerat sin avsikt
att helt skära bort sådana yttranden från mediegrundlagarnas tilllämpningsområde (se 1 kap. 14 § TF och 1 kap. 21 § YGL). Det innebär att inte ens censurförbudet är tillämpligt på barnpornografi. (Se prop. 1997/98:43 s. 70 f. och s. 309 f.)
I delegationsbestämmelserna i 1 kap. 11–13 §§ TF och 1 kap. 17–20 §§ YGL anges att bestämmelserna i mediegrundlagarna inte
hindrar att det i lag meddelas föreskrifter med visst innehåll. Till
skillnad från regeln om barnpornografi medger inte dessa bestämmelser något avsteg från censurförbudet. I övrigt har innebörden av bestämmelserna beskrivits på olika sätt i förarbetena. I regel får därför respektive bestämmelses räckvidd bedömas med utgångspunkt i dess ordalydelse och med beaktande av dess syfte (se Ruotsi, a.a., s. 245 f.).
Som exempel kan nämnas delegationsbestämmelserna i 1 kap. 12 § TF som tar sikte på reklam. Av dessa bestämmelser följer att TF inte hindrar att det i lag meddelas föreskrifter om förbud mot kommersiella annonser
- vid marknadsföring av alkoholdrycker eller tobaksvaror (p. 1),
- för andra varor eller tjänster, om det i annonsen förekommer ett varumärke som är i bruk för en tobaksvara (p. 2), eller
- som har meddelats till skydd för hälsa eller miljö enligt en
EU-rättslig förpliktelse (p. 3).
Enligt förarbetena ger regleringen på detta område möjlighet till lagbestämmelser om generellt förbud mot kommersiella annonser för angivna varor och om förbud vid vite mot viss annonsering. Därtill innefattar delegationen även lagregler som möjliggör åtgärder av mindre ingripande art som annars skulle strida mot TF:s förbud mot hindrande åtgärder. Bestämmelserna medger däremot inte avsteg från censurförbudet. (Se prop. 1973:123 s. 47 f. och prop. 2001/02:64 s. 32.)
I förarbetena anförs vidare att anonymitetsskyddet gäller för meddelaren, dvs. annonsören, men att undantaget från – med ett uttryck som används i den berörda texten – medieföreträdares skyldighet att vittna om vem som lämnar publiceringsmeddelande inte kan åberopas i ett mål om överträdelse av förbud mot alkohol- eller tobaksannons. (Se prop. 1973:123 s. 47 f.)
3.2. Allmänna handlingars offentlighet
3.2.1. Handlingsoffentligheten och frågeförbudet
Enligt 2 kap. 1 § TF har var och en rätt att ta del av allmänna handlingar till främjande av ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande. Denna rätt att ta del av allmänna handlingar utgör en av de viktigaste beståndsdelarna i offentlighetsprincipen då den medför att statens och kommunernas verksamhet i stor utsträckning är öppen för insyn och kontroll från allmänheten och media. Detta brukar anses utgöra en förutsättning för det demokratiska styrelseskicket och en garant för rättssäkerhet och effektivitet i förvaltningen.
Handlingsoffentligheten har gammal hävd i svensk förvaltning och har sedan tillkomsten av vår första tryckfrihetsförordning varit tätt sammantvinnad med tryckfriheten. Meddelarskyddet, som inbegriper rätten för dem som arbetar inom det allmänna att lämna
information för publicering, kan ses som ett komplement till handlingsoffentligheten och dess insynsrätt.
Handlingsoffentligheten förstärks av frågeförbudet i 2 kap. 18 §. Frågeförbudet innebär att en myndighet inte, på grund av en begäran om att få del av en allmän handling, får efterforska vem som begär ut handlingen eller vilket syfte han eller hon har med sin begäran i större utsträckning än som behövs för att myndigheten ska kunna pröva om det finns hinder mot att handlingen lämnas ut.
Förutsättningarna för att inskränka handlingsoffentligheten regleras exklusivt i TF. RF:s begränsningsregler är därmed inte tillämpliga vid inskränkningar i handlingsoffentligheten. (Se 2 kap. 1 § tredje stycket RF, betänkandet Förstärkt skydd för fri- och
rättigheterSOU 1978:34 s. 80 och prop. 1978/79:195 s. 37.)
Av 2 kap. 2 § TF följer att rätten att ta del av allmänna handlingar får begränsas endast om det krävs med hänsyn till vissa intressen t.ex. skyddet för enskildas personliga eller ekonomiska förhållanden. Vidare ska det noga anges i en särskild lag vilka handlingar som är hemliga. Den särskilda lag som avses är offentlighets- och sekretesslagen (2009:400), OSL. Det är dock tillåtet att ta in bestämmelser om hemliga handlingar i andra lagar under förutsättning att OSL hänvisar dit.
3.2.2. Sekretess för personuppgifter
I OSL finns flera sekretessregler som skyddar enskildas personliga eller ekonomiska förhållanden och som begränsar rätten att ta del av allmänna handlingar i den mån sekretessbelagda uppgifter förekommer i handlingarna.
De flesta bestämmelser i OSL som skyddar enskildas personliga eller ekonomiska förhållanden har en begränsad räckvidd och gäller bara i en viss typ av verksamhet, i en viss typ av ärenden eller hos vissa angivna myndigheter (se 22–40 kap.). I 21 kap. finns dock bestämmelser som skyddar uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer. Dessa bestämmelser kan sägas utgöra ett generellt skydd för uppgifter om enskilds personliga förhållanden och är tillämpliga hos alla myndigheter och organ som ska tillämpa OSL.
En sådan generellt tillämplig sekretessbestämmelse finns i 21 kap. 7 §. Enligt denna bestämmelse gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning1, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) eller 6 § lagen (2003:460) om etikprövning av forskning som avser människor.
Paragrafen tar sikte på behandlingen av personuppgifter efter utlämnandet och inte myndighetens egen behandling i samband med utlämnandet. Det som ska bedömas enligt bestämmelsen är alltså om mottagarens tilltänkta behandling av de personuppgifter som begärs ut uppfyller kraven enligt dataskyddsregleringen.
Uttrycket personuppgift har samma innebörd som i artikel 4 dataskyddsförordningen. Med personuppgifter avses alltså alla upplysningar om en identifierad eller identifierbar fysisk person. Namn och personnummer är typiska exempel på personuppgifter. Men även en uppgift om ip-adress, fysiska kännetecken och liknande kan vara en personuppgift, om uppgiften kan användas för att identifiera en viss person. (Se artikel 4.1.)
Med behandling av personuppgifter avses i princip all hantering av personuppgifter. Dataskyddsförordningen är dock framför allt tillämplig på helt eller delvis automatiserad behandling av personuppgifter såsom exempelvis behandling av personuppgifter på en webbplats. (Se artikel 2 och 4.2.)
När en allmän handling som innehåller personuppgifter begärs ut måste myndigheten således pröva om det gäller sekretess för uppgifterna enligt 21 kap. 7 § OSL. Som framgått är dock bestämmelsen bara tillämplig om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsregleringen.
Mot bakgrund av frågeförbudet i TF får undersökningar av den kommande behandlingen endast vidtas om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgiften på ett sätt som strider mot dataskyddsregleringen. Det kan t.ex. avse att sökanden har begärt att få ut uppgifter om väldigt många personer från ett register (ett s.k. massuttag) eller uppgifter om ett urval av personer med vissa karakteristika, t.ex. inkomst,
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
språktillhörighet, politisk tillhörighet osv (s.k. selekterade uppgifter). Finns det inga sådana indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras. (Se prop. 2017/18:105 s. 135 och JO 4171-2011.)
Dataskyddsförordningen ska inte tillämpas i den utsträckning det skulle strida mot TF eller YGL (se 1 kap. 7 § första stycket dataskyddslagen). I flera kammarrättsavgöranden har sekretessbestämmelsen i 21 kap. 7 § OSL därför inte ansetts tillämplig om personuppgifterna efter utlämnande ska behandlas inom ramen för TF:s och YGL:s tillämpningsområde. (Se t.ex. Kammarrätten i Stockholms dom den 25 september 2020 i mål nr 4825-20 och Kammarrätten i Göteborgs beslut den 3 februari 2022 i mål nr 7368-21).
På senare tid har dock vissa myndigheter och domstolar gjort en annan bedömning och tillämpat nämnda sekretessbestämmelse även när mottagaren av uppgifterna haft utgivningsbevis och alltså omfattats av YGL. Domstolarna har i dessa fall bedömt att ett så strikt förhållningssätt som följer av 1 kap. 7 § första stycket dataskyddslagen, dvs. att det svenska grundlagsskyddet alltid ska ha företräde framför dataskyddsförordningen, inte är förenligt med principen om EU-rättens företräde. I stället har domstolarna ansett att en avvägning måste göras i varje enskilt fall. En avvägning har således som regel gjorts mellan det integritetsskyddsintresse som kommer till uttryck genom dataskyddsförordningen och de grundlagsskyddade rättigheter enligt TF och YGL som gäller för innehavare av utgivningsbevis. Vid denna avvägning har det haft betydelse att de handlingar som begärts ut innehållit uppgifter om lagöverträdelser enligt artikel 10 dataskyddsförordningen och att ett utlämnande av dessa handlingar enligt besluten skulle kunna utgöra ett allvarligt ingrepp i den enskildes privat- eller yrkesliv. (Se t.ex. Kammarrätten i Stockholms dom den 13 mars 2024 i mål nr 6027-23 och Hovrätten för Övre Norrlands beslut den 19 mars 2024 dnr 2024/83. Avgörandena har överklagats till Högsta förvaltningsdomstolen respektive Högsta domstolen. Målen har i skrivande stund inte avgjorts.)
I de aktuella fallen har begäran om utlämnande av allmänna handlingar avslagits eller handlingarna lämnats ut med förbehåll om att personuppgifterna endast får användas i journalistisk verksamhet och att personnummer, personnamn och adress för enskilda
personer inte får tillhandahållas allmänheten eller betalande kunder genom databaser eller register.
Kammarrätten i Stockholm har av liknande skäl bestämt motsvarande förbehåll med anledning av en nyhetsbyrås begäran om utlämnande av ett stort antal handlingar från förvaltningsrätten. Att nyhetsbyrån hade automatiskt grundlagsskydd för sin databas (se 1 kap. 4 § första stycket 1c YGL), påverkade inte domstolens bedömning. (Se Kammarrätten i Stockholms dom den 10 juli 2024 i mål nr 2807-24. Domen har i skrivande stund inte vunnit laga kraft.)
4. Europakonventionens och EU-stadgans skydd för yttrandefrihet och privatliv
4.1. Inledning
De brukar framhållas att i Sverige tillmäts intresset av en vid yttrandefrihet stor vikt. Detta gäller i synnerhet inom tryckfrihetsförordningens (TF:s) och yttrandefrihetsgrundlagens (YGL:s) områden. De båda grundlagarna utmärker sig genom den detaljerade och uttömmande regleringen av tryck- och yttrandefriheten. Skyddet för yttrandefriheten ställs ofta i konstrast till skyddet av den personliga integriteten. I svensk konstitutionell rätt tas frågan om den personliga integriteten i första hand upp i 2 kap. 6 § andra stycket regeringsformen (RF). Denna bestämmelse är inte tillämplig inom TF:s och YGL:s områden.
Det internationella rättighetsskyddet är konstruerat på ett delvis annorlunda sätt. Skillnaderna ligger inte enbart i olika grad av detaljreglering vad gäller skyddet för yttrandefriheten. Det internationella rättighetsskyddet lägger som regel större vikt vid konkurrerande rättigheter, såsom respekten för privatlivet, än vad som är fallet inom TF:s och YGL:s områden.
I detta kapitel lämnas en översiktlig redogörelse för Europakonventionens och EU-stadgans skydd för yttrandefriheten och privatlivet samt relationen mellan dessa rättssystem och svensk rätt.
Det ska nämnas att det finns flera andra internationella konventioner som rör yttrandefrihet och skyddet för privatlivet, varav den mest kända överenskommelsen är FN:s allmänna deklaration om mänskliga rättigheter. Deklarationens bestämmelser kommer inte att beröras närmare i det här sammanhanget.
4.2. Europakonventionen
Efter andra världskriget bildade tio stater, däribland Sverige, Europarådet i syftet att skapa ett samarbete för att vidmakthålla och vidareutveckla de mänskliga rättigheterna och de grundläggande friheterna. Samarbetet resulterade i antagandet av den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Konventionen trädde i kraft år 1953 och var avsedd att bygga på FN:s allmänna deklaration om de mänskliga rättigheterna.
För närvarande är 46 stater medlemmar i Europarådet och därmed anslutna till Europakonventionen. Konventionen innebär att de anslutna staterna åtar sig att garantera vissa fri- och rättigheter (se artikel 1). Vilka rättigheter som avses framgår av en omfattande och relativt detaljerad katalog över fri- och rättigheter (se artiklarna 2–18). Konventionen har vidare kompletterats med olika tilläggsprotokoll varav vissa innehåller materiella bestämmelser.
Det primära ansvaret för att rättigheterna i Europakonventionen respekteras har de enskilda konventionsstaterna. I Europakonventionen finns dock ett system för kontroll av att staterna uppfyller sina förpliktelser enligt konventionen. Tyngdpunkten i detta system ligger på den rättsliga kontroll som utförs av Europadomstolen och enskilda människors möjligheter att föra talan inför domstolen.
Enskilda kan klaga till Europadomstolen över att en medlemsstat har kränkt deras fri- och rättigheter enligt konventionen. Ett klagomål förutsätter bl.a. att den enskilde först har uttömt alla nationella rättsmedel. Europadomstolens prövning kan resultera i att domstolen konstaterar att den berörda medlemsstaten har brutit mot konventionens bestämmelser och domstolen kan i vissa fall ålägga staten att betala skadestånd till klaganden.
Europadomstolens avgöranden är rättsligt bindande för den berörda staten. Europarådets ministerkommitté har till uppgift att övervaka att staterna på ett riktigt sätt verkställer domstolens avgöranden.
4.2.1. Europakonventionen i svensk rätt
Samtliga konventionsstater har åtagit sig att garantera de fri- och rättigheter som fastställs i Europakonventionen och dess tilläggsprotokoll. Sverige har alltså en folkrättslig skyldighet att följa konventionen och Europadomstolens uttolkning av denna.
Sedan den 1 januari 1995 har Europakonventionens ställning i svensk rätt förstärkts genom att den införts som lag, se lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Konventionen är därmed direkt tillämplig vid svenska domstolar och myndigheter i enskilda mål och ärenden.
Samtidigt som Europakonventionen inkorporerades i svensk rätt infördes en bestämmelse i RF enligt vilken lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen, nuvarande 2 kap. 19 §. Bestämmelsen i RF riktar sig i första hand till lagstiftaren som har det grundläggande ansvaret för att svensk rätt står i överensstämmelse med konventionen (se prop. 1993/94:117 s. 53 f.). Bestämmelsen ger dock även stöd för domstolar och myndigheter att, med tillämpning av lagprövningsreglerna i 11 kap. 14 § och 12 kap. 10 § RF, underlåta att tillämpa en inhemsk föreskrift om denna skulle anses oförenlig med Europakonventionen.
4.2.2. Yttrandefrihet
Genom artikel 10 skyddas yttrandefriheten i Europakonventionen. I bestämmelsens första stycke slås fast att var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.
Europadomstolen har flera gånger framhållit att yttrandefriheten utgör en av demokratins grundvalar. I avgörandet Handyside mot
Storbritannien (nr 5493/72, dom den 7 december 1976) uttalade
Europadomstolen t.ex. följande.
Yttrandefriheten utgör en av de väsentliga grundvalarna för ett [demokratiskt] samhälle, en av de grundläggande förutsättningarna för dess framsteg och för varje människas utveckling. […] den omfattar inte endast information och idéer som mottas positivt eller anses ofarliga utan också dem som kränker, chockerar eller stör staten eller någon del av befolkningen. Detta är de krav som ställs av den pluralism, den tolerans och den vidsynthet utan vilka inget demokratiskt samhälle kan existera.
Artikel 10 skyddar mottagande och spridande av information och idéer. Den gäller oavsett om det är fråga om spridning mellan personer i en begränsad krets eller opinionsyttringar som är avsedda att få stor spridning genom böcker, tidningar, tidskrifter, radio, tv eller på elektronisk väg. Pressfriheten utgör dock en viktig del av den yttrandefrihet som skyddas av artikel 10. Europadomstolen har i flera avgöranden betonat betydelsen av en fri press och dess vikt i det demokratiska samhällsskick som Europakonventionen syftar till att upprätthålla. I pressfriheten ingår också ett skydd för journalisters insamling av information. (Se bl.a. Goodwin mot
Storbritannien, nr 17488/90, dom den 27 mars 1996).
Yttrandefriheten enligt artikel 10 innebär främst att staten ska avhålla sig från att hindra eller bestraffa fri spridning av tankar och idéer. Det är alltså en negativ förpliktelse som åläggs staten. I vissa situationer kräver dock artikel 10 att staten genom positiva åtgärder, t.ex. genom ändamålsenlig lagstiftning, sörjer för att rätten att sprida tankar och idéer skyddas mot ingrepp från enskilda personer eller institutioner. Staten bör exempelvis se till att spridning av åsikter i samhällsfrågor inte hindras av politiska motståndare och att tidningar kan distribueras utan ingrepp av odemokratiska grupper (se t.ex. Europadomstolens dom Özgür Gündem mot Turkiet, nr 23144/93, dom den 16 mars 2000).
Rätten till yttrandefrihet är inte undantagslös. Av artikel 10 andra stycket framgår under vilka förutsättningar yttrandefriheten får begränsas. Det uppställs tre krav för att en inskränkning ska vara förenlig med konventionen. Dessa är att
1. begränsningen sker i lag,
2. inskränkningen är ägnad att tillfredsställa något av de särskilt
angivna ändamålen, och
3. inskränkningen är nödvändig i ett demokratiskt samhälle för att
tillgodose något av de angivna ändamålen.
Såväl åtgärder som hindrar eller försvårar för någon att ge uttryck för åsikter som påföljder som drabbar någon i efterhand, måste alltså ha stöd i lag för att utgöra en tillåten begränsning av yttrandefriheten. Därtill ställs det ett krav på tydlighet i lagen. Den aktuella lagen bör vara utformad så, att man med rimlig säkerhet – eventuellt efter konsultation av juridisk expertis – kan förutse eller misstänka att en viss handling är förbjuden. (Se Danelius m.fl., Mänskliga
rättigheter i europeisk praxis, version 6, JUNO, 2023, s. 562)
De ändamål som enligt artikel 10 kan motivera en inskränkning av yttrandefriheten är
- statens säkerhet, den territoriella integriteten eller den allmänna säkerheten,
- förebyggande av oordning eller brott,
- skydd för hälsa eller moral,
- skydd för annans goda namn och rykte eller rättigheter,
- förhindrande att förtroliga underrättelser sprids, och
- upprätthållande av domstolars auktoritet och opartiskhet.
De uppräknade ändamålen är allmänna och vittomfattande. Den centrala frågan blir därför ofta om ingreppet kan anses nödvändigt i ett demokratiskt samhälle för att tillgodose ändamålet i fråga.
En förutsättning för att ett ingrepp i yttrandefriheten kan sägas vara nödvändigt är att det motiveras av ett angeläget samhälleligt behov. Här har varje konventionsstat själv en viss frihet (margin of
appreciation) att avgöra om en inskränkning är nödvändig.
Inskränkningen måste dock vara proportionerlig. Det innebär att en avvägning ska göras mellan å ena sidan den enskildes intresse av yttrandefrihet och å andra sidan det allmänna eller enskilda intresse som motiverat ingreppet. Om ingreppet vid en sådan avvägning framstår som rimligt framstår kravet på proportionalitet som fullgjort. Bedömningen kan då bli att ingreppet uppfyller kravet på att anses nödvändigt i ett demokratiskt samhälle. (Se a.a. s. 563.)
4.2.3. Skyddet för privatlivet
Skyddet för privatlivet slås fast i artikel 8 i Europakonventionen. I artikeln anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.
Bestämmelsen medför en skyldighet för staten att avhålla sig från ingrepp i den skyddade rättigheten. Sådana ingrepp kan bestå i såväl åtgärder i enskilda fall som generella inskränkningar i människors frihet att forma sin tillvaro. Därtill innebär artikel 8 vissa skyldigheter för staten att vidta åtgärder för att skydda den enskildes privatsfär. Åtgärderna kan bestå i lagstiftning men också av skydd mot övergrepp i särskilda situationer. Även utan att det har förekommit något ingripande från en myndighet kan alltså staten bryta mot skyddet av privatlivet genom att inte skapa ett tillräckligt rättsligt skydd. Detta gäller även om det specifika övergreppet, som visat att det rättsliga skyddet var otillräckligt, har utförts av en enskild. (Se t.ex. von Hannover mot Tyskland, nr 59320/00, dom den 24 juni 2004.)
Rätten till respekt för privatliv omfattar bl.a. en rätt till skydd för en persons rykte, alltså en rätt till skydd mot förtal eller nedsättande uppgifter. Artikel 8 skyddar också den personliga integriteten och det kan därför strida mot bestämmelsen att publicera uppgifter som gäller en persons privatliv. Skyddet för privatlivet inbegriper dessutom personuppgifter. Europadomstolen har slagit fast att skyddet av personuppgifter är av grundläggande betydelse för en persons åtnjutande av sin rätt till respekt för privatliv enligt artikel 8. I målet L.B. mot Ungern (nr 36345/16, dom den 9 mars 2023) ansåg följaktligen Europadomstolen att den ungerska skattemyndighetens publicering på en hemsida av namn och hemadress tillhörande personer med stora skatteskulder var oförenlig med rätten till privatliv i artikel 8. Särskilt noterades att offentliggörandet var systematiskt utan att ta hänsyn till balansen mellan det allmänna intresset av att säkerställa skattedisciplin och den enskildes rätt till privatliv (se p. 129 och 134–135).
Vid sin tolkning av rätten till privatliv på personuppgiftsområdet hänvisar Europadomstolen regelbundet till bl.a. Europarådets dataskyddskonvention1. Denna konvention innehåller materiella
1 1981 års konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, nr 108.
regler om behandlingen av personuppgifter i form av ett antal dataskyddsprinciper. EU:s dataskyddsförordning2 bygger på dessa principer (se mer om dataskyddsregleringen i kapitel 5).
Vissa personuppgifter som betraktas som känsliga motiverar ett starkare skydd. Det gäller t.ex. uppgifter om politisk uppfattning, religionstillhörighet, sexuell läggning, sjukdomar och tidigare brottslighet. I målet M.M. mot Storbritannien (nr 24029/07, dom den 13 november 2012) diskuterade Europadomstolen myndigheters behandling av personuppgifter rörande tidigare brottslighet. Europadomstolen påpekade vikten av att ha klara och detaljerade regler om behandlingen av sådana uppgifter samt föreskrifter om hur länge uppgifterna får lagras, hur de får användas, när andra personer kan få tillgång till uppgifterna och när de ska raderas.
Inte heller rätten till respekt för privatlivet är undantagslöst. Undantaget i artikel 8 andra stycket är utformat på ett liknande sätt som undantaget i artikel 10. Samma typ av krav måste således vara uppfyllda för att en begränsning ska vara förenlig med konventionen (se avsnitt 4.2.2).
I likhet med vad som anförts beträffande artikel 10 blir ofta den centrala frågan om ingreppet kan anses nödvändigt i ett demokratiskt samhälle för att tillgodose ett visst ändamål. Även i detta fall ska det alltså göras en proportionalitetsbedömning.
4.2.4. Relationen mellan yttrandefriheten och skyddet för privatlivet
De rättigheter som fastställs i Europakonventionen kommer relativt ofta i konflikt med varandra. Vid sin prövning ställs då Europadomstolen inför frågan vilken rättighet som ska väga tyngst. Ett typfall är att en enskild individs rätt till yttrandefrihet ställs mot en annan individs rätt till respekt för sitt privatliv. Europadomstolen har flera gånger uttalat att dessa båda rättigheter förtjänar samma respekt på ett generellt plan. Samtidigt måste en avvägning göras i varje enskilt fall. I en sådan situation blir Europadomstolens uppgift att kontrollera att staterna har tagit tillräckligt stor hänsyn till båda rättigheterna. Det har då betydelse både hur den nationella
2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
lagstiftningen är utformad och hur de nationella domstolarna har resonerat. Staterna ges härvid ofta en vid bedömningsmarginal. Om det på nationell nivå har gjorts en grundlig avvägning med beaktande av Europadomstolens praxis krävs det starka skäl för att Europadomstolen ska frångå de nationella domstolarnas bedömning.
Europadomstolen har ett flertal gånger uttalat sig om den avvägning som staterna behöver göra när yttrandefriheten och rätten till respekt för privatlivet står mot varandra. Domstolen har bl.a. anfört att utgången av ett fall i princip inte ska variera beroende av om klagomålet har gjorts utifrån skyddet för yttrandefrihet eller utifrån rätten till personlig integritet.
De mål som behandlat relationen mellan yttrandefriheten och rätten till respekt för privatlivet har ofta gällt publiceringar i media. Europadomstolen har i sin praxis härvid beaktat
- om publiceringen bidragit till en debatt av allmänt intresse,
- hur känd den person är som informationen gällt och ämnet för publiceringen,
- personens egna tidigare uppträdande,
- den metod som använts för att hämta in informationen och informationens tillförlitlighet,
- publiceringens innehåll, form och konsekvenser, samt
- hur stränga de sanktioner varit som följt på publiceringen.
Listan är inte uttömmande utan måste anpassas till omständigheterna i varje enskilt fall. (Se t.ex. von Hannover mot Tyskland
nr 2, nr 40660/08 och 60641/08, dom den 7 februari 2012 och Axel Springer AG mot Tyskland, nr 39954/08, dom den 7 februari 2012.)
Europadomstolen har även tillämpat nämnda kriterier i avgörandet Satakunnan Markkinapörssi Oy och Satamedia Oy mot
Finland (nr 931/13, dom den 27 juni 2017) som rörde balansen
mellan yttrandefrihet och respekt för privatlivet i förhållande till en finländsk tjänst som publicerade ett stort antal privatpersoners taxeringsuppgifter.
Det finländska bolaget Satakunnan Markkinapörssi Oy samlade in offentliga uppgifter från skattemyndigheterna och publicerade årligen uppgifter om över en miljon finländares beskattnings-
uppgifter i tidningar. Bolaget lämnade även uppgifterna vidare till ett annat bolag, Satamedia Oy, som gjorde uppgifterna tillgängliga för allmänheten via en sms-tjänst.
I Finland ansvarar Dataombudsmannen och Datasekretessnämnden för skyddet av personuppgifter. Dataombudsmannen ansåg att en så omfattande publicering av personuppgifter som det var fråga om stred mot den finska personuppgiftslagen. Den lagen utgjorde en implementering av det då gällande dataskyddsdirektivet3. Ombudsmannen begärde därför att Datasekretessnämnden skulle förbjuda bolagen att publicera informationen. Datasekretessnämnden avslog dock begäran, varefter ombudsmannen klagade ändå upp till den finska Högsta förvaltningsdomstolen.
Efter att ha begärt ett förhandsavgörande från EU-domstolen angående tolkningen av dataskyddsdirektivet kom den finska Högsta förvaltningsdomstolen fram till att publiceringarna inte hade bidragit till en debatt av allmänt intresse och att bolagen inte kunde anses ha agerat uteslutande för journalistiska ändamål i den mening som avsågs i personuppgiftsregleringen. Ärendet återförvisades därför till Datasekretessnämnden, som förbjöd vidare publicering. (Se avsnitt 5.3.3 angående förhandsavgörandet från EU-domstolen.)
Efter att bolagen hade överklagat nämndens beslut i nationella domstolar vände de sig till Europadomstolen och anförde att deras rätt till yttrandefrihet enligt artikel 10 i konventionen hade kränkts. En aspekt i målet var om de enskilda skattebetalarna kunde hävda en rätt till privatliv enligt artikel 8 i Europakonventionen trots att publiceringen hade rört offentliga uppgifter. Europadomstolen fann att det förhållandet inte uteslöt skydd enligt artikel 8. De uppgifter som hade publicerats gällde detaljer om inkomster och kapitalinkomster m.m. och rörde enligt domstolen uppenbart den privata sfären.
Europadomstolen kom fram till att förbudet mot publiceringen inte stred mot yttrandefriheten enligt artikel 10. Förbudet hade haft stöd i lag och syftat till att skydda enskilda personers privatliv. Den inskränkning i yttrandefriheten som förbudet innebar var proportionerlig. Europadomstolen framhöll i det sammanhanget
3 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
att en sådan massdistribution av personuppgifter som det var fråga om inte kunde anses ha tjänat behovet av en allmän diskussion om enskilda personers ekonomiska förhållanden. Det förhållandet att uppgifterna härrörde från offentliga källor medförde inte per automatik att en vidarepublicering av uppgifterna bidrog till en debatt av allmänt intresse. Europadomstolen ansåg inte att publiceringen kunde anses ha skett för rent journalistiska ändamål.
En annan situation där konflikten mellan yttrandefriheten och rätten till privatliv har aktualiserats rör digitala nyhetsarkiv öppna för allmänheten. I Hurbain mot Belgien (nr 57292/16 dom den 4 juli 2023) hade en belgisk domstol, på begäran av en enskild, beordrat en tidning att i onlineversionen av en artikel ta bort den enskildes för- och efternamn. Personen i fråga hade dömts för att ha orsakat en dödlig trafikolycka år 1994, vilket det då hade rapporterats om i media. Han hade sedermera avtjänat sitt straff men hans namn var fortfarande sökbart i tidningens digitala arkiv på webben. Europadomstolen kom fram till att beslutet att anonymisera nyhetsartikeln inte utgjorde en överträdelse av den ansvarige utgivarens rätt till yttrandefrihet. Vid avvägningen mellan de konkurrerande rättigheterna beaktade Europadomstolen
- den arkiverade informationens art,
- tiden som förflutit sedan nyhetshändelsen och den första publiceringen och publiceringen online,
- det samtida intresset av informationen,
- om den person som åberopat rätten att bli glömd var välkänd och personens uppträdande efter nyhetshändelsen,
- de negativa konsekvenserna av det fortsatta tillgängliggörandet av informationen online,
- hur tillgänglig informationen var i de digitala arkiven, samt
- åtgärdens inverkan på yttrandefriheten och mer specifikt på pressfriheten.
4.3. EU-stadgan
EU-rätten delas in i primärrätt och sekundärrätt. Primärrätten består av grundfördragen, som utgör basen för EU-samarbetet, och EU:s stadga om de grundläggande rättigheterna (EU-stadgan). EUinstitutionernas lagstiftning och rättsbildning i övrigt, som grundar sig i kompetensen att lagstifta enligt EU-fördragen, brukar benämnas sekundärrätten och består bl.a. av förordningar och direktiv.
EU-stadgan godtogs politiskt av EU:s medlemsstater vid toppmötet i Nice år 2000 med ett uttryckligt tillägg om att den inte var rättsligt bindande. Det främsta syftet med stadgan var att befästa och klargöra den skyldighet som EU redan hade att respektera grundläggande rättigheter. Genom Lissabonfördraget blev EU- stadgan juridiskt bindande.
I EU-stadgan behandlas medborgerliga, politiska, ekonomiska sociala och kulturella rättigheter. Bestämmelserna riktar sig till unionens institutioner, organ och byråer samt till medlemsstaterna när de tillämpar unionsrätten.
Rättigheterna i EU-stadgan motsvarar i stora delar rättigheterna enligt Europakonventionen. De sistnämnda ingår dessutom i EU- rätten såsom allmänna principer (se artikel 6.3 fördraget om Europeiska unionen). Av artiklarna 52.3 och 53 i EU-stadgan följer vidare att skyddsnivån enligt Europakonventionen alltid ska iakttas. I den mån som stadgan omfattar rättigheter med motsvarigheter i Europakonventionen ska rättigheterna i EU-stadgan ha samma innebörd och räckvidd som i konventionen. Stadgan får därtill inte tolkas så att den inskränker skyddsnivån enligt Europakonventionen. EU kan dock genom stadgan ge ett mer långtgående skydd än vad som anges i Europakonventionen, vilket förekommer på flera områden, bl.a. vad gäller skyddet av personuppgifter.
4.3.1. Relationen mellan EU-rätten och de svenska grundlagarna
Genom EU-samarbetet avstår medlemsstaterna från makten att själva fatta beslut inom vissa områden och lämnar över denna till EU. Makten utövas i stället av staterna gemensamt genom EU:s institutioner. EU-organen kan således, inom de områden som berörs, sägas ha ersatt t.ex. de nationella parlamenten som besluts-
fattare. I regeringens proposition inför ett svenskt medlemskap i EU benämndes detta som ”överlåtelse av beslutanderätt” och att staterna ”avstår från en del av sina statsorgans beslutsbefogenheter och överlåter dessa till EG-institutionerna” (se prop. 1993/94:114 s. 12).
Det är sedan länge en etablerad EU-rättslig grundprincip att unionsrätten har företräde framför nationell rätt, även framför medlemsstaternas grundlagar (se bl.a. EU-domstolens domar i målen Costa/ENEL, C-6/64, Internationale Handelsgesellschaft, C-11/70 och Melloni, C-399/11). EU-domstolens tolkning av företrädesprincipen betyder att medlemskapets innebörd helt och hållet bestäms av unionsrätten. Innehållet i en rättsakt som antas av EU kan inte, enligt EU-domstolens praxis, överprövas mot nationella rättsregler, inte ens mot medlemsstaternas grundlagar.
Det här synsättet har inte varit okontroversiellt. Särskilt på området för grundläggande fri- och rättigheter har det i flera medlemsstater hävdats att i vissa situationer måste det på nationell nivå kunna prövas om en EU-rättslig regel är förenlig med det rättighetsskydd som tillkommer medborgarna enligt den nationella grundlagen. Problematiken har sitt ursprung i att EU-rätten från början saknade bestämmelser om skydd för grundläggande fri- och rättigheter. Som nämnts har detta förändrats dels genom EUdomstolens erkännande av Europakonventionens bestämmelser som allmänna rättsprinciper, dels genom EU-stadgan.
Även i Sverige har en liknande diskussion förts med utgångspunkt i bestämmelsen i 10 kap. 6 § RF om överlåtelse av beslutanderätt. Av bestämmelsen framgår att en förutsättning för att riksdagen ska kunna besluta om överlåtelsen är att EU har ett fri- och rättighetsskydd som motsvarar det som ges i RF och i Europakonventionen. En annan förutsättning är att överlåtelsen inte rör principerna för statsskicket.
Vad som avses med ”principerna för statsskicket” är en fråga som har varit föremål för diskussion. I den diskussionen har bl.a. riksdagens ställning som det främsta statsorganet särskilt betonats liksom den fria åsiktsbildningens stora betydelse för det svenska statsskicket (se bl.a. bet. 1993/94:KU21 och 2001/02:KU18 s. 41 f.).
I samband med det svenska anslutningsavtalet till EU från juni 1994 gjorde Sverige en ensidig förklaring rörande offentlighetsprincipen och meddelarfriheten. Regeringen förklarade att
offentlighetsprincipen, särskilt rätten att ta del av allmänna handlingar, och grundlagsskyddet för meddelarfriheten, är och förblir grundläggande principer som utgör en del av Sveriges konstitutionella, politiska och kulturella arv. I en svarsförklaring uppgav medlemsstaterna att de förutsatte att Sverige som medlem i EU fullt ut kommer att följa gemenskapsrätten i detta avseende.
Den ensidiga svenska förklaringen avspeglar regeringens och konstitutionsutskottets (KU:s) uttalanden i samband med överlåtelsen av beslutanderätt. Synsättet har varit att sådan överlåtelse inte omfattar grundläggande konstitutionella principer här i landet. Handlingsoffentligheten samt principerna om censurförbud, meddelarskydd och ensamansvar m.m. har framhållits i det sammanhanget. De har ansetts utgöra förutsättningar för den fria åsiktsbildningen. I KU:s betänkande 1993/94:KU21, som gällde anpassningar i RF med anledning av EU-inträdet, framhölls de nämnda principerna som icke överlåtbara. Detta hindrade dock inte utskottet från att godta ett par anpassningar av TF till EU-rätten. Anpassningarna gällde en ny delegationsregel avseende kommersiella annonser till skydd för hälsa och miljö och utökade möjligheter för utländska medborgare att äga periodiska skrifter.
De tryck- och yttrandefrihetsrättsliga frågorna blev återigen aktuella i samband med godkännandet av Lissabonfördraget. Bakgrunden var att fördraget utökade EU:s behörighet på det straffrättsliga och polisiära området, vilket ansågs göra viss ytterligare överlåtelse av beslutanderätt nödvändig. Regeringen betonade att det var svårt att förutse hur det samarbetet skulle utvecklas. Dock ansåg regeringen att överlåtelsen inte kunde anses leda till att riksdagens ställning som det främsta statsorganet skulle urholkas i väsentlig grad och att den inte heller rörde någon av de grundläggande konstitutionella principer som framhölls av KU i grundlagsärendet 1993/94. (Se prop. 2007/08:168 s. 66 f.)
KU uttalade i ett yttrande inför godkännandet av Lissabonfördraget att utskottet vidhöll sin tidigare uppfattning, nämligen att en rättsakt från EU, som från svensk sida framstår som konstitutionellt oacceptabel, inte ligger inom det område där beslutanderätt har överlåtits. Om det inom ramen för EU-samarbetet uppstår behov av reglering som inte låter sig förenas med viktiga principer i det svenska tryck- och yttrandefrihetsrättsliga systemet förutsätter ett deltagande från svensk sida, enligt utskottets mening, grund-
lagsändring och överlåtelse av ny beslutanderätt till EU som möjliggör för EU att fatta beslut i frågan. (Se 2008/09:KU3y och bet. 2008/09:UU8.)
Utskottets uttalande framstår som tveksamt från ett rent EU-rättsligt perspektiv. Enligt unionsrätten har medlemsstaterna överlåtit till EU-domstolen att avgöra var gränserna för EU:s kompetens går. Samtidigt kan hävdas att eftersom det är medlemsstaterna som har ansett att det finns konstitutionella förutsättningar för anslutning till unionen och för att godkänna de olika ändringsfördragen, är det också medlemsstaterna som avgör var gränserna för den överlåtna kompetensen går. Således har t.ex. författningsdomstolen i Tyskland i flera mål ansett sig ha kompetens att kontrollera om beslut från EU:s institutioner fattats inom ramen för EU:s kompetens. (Se Bernitz och Kjellgren, Europa-
rättens grunder, version 7, JUNO, 2022, s. 103 f.)
Det finns olika uppfattningar i frågan om den svenska grundlagsregleringens förhållande till EU-rätten. Detta framgår bl.a. av en debatt som under åren 2014 och 2015 fördes i Svensk Juristtidning (se inlägg av Abrahamsson och Jermsten i SvJT 2014 s. 201 och 2015 s. 8, Lambertz i SvJT 2014 s. 440 samt Schmauch i SvJT 2014 s. 520 och 2015 s. 199) och även av senare diskussion (se t.ex. Törngren, Ord och rätt. Festskrift till Hans-Gunnar Axberger, 2020). Av debatten framgår att det framför allt är de detaljerade bestämmelserna i TF och YGL som ger upphov till frågor om förhållandet mellan grundlagarna och EU-rätten.
4.3.2. Yttrandefrihet
Yttrandefriheten regleras i artikel 11 i EU-stadgan och har följande lydelse.
1. Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.
2. Mediernas frihet och mångfald ska respekteras.
Bestämmelsen motsvarar i stort sett artikel 10 i Europakonventionen. Punkten 2 om mediernas frihet och mångfald är dock ett tillägg.
Möjligheten att inskränka en rättighet i stadgan följer av artikel 52.1 som har följande lydelse.
Varje begränsning i utövningen av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
Förutsättningarna för att inskränka rättigheter är alltså upplagd på liknande sätt som i artikel 10.2 i Europakonventionen.
4.3.3. Skyddet för privatlivet och personuppgifter
EU-stadgan innehåller, i likhet med Europakonventionen, bestämmelser till skydd för privatlivet.
Av artikel 7 framgår att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.
Stadgan innehåller därutöver en bestämmelse som ger skydd specifikt för personuppgifter. Bestämmelsen finns i artikel 8 som har följande lydelse.
1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
Såsom nämnts anges förutsättningarna för att inskränka en rättighet i artikel 52.1.
4.3.4. Relationen mellan yttrandefriheten och skyddet av personuppgifter
I likhet med vad som gäller enligt Europadomstolens praxis görs i EU-rätten ingen rangordning mellan skyddet för privatliv, inkluderat skyddet för personuppgifter, å ena sidan och skyddet för yttrandefriheten å den andra. Dessa rättigheter ges alltså samma tyngd på ett allmänt plan och eventuella konflikter dem emellan måste lösas genom en avvägning i enskilda fall.
Som har framgått ovan har Europadomstolen i sin praxis angett olika kriterier för hur avvägningen mellan yttrandefriheten och den personliga integriteten bör göras. EU-domstolen har anfört att dessa kriterier är relevanta även vid tillämpningen av EU-stadgan (se Sergei Buivids, C-345/17, p. 65–66).
I den s.k. Google Spain-domen (C-131/12) ansåg EU-domstolen att en enskild med hänsyn till dennes grundläggande rättigheter enligt artiklarna 7 och 8 i stadgan i princip har rätt att begära att sökmotorer inte längre ska visa vissa resultat vid sökning på den enskildes namn (rätten att bli glömd). Omständigheterna i målet var i korthet följande. En spansk medborgare invände mot att en google-sökning på hans namn visade länkar till tolv år gamla annonser med kungörelser som avsåg tvångsförsäljning av fastigheter som hade utmätts hos honom. Spanska myndigheter biföll hans begäran att Google skulle se till att länken till tidningen togs bort.
Frågan inför EU-domstolen var bl.a. om sökmotorleverantörer som Google, omfattades av det då gällande dataskyddsdirektivet och vilket ansvar företagen i så fall hade när det gällde skyddet för enskildas privatliv.
Enligt EU-domstolen innebar dataskyddsdirektivet att sökmotorleverantören under vissa förutsättningar var skyldig att från sökresultat som visas vid sökning på en individs namn, avlägsna länkar till webbsidor som publicerats av tredje män och som innehöll information om denna individ. Detta gällde oavsett om uppgifterna fanns kvar på dessa webbsidor och även om tillhandahållandet där var lagligt. Domstolen anförde vidare följande.
För att en sådan rätt ska anses föreligga krävs det inte att den berörda personen orsakas skada av att informationen i fråga återfinns i förteckningen över sökresultat. Eftersom den berörda personen, med beaktande av dennes grundläggande rättigheter enligt
artiklarna 7 och 8 i stadgan, får begära att informationen i fråga inte längre ska göras tillgänglig för den breda allmänheten genom att upptas i en sådan förteckning över sökresultat, väger dessa rättigheter i princip inte bara tyngre än sökmotorleverantörens ekonomiska intressen, utan också tyngre än den breda allmänhetens intresse av att få tillgång till denna information vid en sökning på den berörda personens namn. Så är emellertid inte fallet om ingreppet i den berörda personens grundläggande rättigheter av särskilda skäl, såsom den roll den berörda personen spelar i det offentliga livet, är motiverat av den breda allmänhetens övervägande intresse av att få tillgång till informationen i fråga genom att den upptas i förteckningen över sökresultat. (Se p. 99.)
5. Regleringen av personuppgifter
5.1. Bakgrund
Dataskyddslagstiftning har funnits i Sverige sedan år 1973. Då antogs datalagen (1973:289), den första nationella dataskyddslagstiftningen i världen. Datalagen ersattes år 1998 av personuppgiftslagen (1998:204) som genomförde det EU-rättsliga dataskyddsdirektivet1.
Bestämmelserna i personuppgiftslagen, PUL, hade till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PUL innehöll, liksom dataskyddsdirektivet, bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade. Vidare reglerades under vilka förutsättningar personuppgifter om lagöverträdelser m.m. fick behandlas.
Dataskyddsdirektivet hade genomförts på delvis olika sätt i EU:s medlemsstater. Bland annat därför ersattes direktivet år 2018 av dataskyddsförordningen2, även kallad GDPR. I samband med att dataskyddsförordningen trädde i kraft upphävdes PUL.
En EU-förordning är till skillnad från ett EU-direktiv direkt tillämplig i alla medlemsstater. Dataskyddsförordningen tillåter dock att det i viss utsträckning finns kompletterande nationell lagstiftning. I Sverige har generella kompletterande bestämmelser samlats i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) som trädde i kraft samtidigt som dataskyddsförordningen började tillämpas. I anslutning till dataskyddslagen finns förordningen (2018:219) med
1 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
kompletterande bestämmelser till EU:s dataskyddsförordning, kompletteringsförordningen.
5.2. Dataskyddsförordningens syfte
Dataskyddsförordningens syfte är dubbelt. Avsikten är dels att skapa förutsättningar för ett fritt flöde av personuppgifter inom EU, dels att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. (Se artikel 1 och skäl 10.)
En grundtanke med att samordna eller – med ett ord som ofta används i det här sammanhanget – harmonisera dataskyddsregleringen på EU-nivå är alltså att säkerställa att medlemsstaternas dataskyddslagstiftning inte innebär ett hinder för den inre marknadens funktion. Det ska således inte vara möjligt för en medlemsstat att hindra överföringar av personuppgifter till en annan medlemsstat med hänvisning till att den medlemsstaten inte har en tillräcklig skyddsnivå.
Det kan vidare noteras att dataskyddsförordningens andra syfte är formulerat så att skyddet av fysiska personers alla grundläggande rättigheter och friheter omfattas. Rätten till skydd av personuppgifter har således inte något automatiskt företräde framför andra grundläggande rättigheter och friheter, t.ex. yttrande- och informationsfriheten. Förordningen utgör en kompromiss mellan olika motstående intressen. Detta framgår bl.a. av skäl 4 till ingressen som har följande lydelse.
Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald.
5.3. Tillämpningsområde
5.3.1. Allmänt
Dataskyddsförordningen är som utgångspunkt tillämplig på all helt eller delvis automatiserad behandling av personuppgifter, exempelvis behandling av personuppgifter på en webbplats. Dessutom gäller dataskyddsförordningen för manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register. (Jfr artikel 2.1.)
I begreppet personuppgifter innefattas varje upplysning som avser en identifierad eller identifierbar fysisk person. Namn och personnummer är typiska exempel på personuppgifter. Men även en uppgift om ip-adress, fysiska kännetecken och liknande kan vara en personuppgift, om uppgiften kan användas för att identifiera en viss person. Begreppet personuppgifter kan alltså i princip innefatta alla typer av upplysningar, såväl objektiva upplysningar som subjektiva upplysningar som lämnas i form av åsikter eller bedömningar, under förutsättning att upplysningarna avser den registrerade. (Se artikel 4.1 och t.ex. EU-domstolens avgörande Nowak, C-434/16 p. 34.)
Från huvudregeln att dataskyddsförordningen är tillämplig på all behandling av personuppgifter görs ett antal undantag. Bland annat gäller att personuppgiftsbehandling som är helt och hållet privat, eller har samband med individers hushåll och därmed saknar koppling till yrkes- eller affärsmässig verksamhet, är undantagen från dataskyddsförordningen. (Se artikel 2.2.c)
Dataskyddsförordningen har ett relativt brett territoriellt tillämpningsområde. Förordningen är tillämplig på behandling av personuppgifter inom ramen för verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom EU, oavsett om behandlingen utförs i unionen eller inte. Var själva behandlingen av personuppgifterna utförs saknar i det fallet rättslig relevans. Inte heller har medborgarskapet eller uppehållsorten för de personer vars uppgifter behandlingen omfattar någon betydelse. (Se artikel 3.1.)
Därutöver tillämpas dataskyddsförordningen i vissa situationer även på verksamheter utanför EU. Detta är fallet om behandlingen av personuppgifter har anknytning till EU, bl.a. genom försäljning
av tjänster till registrerade i unionen eller övervakning av deras beteende inom unionen. (Se artikel 3.2.)
5.3.2. Behandling av personuppgifter samt yttrande- och informationsfriheten
Enligt det tidigare gällande dataskyddsdirektivet förutsattes att medlemsstaterna skulle besluta om undantag och avvikelser från delar av direktivet för behandling av personuppgifter som skedde uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. En förutsättning var att det var nödvändigt för att förena rätten till privatlivet med reglerna om yttrandefriheten.
Även den nuvarande dataskyddsförordningen förutsätter att medlemsstaterna gör undantag med hänsyn till intresset av yttrande- och informationsfriheten (se skäl 153). Det kommer till uttryck i artikel 85 som har följande lydelse.
1. Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
2. Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.
3. Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.
I bestämmelsens första punkt slås alltså fast att det är medlemsstaterna som i sin nationella lagstiftning ska förena rätten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten.
Av andra punkten framgår att medlemsstaterna dessutom ska fastställa undantag eller avvikelser från de flesta bestämmelserna i dataskyddsförordningen för behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. I skäl 153 anges att detta särskilt bör gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. Undantag ska dock bara fastställas om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. De undantag som medlemsstaterna beslutar om ska enligt tredje punkten i artikel 85 anmälas till kommissionen.
Innebörden av artikel 85 ska förstås mot bakgrund av rättigheterna i EU-stadgan avseende yttrande- och informationsfriheten (artikel 11), respekt för privatlivet och familjelivet (artikel 7) och skydd för personuppgifter (artikel 8) samt mot bakgrund av vad EU-stadgan anger beträffande begränsningar i nämnda rättigheter (artikel 52). EU-domstolens praxis på området bör således beaktas liksom Europadomstolens praxis avseende motsvarande bestämmelser (artikel 8 och 10) i Europakonventionen. (Jfr skäl 4 och 153.)
Utformningen av artikel 85 innebär dock att förhållandet mellan yttrande- och informationsfriheten å ena sidan och skyddet för personuppgifter å den andra kan skilja sig åt mellan olika medlemsstater. Den avvägning som måste göras mellan intresset av en vid informationsfrihet och skyddet för personuppgifter anses inte nödvändigtvis leda till samma resultat i samtliga EU:s medlemsstater. Detta är i sig inte oförenligt med dataskyddsförordningen (se EUdomstolens dom i Google, C-507/17 p. 67). I skäl 153 till förordningen berörs den situationen då undantag varierar från en medlemsstat till en annan. Då tillämpas den nationella rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av.
Regleringen av undantag för behandlingar med journalistiska ändamål m.m. skiljer sig något från motsvarande undantag i det tidigare gällande dataskyddsdirektivet. Enligt dataskyddsdirektivet krävdes att behandlingarna skedde ”uteslutande” för något av de angivna ändamålen. Detta har i förarbetena till dataskyddslagen ansetts innebära att utrymmet för undantag är något större i dataskyddsförordningen jämfört med den tidigare regleringen i dataskyddsdirektivet (se prop. 2017/18:105 s. 41). Samtidigt kan noteras att EU-domstolen har gett uttryck för att även undantaget i data-
skyddsförordningen är begränsat till personuppgiftsbehandling som sker uteslutande för journalistiska ändamål m.m. (se EUdomstolens avgörande i Google, p. 67). Därtill hänvisas i skäl 153 till dataskyddsförordningen till behandling som sker ”enbart” för de aktuella ändamålen. Det är således något oklart vilken betydelse den ändrade lydelsen i dataskyddsförordningen har.
Oavsett står det klart att begreppet journalistiska ändamål spelar en central roll för förståelsen av dataskyddsförordningen. Såsom framgår nedan har begreppet getts en vid innebörd i EU-domstolens praxis. Detta följer även av Högsta domstolens avgörande i NJA 2001 s. 409 beträffande motsvarande begrepp i PUL.
5.3.3. EU-domstolens praxis om undantaget för journalistiska ändamål
EU-domstolen har i flera avgöranden uttalat sig om tolkningen av begreppet journalistiska ändamål i dataskyddsdirektivet. Eftersom det återkommer i dataskyddsförordningen har EU-domstolens uttalanden i denna del fortsatt relevans. I följande avsnitt redogörs för två rättsfall av betydelse för tolkningen av begreppet.
Satakunnan Markkinapörssi Oy och Satamedia Oy
Som har framgått i tidigare kapitel (se avsnitt 4.2.5) har Europadomstolen avgjort ett mål mot Finland som rörde de finländska bolagen Satakunnan Markkinapörssi Oy och Satamedia Oy. Bolagen offentliggjorde taxeringsuppgifter om ett stort antal personer. Processen i Europadomstolen föregicks av ett förhandsavgörande från EU-domstolen angående tolkningen av det då gällande dataskyddsdirektivet (se Satakunnan Markkinapörssi och Satamedia, C-73/07).
Bolagen hade alltså med stöd av den finska offentlighetsprincipen samlat in taxeringsuppgifter om fler än en miljon individer med det huvudsakliga ändamålet att publicera uppgifterna. Inför EU-domstolen var frågan bl.a. om behandlingen av personuppgifter kunde anses ha skett uteslutande för journalistiska ändamål.
EU-domstolen anförde att undantag för journalistiska ändamål inte endast ska tillämpas på medieföretag utan på alla personer som
är journalistiskt verksamma. Uttryck som yttrandefrihet och journalistik måste enligt domstolen tolkas brett.
Domstolen uttalade vidare att ett vinstsyfte inte utesluter att behandling kan ske för journalistiska ändamål. En viss kommersiell framgång kan till och med utgöra ett oeftergivligt villkor för att professionell journalistisk verksamhet ska bestå.
Enligt EU-domstolen ska det vidare beaktas att kommunikationsmöjligheterna och möjligheterna att sprida uppgifter har utvecklats och flerfaldigats. Det är inte formen eller mediet för informationsspridningen, antingen den är traditionell, som papper eller radio, eller elektronisk, som internet, som är avgörande för om behandlingen ska anses ske uteslutande för journalistiska ändamål.
Avslutningsvis konstaterade EU-domstolen att sådan verksamhet som det var fråga om i det aktuella fallet avsåg uppgifter som härrörde från handlingar som enligt den nationella lagstiftningen var offentliga. Trots detta kunde det anses utgöra behandling av personuppgifter som sker uteslutande för journalistiska ändamål, om verksamheten endast syftade till att sprida information, åsikter eller idéer till allmänheten. EU-domstolen överlämnade till de finska domstolarna att avgöra om så var fallet.
Högsta förvaltningsdomstolen i Finland bedömde därefter att det inte rörde sig om sådan behandling för journalistiska ändamål som avsågs i den finska personuppgiftslagen.
Sergejs Buivids
Ytterligare ett avgörande vad gäller innebörden av journalistiskt ändamål är EU-domstolens dom i målet Sergejs Buivids (C-345/17). Målet rörde ett videoklipp som Buivids hade spelat in i samband med att han hade besökt en polisstation. Buivids hade därefter publicerat videoklippet som visade poliser under tjänsteutövning, på YouTube. Den lettiska dataskyddsmyndigheten fann att Buivids hade överträtt den lettiska dataskyddslagstiftningen bl.a. genom att inte informera poliserna om syftet med behandlingen av deras personuppgifter.
Buivids överklagade dataskyddsmyndighetens beslut ända upp till den lettiska Högsta domstolen och åberopade rätten till yttrandefrihet. Högsta domstolen inhämtade ett förhandsavgörande från
EU-domstolen för att få klarhet i bl.a. om Buivids agerande kunde utgöra behandling av personuppgifter som skett för journalistiska ändamål, i den mening som avsågs i artikel 9 i det då gällande dataskyddsdirektivet.
I enlighet med sin tidigare praxis anförde EU-domstolen att de begrepp som hör samman med yttrandefriheten, däribland journalistik, ska tolkas i vid mening. Den omständigheten att Buivids inte var journalist till yrket uteslöt inte att undantagsbestämmelsen kunde vara tillämplig.
EU-domstolen konstaterade att det ankommer på den hänskjutande domstolen att pröva om det framgår av det aktuella videoklippet att inspelningen och offentliggörandet av detta endast syftar till att sprida information, åsikter eller idéer till allmänheten. Vid denna prövning kan dock den hänskjutande domstolen beakta att videoklippet, enligt Buivids, hade offentliggjorts på en webbplats för att fästa allmänhetens uppmärksamhet på oegentligheter från polisens sida.
EU-domstolen fann sammantaget att de faktiska omständigheterna i målet kunde utgöra behandling av personuppgifter uteslutande för journalistiska ändamål. En förutsättning var dock att det framgick av videoklippet att det enda syftet med att spela in och offentliggöra videoklippet varit att sprida information, åsikter eller idéer till allmänheten.
Slutsatser beträffande innebörden av begreppet journalistiska ändamål
Sammanfattningsvis följer av de båda rättsfallen att begreppet journalistiska ändamål inte enbart tar sikte på etablerade massmedier eller personer som är yrkesverksamma inom sådana medier. Frågan om vem som står bakom ett yttrande är av underordnad betydelse. Det är inte heller formen eller mediet för informationsspridningen som är avgörande för om behandlingen ska anses ske för journalistiska ändamål. I stället är det ändamålet med själva yttrandet som ska bedömas. Om syftet är att sprida information, åsikter eller idéer till allmänheten får normalt ett journalistiskt ändamål anses föreligga.
Det bör dock framhållas att EU-domstolen har varit tydlig med att inte allt tillgängliggörande av information på internet som inne-
håller personuppgifter kan anses utgöra journalistisk verksamhet. Begreppet journalistiska ändamål har t.ex. inte ansetts omfatta sökmotorleverantörer. (Se Sergejs Buivids, C-345/17, p. 58 och jfr Google Spain och Google, C-131/12, p. 85.)
5.3.4. Dataskyddslagens reglering av förhållandet till tryck- och yttrandefriheten
Tryckfrihetsförordningens och yttrandefrihetsgrundlagens företräde
I 1 kap. 7 § första stycket dataskyddslagen anges att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Syftet med bestämmelsen är enligt förarbetena att tydliggöra att tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL) har företräde framför bestämmelserna i dataskyddsförordningen och dataskyddslagen. I fråga om TF avses både bestämmelserna om tryck- och yttrandefrihet och bestämmelserna om offentlighetsprincipen i 2 kap. TF. (Se prop. 2017/18:105 s. 40 f.)
I förarbetena är alltså ståndpunkten att dataskyddsförordningen tillåter ett generellt undantag för behandling som sker inom TF:s och YGL:s tillämpningsområden. Detta gällde även enligt PUL. Det kan dock nämnas att Lagrådet i samband med införandet av PUL anförde att det fick anses tveksamt om EU-domstolen skulle acceptera att de bestämmelser i direktivet som införlivades genom PUL fick vika i vidare mån än vad som framgick av direktivets ordalydelse. Lagrådet ansåg bl.a. att den aktuella bestämmelsen i dataskyddsdirektivet (artikel 9, att jfr med artikel 85 i dataskyddsförordningen) enligt ordalydelsen inte gav någon möjlighet att låta avvikande bestämmelser i TF och YGL få företräde såvitt gäller annat än behandling för journalistiska ändamål eller konstnärligt eller litterärt skapande. (Se prop. 1997/98:44 s. 236 f.)
Frågan om förhållandet mellan mediegrundlagarna och dataskyddsförordningen har på senare år aktualiserats när det gäller söktjänster som offentliggör personuppgifter. Dessa söktjänster har i regel utgivningsbevis, vilket innebär att de omfattas av YGL. Sedan år 2019 finns en bestämmelse i 1 kap. 13 § TF och 1 kap.
20 § YGL om att grundlagarna inte hindrar att det i lag – varmed innefattas även EU-förordningar – meddelas föreskrifter om förbud mot offentliggörande av vissa känsliga personuppgifter. De typer av personuppgifter som omfattas av dessa undantag överensstämmer med sådana personuppgifter som anges i artikel 9 dataskyddsförordningen (se mer om artikel 9 nedan). Undantagen gäller dock bara om personuppgifterna ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa. En söktjänst utgör i regel en sådan uppgiftsamling.
För att undantagsbestämmelserna ska kunna tillämpas krävs även att det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet. Det är alltså inte alla söktjänster som omfattas av grundlagsundantagen. I de fall undantagsbestämmelserna aktualiseras regleras dock offentliggörandet av personuppgifter som utgångspunkt i dataskyddsförordningen och kompletterande svenska lagar om dataskydd i stället för i TF och YGL.
Som nämnts i tidigare kapitel har mediegrundlagarnas företräde framför dataskyddsregleringen på senare tid utmanats av några svenska domstolar i mål om utlämnande av allmän handling (se avsnitt 3.2.2). Målen har avsett framställningar från aktörer med utgivningsbevis om utlämnande av allmänna handlingar som innehåller personuppgifter om lagöverträdelser. Sådana personuppgifter omfattas inte av undantagsbestämmelserna i 1 kap. 13 § TF och 1 kap. 20 § YGL. Domstolarna har i de aktuella fallen i sammanfattning bedömt att ett så strikt förhållningssätt som följer av 1 kap. 7 § första stycket dataskyddslagen, dvs. att det svenska grundlagsskyddet alltid ska ha företräde framför dataskyddsförordningen, inte är förenligt med principen om EU-rättens företräde. Domstolarna har ansett att en avvägning i stället måste göras i varje enskilt fall mellan det integritetsskyddsintresse som kommer till uttryck genom dataskyddsförordningen och de grundlagsskyddade rättigheter som slås fast i mediegrundlagarna. (Se avsnitt 3.2.2 för en uppräkning av aktuella mål.)
Vidare har Attunda tingsrätt beslutat att inhämta ett förhandsavgörande från EU-domstolen angående utrymmet i artikel 85 i dataskyddsförordningen för att på nationell nivå reglera förhållandet till yttrande- och informationsfriheten. Målet i tingsrätten
gäller skadestånd enligt dataskyddsförordningen. En privatperson har väckt talan mot ett företag som tillhandahåller en söktjänst som offentliggör uppgifter om lagöverträdelser. Personen som väckt talan är dömd för brott och det aktuella brottmålsavgörandet har funnits tillgängligt i söktjänsten. Företaget har dock utgivningsbevis för söktjänsten, vilket innebär att databasen omfattas av YGL. Företaget har därmed gjort gällande att dataskyddsförordningen inte är tillämplig. (Se Attunda tingsrätts beslut den 1 mars 2024 i mål nr T 3743-23. EU-domstolens svar förväntas inkomma under år 2025.)
Förhållandet mellan mediegrundlagarna och dataskyddsförordningen har även behandlats av Integritetsskyddsmyndigheten (IMY) i ett rättsligt ställningstagande från maj 2024. IMY hade tidigare bedömt att YGL hindrat myndigheten från att ingripa mot söktjänster med utgivningsbevis som publicerar personuppgifter (med undantag för de söktjänster som omfattas av 1 kap. 13 § TF och 1 kap. 20 § YGL). Mot bakgrund av utvecklingen i svensk och europeisk rättspraxis har dock IMY omprövat denna ståndpunkt och kommit fram till att myndigheten har behörighet att inleda tillsyn med anledning av klagomål mot publicering av personuppgifter i söktjänster med utgivningsbevis. IMY har dock inte tagit ställning till i vilken utsträckning de materiella reglerna i dataskyddsförordningen kan tillämpas i en sådan situation. Behörighetsfrågan eller tillämpligheten av de materiella bestämmelserna har ännu inte prövats av svenska domstolar. (Se Rättsligt ställningstagande IMYRS 2024:1 – Klagomål mot söktjänster med utgivningsbevis.)
Journalistiska ändamål och akademiskt, konstnärligt eller litterärt skapande
Av 1 kap. 7 § andra stycket dataskyddslagen framgår vidare att större delen av dataskyddsförordningen (artiklarna 5–30 och 35–50) och dataskyddslagen (2–5 kap.) inte ska tillämpas vid behandling av personuppgifter för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Bestämmelsen har sin grund i artikel 85.2 i dataskyddsförordningen.
Den aktuella bestämmelsen i dataskyddslagen medför att det på angivet området endast är möjligt att tillämpa vad som i dataskyddsförordningen anges om syfte, tillämpningsområde och
definitioner, om samarbete med tillsynsmyndigheten och säkerhet för personuppgifter, om oberoende tillsynsmyndigheter, om samarbete och enhetlighet samt om rättsmedel, ansvar och sanktioner. Reglerna i dataskyddsförordningen och dataskyddslagen om tillsyn, rättsmedel, ansvar och sanktioner är vidare tillämpliga enbart såvitt avser tillsyn över eller överträdelser av bestämmelserna om säkerhet för personuppgifter. (Se prop. 2017/18:105 s. 187.)
Regleringen i andra stycket har främst betydelse för personuppgiftsbehandling utanför TF:s och YGL:s områden. Är behandlingen av personuppgifter undantagen redan enligt första stycket – personuppgiftsregleringen ska inte tillämpas i den utsträckning det skulle strida mot TF och YGL – behöver andra stycket inte tillämpas.
Andra stycket skulle teoretiskt sett även kunna aktualiseras i det fall att undantagen i 1 kap. 13 § TF och 1 kap. 20 § YGL för offentliggörande av vissa uppgiftssamlingar med känsliga personuppgifter är tillämpliga. (Se den diskussion som förs i Öman, Dataskydds-
förordningen/GDPR/ m.m., kommentaren till 1 kap. 7 § data-
skyddslagen, version 2B, JUNO, den 27 september 2023 och jfr prop. 2021/22:59 s. 54.)
5.4. Vägledande principer för personuppgiftsbehandling
Dataskyddsförordningen innehåller ett antal grundläggande principer som gäller för all behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde (se artikel 5). Dessa principer klargör bl.a. vissa allmänna förhållningsregler för personuppgiftsbehandling och i vilka fall sådan behandling över huvud taget får ske. Principerna behandlas kortfattat i det följande.
Laglighet
Laglighetsprincipen är nära kopplad till de rättsliga grunderna i artikel 6.1 (se skäl 40). Enligt artikel 6.1. är behandling av personuppgifter laglig bara om
1. den registrerade har gett sitt samtycke till att dennes person-
uppgifter behandlas för ett eller flera specifika ändamål,
2. behandlingen är nödvändig för att fullgöra ett avtal i vilket den
registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås,
3. behandlingen är nödvändig för att fullgöra en rättslig förplik-
telse som åvilar den personuppgiftsansvarige,
4. behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade eller för en annan fysisk person,
5. behandlingen är nödvändig för att utföra en uppgift av allmänt
intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, eller
6. behandlingen är nödvändig för ändamål som rör den person-
uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Av bestämmelsen framgår att behandlingen ska vara nödvändig för den rättsliga grunden, med undantag för det fall då den rättsliga grunden utgörs av den registrerades samtycke. Begreppet nödvändigt har en självständig EU-rättslig betydelse och ska tolkas i ljuset av att behandlingen av personuppgifter innebär en begränsning av rätten till privatliv och skydd för personuppgifter enligt artiklarna 7 och 8 i EU-stadgan (jfr EU-domstolen dom i Salvatore
Manni C-398/15 p. 39). Nödvändighet har därför en nära koppling
till den proportionalitetsprincip som gäller enligt artikel 52.1 i stadgan vid begränsningar av de grundläggande rättigheterna.
Vid behandling av känsliga personuppgifter måste vidare behandlingen för att vara laglig kunna hänföras under något undantag från förbudet i artikel 9 att behandla känsliga personuppgifter. När enskilda ska behandla personuppgifter om lagöverträdelser krävs det dessutom en ytterligare rättslig grund i enlighet med artikel 10. För att få behandla person- eller samordningsnummer behövs det också att särskilda förutsättningar är uppfyllda (se artikel 87 och 3 kap. 10 § dataskyddslagen). Behandling av personuppgifter som
innefattar överföring av personuppgifter till tredjeland eller internationella organisationer kan också kräva särskilt rättsligt stöd enligt kapitel V (artikel 44–50).
Korrekthet
All personuppgiftsbehandling måste vidare följa principen om korrekthet. Vad det handlar om är att personuppgifter måste behandlas på ett skäligt eller rättvist sätt, snarare än korrekt. I den engelska språkversionen anges att behandlingar ska vara ”fair”. Det kan vara oförenligt med principen att behandla en viss personuppgift om behandlingen är oskälig i för hållande till den registrerade. (Se Öman, a.a., kommentaren till artikel 5.1.a., den 27 september 2023, JUNO, version 2B.)
IMY anser att principen om korrekthet innebär att behandlingen av personuppgifter ska vara rättvis, skälig och rimlig i förhållande till de registrerade. Den ska stå i rimlig proportion till nyttan som den innebär och inte strida mot de registrerades rimliga förväntningar. Behandlingen ska vara förståelig och begriplig för de registrerade och inte ske på dolda eller manipulerande sätt. (Se Vägledning till politiska aktörer om dataskyddsreglerna i samband med valkampanjer, den 17 maj 2022, s. 9.)
Öppenhet
Öppenhetsprincipen innebär att personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade. Detta innebär bl.a. att det bör vara klart och tydligt för enskilda hur personuppgifter som rör dem behandlas. All information och kommunikation i samband med behandling av personuppgifter måste vara lätttillgänglig och lättbegriplig. Ett klart och tydligt språk ska användas. Principen innebär vidare att enskilda bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter enligt förordningen. (Se artikel 5.1.a och 13–15 samt skäl 39.)
Ändamålsbegränsning
Enligt principen om ändamålsbegräsning får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Detta medför bl.a. att en personuppgiftsansvarig måste tänka igenom varför personuppgifter behövs innan de samlas in och bestämma ändamålen senast vid insamlingen. (Se artikel 5.1.b och skäl 39.)
Uppgiftsminimering
Principen om uppgiftsminimering i artikel 5.1.c innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet med behandlingen. Behandling av personuppgifter bör endast ske om syftet med behandlingen inte rimligen kan uppnås genom andra medel. Personuppgifter som inledningsvis är adekvata och relevanta för ändamålen med behandlingen kan med tiden bli oförenliga med principen om uppgiftsminimering när uppgifterna inte längre är nödvändiga med hänsyn till de ändamål för vilka de samlats in eller behandlats.
Riktighet
Personuppgifterna ska enligt artikel 5.1.d vara riktiga och om nödvändigt uppdaterade. Den personuppgiftsansvarige måste självmant vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
Lagringsminimering
Personuppgifter får enligt principen om lagringsminimering i artikel 5.1.e inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt. Dessa uppgifter ska med andra ord anonymiseras eller raderas när de inte längre behövs. För att säkerställa att personuppgifter inte
sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll (se skäl 39).
Integritet och konfidentialitet
Enligt principen om integritet och konfidentialitet i artikel 5.1.f ska personuppgifter behandlas på ett säkert sätt som bl.a. ska trygga skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada. Principen preciseras framför allt genom regleringen om säkerhet för personuppgifter i artiklarna 32–34.
Ansvarsskyldighet
Principen om ansvarsskyldighet innebär att den personuppgiftsansvarige ska ansvara för och kunna visa att de ovan nämnda principerna efterlevs (se artikel 5.2).
5.5. Behandling av känsliga personuppgifter
Det är enligt artikel 9 i dataskyddsförordningen som utgångspunkt förbjudet att behandla s.k. känsliga personuppgifter. Med det avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter eller filosofisk övertygelse och medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en persons sexualliv eller sexuella läggning.
Från förbudet att behandla känsliga personuppgifter görs i artikel 9.2 ett antal undantag, bl.a. för det fall den enskilde själv har offentliggjort uppgifterna. Om något av undantagen är tillämpliga, och det finns en laglig grund för behandlingen, får alltså även känsliga personuppgifter behandlas.
5.6. Behandling av personuppgifter om lagöverträdelser
Uppgifter rörande lagöverträdelser som innefattar brott tillhör inte de känsliga personuppgifter som omfattas av förbudet mot behandling i artikel 9 dataskyddsförordningen. De anses ändå vara en kategori personuppgifter som förtjänar särskilt skydd. Behandling av personuppgifter rörande lagöverträdelser regleras i artikel 10 som har följande lydelse.
Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
De uppgifter som hänvisas till i bestämmelsen berör beteenden som samhället tar avstånd från. Ett offentliggörande av sådana uppgifter anses därmed kunna stigmatisera den berörda personen och utgöra ett allvarligt ingrepp i hans eller hennes privatliv eller yrkesliv. Syftet med bestämmelsen är att säkerställa rätten till respekt för privatlivet och skydd för personuppgifter enligt artiklarna 7 och 8 i EU-stadgan. (Se EU-domstolens dom Latvijas
Republikas Saeima C-439/19, p 74–75.)
5.6.1. Personuppgifter som omfattas av artikel 10
Artikel 10 i dataskyddsförordningen omfattar behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott och därmed sammanhängande säkerhetsåtgärder.
Begreppet brott ska enligt EU-domstolen ges en självständig och enhetlig tolkning inom hela unionen med beaktande av det mål som eftersträvas med denna bestämmelse och det sammanhang i vilket den förekommer. Enligt domstolens praxis är följande tre kriterier relevanta vid bedömningen av huruvida en överträdelse är av straffrättslig karaktär.
1. Den rättsliga kvalificeringen av överträdelsen i nationell rätt.
2. Överträdelsens art.
3. Strängheten i den sanktion som den berörde kan åläggas.
Även när det gäller överträdelser som inte kvalificeras som straffrättsliga i nationell rätt kan en sådan karaktär följa av överträdelsens art i sig och av strängheten i den sanktion som den kan föranleda. EU-domstolen har följaktligen bedömt att prickning av förare vid överträdelser av trafikregler avser lagöverträdelser som innefattar brott. Det gäller även om prickningen inte anses ha straffrättslig karaktär i nationell rätt (se den nämnda domen Latvijas Republikas
Saeima).
Med ”därmed sammanhängande säkerhetsåtgärder” avses straffprocessuella tvångsmedel t.ex. häktning reseförbud eller beslag.
Tillämpningsområdet för artikel 10 är något mer begränsad än motsvarande bestämmelse i dataskyddsdirektivet. En betydande skillnad jämfört med direktivet är att artikel 10 i dataskyddsförordningen inte ger medlemsstaterna någon möjlighet att begränsa behandlingen av personuppgifter om administrativa sanktioner och avgöranden i tvistemål. Uppgifter om administrativa frihetsberövanden omfattas således inte av någon särskild reglering enligt dataskyddsförordningen. Det är annorlunda om de utgör känsliga personuppgifter enligt artikel 9.1, t.ex. om de också avslöjar uppgifter om etniskt ursprung eller psykisk ohälsa. (Se Latvijas
Republikas Saeima p. 76–79 och prop. 2017/18:105 s. 98 f.)
Skillnaden i utformningen av artikel 10 i dataskyddsförordningen i förhållande till motsvarande bestämmelse i dataskyddsdirektivet har vidare föranlett diskussion om i vilken utsträckning brottsmisstankar omfattas av begreppet lagöverträdelser som innefattar brott (se t.ex. a. prop.). Av EU-domstolens dom i
GC m.fl., C-136/17, framgår dock att uppgifter om att ett rättsligt
förfarande inletts mot en fysisk person (t.ex. uppgifter om förundersökning och rättegång) omfattas av begreppet i den mening som avses i artikel 10 (se p. 72).
EU-domstolens praxis ger däremot inte något svar på frågan om artikel 10 är tillämplig på uppgifter om misstankar om brott när det inte har inletts något rättsligt förfarande. IMY har i ett rättsligt ställningstagande (IMYRS 2021:1) bedömt att uttrycket person-
uppgifter som rör lagöverträdelser som innefattar brott – i avvaktan på praxis från EU-domstolen eller tydlig vägledning från Europeiska dataskyddsstyrelsen (EDPB) – ska ges samma innebörd som motsvarande uttryck i PUL. Det innebär att uppgifter om brottsmisstankar under vissa förhållanden kan omfattas av begreppet lagöverträdelser som innefattar brott även om det inte inletts något rättsligt förfarande.
5.6.2. Förutsättningar för att annan än myndighet ska få behandla personuppgifter som omfattas av artikel 10
Av bestämmelsen framgår att en förutsättning för att andra än myndigheter ska få behandla personuppgifter av det slag som avses i artikel 10 är att det finns ett uttryckligt stöd i EU-rättslig eller nationell lagstiftning. Den lagstiftningen ska vidare fastställa lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Kompletterande lagstiftning har meddelats för svensk del i 3 kap. 8 och 9 §§ dataskyddslagen.
I 8 § anges att uppgifter om lagöverträdelser får behandlas av myndigheter och även av andra än myndigheter om det är nödvändigt för arkivändamål. Enligt 9 § första stycket gäller att regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter om lagöverträdelser.
Föreskrifter har meddelats i bl.a. 5 § i kompletteringsförordningen. Av den bestämmelsen framgår att andra än myndigheter får behandla uppgifter om lagöverträdelser om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt 6 § samma förordning får dessutom IMY meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som avses i artikel 10 dataskyddsförordningen. IMY har meddelat föreskrifter i DIFS 2018:2 och i dessa angett att andra får behandla den här typen av personuppgifter bl.a. om behandlingen är nödvändig för att fullgöra en föreskrift på socialtjänstområdet.
IMY får även i enskilda fall besluta att andra än myndigheter får behandla personuppgifter om lagöverträdelser (se 3 kap. 9 §
andra stycket dataskyddslagen jfr med 6 § andra stycket kompletteringsförordningen).
Möjligheten till sådana tillstånd fanns även enligt PUL. Rådande praxis var då att tillstånd skulle meddelas restriktivt (se bl.a. rättsfallet HFD 2016 ref. 8). I förarbetena till dataskyddslagen konstaterade regeringen dock att dataskyddsförordningen – utöver kravet på lämpliga skyddsåtgärder – inte ställer upp några hinder för medlemsstaterna att i sin nationella rätt tillåta även andra än myndigheter att behandla personuppgifter som rör lagöverträdelser. Utrymmet för att tillåta sådan behandling i enskilda fall ansågs därför större än vad som hade varit fallet enligt PUL. IMY:s utrymme att avslå en begäran om tillstånd torde därför, enligt vad regeringen anförde i propositionen, i princip vara begränsat till de fall där behandlingen skulle vara oförenlig med dataskyddsförordningen i övrigt. Det gällde i synnerhet vad som anges i dataskyddsförordringen om principerna i artikel 5 och kravet på rättslig grund i artikel 6. (Se prop. 2017/18:105 s. 100.)
5.7. De registrerades rättigheter
I kapitel III i dataskyddsförordningen finns det bestämmelser om vilka rättigheter den registrerade har (artikel 12–22) samt när EU och medlemsstaterna får begränsa dem (artikel 23). Med de registrerade avses de personer vars personuppgifter behandlas. De registrerade har enligt dessa bestämmelser rätt att begära
- tillgång till sina personuppgifter – registerutdrag (artikel 15),
- rättelse och komplettering (artikel 16),
- radering (artikel 17),
- begränsning av behandling av personuppgifter (artikel 18),
- underrättelse till mottagare om vidtagna korrigeringsåtgärder
(artikel 19),
- dataportabilitet (artikel 20),
- invändningar mot behandling av personuppgifter (artikel 21), och
- att inte bli föremål för automatiserade beslut, inbegripet s.k. profilering (artikel 22).
Dessutom ska den registrerade, utan begäran, få information enligt artikel 13 och 14 i samband med att en behandling av personuppgifter inleds.
Nedan redogörs mer utförligt för de rättigheter som typiskt sett har störst betydelse för de registrerade.
5.7.1. Rätt till information och tillgång till personuppgifter
Dataskyddsförordningen ger de registrerade rätt att få information om att deras personuppgifter behandlas. I vissa fall finns dessutom en rätt att få del av uppgifterna. (Se artiklarna 12–15.)
I förordningen görs det skillnad mellan situationer när uppgifterna har samlats in från de registrerade respektive när uppgifterna samlats in från någon annan. Gemensamt för båda fallen är dock att informationsskyldigheten är omfattande. Information ska bl.a. lämnas om personuppgiftsbehandlingens ändamål och rättsliga grund, eventuella mottagare som kan komma att ta del av personuppgifterna och under vilken tidsperiod uppgifterna kommer att behandlas.
Om personuppgifterna har samlats in från någon annan än den registrerade ska information även lämnas om varifrån personuppgifterna kommer och huruvida de har sitt ursprung i allmänt tillgängliga källor.
I dataskyddsförordningen görs det vissa undantag från informationsskyldigheten. Den gäller exempelvis inte om personuppgifterna har hämtats in från någon annan än den registrerade och det skulle medföra en oproportionell ansträngning att lämna informationen.
Utöver skyldigheten för personuppgiftsansvariga att självmant lämna information till de registrerade har de registrerade rätt att på eget initiativ få bekräftelse av om deras personuppgifter behandlas. Om någon form av behandling sker har den enskilde rätt till information av olika slag, såsom ändamålen med behandlingen och vilken typ av uppgifter som behandlas.
5.7.2. Rättelse och rätten att bli bortglömd
Som har framgått ovan måste den som behandlar personuppgifter självmant säkerställa att de uppgifter som behandlas är korrekta.
Därutöver har de registrerade rätt att få felaktiga personuppgifter rättade och i vissa fall sina uppgifter raderade (se artikel 16–17).
Rätten till radering – eller rätten att bli bortglömd som den också kallas – regleras i artikel 17. En registrerad har rätt att utan onödigt dröjsmål få sina personuppgifter raderade i följande situationer.
- Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
- Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a (generellt samtycke) eller artikel 9.2 a (samtycke avseende känsliga personuppgifter) och det saknas annan rättslig grund för behandlingen.
- Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 (invändning mot behandling som grundar sig på en rättslig skyldighet eller intresseavvägning) och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2 (invändning mot behandling av uppgifter i direktmarknadsföring).
- Personuppgifterna har behandlats på ett olagligt sätt.
- Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.
- Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1 (behandling av personuppgifter rörande barn).
EU-domstolen har i flera rättsfall behandlat rätten att invända och begära radering när det gäller sökmotorers träffar. Av avgörandena framgår bl.a. att sökmotorleverantören inte ansvarar för att personuppgifter förekommer på en webbsida publicerad av tredje part. Däremot ansvarar sökmotorleverantören för hänvisningen till den webbsidan och, i synnerhet, för visningen av en länk till den webbsidan i den förteckning över sökresultat som presenteras för internetanvändare som söker på namnet på en fysisk person. Dataskyddsförordningens bestämmelser, inkluderat rätten att bli bort-
glömd, gäller således i detta avseende även sökmotorleverantörer. (Se t.ex. Google LLC, C-460/20.)
Rätten att bli bortglömd är dock inte undantagslös. Undantag gäller bl.a. om det är nödvändigt för att tillgodose andra viktiga rättigheter, som exempelvis rätten till yttrande- och informationsfrihet. En avvägning ska därmed göras mellan skyddet för privatliv och personuppgifter å ena sidan och yttrande- och informationsfriheten å andra sidan, vilket innefattar en bedömning enligt artiklarna 7–8 och 11 i EU-stadgan. (Se artikel 17.3 och t.ex. Google LLC.)
5.8. Organisatoriska krav på verksamheter när personuppgifter behandlas
Begreppet personuppgiftsansvarig spelar en viktig roll när det gäller ansvaret för behandling av personuppgifter. Personuppgiftsansvarig är den organisation eller i vissa fall fysiska person som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till (se artikel 4.7). Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter men ansvaret i sig kan aldrig överlåtas. Ett generellt ansvar åvilar den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen.
Det innebär bl.a. en skyldighet att ha s.k. inbyggt dataskydd och dataskydd som standard. Med inbyggt dataskydd avses att dataskyddsreglerna ska beaktas redan vid utformningen av it-system och organisatoriska rutiner. Dataskydd som standard innebär att den personuppgiftsansvarige ska säkerställa att behandling av personuppgifter inte sker i större omfattning än nödvändigt. (Se artikel 25.)
Personuppgiftsansvariga och s.k. personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandling av personuppgifter som utförts under deras ansvar. Vissa undantag gäller från denna skyldighet. Behandling av uppgifter om lagöverträdelser ska dock alltid finnas med i den personuppgiftsansvariges register över personuppgiftsbehandling. (Se artikel 30.)
Den personuppgiftsansvarige ska också vidta lämpliga tekniska och organisatoriska åtgärder för att garantera en lämplig säkerhets-
nivå för behandling av personuppgifter. Om det trots detta inträffar en säkerhetsincident som kan innebära risker för människors friheter och rättigheter, en s.k. personuppgiftsincident, måste den personuppgiftsansvarige i vissa fall anmäla detta till tillsynsmyndigheten. Om en personuppgiftsincident ”sannolikt resulterar i hög risk” för registrerades rättigheter och friheter ska den personuppgiftsansvarige som huvudregel informera den registrerade. (Se artikel 32–34.)
Den personuppgiftsansvarige måste i vissa fall göra konsekvensbedömningar och samråda med tillsynsmyndigheten. Genom en konsekvensbedömning kan organisationer ta reda på vilka risker som finns samt ta fram rutiner och åtgärder för att bemöta dessa risker. En konsekvensbedömning måste göras på förhand om behandlingen av personuppgifter i stor omfattning innefattar uppgifter om lagöverträdelser. (Se artikel 35–36.)
I vissa fall måste ett dataskyddsombud utses. Det gäller bl.a. om kärnverksamheten i stor omfattning består av behandling av personuppgifter om lagöverträdelser. Dataskyddsombudets roll är att kontrollera att förordningen följs inom organisationen genom att t.ex. utföra kontroller och informationsinsatser. (Se artikel 37–39.)
5.9. Tillsyn
Tillsynsmyndigheterna – i Sverige IMY – har till uppgift att övervaka att förordningens bestämmelser efterlevs och bidra till en enhetlig tillämpning av förordningen inom unionen. Ett stort antal uppgifter har lagts på tillsynsmyndigheten. Den har bl.a. att behandla klagomål från registrerade och, om det är lämpligt, undersöka den sakfråga som klagomålet gäller (se artikel 57). Tillsynsmyndigheterna har getts ett antal befogenheter. De kan enligt artikel 58 bl.a. vidta följande åtgärder.
- Beordra personuppgiftsansvariga och personuppgiftsbiträden att lämna all information som myndigheten behöver för att kunna fullgöra sina uppgifter.
- Genomföra undersökningar i form av dataskyddstillsyn.
- Få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter
i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt.
- Utfärda varningar till personuppgiftsansvariga och personuppgiftsbiträden om att planerad behandling sannolikt kommer att bryta mot bestämmelserna i förordningen.
- Utfärda förelägganden om att tillmötesgå de registrerades begäran att få utöva sina rättigheter enligt förordningen.
- Påföra administrativa sanktionsavgifter.
5.10. Rättsmedel, sanktioner och skadestånd
Som har framgått kan enskilda vända sig till tillsynsmyndigheten med klagomål. Dataskyddsförordningen ger också möjlighet att överklaga tillsynsmyndighetens beslut. Till det kommer en rätt att klaga på beslut fattade av personuppgiftsansvariga och personuppgiftsbiträden (se artikel 78 och 79).
I förordningen regleras även ansvar och rätt till ersättning för skada från den personuppgiftsansvarige eller personuppgiftsbiträden (se artikel 82).
I dataskyddsförordningen finns vidare i artikel 83 regler om s.k. administrativa sanktionsavgifter. Dessa kan uppgå till avsevärda belopp. Storleken på sanktionsavgifterna beror på flera faktorer. Bland annat avgörs det av överträdelsens karaktär, svårighetsgrad och varaktighet samt om överträdelsen skett med uppsåt eller genom oaktsamhet. Andra faktorer av betydelse är antalet berörda registrerade, vilken skada de har lidit, om den personuppgiftsansvarige har försökt förebygga eller i efterhand komma till rätta med överträdelsen och eventuell ekonomisk vinst med anledning av överträdelsen.
När det gäller beloppsgränser för överträdelser gör dataskyddsförordningen skillnad mellan mindre allvarliga och allvarliga överträdelser. För de förstnämnda, exempelvis överträdelser av regler om inbyggt dataskydd, förteckningar och konsekvensbeskrivningar, kan det påföras sanktioner upp till det högsta av 10 miljoner euro eller, om det gäller ett företag, 2 procent av den totala globala årsomsättningen. För överträdelser av det senare slaget (exempelvis överträdelser av reglerna om de grundläggande principerna för
behandling registrerades rätt till information samt rättelse och radering) gäller som gräns 20 miljoner euro eller 4 procent av den totala globala årsomsättningen.
Enligt dataskyddsförordningen omfattas inte artikel 10, som alltså gäller behandling av personuppgifter som rör lagöverträdelser, av bestämmelserna om sanktionsavgifter. Av dataskyddslagen framgår dock att tillsynsmyndigheten får ta ut sanktionsavgifter även vid sådana överträdelser (se 6 kap. 3 § dataskyddslagen).
Sanktionsavgifter kan påföras också vid underlåtelse att rätta sig efter tillsynsmyndighetens förelägganden eller beslut. En avgift kan då påföras med det högre maxbeloppet, dvs. 20 miljoner euro eller 4 procent av den totala globala årsomsättningen, beroende på vilket belopp som är högst.
6. Tidigare lagstiftningsarbete
6.1. Inledning
Det svenska grundlagsskyddet för tryck- och yttrandefriheten med detaljerade regler på grundlagsnivå har en lång historisk bakgrund. Flera av principerna i dagens tryckfrihetsförordning och yttrandefrihetsgrundlag har sitt ursprung i vår allra första tryckfrihetsförordning från år 1766.
Den nuvarande tryckfrihetsförordningen (TF) tillkom efter andra världskrigets slut och började tillämpas den 1 januari 1950. Utvecklingen av nya medieformer innebar dock att det snart framstod som alltför snävt att tala enbart om tryckfrihet. Under inflytande av föreställningen att alla uttrycksformer borde ha samma rättsliga ställning, uppstod en opinion för att tryckfrihetens principer borde utvidgas till att gälla samtliga medieformer. På slutet av 1960-talet inleddes därför ett utredningsarbete som så småningom ledde fram till införandet av yttrandefrihetsgrundlagen (YGL). YGL, som trädde i kraft den 1 januari 1992, bygger på strävan att överföra de tryckfrihetsrättsliga principerna till så många andra framställningsformer som möjligt.
Arbetet med att utreda grundlagsregleringen av yttrandefriheten har fortsatt även efter YGL:s införande. Lagstiftningsarbetet har framför allt varit inriktat på att anpassa grundlagsskyddet till den snabba teknikutvecklingen.
En annan fråga som rönt alltmer uppmärksamhet under senare år, och som behandlats av flera utredningar, är skyddet för privatlivet inom TF:s och YGL:s områden. I detta kapitel redogörs översiktligt för den del av utredningsarbetet som har berört skyddet för personuppgifter inom det grundlagsskyddade området.
6.2. Grundlagsskydd för databaser med utgivningsbevis
Bland de framställningar som YGL ursprungligen omfattade nämndes i lagen särskilt ljudradio, television, filmer och videogram. YGL innehöll dock redan från början även en reglering som innebar att grundlagsskyddet omfattade det fall att traditionella massmedieföretag, på begäran och med hjälp av elektromagnetiska vågor, tillhandahöll allmänheten upplysningar direkt ur ett register med upptagningar för automatisk databehandling, en s.k. databasregel. Detta var före internets genombrott men stadgandet fångade i princip in de framställningsformer som senare utvecklades på internet.
Frågan om databasregelns utformning och omfattning blev relativt omgående föremål för fortsatt utredning. Mediekommittén, tillsattes år 1994. I betänkandet Grundlagsskydd för nya medier (SOU 1997:49) föreslog kommittén bl.a. att databasregeln skulle utvidgas till att gälla även andra aktörer än de traditionella massmedieföretagen under förutsättning att utgivningsbevis hade sökts och utfärdats för verksamheten. Regeringen bedömde dock att tiden inte var mogen för en sådan utvidgning av databasregeln (se prop. 1997/98:43 s. 112).
Frågan utreddes därefter på nytt av Mediegrundlagsutredningen. I betänkandet Yttrandefrihetsgrundlagen och Internet. Utvidgat grund-
lagsskydd och andra frågor om tryck- och yttrandefrihet (SOU 2001:28)
återkom förslaget om att även andra aktörer än massmedieföretag skulle ges möjlighet till grundlagsskydd för databaser.
Den här gången hörsammades förslaget av regeringen. Bland annat konstaterade regeringen att utvecklingen inneburit att mycket av den verksamhet som databasregeln var tänkt att skydda – tillhandahållandet av information till allmänheten – bedrevs av aktörer som inte var traditionella massmedieföretag i den mening som avsågs i bestämmelsen. Informationen som tillhandahölls allmänheten av de nya aktörerna bestod dessutom i stor utsträckning av nyhetsförmedling, opinionsbildning och upplysning och var således av betydelse för yttrandefriheten och informationsfriheten. Regeringen bedömde att det skydd för massmedier som grundlagarna var avsedda att ge inte motsvarade massmedieanvänd-
ningen och ansåg därför att en anpassning till den mediala verkligheten borde ske.
Även om syftet med den föreslagna regleringen väsentligen var att anpassa grundlagsskyddet till den mediala verkligheten ansåg regeringen att det inte skulle ställas upp några kvalitativa kriterier för att få utgivningsbevis. Vem som helst som uppfyllde de formella kraven för utgivningsbevis skulle således kunna erhålla grundlagsskydd för sin verksamhet om denna var utformad som förutsattes i databasregeln. (Se prop. 2001/02:74 s. 48.)
I propositionen resonerade regeringen kring frågan om ett utvidgat grundlagsskyddet var förenligt med EU:s dataskyddsdirektiv, som gällde då. Regeringen bedömde att utvidgningen i allt väsentligt skulle ske till en krets som sysslade med massmedial verksamhet och konstaterade att dataskyddsdirektivets undantag för journalistiska ändamål i praxis hade fått ett brett tillämpningsområde. Regeringen ansåg därför att utvidgningen omfattades av den befintliga möjligheten till undantag i dataskyddsdirektivet. (Se a. prop. s. 53 f.)
Konstitutionsutskottet (KU) delade denna uppfattning. Utskottet konstaterade dock att konflikter skulle kunna uppstå med de bestämmelser som fanns i syfte att skydda den personliga integriteten. Bland annat pekade KU särskilt på att grundlagsskyddet i värsta fall skulle kunna komma att omfatta databaser som var rena personregister. (Se bet. 2001/02:KU21 s. 31 f.)
Förslaget till utvidgning av grundlagsskyddet för databaser med utgivningsbevis, s.k. frivilligt grundlagsskydd, antogs av riksdagen. Efter förslag från KU beslutade dock riksdagen att tillkännage att regeringen skulle ytterligare analysera eller låta analysera huruvida det frivilliga grundlagsskyddet kunde komma i konflikt med bestämmelser som syftar till att skydda den personliga integriteten. (Se a. bet. p. 3 och rskr. 2001/02:233.)
6.3. Förstärkt skydd för vissa personuppgifter
6.3.1. Yttrandefrihetskommittén
Frågan om det frivilliga grundlagsskyddet riskerade att hamna i konflikt med skyddet för den personliga integriteten behandlades av den parlamentariskt sammansatta Yttrandefrihetskommittén.
Kommittén utredde om integritetsskyddet i svensk rätt behövde stärkas för att undvika konflikter med Europakonventionen. I det sammanhanget övervägde kommittén frågan om en straffbestämmelse till skydd för privatlivet borde införas i TF och YGL.
Som en del i detta arbete undersökte Yttrandefrihetskommittén vid två tillfällen den verksamhet som bedrevs i databaser med utgivningsbevis. Undersökningarna var inriktade på i vilken mån det förekom integritetskränkningar på dessa webbplatser. Resultatet av den första undersökningen redovisades i delbetänkandet
Grundlagsskydd för digital bio och andra yttrandefrihetsrättsliga frågor (SOU 2009:14). Undersökningen avsåg databaser som hade
erhållit utgivningsbevis t.o.m. den 2 september 2008, vilket innefattade totalt 509 databaser. Yttrandefrihetskommitténs slutsats var att integritetskränkningar kunde bedömas förekomma i 20 av dessa, alltså i fyra procent av fallen. I sex fall kunde kränkningarna anses utgöra förtal. Resterande kränkningar bestod i vad som kunde betraktas som brott mot personuppgiftslagen (1998:204) eller kreditupplysningslagen (1973:1173).
Yttrandefrihetskommitténs intryck var att databasverksamheten i allt väsentligt bedrevs på ett seriöst och ansvarstagande sätt samt att innehållet i databaserna till helt övervägande del utgjorde värdefulla bidrag till ett fritt meningsutbyte och en allsidig upplysning. (Se a. bet. s. 107.)
I slutbetänkandet En översyn av tryck- och yttrandefriheten (SOU 2012:55) redovisade kommittén en undersökning av ytterligare 229 webbplatser med liknande resultat. Undersökningen avsåg databaser som hade fått utgivningsbevis fr.o.m. den 3 september 2008 till den 9 december 2010. (Se Del 2, bilaga 8.)
Enligt Yttrandefrihetskommittén tydde resultatet av den andra undersökningen på att antalet integritetskränkningar även fortsättningsvis var mycket begränsat. Kommittén ansåg således att den behovsanalys som hade gjorts talade för att det i princip inte förekom några sådana integritetskränkningar inom det grundlagsskyddade området som kunde motivera en särskild straffbestämmelse. Sveriges förpliktelser enligt Europakonventionen kunde inte heller anses tillräckligt tydliga för att ensamma motivera införandet av ett nytt tryck- och yttrandefrihetsbrott. Mot denna bakgrund föreslogs ingen straffbestämmelse. (Se SOU 2012:55, del 1, s. 433 f.)
Yttrandefrihetskommitténs ordförande, justitierådet Göran Lambertz, reserverade sig och menade att en straffbestämmelse till skydd för den personliga integriteten borde införas. Han ansåg vidare att en bestämmelse borde införas på grundlagsnivå som i vissa fall gjorde personuppgiftslagen tillämplig på bl.a. databaser med utgivningsbevis. (Se a. bet., del 2, bilaga 10).
6.3.2. Mediegrundlagskommittén
År 2014 tillsatte regeringen en parlamentariskt sammansatt kommitté. Den antog namnet Mediegrundlagskommittén. I direktiven till Mediegrundlagskommittén noterade regeringen att tillhandahållandet av personuppgifter på internet hade blivit vanligare. Regeringen nämnde specifikt webbplatser där det i stor omfattning publicerades inkomstuppgifter och uppgifter om brottmålsdomar. Enligt regeringen kunde det ifrågasättas om dessa webbplatser ägnade sig åt sådan massmedial verksamhet som det frivilliga grundlagsskyddet främst var avsett att skydda. Mot den bakgrunden fick Mediegrundlagskommittén i uppdrag att analysera de konflikter med skyddet för den personliga integriteten som uppkom när information tillhandahölls ur databaser med utgivningsbevis. (Se dir. 2014:97 s. 14 f.)
Mediegrundlagskommittén utförde en liknande kartläggning som Yttrandefrihetskommittén hade gjort. Kartläggningen avsåg i första hand förekomsten av integritetskränkningar i databaser som hade fått utgivningsbevis under tiden efter Yttrandefrihetskommitténs kartläggning. Det gjordes dock även en förnyad granskning av de databaser som omfattades av den tidigare undersökningen. Resultatet redovisades i betänkandet Ändrade mediegrundlagar (SOU 2016:58). Enligt Mediegrundlagskommittén visade kartläggningen i allt väsentligt samma resultat som de undersökningar som Yttrandefrihetskommittén hade gjort.
Mediegrundlagskommitténs överväganden redovisas på s. 391 f. i första delen av betänkandet. Kommitténs samlade intryck var att verksamheten i databaser med utgivningsbevis i allt väsentligt bedrevs på ett seriöst och ansvarsfullt sätt. Det fanns dock ett antal databaser som utgjorde rena söktjänster och som tillhandahöll information om enskilda som hämtats ur offentliga handlingar och
register. Enligt Mediegrundlagskommittén var det uppenbart att enskilda riskerade att lida skada av att sådan information spreds till allmänheten.
Kommittén ansåg att undantag från grundlagarna borde införas för de mest integritetskänsliga typerna av personuppgifter. Enligt kommittén var det tydligaste exemplet på integritetskänsliga söktjänster sådana som innehöll uppgifter om att enskilda förekom i domar i brottmål.
Mediegrundlagskommittén ansåg att även vissa andra känsliga personuppgifter borde omfattas av undantaget. Det rörde sig om uppgifter om ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och om hälsa, sexualliv samt genetiska eller biometriska uppgifter, dvs. i princip sådana uppgifter som enligt den dåvarande personuppgiftsregleringen benämndes känsliga personuppgifter, och som motsvaras av artikel 9 i den nu gällande dataskyddsförordningen.
Det skulle dock enligt kommittén leda för långt att införa ett generellt undantag från TF och YGL för den här typen av uppgifter. Undantagsbestämmelsen behövde därför begränsas. Den skulle bara gälla om
- personuppgifterna ingick i en uppgiftssamling som hade ordnats så att det var möjligt att söka efter eller sammanställa dessa, och
- det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hölls tillgänglig fanns särskilda risker för otillbörliga intrång i enskildas personliga integritet.
Kommittén ansåg vidare att det inte var aktuellt att låta undantagsbestämmelsen omfatta alla de typer av personuppgifter som träffades av personuppgiftsregleringen. Enligt kommittén hade det inte framkommit att det skulle finnas behov av ett så omfattande undantag från grundlagarna. En åtgärd av det slaget skulle dessutom aktualisera en mer långtgående diskussion om den allmänna utformningen av det särskilda grundlagsskyddet för tryck- och yttrandefriheten, vilket inte ingick i kommitténs uppdrag.
6.3.3 2018 års grundlagsändringar
Regeringen delade Mediegrundlagskommitténs uppfattning att integritetshänsyn motiverade en begränsning av grundlagsskyddet för vissa söktjänster. Regeringen föreslog därför att en delegationsbestämmelse skulle införas i TF och YGL. Bestämmelsen skulle omfatta den typ av uppgifter som kommittén hade föreslagit.
Regeringen delade även Mediegrundlagskommitténs uppfattning att formen för tillgängliggörande av en uppgiftssamling skulle vara en faktor att beakta vid bedömningen av om det fanns särskilda risker för otillbörliga intrång i enskildas personliga integritet. Detta innebar enligt regeringen att särskild vikt skulle fästas vid om en uppgiftssamling vände sig till en bred allmänhet. En allmänt tillgänglig söktjänst fick typiskt sett sägas medföra ett större integritetsintrång än en uppgiftssamling som riktade sig till aktörer med behov av informationen i sin yrkesutövning. (Se prop. 2017/18:49 s. 144 f. och s. 187 f.)
Regeringen konstaterade vidare att uppgiftssamlingar som innehöll personuppgifter om lagöverträdelser kunde förekomma även i traditionell massmedieverksamhet, bl.a. i anslutning till olika typer av granskande artiklar. Regeringen betraktade det dock som uteslutet att uppgiftssamlingar som tillhandahålls i sådan verksamhet skulle anses utgöra ett otillbörligt intrång i enskildas personliga integritet på så sätt att delegationsbestämmelsen skulle kunna tilllämpas. (Se a. prop. s. 153 f.)
Under riksdagsbehandlingen av propositionen ställde sig KU i stort bakom regeringens förslag. Utskottet vände sig visserligen mot att förslaget innebar att den tilltänkta användarkretsen av en söktjänst skulle påverka grundlagsskyddets omfattning. Utskottet menade att avgränsningen i stället borde utgå från syftet med offentliggörandet och vilken typ av uppgifter som tillhandahölls. Dock accepterade utskottet den av regeringen föreslagna avgränsningen av delegationsbestämmelsen.
Vad gällde den delen av regeringens förslag som avsåg söktjänster som tillhandahåller personuppgifter om lagöverträdelser konstaterade KU att det saknades ett brett samförstånd bland partierna. Samtidigt menade utskottet att sådana söktjänster utgjorde ett allvarligt ingrepp i enskildas personliga integritet. Utskottet föreslog därför att riksdagen skulle avslå regeringens
förslag i denna del men tillkännage för regeringen att en utredning borde få i uppdrag att på nytt utreda frågan om att begränsa grundlagsskyddet för söktjänster som innehåller personuppgifter om lagöverträdelser. (Se bet. 2017/18:KU16 punkt 2c och s. 39 f.).
Riksdagen beslutade i enlighet med utskottets förslag (se rskr. 2017/18:336). Förslaget genomfördes således inte i den del det avsåg söktjänster som offentliggör personuppgifter om lagöverträdelser. Däremot antogs övriga delar av förslaget. De nya bestämmelserna trädde i kraft den 1 januari 2019.
6.3.4 2018 års tryck- och yttrandefrihetskommitté
Genom tilläggsdirektiv fick 2018 års tryck- och yttrandefrihetskommitté i uppdrag att på nytt överväga en begränsning av grundlagsskyddet för sådana uppgiftssamlingar som innefattar offentliggörande av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder.
Kommittén kom fram till att en begränsning av grundlagsskyddet var motiverad och föreslog i betänkandet Ett ändamåls-
enligt skydd för tryck- och yttrandefriheten (SOU 2020:45) att
delegationsbestämmelserna i 1 kap. 13 § TF och 1 kap. 20 § YGL skulle omfatta även uppgiftsamlingar som offentliggjorde den här typen av personuppgifter. Kommittén beaktade vidare KU:s kritik vad gäller avgränsningen av delegationsbestämmelserna och föreslog att bestämmelserna skulle ändras, såvitt avsåg alla berörda kategorier av personuppgifter. Vid prövningen av om ett offentliggörande innebar särskilda risker för otillbörliga intrång i enskildas personliga integritet, skulle enligt kommitténs förslag hänsyn tas till den offentliggjorda uppgiftssamlingens karaktär i stället för verksamheten och de former under vilka uppgiftssamlingen hölls tillgänglig. (Se a. bet. s. 268 f.)
6.3.5. Den fortsatta behandlingen av förslaget från 2018 års tryck- och yttrandefrihetskommitté
Remissutfallet av förslaget från 2018 års tryck- och yttrandefrihetskommittés var blandat. Ett stort antal remissinstanser ställde sig bakom eller ifrågasatte inte kommitténs bedömning. Samtidigt var många remissinstanser kritiska till förslaget. En del av kritiken avsåg kommitténs förslag till avgränsning av delegationsbestämmelserna. En majoritet av de remissinstanser som avstyrkte förslaget ansåg att den föreslagna lydelsen var för vag eller svårtolkad. Remissinstanserna befarade att den föreslagna utformningen av bestämmelserna kunde medföra att tillämpningen inte blev förutsebar, att tolkningsutrymmet blev för stort och att begränsningen riskerade att träffa för brett.
Regeringen ansåg i likhet med kommittén att det fanns skäl att begränsa grundlagsskyddet för vissa söktjänster som offentliggjorde personuppgifter om lagöverträdelser. Trots kritiken lade regeringen fram ett förslag som låg i linje med vad kommittén hade förordat. Enligt regeringen medförde bl.a. svårigheterna med att förutse hur söktjänsterna på internet skulle komma att utvecklas att bestämmelserna behövde få en utformning som tillät att en helhetsbedömning kunde göras av omständigheterna i det enskilda fallet. (Se prop. 2021/22:59 s. 40 f.)
KU avstyrkte även denna gång regeringens förslag (och i riksdagen saknades ett tillräckligt brett stöd för förslaget). Visserligen delade utskottet regeringens bedömning att den nuvarande regleringen gav ett otillräckligt skydd mot integritetskränkningar. Enligt KU skapade dock den föreslagna avgränsningen en alltför bred och oprecis möjlighet att göra inskränkningar i grundlagsskyddet genom vanlig lag. Utskottet hänvisade i denna del till de synpunkter som förts fram av vissa remissinstanser om att bestämmelserna var för vaga eller svårtolkade för att skapa en förutsebar begränsning av grundlagsskyddet. (Se bet. 2021/22:KU14 s. 29 f.)
7. Yttrandefrihet och personuppgifter i några nordiska länder
7.1. Inledning
Banden mellan de nordiska länderna har historiskt sett varit starka och samhällsstrukturen i länderna har många likheter. Genom det nordiska lagsamarbetet har viktig lagstiftning harmoniserats, främst på civilrättens område. Därtill har europarätten haft ett stort inflytande över samtliga nordiska rättsordningar genom samarbetet i Europarådet, EU och EES.
På grundlagsnivå förekommer dock betydande skillnader mellan länderna. Det gäller t.ex. domstolarnas roll, parlamentens kontrollmakt, grundlagarnas detaljeringsnivå och förutsättningar för grundlagsändringar. I Sverige finns en påtaglig skillnad i regleringen av skyddet för yttrandefriheten jämfört med vad som gäller i Norge, Danmark och Finland. Gemensamt för de senare tre länderna är att det på konstitutionell nivå finns en grundlagsbestämmelse som slår fast skyddet för yttrandefrihet. Den närmare regleringen av yttrandefriheten har däremot placerats på lagnivå, även i det fall yttrandefriheten utövas genom massmedier såsom böcker, tv-sändningar eller tidningars webbplatser.
När det gäller reglering av personuppgifter kan noteras att EU:s dataskyddsförordning1 är tillämplig även i medlemsländer i den europeiska frihandelssammanslutningen (Efta), vilket betyder att dataskyddsförordningen tillämpas i samtliga nordiska länder. Det finns dock skillnader i hur länderna reglerat förhållandet
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
mellan dataskyddsförordningen och skyddet för yttrandefriheten. Tillsammans med olikheter i ländernas reglering vad gäller utlämnande av allmänna handlingar, får detta betydelse för möjligheten att i söktjänster på internet offentliggöra personuppgifter.
Det framgår nedan att det finns betydligt färre söktjänster i våra nordiska grannländer än i Sverige. De söktjänster som förekommer är dessutom mer begränsade och den enskilde kan i regel få sina uppgifter borttagna från söktjänsterna. Därtill förekommer det inte några söktjänster som offentliggör uppgifter om lagöverträdelser i något av de undersökta länderna.
Nedan följer en översiktlig redogörelse för skyddet av yttrandefrihet och personuppgifter i Norge, Danmark och Finland. Vidare beskrivs kortfattat i vilken utsträckning allmänheten har rätt att ta del av uppgifter rörande andra personer ur folkbokföringen och brottmålsdomar samt förekomsten av söktjänster. I denna del grundar sig redogörelsen i huvudsak på den information som utredningen inhämtat från datatillsynsmyndigheterna i Norge och Finland samt justitieministeriet i Danmark.
7.2. Norge
7.2.1. Yttrandefrihet
Den konstitutionella regleringen av yttrandefriheten finns i 100 § i den norska grundlagen och har följande lydelse på norska.
Ytringsfridom skal det vere. Ingen kan haldast rettsleg ansvarleg for å ha motteke eller komme med opplysningar, idear eller bodskapar om det ikkje lèt seg forsvare halde opp imot den grunngjevinga ytringsfridommen har i sanningssøking, demokrati og den frie meiningsdanninga til individet. Det rettslege ansvaret skal vere fastsett i lov. Alle har rett til å ytre seg frimodig om statsstyringa og kva anna emne som helst. Det kan berre setjast slike klårt definerte grenser for denne retten der særleg tungtvegande omsyn gjer det forsvarleg halde opp imot grunngjevingane for ytringsfridommen. Førehandssensur og andre førebyggjande åtgjerder kan ikkje nyttast om det ikkje trengst for å verne born og unge mot skadeleg påverknad frå levande bilete. Brevsensur kan ikkje setjast i verk, så nær som i anstaltar. Alle har rett til innsyn i dokumenta til staten og kommunane og til å følgje forhandlingane i rettsmøte og folkevalde organ. Det kan i lov
setjast grenser for denne retten av omsyn til personvern og av andre tungtvegande grunnar. Dei statlege styresmaktene skal leggje til rette for eit ope og opplyst offentleg ordskifte.
Medan ramarna för skyddet av yttrandefriheten finns i grundlagen konkretiseras skyddet genom bestämmelser på lagnivå. I lov om
redaksjonell uavhengighet og ansvar i redaktørstyrte journalistiske medier (medieansvarslagen) finns bestämmelser som syftar till att
säkra den redaktionella friheten och fastställa ansvar. Lagen gäller medier som regelbundet framställer journalistiskt material och publicerar nyheter, aktualiteter, samhällsdebatt eller annat innehåll av allmänt intresse. Lagen är dock inte tillämplig för medier som har marknadsföring som huvudsakligt syfte (se 2 §).
En medieutgivare som omfattas av lagen är skyldig att ha en redaktör. I medieansvarslagen slås fast att det är redaktören som leder det redaktionella arbetet och fattar beslut i redaktionella frågor. Utgivare, ägare eller övrig företagsledning har inte rätt att instruera eller överpröva redaktören i sådana frågor. (Se 4 och 7 §§.)
Bestämmelser om vem som ansvarar för yttranden följer som huvudregel av vanlig lag (se 8 §). Utgångspunkten är alltså att den som säger eller skriver något är ansvarig för det, oavsett vem som har publicerat yttrandet. Medieansvarslagen innehåller således inte heller någon särskild brottskatalog likt den i TF och YGL. De straffrättsliga bestämmelserna finns i stället i lov om straff (strafflagen) medan de civilrättsliga bestämmelserna främst finns i
lov om skadeserstatning (skadeståndslagen).
I medieansvarslagen finns däremot en särskild bestämmelse som tillskriver redaktören ett s.k. kontrollansvar och som innebär att redaktören ansvarar för publicering av redaktionellt innehåll och marknadsföring. En förutsättning är att straffansvar hade aktualiserats enligt någon annan lagbestämmelse om redaktören känt till innehållet i publiceringen. Redaktören kan i ett sådant fall endast gå fri från ansvar genom att visa att han eller hon gjort vad som varit möjligt för att utöva sitt kontrollansvar (se 9 §). En bestämmelse med motsvarande innehåll finns vad gäller redaktörens skadeståndsansvar (se 10 §).
Enligt skadeståndslagen finns det möjlighet att begära ersättning för yttranden som kränker privatlivet eller utgör ärekränkning. För sådana yttranden ansvarar som utgångspunkt den som har orsakat
skadan. Arbetsgivaren svarar dock i de flesta fall för skada som arbetstagaren har orsakat i tjänsten. (Se 3 kap. 6 och 6a §§ samt 2 kap. 1 § skadeståndslagen). För det fall arbetstagaren är skadeståndsskyldig kan mediets ägare och utgivare bli solidariskt skadeståndsskyldiga med arbetstagaren enligt 11 § medieansvarslagen.
I norsk rätt regleras källskyddet som ett undantag från den allmänna vittnesplikten i den processrättsliga lagstiftningen (se 125 § lov om rettergangsmåten i straffesaker och 22 kap. 11 § lov
om mekling og rettergang i sivile tvister). Undantaget gäller för
redaktörer och andra som arbetar på t.ex. en redaktion eller ett förlag och som får kännedom om en författares eller källas identitet genom sitt arbete. Endast om det är påkallat av viktiga samhällsintressen och är av väsentlig betydelse för att utreda saken får rätten ålägga ett sådant vittne att röja källan.
7.2.2. Förhållandet mellan yttrandefriheten och skyddet av personuppgifter
I den norska grundlagen finns ett skydd för privatlivet. I 102 § anges bl.a. att alla har rätt till respekt för sitt privatliv och att staten ska säkerställa skydd för den personliga integriteten.
Vad gäller skyddet för personuppgifter tillämpas EU:s dataskyddsförordning som norsk lag (se 1 § lov om behandling av
personopplysninger, personupplysningslagen). I 3 § personupp-
lysningslagen regleras förhållandet mellan dataskyddsförordningen och yttrande- och informationsfriheten.
I 3 § första stycket finns en allmän undantagsbestämmelse som framför allt har betydelse för s.k. oreglerade medier, dvs. medier som inte omfattas av medieansvarslagen. För att personuppgiftsbehandlingen i sådana medier ska undantas från dataskyddsförordningen krävs att behandlingen sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Dessutom måste behandlingen vara nödvändig för utövandet av rätten till yttrande- och informationsfrihet. I bestämmelsen räknas det upp vissa omständigheter som särskilt ska beaktas vid nödvändighetsbedömningen. Det nämns bl.a. konsekvenserna som tillämpningen av bestämmelser i dataskyddsförordningen kan få för utövandet av yttrande- och informationsfriheten samt för den registrerade.
I 3 § tredje stycket finns en särskild undantagsregel för medier som omfattas av medieansvarslagen. Dessa medier undantas från flertalet bestämmelser i dataskyddsförordningen vid personuppgiftsbehandling som sker uteslutande för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Om personuppgifterna inte uteslutande behandlas för något av de nämnda ändamålen kan dock undantaget i första stycket aktualiseras även för medier som omfattas av medieansvarslagen.
7.2.3. Offentliga uppgifter och förekomsten av söktjänster
I Norge har var och en rätt att få del av uppgifter från det offentliga
Folkeregisteret såsom t.ex. uppgift om namn, adress eller civilstånd.
En förutsättning är att uppgifterna inte är belagda med sekretess. Personnummer lämnas däremot bara ut om den som vill få del av personnumret har ett särskilt behov av uppgiften.
Var och en har som utgångspunkt rätt att från domstolar få del av brottmålsdomar som inte är äldre än fem år. Vad gäller övriga rättegångshandlingar kan utlämnandefrågan bero bl.a. på vem som begär ut handlingen, vilken typ av handling det rör sig om och när i rättsprocessen som begäran framställs.
Det finns flera söktjänster i Norge som offentliggör personuppgifter såsom namn, telefonnummer och adress. Det har förekommit att söktjänster även offentliggjort födelsedatum. Detta har dock mött mycket kritik vilket medfört att söktjänster generellt inte offentliggör andra uppgifter än namn, telefonnummer och adress.
Enskilda kan begära att egna personuppgifter tas bort från söktjänster. För att ta bort sina personuppgifter vänder man sig vanligtvis till mobiloperatören i enlighet med 6 kap. 2 § forskrift om elektronisk
kommunikasjonsnett og elektronisk kommunikasjonstjeneste.
Utöver personsöktjänster förekommer även söktjänster som är specialiserade på företagsinformation. Genom den här typen av söktjänster går det att ta reda på vilka uppdrag en individ har i ett företag. Det finns även andra mer specialiserade söktjänster. Ett exempel är en söktjänst som syftar till att förenkla för patienter att välja läkare och viss annan vårdpersonal såsom tandläkare och psykologer.
Vad den norska tillsynsmyndigheten känner till finns det inte någon söktjänst som offentliggör uppgifter om lagöverträdelser.
7.3. Danmark
7.3.1. Yttrandefrihet
Den konstitutionella regleringen av yttrandefriheten finns i 77 § i den danska grundlagen och har följande lydelse på danska.
Enhver er berettiget til på tryk, i skrift og tale at offentliggøre sine tanker, dog under ansvar for domstolene. Censur og andre forebyggende forholdsregler kan ingensinde påny indføres.
Grundlagsbestämmelsen anses innebära ett förbud mot censur. Därutöver är den materiella innebörden av bestämmelsen omtvistad. Domstolarna använder dock paragrafen som stöd för yttrandefrihetens betydelse i mål som aktualiserar frågor om ansvar för offentliggöranden.
I medieansvarsloven (medieansvarslagen) finns det särskilda bestämmelser om ansvar för publiceringar och yttranden i massmedier. Bestämmelserna i lagen gäller
1. periodiska skrifter som trycks eller på annat sätt mångfaldigas,
2. ljud- och bildprogram som sprids genom vissa medieaktörer
samt
3. texter, bilder och ljudprogram som regelbundet sprids till
offentligheten, förutsatt att dessa har karaktär av nyhetsförmedling som kan jämställas med sådan förmedling som faller under föregående punkter. (Se 1 §.)
Mediansvarslagen kan omfatta yttranden på internet om innehållet på webbsidan är sådant att det kan anses falla under punkten 3. Dessutom krävs normalt en anmälan till Pressenævnet för att medieansvarslagen ska tillämpas på sådana publiceringar (se 8 §).
Medieansvarslagen innehåller ett förhållandevis detaljerat ansvarssystem som gäller både straff- och skadeståndsrättsligt. Det finns inget ensamansvar utan flera personer kan ansvara för ett och samma yttrande. Vad ansvaret för varje person omfattar följer sedan av allmänna straff- och skadeståndsrättsliga bestämmelser.
I likhet med norsk rätt är det danska källskyddet utformat som ett undantag från vittnesplikten för redaktörer och andra medarbetare på redaktionen och regleras i retsplejeloven. Även om en meddelare kan hållas ansvarig för yttranden är han eller hon därmed ofta skyddad genom källskyddet. Under vissa omständigheter kan domstolen besluta om inskränkningar i rätten att vägra vittna, bl.a. i mål som rör allvarlig brottslighet och vad gäller brott mot vissa tystnadsplikter. (Se 172 §.)
7.3.2. Reglering av informationsdatabaser
För digitala medier finns viktiga bestämmelser i lov om masse-
mediers informationsdatabaser (lagen om massmediers informations-
databaser). En informationsdatabas är ett informationssystem där elektronisk databehandling används för spridning av nyheter och annan information, t.ex. en tidnings webbsida (se 2 § andra stycket).
Lagen om massmediers informationsdatabaser gäller i regel för informationsdatabaser som omfattas av medieansvarslagen eller bedrivs i anslutning till en verksamhet som omfattas av den lagen (se 1 och 2 §§). Det finns därmed ett indirekt krav på att innehållet i informationsdatabasen kan betraktas som nyhetsförmedling eller att informationsdatabasen i vart fall är kopplad till en aktör som bedriver nyhetsförmedling.
Lagen om massmediers informationsdatabaser skiljer mellan redaktionella informationsdatabaser och allmänt tillgängliga informationsdatabaser. Med redaktionella informationsdatabaser avses databaser, eller tydligt avskilda delar av dessa, som drivs enbart som ett led i journalistiskt eller redaktionellt arbete med publiceringssyfte. För att lagen om massmediers informationsdatabaser ska bli tillämplig på innehållet i en redaktionell informationsdatabas krävs att databasen anmäls till myndigheten Data-
tilsynet. (Se 2 och 3 §§.)
En redaktionell informationsdatabas får inte göras tillgänglig för andra än de journalister och redaktionsmedarbetare som verkar vid mediaföretaget. Databasen får vidare inte användas till annat än journalistiskt eller redaktionellt arbete. Några särskilda regler beträffande innehållet i de redaktionella informationsdatabaserna
finns dock inte i lagen om massmediers informationsdatabaser. (Se 3–5 §§.)
En allmänt tillgänglig informationsdatabas är en databas som är tillgänglig för allmänheten. För att lagen om massmediers informationsdatabaser ska bli tillämplig måste databasen anmälas till både Datatilsynet och Pressenævnet (se 6 §).
Till skillnad från redaktionella informationsdatabaser finns bestämmelser som tar sikte på innehållet i de allmänt tillgängliga informationsdatabaserna. Sådana informationsdatabaser får t.ex. inte innehålla uppgifter som skulle vara otillåtna att offentliggöra i massmedia. Ett offentliggörande i en informationsdatabas får dessutom inte strida mot god pressetik.
Det finns vidare en tidsgräns för hur länge uppgifter om enskildas privata angelägenheter får lagras i allmänt tillgängliga informationsdatabaser. Så är fallet bl.a. när det gäller vissa känsliga personuppgifter och uppgifter om lagöverträdelser. Som huvudregel får sådana uppgifter inte lagras längre än tre år från det att den händelse ägde rum som föranledde att uppgifterna infördes i databasen. Undantag kan göras om intresset av att uppgifterna finns allmänt tillgängliga väger tyngre än den enskildes intresse av att uppgifterna tas bort. (Se 8 §.)
7.3.3. Förhållandet mellan yttrandefriheten och skyddet av personuppgifter
Det finns i dansk rätt kompletterande bestämmelser till EU:s dataskyddsförordning i databeskyttelsesloven2 (dataskyddslagen). I 1 kap. 3 § dataskyddslagen regleras de undantag som Danmark har gjort från dataskyddsförordningen i enlighet med artikel 85 dataskyddsförordningen.
Av nämnda bestämmelse framgår till att börja med att dataskyddsförordningen inte gäller om förordningen skulle strida mot artikel 10 i Europakonventionen eller artikel 11 i EU-stadgan (se första stycket). Större praktisk betydelse har undantaget i bestämmelsens fjärde stycke. Av detta undantag följer att dataskyddsförordningen inte gäller för behandling av personuppgifter som omfattas av lagen om massmediers informationsdatabaser.
2 Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
Det betyder att både de redaktionella databaserna och de allmänt tillgängliga databaserna som beskrivits i föregående avsnitt är undantagna dataskyddsförordningen.
Utöver nämnda undantag kan nämnas att merparten av dataskyddsförordningens bestämmelser inte tillämpas på informationsdatabaser som innehåller redan publicerade tidskrifter eller ljud- och bildprogram. En förutsättning är att tidskrifterna och programmen omfattas av medieansvarslagen samt att texterna och programmen förts in oförändrade i informationsdatabasen (se femte och sjätte stycket). Detsamma gäller för annan behandling som sker uteslutande för journalistiska ändamål (se åttonde stycket).
7.3.4. Offentliga uppgifter och förekomsten av söktjänster
I Danmark finns ett offentligt register, Det Centrale Personregister (CPR), som omfattar alla personer som bor eller har bott i Danmark. Registret innehåller uppgifter om bl.a. namn, adress, civilstånd, släktskap och medborgarskap.
Flertalet av de personuppgifter som förekommer i registret, dock inte personnummer, lämnas i regel ut på begäran av såväl privatpersoner som företag. Privatpersoner kan begära ut personuppgifter om enskilda personer medan företag även kan få del av personuppgifter avseende en större krets av människor. (Se kap. 10 och 12 i Lov om Det Centrale Personregister, CPR-lagen.)
Enskilda kan ansöka om namn- och adresskydd i CPR. Några materiella krav ställs inte upp för att få ett sådant skydd och skyddet beviljas för ett år i taget. Skyddet innebär att personuppgifter som utgångspunkt inte lämnas ut till andra. Undantag gäller dock för vissa företag som t.ex. bedriver kreditupplysningsverksamhet samt privata kreditgivare som behöver uppgifterna för att kunna driva in förfallna fordringar. Dessa företag kan alltså få tillgång till personuppgifter trots att personen i fråga har beviljats namn- och adresskydd. (Se 28 § CPR-lagen.)
Danmark har också regler som ger envar möjlighet att ta del av domstolshandlingar. Denna rätt till s.k. aktinsyn inbegriper framför allt domstolsavgöranden, dock inte domar i brottmål som avslutats för mer än ett år sedan. Journalister har en utökad rätt till aktinsyn och kan få ta del av fler handlingar än andra. För journa-
lister finns t.ex. ingen ettårsgräns vad gäller tillgång till domar i brottmål. (Se kap. 3a retsplejeloven.)
I Danmark finns ett fåtal söktjänster som offentliggör personuppgifter om namn, adress och telefonnummer. Personuppgiftsbehandlingen grundar sig som utgångspunkt på den enskildes samtycke. Sådant samtycke innebär bl.a. att personuppgifterna tas bort från söktjänsten på begäran av den enskilde. Det finns även en söktjänst som anger rättslig förpliktelse som rättslig grund för personuppgiftsbehandlingen. Den söktjänsten offentliggör å andra sidan inte personuppgifter som tillhör personer med namn- och adresskydd i CPR.
Enligt det danska justitieministeriet förekommer inga söktjänster som offentliggör uppgifter om lagöverträdelser. Den danska Domstolstolstyrelsen har visserligen en offentlig databas med civil- och straffrättsliga avgöranden från samtliga danska domstolar. Dessa avgöranden är dock avidentifierade och är inte sökbara utifrån person.
7.4. Finland
7.4.1. Yttrandefrihet
Den konstitutionella regleringen av de grundläggande fri- och rättigheterna finns i grundlagens 2 kap. I 12 § första stycket skyddas yttrandefriheten. Bestämmelsen har följande lydelse.
Var och en har yttrandefrihet. Till yttrandefriheten hör rätten att framföra, sprida och ta emot information, åsikter och andra meddelanden utan att någon i förväg hindrar detta. Närmare bestämmelser om yttrandefriheten utfärdas genom lag. Bestämmelser om sådana begränsningar i fråga om bildprogram som är nödvändiga för att skydda barn kan utfärdas genom lag.
Lagen om yttrandefrihet i masskommunikation (460/2003) (mass-
kommunikationslagen) innehåller närmare bestämmelser om hur yttrandefriheten utövas i masskommunikation (se 1 §). Lagen tillämpas på publikations- och programverksamhet som utövas i Finland och gäller oavsett vilken teknik som används. Vissa bestämmelser om t.ex. straff- och skadeståndsansvar och tvångsmedel tillämpas även i det fall att en enskild person har en webbsida (se 3 §).
I Masskommunikationslagen anges huvuddragen i regleringen men förutsätter ytterligare lagstiftning, bl.a. i fråga om vad som gäller straff- och skadeståndsrättsligt. Av 12 § följer t.ex. att för ett brott som grundar sig på innehållet i ett meddelande som har gjorts tillgängligt för allmänheten svarar den som enligt straff-
lagen (39/1889) ska betraktas såsom gärningsman eller medver-
kande till brottet.
Utgivaren av en internetpublikation är skyldig att utse en eller flera ansvariga redaktörer för publikationen (se 4 §). En redaktör kan bli ansvarig och ådömas böter om han eller hon åsidosätter sin skyldighet att leda och övervaka det redaktionella arbetet (se 13 §). Detta brott kallas chefredaktörsförseelse och är i första hand inriktat på redaktörens administrativa ansvar för verksamheten och inte ansvaret för enskilda yttranden. Bestämmelsen kompletterar de straffrättsliga reglerna och är underordnat ansvaret enligt dessa. Om redaktören kan hållas ansvarig såsom gärningsman eller medverkande straffas redaktören alltså i första hand för detta. Chefredaktörsförseelse skiljer sig dock från brott i strafflagen på det sättet att det räcker med oaktsamhet medan det för brott i strafflagen krävs uppsåt.
Även när det gäller det skadeståndsrättsliga ansvaret görs det i masskommunikationslagen en hänvisning till annan lag, nämligen till skadeståndslagen (412/1974). I skadeståndslagen finns bl.a. särskilda bestämmelser om arbetsgivares ansvar att ersätta skada som en arbetstagare har orsakat i arbetet. Av 14 § andra stycket masskommunikationslagen följer dock ett utvidgat ansvar för utgivare och programföretag. Enligt bestämmelsen ansvarar utgivaren och programföretaget för skada som har orsakats i verksamheten. Det gäller även om skadan inte har vållats av en arbetstagare.
Enligt finländsk rätt gäller källskydd och rätt till anonymitet. Bestämmelsen i 16 § masskommunikationslagen innebär en rätt för t.ex. journalister att vägra röja vem som har lämnat upplysningar. Utgivaren och utövaren av programverksamhet har vidare rätt att vägra röja en upphovsmans identitet.
7.4.2. Förhållandet mellan yttrandefriheten och skyddet av personuppgifter
I den finländska grundlagen finns en bestämmelse om grundlagsskydd för privatlivet i 10 §. Det anges i bestämmelsens första stycke att var och ens privatliv, heder och hemfrid är tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag.
Skyddet för personuppgifter regleras främst i EU:s dataskyddsförordning. I finländsk rätt finns kompletterande bestämmelser till dataskyddsförordningen i dataskyddslagen (1050/2018). Av 27 § dataskyddslagen framgår att flertalet av dataskyddsförordningens bestämmelser inte tillämpas på behandling av personuppgifter som sker enbart för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Vidare tillämpas inte vissa bestämmelser om bl.a. överföring av personuppgifter till tredjeländer eller internationella organisationer om tillämpningen skulle kränka rätten till yttrandefrihet eller informationsfrihet. Det finns även ett undantag för behandling av personuppgifter i samband med sådan verksamhet som omfattas av masskommunikationslagen som gäller det fall den personuppgiftsansvariga eller personuppgiftsbiträdet inte är etablerade i EU.
7.4.3. Offentliga uppgifter och förekomsten av söktjänster
I Finland finns ett offentligt befolkningsdatasystem med uppgifter om finska medborgare och utlänningar som är stadigvarande eller tillfälligt bosatta i Finland. Systemet omfattar också uppgifter om t.ex. fastigheter. Uppgifterna i befolkningsdatasystemet används för hela samhällets informationsförsörjning. Även företag och sammanslutningar kan få tillgång till befolkningsdatasystemet men i regel krävs då särskilt tillstånd.
Uppgifterna i befolkningsdatasystemet får endast lämnas ut för vissa ändamål. Till företag lämnas uppgifter ut för t.ex. direktmarknadsföring, uppdatering av kundregister, kreditinformationsverksamhet och adresstjänst. Enskilda kan dock begära att de egna uppgifterna inte får lämnas ut för exempelvis ändamålen direktmarknadsföring och adresstjänst.
Privatpersoner kan söka efter adresser genom att ringa till myndigheten som tillhandahåller befolkningsdatasystemet.
Myndigheten lämnar då ut adresser för enskilda som fyllt 15 år och som inte har motsagt sig att deras adress utlämnas.
Rättegångshandlingar är i huvudsak offentliga. För att säkerställa att dataskyddsbestämmelserna iakttas kan dock domstolen behöva information av den som begär ut handlingarna om t.ex. ändamålet med och grunden för behandlingen av personuppgifter.
Det finns söktjänster i Finland som offentliggör personuppgifter på internet om adress och telefonnummer. Som framgått kan dock privatpersoner hindra att de egna personuppgifterna lämnas ut från befolkningsdatasystemet till adresstjänster.
Såvitt den finska tillsynsmyndigheten känner till förekommer inga söktjänster som offentliggör personuppgifter om civilstånd och andra uppgifter som rör enskildas personliga förhållanden. Myndigheten känner inte heller till att det skulle finnas någon söktjänst som offentliggör personuppgifter om lagöverträdelser.
8. Söktjänster som offentliggör personuppgifter
8.1. Inledning
Söktjänster som offentliggör personuppgifter används av många människor i Sverige eftersom de erbjuder snabb tillgång till en stor mängd uppgifter. Därmed kan söktjänsterna vara till nytta både privat och i arbetslivet. Ur ett yttrandefrihetsrättsligt perspektiv kan särskilt framhållas att många journalister använder sig av söktjänster och att tjänsterna anses underlätta deras arbete. Samtidigt innebär offentliggörandet av personuppgifter att skyddet för den personliga integriteten i vissa avseenden kan ifrågasättas.
I detta avsnitt beskrivs hur söktjänsterna får tillgång till personuppgifter och den närmare utformningen av tjänsterna. Det redogörs även för hur söktjänster används. Någon heltäckande bild av användningsområdet för söktjänster är dock inte möjlig att redovisa i detta sammanhang utan redogörelsen har begränsats till deras betydelse för journalistiken samt för utförandet av bakgrundskontroller. Avsnittet avslutas med en beskrivning av de problem som söktjänsterna anses ge upphov till.
8.2. Personuppgifterna härrör från myndigheter och domstolar
Söktjänster som offentliggör personuppgifter hämtar in och sammanställer uppgifterna ur allmänna handlingar hos myndigheter såsom Skatteverket, Bolagsverket, Transportstyrelsen, Kronofogdemyndigheten, Lantmäteriet och Jordbruksverket. Handlingar med personuppgifter hämtas också in från domstolar t.ex. i form av beslut och domar. Söktjänsterna använder sig alltså av handlingsoffentlig-
heten, dvs. rätten för var och en att ta del av allmänna handlingar, för att få information till sina databaser (jfr 2 kap. 1 § tryckfrihetsförordningen).
Handlingsoffentligheten begränsas av sekretessreglerna i offentlighets- och sekretesslagen (2009:400), OSL. För olika myndigheter kan olika sekretessregler aktualiseras. Därtill finns sektorspecifika författningar som kan påverka t.ex. hur myndigheter får tillgängliggöra personuppgifter. Nedan följer en kortfattad redogörelse för den reglering som påverkar två av söktjänsternas mest betydelsefulla källor för inhämtande av personuppgifter: Skatteverket och domstolarna.
8.2.1. Skatteverkets folkbokföringsdatabas
En stor del av de personuppgifter som offentliggörs i framför allt s.k. personsöktjänster härrör från Skatteverkets folkbokföringsdatabas. I folkbokföringsdatabasen förekommer en mängd uppgifter rörande personer som tilldelats personnummer eller samordningsnummer i Sverige. Tanken är att dessa uppgifter ska återge befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Som exempel på uppgifter som behandlas i folkbokföringsdatabasen kan nämnas person- och samordningsnummer, namn, födelsetid, medborgarskap, adress, civilstånd, make, barn, föräldrar och vårdnadshavare. (Se 2 kap. 2 och 3 §§ lagen
[
2001:182] om
behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet samt 2 § andra stycket förordningen [2017:154] med instruktion för Skatteverket.)
Den stora distributionen av uppgifter från folkbokföringsdatabasen till samhället möjliggörs delvis genom att det i Skatteverkets folkbokföringsverksamhet gäller som utgångspunkt (presumtion) att uppgifterna är offentliga (se 22 kap. 1 § OSL). Först om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs, gäller sekretess för uppgift om enskilds personliga förhållanden. Skatteverket gör då en sekretessmarkering i folkbokföringsdatabasen som en indikation på att den myndighet som hanterar uppgifterna behöver göra en noggrann sekretessprövning innan utlämnande.
Som exempel på situationer när en sekretessmarkering kan medges är om en enskild riskerar att utsättas för våld eller hot om våld på grund av politisk aktivitet. De skäl som åberopas bör styrkas genom någon form av underlag. (Se bl.a. betänkandet Ett starkare skydd för
offentliganställda mot våld, hot och trakasserier,SOU 2024:1 s. 404 f.)
Genom Skatteverkets system för distribution av folkbokföringsuppgifter, Navet, sprids uppgifterna från folkbokföringen elektroniskt till myndigheter, kommuner och regioner samt till statens personadressregister, SPAR. Till övriga delar av samhället sprids uppgifterna genom SPAR.
SPAR har funnits sedan slutet av 1970-talet och är ett offentligt register som omfattar bl.a. alla personer som är folkbokförda i Sverige. Skatteverket är huvudman och personuppgiftsansvarig för registret. Vid införandet var avsikten att SPAR skulle begränsa behovet av andra befolkningsregister inom den offentliga och privata sektorn, vilka helt eller delvis hade byggts upp för samma syften som SPAR. Den dåvarande ordningen med flera register för samma ändamål ansågs från integritetssynpunkt sämre än ett centralt statligt personuppgiftsregister. (Se bl.a. prop. 1997/98:136 s. 65 f. och s. 70 f.)
SPAR får användas av myndigheter och enskilda om det sker för ändamålen ”kontroll” respektive ”urval”. Detta innebär att uppgifterna får användas för att aktualisera, komplettera och kontrollera personuppgifter och för att ta ut urval av uppgifter om namn och adress för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet, se 1 och 3 §§ lagen (1998:527) om det statliga personadressregistret. Genom SPAR kan alltså företag, föreningar, och myndigheter kontrollera personuppgifter som namn och adress. De kan på så sätt hålla sina kund- och adressregister uppdaterade.
Företag, föreningar och myndigheter kan även köpa adresser för urvalsändamål, exempelvis för reklam, forskning eller samhällsinformation. Det anges i 4 § lagen om det statliga personadressregistret vilka uppgifter registret får innehålla och vilka personer som får registreras. I förordningen (1998:1234) om det statliga personadressregistret finns kompletterande bestämmelser om bl.a. vilka sökbegrepp som får användas i SPAR.
Folkbokföringssekretessen gäller även för SPAR. När Skatteverket beviljar sekretessmarkering aviseras därför denna uppgift
vidare till SPAR och uppgifterna om namn och adress tas därefter bort. I övrigt är uppgifterna i SPAR i regel offentliga.
Utöver folkbokföringssekretess kan det dock inom såväl folkbokföringsdatabasen som SPAR finnas hinder för utlämnande enligt 21 kap. 7 § OSL, dvs. om det kan antas att personuppgifterna efter utlämnandet kommer att behandlas i strid med dataskyddsregleringen exempelvis EU:s dataskyddsförordning1. Detta är en generell sekretessbestämmelse som är tillämplig hos alla myndigheter och organ som ska tillämpa OSL. De flesta söktjänster som offentliggör personuppgifter har dock utgivningsbevis och därmed ett s.k. frivilligt grundlagsskydd. Det medför att dataskyddsförordningens bestämmelser inte ska tillämpas på söktjänsternas personuppgiftsbehandling i den utsträckning det skulle strida mot tryckfrihetsförordningen, TF eller yttrandefrihetsgrundlagen, YGL (jfr 1 kap. 7 § första stycket lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen).
Kammarrätterna har därför i flera fall bedömt att sekretessbestämmelsen i 21 kap. 7 § OSL inte aktualiseras när begäran om utlämnande av allmänna handlingar kommer från en aktör med utgivningsbevis. (Se t.ex. Kammarrätten i Stockholms dom den 25 september 2020 i mål nr 4825-20 och Kammarrätten i Göteborgs beslut den 3 februari 2022 i mål nr 7368-21.) Såsom framgår i bl.a. avsnitt 3.2.2 har den uppfattningen på senare tid ifrågasatts vad gäller andra typer av personuppgifter än sådana som förekommer i folkbokföringsdatabasen och SPAR.
8.2.2. Personuppgifter i allmänna handlingar hos domstolar
Flera aktörer med utgivningsbevis, däribland söktjänster, kontaktar dagligen bl.a. landets tingsrätter för att begära ut allmänna handlingar. Det kan exempelvis röra sig om föregående dags domar, beslut och ingivna förundersökningsprotokoll. Det förekommer också att sådana aktörer begär ut ett mycket stort antal handlingar på en gång, t.ex. samtliga domar som har meddelats under ett års tid.
Uppgifter i domar och slutliga beslut är i regel offentliga. För övriga handlingar som förvaras hos domstolarna kan olika sekre-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
tessregler aktualiseras i allmän domstol respektive förvaltningsdomstol. Om handlingarna innehåller sekretessbelagda uppgifter, brukar dock handlingarna kunna lämnas ut efter att de sekretessbelagda uppgifterna har maskerats.
Dataskyddssekretessen i 21 kap. 7 § OSL är tillämplig även för domstolar. Såsom nämnts i föregående avsnitt har dock den bestämmelsen i allmänhet inte ansetts tillämplig när begäran kommer från en aktör vars verksamhet omfattas av TF eller YGL.
Denna uppfattning har dock ifrågasatts på senare tid av vissa domstolar när begäran framställts av aktörer med utgivningsbevis. Domstolarna har i de aktuella fallen bedömt att ett så strikt förhållningssätt som följer av 1 kap. 7 § första stycket dataskyddslagen, dvs. att det svenska grundlagsskyddet alltid ska ha företräde framför dataskyddsförordningen för den som innehar ett utgivningsbevis, inte är förenligt med principen om EU-rättens företräde. I stället har domstolarna ansett att en avvägning måste göras i varje enskilt fall mellan det integritetsskyddsintresse som kommer till uttryck genom dataskyddsförordningen och de grundlagsskyddade rättigheter som gäller för innehavare av utgivningsbevis och som återfinns i TF och YGL. Vid den avvägningen har det haft betydelse att de handlingar som begärts ut har innehållit uppgifter om lagöverträdelser enligt artikel 10 dataskyddsförordningen och att ett utlämnande av dessa handlingar skulle kunna utgöra ett allvarligt ingrepp i den enskildes privat- eller yrkesliv.
I de aktuella fallen har begäran om utlämnande av allmänna handlingar avslagits eller så har handlingarna lämnats ut med förbehåll om att exempelvis personuppgifterna endast får användas i journalistisk verksamhet och att personnummer, personnamn och adress för enskilda personer inte får tillhandahållas allmänheten eller betalande kunder genom databaser eller register. (Se t.ex. Kammarrätten i Stockholms dom den 13 mars 2024 i mål nr 6027-23, Hovrätten för Övre Norrlands beslut den 27 mars 2024, dnr 2024/83 och dnr 2024/84. Avgörandena har överklagats till Högsta förvaltningsdomstolen respektive Högsta domstolen. Målen har i skrivande stund ännu inte avgjorts.)
Kammarrätten i Stockholm har av liknande skäl slagit fast motsvarande förbehåll med anledning av en nyhetsbyrås begäran om utlämnande av ett stort antal handlingar från förvaltningsrätten. Den aktuella nyhetsbyrån hade – till skillnad från många söktjänster –
s.k. automatiskt grundlagsskydd för sin databas (se 1 kap. 4 § första stycket 1c YGL). Detta saknade dock betydelse för kammarrättens bedömning. (Kammarrätten i Stockholms dom den 10 juli 2024 i mål nr 2807-24. Domen har i skrivande stund inte vunnit laga kraft.)
Frågan om tillämpningen av 21 kap. 7 § OSL när sökanden har grundlagsskydd enligt TF eller YGL har när detta skrivs inte prövats av högsta instans. Det kan dock konstateras att söktjänster som tillhandahåller domstolsavgöranden och andra domstolshandlingar redan har byggt upp stora uppgiftssamlingar med hjälp av handlingsoffentligheten. Dataskyddsförordningens bestämmelser ska, som nämnts, inte tillämpas på söktjänsternas personuppgiftsbehandling i den utsträckning det skulle strida mot TF eller YGL. Det innebär att söktjänsternas personuppgiftsbehandling i huvudsak är oreglerad. Undantag gäller för sådana känsliga personuppgifter som avses i 1 kap. 13 § TF och 1 kap. 20 § YGL.
Som jämförelse kan nämnas att en omfattande reglering gäller för den personuppgiftsbehandlingen som sker genom domstolarnas databaser. Förutom dataskyddsförordningen finns regler av betydelse i t.ex. domstolsdatalagen (2015:728) och brottsdatalagen (2018:1177) med tillhörande förordningar. Sökning efter personuppgifter har i detta sammanhang ansetts kunna medföra integritetsrisker och har föranlett särskilda bestämmelser som begränsar möjligheterna att använda vissa sökbegrepp i domstolarnas databaser, se t.ex. 14 och 15 §§domstolsdatalagen och 3 och 4 §§domstolsdataförordningen (2015:729). Det är t.ex. inte tillåtet att använda personnamn och personnummer som sökbegrepp vid sökning i personuppgifter i brottmål som har avgjorts slutligt genom en dom eller ett beslut fem år efter utgången av det kalenderår då avgörandet fick laga kraft (se 4 § i nämnda förordning).
Reglerna om sökbegränsningar i domstol gäller även när någon begär ut allmänna handlingar från domstolarna (se prop. 2014/15:148 s. 53 f.). De sökningar som av integritetsskäl är otillåtna i domstolarnas databaser går dock i dagsläget ofta att göra i någon av de söktjänster som offentliggör domstolsavgöranden.
8.3. Kartläggning av söktjänster som offentliggör personuppgifter
8.3.1. Bakgrund och syfte
Utredningen har låtit genomföra en kartläggning av databaser med utgivningsbevis. Liknande undersökningar har genomförts av Yttrandefrihetskommittén och Mediegrundlagskommittén (se avsnitt 6.3.1 och 6.3.2). Syftet med dessa kommittéers undersökningar var i första hand att få en övergripande bild av i vilken mån det förekom integritetskränkningar i databaser med utgivningsbevis. Med integritetskränkningar avsågs bl.a. förtal samt överträdelser av dataskyddsregleringen och kreditupplysningslagen.
Båda kommittéerna kom till slutsatsen att verksamheterna i databaser med utgivningsbevis i allt väsentligt bedrivs på ett seriöst och ansvarsfullt sätt. Mediegrundlagskommittén noterade dock att det finns ett antal databaser som utgjorde rena söktjänster och som tillhandahöll information om enskilda som hämtats ur offentliga handlingar och register. Enligt Mediegrundlagskommittén var det uppenbart att enskilda riskerade att lida skada av att sådan information spreds till allmänheten.
Den här utredningens uppdrag kan sägas ta avstamp i Mediegrundlagskommitténs iakttagelse om förekomsten av söktjänster som tillhandahåller information om enskilda. Uppdraget har alltså en något annan inriktning än tidigare lagstiftningsärenden, vilket avspeglar sig i utformningen av utredningens kartläggning av databaser med utgivningsbevis. Den gjorda undersökningen avviker därmed i viss mån från Yttrandefrihetskommitténs och Mediegrundlagskommitténs kartläggningar. Resultaten är inte jämförbara.
Parallellt med granskningen av databaser med utgivningsbevis har utredningen dessutom undersökt förekomsten av söktjänster bland databaser som anmälts till Mediemyndigheten enligt 3 kap. 18 § lagen (1991:1559) med föreskrifter på tryckfrihetsförordningens och yttrandefrihetsgrundlagens områden. Dessa databaser bedrivs av vad som brukar kallas för traditionella massmedieföretag och har automatiskt grundlagsskydd (se 1 kap. 4 § första stycket 1 a-c YGL).
Syftet med de båda undersökningarna har främst varit att undersöka förekomsten av söktjänster som offentliggör personuppgifter samt få kunskap om innehållet i och utformningen av dessa söktjänster. Ett annat syfte har varit att få en övergripande bild av hur
söktjänsternas personuppgiftsbehandling förhåller sig till dataskyddsförordningen, kreditupplysningslagen och brottsbalkens bestämmelse om förtal.
8.3.2. Frågeställningar, metod och avgränsningar
Kartläggningarna av databaser har genomförts under perioden januari–april 2024. Undersökningarna har omfattat databaser med utgivningsbevis per den 1 jan 2024 respektive databaser som funnits i Mediemyndighetens register över anmälda databaser vid samma tidpunkt. Databaserna har i huvudsak utgjorts av webbplatser. Ett fåtal databaser har bestått i applikationer. Av tekniska skäl har undersökningarna begränsats till webbplatserna.
Båda undersökningarna – databaser med utgivningsbevis och sådana med automatiskt grundlagsskydd – har byggt på en översiktlig genomgång av den information som tillhandahålls på respektive webbplats och som går att få tillgång till utan inloggning, medlemskap, betalning eller liknande. Inledningsvis har innehållet i varje databas granskats översiktligt för en bedömning av om databasen innehåller en söktjänst som offentliggör personuppgifter. Med söktjänster avses i detta sammanhang två typer av tjänster. Det avser dels söktjänster med en sökfunktion som är utformad för att underlätta sökning på just personuppgifter, dels söktjänster med en generell struktur som gör det möjligt att söka efter personuppgifter genom fritextsökning.
För det fall databasen bedömts innehålla en söktjänst som offentliggör personuppgifter har söktjänstens utformning granskats närmare. Ett stort antal av de undersökta databaserna har sökfunktioner som möjliggör fritextsökning bland en betydande mängd nyhetsartiklar, blogginlägg eller produktsidor som kan innehålla personuppgifter. Någon närmare granskning av innehållet i dessa databaser har dock inte varit möjlig med hänsyn till arbetsinsatsen det hade krävt. Det ska även framhållas att flertalet av dessa söktjänster kan antas omfattas av undantaget för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande (se 1 kap. 7 § andra stycket dataskyddslagen).
Beträffande de databaser som gåtts igenom och som bedömts innehålla en söktjänst som offentliggör personuppgifter har inledningsvis följande frågor ställts.
1. Vad anges vara syftet med söktjänsten?
2. Riktar sig söktjänsten till någon särskild målgrupp?
3. Är söktjänsten öppen för var och en? Om inte, på vilket sätt har tillgången till söktjänsten begränsats?
4. Vilka personuppgifter offentliggörs genom söktjänsten?
5. Offentliggörs uppgifter som omfattas av artikel 10 dataskyddsförordningen? Om så är fallet, är personuppgifterna som offentliggörs hänförliga till brottsoffer, vittnen, personer som lagförts för brott eller personer som misstänkts men inte lagförts för brott?
6. Offentliggörs känsliga personuppgifter enligt artikel 9 dataskyddsförordningen?
7. Har söktjänsten en s.k. personuppgiftsanknuten struktur eller en generell struktur som gör det möjligt att söka efter personuppgifter genom fritextsökning?
8. Finns det en s.k. följdfunktion som ger den som använder funktionen en avisering när en person t.ex. byter namn, ändrar civilstånd eller byter adress?
9. Finns det något övrigt att notera beträffande innehållet eller utformningen av söktjänsten av betydelse för bedömningen av söktjänstens inverkan på den personliga integriteten?
Vad gäller undersökningens andra syfte − att ge en övergripande bild av hur söktjänsternas personuppgiftsbehandling förhåller sig till dataskyddsförordningen, kreditupplysningslagen och brottsbalkens bestämmelse om förtal − har utgångspunkten varit de regler som gäller när grundlagsskydd enligt TF eller YGL inte föreligger. Det omfattande materialet har vidare medfört behov av tydliga avgränsningar. Förhållandet till dataskyddsförordningen har undersökts utifrån artikel 6 (rättslig grund för personuppgiftsbehandling), artikel 9 (s.k. känsliga personuppgifter) och artikel 10 (lagöverträdelser m.m.). Därutöver har relevanta bestämmelser i dataskydds-
lagen och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning (kompletteringsförordningen) beaktats. Bland dessa bestämmelser kan särskilt nämnas undantaget från dataskyddsförordningen för behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande (se 1 kap. 7 § andra stycket dataskyddslagen).
För de söktjänster som bedömts innefatta kreditupplysningsverksamhet har 6 § (behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m.) och 9 § kreditupplysningslagen (utlämnande av kreditupplysningar om fysiska personer som inte är näringsidkare) utgjort grund för undersökningen.
Vad gäller frågan om förtal har bedömningen avgränsats till om det i söktjänsterna lämnas uppgifter som är ägnade att utsätta någon för andras missaktning enligt 5 kap. 1 § första stycket brottsbalken. Tillämpningen av undantagen för straffansvar i bestämmelsens andra stycke har inte undersökts närmare.
Det ska understrykas att syftet i denna del endast varit att få en övergripande bild av hur söktjänsternas personuppgiftsbehandling förhåller sig till nämnda lagar. Bedömningen har grundats på den information som vid undersökningarna har funnits tillgänglig i databaserna och någon fullständig rättslig bedömning av varje enskild verksamhet har alltså inte gjorts.
8.3.3. Databaser med utgivningsbevis
I detta avsnitt redovisas resultatet av genomgången av databaser med utgivningsbevis vad gäller undersökningens första syfte. Således är syftet i den här delen att undersöka förekomsten av söktjänster som offentliggör personuppgifter samt få kunskap om innehållet i och utformningen av dessa söktjänster.
Förekomsten av söktjänster
Den 1 jan 2024 hade 1 560 databaser utgivningsbevis. 12 databaser utgjordes av applikationer och har inte undersökts. Därtill var ytterligare 138 databaser inte tillgängliga vid tidpunkten för undersökningen och 19 databaser var inte möjliga att bedöma utan någon
typ av medlemskap, betalning eller kontakt med utgivaren. Av databaserna med utgivningsbevis den 1 jan 2024 har alltså 1 391 databaser kunnat undersökas.
Av de undersökta databaserna saknade 42 procent antingen sökfunktion för innehållet på webbplatsen eller sökfunktion som kunde antas tillgängliggöra personuppgifter. Inga av dessa databaser tillhandahöll heller något som kunde beskrivas som ett register över personuppgifter.
Vad gäller resterande databaser innehöll majoriteten, 49 procent av de undersökta databaserna, en tjänst för fritextsökning i ett stort antal nyhetsartiklar, blogginlägg eller produktsidor. Som nämnts har någon närmare undersökning av innehållet och syftet med personuppgiftsbehandlingen inte gjorts i dessa databaser. Skälet är den arbetsinsats som hade krävts och då innehållet i mycket stor utsträckning kan antas omfattas av undantaget för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande (se 1 kap. 7 § andra stycket dataskyddslagen).
Vidare innehöll fem procent av de undersökta databaserna en funktion som genom fritextsökning möjliggjorde sökning efter personuppgifter som kunde antas avse enbart personer som hade samtyckt till personuppgiftsbehandlingen såsom anställda, deltagare i evenemang som anordnats av databasens ägare och samarbetspartners.
Kvar har alltså återstått 61 databaser som bedömts tillhandahålla söktjänster som offentliggör personuppgifter avseende ett stort antal personer. Detta motsvarar 4 procent av de undersökta databaserna. De aktuella söktjänsterna beskrivs mer ingående nedan.
Söktjänsternas utformning och innehåll
Nedan beskrivs utformningen av och innehållet i de 61 söktjänster som identifierats vid genomgången av databaser med utgivningsbevis. Av pedagogiska skäl har söktjänsterna delats in i olika kategorier. Kategorierna är inte uttömmande och vissa söktjänster erbjuder tjänster som passar in under flera av kategorierna.
När det anges att en söktjänst är personuppgiftsanknuten avses att personuppgifterna har strukturerats och presenteras på ett sådant sätt att det går att sammanställa flera personuppgifter i databasen
avseende en viss person. Vid sökning på t.ex. namn eller personnummer får användaren i sådana tjänster vanligtvis tillgång till en sida där olika typer av personuppgifter finns sammanställda om personen i fråga.
Om inte annat anges tillhandahålls personuppgifterna kostnadsfritt och utan krav på medlemskap eller dylikt.
Personsöktjänster
Den första kategorin omfattar söktjänster som riktar sig till allmänheten och vars verksamhet syftar till att tillgängliggöra och sammanställa personuppgifter. Tjänsterna är personuppgiftsanknutna och erbjuder snabb tillgång till en stor mängd information om individer presenterat på ett lättöverskådligt sätt.
Söktjänsternas utformning kan variera liksom vilka personuppgifter som offentliggörs. Normalt kan man söka på namn, personnummer, telefonnummer eller adress. I flera av tjänsterna tillgängliggörs följande uppgifter.
- För- och efternamn.
- Ålder och födelsedag (i vissa fall även de fyra sista siffrorna i personnumret).
- Telefonnummer.
- Bostadsadress och i förekommande fall lägenhetsnummer.
- Typ av boende (exempelvis hyresrätt, bostadsrätt eller villa).
- Storlek samt uppskattat värde på bostaden.
- Hur länge personen bott i bostaden, adress till föregående bostad samt datum då personen flyttade dit.
- Bolagsengagemang.
- Fordonsinnehav.
- Medelinkomsten och högsta inkomsten i bostadsområdet.
- Hundar registrerade på adressen.
- Namn på eventuella sammanboende personer och hur länge de bott tillsammans.
- Grannars namn och ålder samt uppgift om när grannarna flyttade in i sina bostäder.
- Hur många sökningar som gjorts på personen den senaste månaden.
Flera söktjänster visar på en karta var bostaden finns. För det fall personen bor i ett lägenhetshus kan det dessutom finnas precisa beskrivningar av var lägenheten är placerad på våningsplanet, t.ex. ”första dörren till höger”.
Ett antal söktjänster erbjuder vidare avgiftsbelagda tilläggstjänster som ger ytterligare information om en person. Det kan t.ex. röra sig om inkomstuppgifter, kreditinformation och uppgift om personen förekommer i brottmål eller tvistemål eller om personen har fått ett strafföreläggande. Vissa tjänster hänvisar till andra databaser för ytterligare information.
Åtminstone en söktjänst har en följdfunktion som kan användas mot betalning. Den som använder funktionen får en avisering när personen man följer t.ex. byter namn, flyttar, byter telefonnummer, ändrar civilstånd eller registrerar nytt fordonsinnehav. Den som blir föremål för sådan kartläggning får ingen information om att så sker.
Flera söktjänster erbjuder även s.k. självbevakning där man mot betalning får avisering om ens egna uppgifter ändras i myndigheters register, t.ex. om någon annan folkbokför sig på den adress där man bor. Sådan bevakning förutsätter identifiering med mobilt bank-ID. Tjänsten marknadsförs som ett sätt att minska risken för ID-kapning.
Företagsinformation
En kategori av söktjänster vänder sig till allmänheten i syfte att tillgängliggöra information om företag och personer relaterade till företag. Det kan t.ex. avse styrelseledamöter, huvudmän och vd:ar. Bland annat går det att söka på företagsnamn och personnamn. Vissa av tjänsterna är avgiftsbelagda.
Främst är det uppgifter relaterade till företagen som offentliggörs i söktjänsterna. Som nämnts framgår dock även namnet på personer som kan kopplas till företagen, t.ex. styrelseledamöter, huvudmän och vd:ar. I övrigt innehåller de flesta söktjänster i den
här kategorin få personuppgifter. Det finns dock i vart fall en söktjänst som publicerar personnummer, hemadress och inkomstuppgifter till de personer som är sökbara. En annan tjänst länkar till en personsöktjänst som erbjuder information om exempelvis civilstånd, boendeformer och fordonsinnehav.
Det kan tilläggas att det förekommer i vart fall en söktjänst i den här kategorin som enbart vänder sig till företag. Den tjänsten erhålls mot betalning.
Databaser för bakgrundskontroll och research
Den här kategorin avser söktjänster som mot betalning erbjuder bakgrundskontroller av personer. I vissa fall anges att tjänsten riktar sig i huvudsak till journalister och kan då kallas för t.ex. researchdatabas eller nyhetsbyrå. I vissa fall anges att söktjänsten riktar sig till arbetsgivare.
Söktjänsterna är ofta personuppgiftsanknutna och tillhandahåller, förutom namn, personnummer och adress, förekomst i domstols- och myndighetshandlingar. Vilka domstols- och myndighetshandlingar som är sökbara kan variera men t.ex. förekommer följande handlingar.
- Tvistemålsdomar.
- Brottmålsdomar.
- Strafförelägganden.
- Personutredningar från Kriminalvården med anledning av brottmålsrättegång.
- Förundersökningsprotokoll.
- Beslut avseende vissa yrkesgrupper, exempelvis beslut från hälso- och sjukvårdens ansvarsnämnd.
Möjligheten att få reda på en persons förekomst i dessa handlingar bygger ofta på att innehållet i handlingarna i sin helhet gjorts sökbara. Vid sökning på personnamn får man därför i regel inte bara upp beslut och domar där personen förkommer i egenskap av part, utan även i egenskap av vittne eller brottsoffer.
Vissa typer av handlingar som tillhandahålls, exempelvis domar och personutredningar från Kriminalvården, kan antas innehålla s.k. känsliga personuppgifter. Det kan således röra sig om t.ex. etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, uppgifter om hälsa eller uppgifter om en persons sexualliv.
En del av webbplatserna erbjuder möjligheten att bevaka en viss person på så sätt att användaren får en notis för det fall ny information om den bevakade dyker upp.
Förekomst i domar och förundersökningsprotokoll
Några söktjänster riktar sig till allmänheten och erbjuder möjligheten att ta reda på om enskilda personer eller företag har varit inblandade i brottmål eller tvistemål. Dessa söktjänster liknar tjänsterna för bakgrundskontroll och research som beskrivits ovan. Söktjänsterna i denna kategori har dock ingen uttalad målgrupp och innehåller i allmänhet inte lika många typer av myndighetsbeslut som tjänsterna för bakgrundskontroll och research.
Det går i regel att söka på namn, personnummer, organisationsnummer och adress. Därtill kan man genom att söka på t.ex. ett gatunamn få information om vilka personer bosatta på den aktuella gatan som varit föremål för domstolsprövning.
Söktjänsterna är ofta gratis till en början. Man behöver dock i allmänhet betala för att få information om vad domstolsprövningen har avsett och om innehållet i domarna. Såsom framgått ovan förekommer även personsöktjänster som mot avgift erbjuder motsvarande information.
En av de undersökta söktjänsterna är inriktad på att tillhandahålla förundersökningsprotokoll i brottmål. I söktjänsten går det att söka på namn och personnummer för att ta reda på om en person förekommer som misstänkt i förundersökningsprotokoll. Det går också att söka på brott för att ta reda på vilka personer som förekommer i förundersökningsprotokoll misstänkta för den aktuella brottstypen. Även denna tjänst är gratis men det kostar att ta del av förundersökningsprotokollen.
I vissa söktjänster anges att vittnen och brottsoffer inte är sökbara. Däremot finns deras personuppgifter i regel med i de handlingar som offentliggörs i söktjänsterna.
Tjänsterna kan vidare ha vissa gallringsrutiner som innebär att handlingarna tas bort efter ett antal år. Gallringsrutinerna för i vart fall en av tjänsterna innebär dock att domar generellt sett finns kvar i databasen betydligt längre än motsvarande notering i belastningsregistret.
Rättsdatabaser
Den här kategorin av söktjänster tillhandahåller domar och myndighetsbeslut. Vissa tjänster erbjuder även information ur offentliga register om företag, fastigheter, fordon och personer.
För tillgång till dessa söktjänster krävs medlemskap och betalning för abonnemang. Tjänsterna riktar sig främst till företag, domstolar och andra myndigheter och syftet kan oftast antas vara att tillgängliggöra domstols- och myndighetspraxis samt, i de fall tjänsterna erbjuder information ur offentliga register, tillhandahålla personuppgifter av betydelse för ärendehanteringen.
Domarna och besluten är inte anonymiserade. Detta medför att det via fritextsökning går att söka på namn och på så vis få del av domar eller beslut där en viss person förekommer som t.ex. part eller vittne. Dock framstår inte detta som det huvudsakliga syftet med tjänsterna.
Utbildningsrelaterade meriter
Ett antal söktjänster erbjuder information ur offentliga handlingar från universitet och yrkeshögskolor. Dessa söktjänster riktar sig till arbetsgivare och erbjuder mot betalning sammanställningar över personer som uppfyller kriterier rörande utbildningsrelaterade meriter såsom examen och betyg. I en söktjänst går det också att söka på personnamn eller personnummer för att ta reda på om en viss person har examensbevis från högskola eller universitet.
Kreditupplysningsverksamhet
Flera databaser tillhandahåller mot betalning information om privatpersoner av betydelse för bedömningen av betalningsförmåga och betalningsvilja. Tjänsterna tillhandahåller ofta, förutom namn, personnummer och adress, information om betalningsanmärkningar, förekomst i ärenden hos Kronofogdemyndigheten, inkomster, fordonsinnehav och förvaltarskap.
Av vad som gått att utläsa tillhandahåller inte dessa söktjänster uppgifter om lagöverträdelser eller s.k. känsliga personuppgifter.
Fastighetsinformation
Vissa söktjänster ställer mot betalning till förfogande information om fastigheter och bostadsrättsföreningar. Tjänsterna riktar sig till företag och tillhandahåller i regel namn, personnummer och adress till fastighetsägare, personer med engagemang i bostadsrättsföreningar och ibland även historiska fastighetsägare. Dessa söktjänster är oftast inte personuppgiftsanknutna.
Fordonsinformation
Det finns webbplatser som tillhandahåller information om aktuellt och historiskt ägande av fordon. Till skillnad från personsöktjänster som också kan innehålla information om fordonsinnehav, är dessa söktjänster ofta inriktade på fordonet och presenterar en sida med information om detta snarare än att tillhandahålla en sammanställning över vilka fordon en viss person äger. Exempelvis går det i flera av dessa tjänster att få en sammanställning över samtliga fordon inom ett visst område som uppfyller vissa kriterier såsom bilmärke och modell. Däremot är det inte alltid möjligt att söka på person utan endast bilrelaterade uppgifter som t.ex. bilmodell eller registreringsnummer.
De aktuella söktjänsterna är oftast inte personuppgiftsanknutna. Åtminstone en sida länkar dock till en personsöktjänst i vilken det går att hitta en stor mängd personuppgifter relaterade till ägaren.
Marknadsföring
Flera söktjänster riktar sig till företag och säljer personuppgifter ägnade att användas för marknadsföring. Söktjänsterna fungerar så att köparen anger vissa kriterier. Det kan exempelvis vara boendeort, ålder, inkomst och fordonsinnehav. Köparen får sedan, efter betalning, en sammanställning med kontaktuppgifter till personer som uppfyller kriterierna. Personuppgifterna i sammanställningen består i vart fall av namn och kontaktuppgifter såsom adresser, telefonnummer och e-postadresser. Huruvida de uppgifter som uppfyller sökkriterierna framgår uttryckligen av sammanställningen eller bara indirekt av säljarens selektion är oklart.
Övriga söktjänster
Det finns ytterligare några söktjänster med olika inriktning som inte riktigt passar in i de nämnda kategorierna. Som exempel kan nämnas Riksidrottsförbundets databas för kungörelser som bl.a. tillhandahåller Riksidrottsnämndens disciplinära beslut. Besluten innehåller namn på den som är föremål för beslutet och uppgifter om överträdelsen. Genom fritextsökning går det att ta reda på om en person förekommer i besluten.
En annan söktjänst tillhandahåller, delvis mot betalning, personuppgifter och statistik över hockeyspelare såsom namn, födelsedag, födelseort, vikt och längd. Söktjänsten är personuppgiftsanknuten.
Ytterligare en webbplats tillhandahåller genom en sökfunktion namn på medlemmar i ett nationellt idrottsförbund samt information om hemmaklubb och resultat i tävlingar.
8.3.4. Databaser med automatiskt grundlagsskydd
I detta avsnitt redovisas resultatet av genomgången av databaser som anmälts till Mediemyndigheten enligt 3 kap. 18 § lagen med föreskrifter på tryckfrihetsförordningens och yttrandefrihetsgrundlagens områden. Som nämnts bedrivs dessa databaser av vad som brukar kallas för traditionella massmedieföretag och databaserna har automatiskt grundlagsskydd (se 1 kap. 4 § första stycket 1 a–c YGL).
Redovisningen i detta avsnitt är begränsat till undersökningens syfte att undersöka förekomsten av söktjänster som offentliggör personuppgifter samt få kunskap om innehållet i och utformningen av dessa söktjänster.
Förekomsten av söktjänster
Den 1 jan 2024 fanns 1 481 databaser i Mediemyndighetens register över anmälda databaser. 37 databaser angavs utgöra applikationer och har därför inte undersökts. Därtill var ytterligare 515 databaser inte tillgängliga vid tidpunkten för undersökningen. Av dessa var ett femtiotal registrerade som taltidningar. Bland databaserna som fanns registrerade i Mediemyndighetens register över anmälda databaser har alltså 929 databaser kunnat undersökas.
Av de undersökta databaserna innehöll det stora flertalet en tjänst för fritextsökning i en betydande mängd nyhetsartiklar och blogginlägg. Som nämnts har någon närmare undersökning av innehållet och syftet med personuppgiftsbehandlingen inte gjorts i dessa databaser med anledning av den arbetsinsats som hade krävts och då innehållet i stor utsträckning kan antas omfattas av undantaget för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande (se 1 kap. 7 § andra stycket dataskyddslagen).
Vidare identifierades ett fåtal databaser med sökfunktion som möjliggjorde sökning efter personuppgifter som kunde antas avse enbart personer som hade samtyckt till personuppgiftsbehandlingen. Det avsåg författare på ett förlags webbsida, säljare på en webbsida för försäljning av begagnade varor och släktforskare i en söktjänst vars syfte var att förmedla kontaktuppgifter mellan släktforskare.
Av de återstående databaserna har fem databaser bedömts tillhandahålla söktjänster som offentliggör personuppgifter avseende ett stort antal personer. Detta motsvarar mindre än en procent av de undersökta databaserna.
Söktjänsternas utformning och innehåll
De fem söktjänster med automatiskt grundlagsskydd som identifierats har olika inriktning och karaktär. Två av dessa har också utgivningsbevis och ingår därför även i undersökningen av data-
baser med utgivningsbevis. Den ena söktjänsten riktar sig till företag och tillgängliggör information om företag och personer relaterade till företag t.ex. styrelseledamöter, huvudmän och vd:ar. Den andra söktjänsten faller in under kategorin databaser för bakgrundskontroll eller research.
Vad gäller de övriga tre söktjänsterna erbjuder en söktjänst möjligheten att undersöka hur mycket en person tjänar. Söktjänsten riktar sig till allmänheten och tillgängliggör även uppgifter om ålder och adress. Själva inkomstuppgifterna tillhandahålls via en länk till en databas med utgivningsbevis. Den databasen tillgängliggör även ett stort antal andra personuppgifter och kan klassificeras som en personsöktjänst.
En annan söktjänst kan kategoriseras som en rättsdatabas. För tillgång till söktjänsten krävs betalning för abonnemang. Tjänsten tillhandahåller bl.a. domar och myndighetsbeslut och riktar sig främst till företag, domstolar och andra myndigheter. Syftet med söktjänsten kan antas vara att tillgängliggöra avgöranden av betydelse för ärendehanteringen snarare än att möjliggöra bakgrundskontroller av personer. Domarna och besluten är dock inte anonymiserade. Innebörden är att det via fritextsökning går att söka på namn och på så vis få del av domar eller beslut där en viss person förekommer som t.ex. part eller vittne. Detta framstår dock inte som det huvudsakliga syftet med tjänsten.
Den sista söktjänsten som identifierats vid undersökningen är ett uppslagsverk. Bland mycket annat går det i söktjänsten att söka efter information om kända eller framstående personer.
8.3.5. Dataskyddsförordningen, kreditupplysningslagen och förtal
I föregående avsnitt har redogjorts för undersökningarnas resultat beträffande förekomsten av söktjänster som offentliggör personuppgifter. Det har även redogjorts för vad som framkommit om innehållet i och utformningen av dessa söktjänster. Här presenteras slutsatserna beträffande utredningens andra syfte. I det här avsnittet ges det således en övergripande bild av hur söktjänsternas personuppgiftsbehandling förhåller sig till dataskyddsförordningen, kreditupplysningslagen och brottsbalkens bestämmelse om förtal. Slutsatserna avser de söktjänster som bedömts offentliggöra
personuppgifter avseende ett stort antal personer och innefattar alltså både databaser med utgivningsbevis och databaser med automatiskt grundlagsskydd. Såsom framgått förekommer dock söktjänster framför allt bland databaserna med utgivningsbevis.
Som nämnts inledningsvis har utgångspunkten för bedömningen varit de regler som gäller när grundlagsskydd enligt TF eller YGL inte föreligger. Relationen till nämnda lagar har vidare prövats utifrån några utvalda bestämmelser, vilka framgår nedan. Det ska även understrykas att bedömningen har grundats på den information som vid undersökningen har funnits tillgänglig i databaserna. Någon fullständig rättslig bedömning av varje enskild verksamhet har alltså inte gjorts.
Dataskyddsförordningen
Rättslig grund – artikel 6
En grundläggande princip för all personuppgiftsbehandling som faller inom dataskyddsförordningens tillämpningsområde är principen om laglighet. Denna princip innebär bl.a. att en aktör vars personuppgiftsbehandling omfattas av dataskyddsförordningen måste kunna stödja sig på en rättslig grund i artikel 6 för att personuppgiftsbehandlingen ska vara tillåten.
För de söktjänster som omfattas av undersökningen skulle en sådan rättslig grund kunna vara att den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för det specifika ändamålet (se artikel 6.1 a). En annan rättslig grund som skulle kunna aktualiseras för söktjänsterna är intresseavvägning. Med detta avses att behandlingen bedöms vara nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (se artikel 6.1 f).
Av den information som funnits tillgänglig i databaserna vid undersökningen finns inga uppgifter om att de registrerade har lämnat sitt samtycke till att personuppgifterna offentliggörs i söktjänsterna. Tillämpningen av den andra rättsliga grunden, intresseavvägning enligt artikel 6.1 f, är mer svårbedömd. Företag som är inriktade på marknadsföring brukar t.ex. hänvisa till denna grund
för sin personuppgiftsbehandling och det är möjligt att vissa av söktjänsterna som faller under kategorin marknadsföring skulle kunna uppfylla kraven i artikel 6.1. f (jfr rättsfallet RÅ 2002 ref. 54). Det är också tänkbart att exempelvis söktjänster som är inriktade på företagsinformation skulle kunna hänföra delar av sin personuppgiftshantering till nämnda rättsliga grund (jfr norska Høyesteretts dom den 7 december 2021 i mål nr HR-2021-2403-A). I vissa av dessa tjänster offentliggörs dock betydligt fler personuppgifter än vad som förmodligen kan anses vara nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen.
Känsliga personuppgifter – artikel 9
Enligt artikel 9 dataskyddsförordningen är det som utgångspunkt förbjudet att behandla s.k. känsliga personuppgifter. Med det avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter eller filosofisk övertygelse och medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Från förbudet att behandla känsliga personuppgifter görs i artikel 9.2 ett antal undantag, bl.a. för det fall den enskilde själv har offentliggjort uppgifterna. Om något av undantagen är tilllämpligt, och det finns en rättslig grund enligt artikel 6 för behandlingen får alltså även känsliga personuppgifter behandlas.
Bland de söktjänster som har omfattats av undersökningen kan det antas att det förekommer känsliga uppgifter enligt artikel 9 i de tjänster som offentliggör domar (t.ex. i mål som rör lagen [1990:52] med särskilda bestämmelser om vård av unga, lagen [1991:1128] om psykiatrisk tvångsvård eller där Försäkringskassan är part), förundersökningsprotokoll och personutredningar från Kriminalvården. Någon närmare granskning av dessa handlingar har inte gjorts utan slutsatsen grundar sig på att exempelvis uppgifter om etniskt ursprung, hälsa och sexualliv är förekommande i den typen av handlingar. Något register baserat enbart på känsliga personuppgifter har däremot inte upptäckts i undersökningen.
Av den information som funnits tillgänglig i databaserna vid undersökningen finns inget som talar för att något av undantagen i artikel 9 från förbudet mot behandling av känsliga personuppgifter skulle vara tillämpligt.
Lagöverträdelser – artikel 10
Artikel 10 i dataskyddsförordningen omfattar behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott samt därmed sammanhängande säkerhetsåtgärder. Med personuppgifter om lagöverträdelser avses härefter samtliga personuppgifter som omfattas av artikel 10. Förutom i brottmålsdomar förekommer personuppgifter om lagöverträdelser i exempelvis strafförelägganden, personutredningar från Kriminalvården och förundersökningsprotokoll.
Behandling av personuppgifter om lagöverträdelser får enligt artikel 10 endast utföras under kontroll av en myndighet eller då behandlingen är tillåten enligt EU-rätten eller medlemsstaternas nationella rätt där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Som framgått av redogörelsen för innehållet i söktjänsterna finns det flera söktjänster som offentliggör personuppgifter om lagöverträdelser. I redogörelsen ovan har dessa tjänster delats in i tre kategorier: databaser för bakgrundskontroll och research, förekomst i domar och förundersökningsprotokoll samt rättsdatabaser. Därutöver finns det åtminstone en personsöktjänst som offentliggör personuppgifter om lagöverträdelser.
Någon kontroll över söktjänsternas personuppgiftsbehandling förekommer inte i dagsläget. Det finns inte heller något rättsligt stöd i EU-rätten eller svensk rätt för söktjänster som utan urskiljning offentliggör personuppgifter om lagöverträdelser. (Se 3 kap. 8 och 9 §§ dataskyddslagen, 5 och 6 §§ i kompletteringsförordningen samt Integritetsskyddsmyndighetens föreskrifter om behandling av personuppgifter som rör lagöverträdelser DIFS 2018:2.)
Flera av de söktjänster som offentliggör brottmålsdomar − t.ex. i syfte att erbjuda bakgrundskontroller eller tillgängliggöra sådana
domar för allmänheten − bedöms vidare ha ett sådant fullständigt register över fällande domar i brottmål som enligt artikel 10 endast får föras under kontroll av en myndighet. Som har nämnts förekommer i dagsläget inte någon myndighetskontroll av söktjänsternas personuppgiftsbehandling.
Undantag för journalistiska ändamål m.m.
Av 1 kap. 7 § andra stycket dataskyddslagen framgår att merparten av dataskyddsförordningens bestämmelser inte ska tillämpas vid behandling av personuppgifter för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Detta innebär bl.a. att kravet på rättslig grund i artikel 6, förbudet mot behandling av känsliga personuppgifter i artikel 9 och regleringen av personuppgifter om lagöverträdelser i artikel 10 inte ska tillämpas vid sådan behandling som omfattas av undantagsbestämmelsen.
Det bör framhållas att undantaget i 1 kap. 7 § andra stycket avviker från formuleringen av bestämmelsen i artikel 85.2 dataskyddsförordningen. Bestämmelsen i dataskyddsförordningen förutsätter en proportionalitetsbedömning som innebär att undantag ska fastställas om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten (se t.ex. Sergejs
Buivids, C 34517 beträffande motsvarande bestämmelse i data-
skyddsdirektivet). Hovrätten för Övre Norrland har mot bakgrund av dataskyddsförordningens reglering således bedömt att inte heller verksamhet med journalistiskt ändamål per automatik kan undantas förordningen (se hovrättens beslut den 27 mars 2024 dnr 2024/84). Beslutet har i skrivande stund ännu inte vunnit laga kraft.
Vad gäller de söktjänster som omfattats av undersökningen är det undantaget för journalistiska ändamål som möjligen skulle kunna aktualiseras. Detta bedöms gälla söktjänster som offentliggör personuppgifter om lagöverträdelser och som har journalister som uttalad målgrupp samt söktjänster som i anslutning till tjänsterna publicerar nyhetsartiklar.
Vad gäller de söktjänster som har journalister som främsta målgrupp bör dock framhållas att tjänsterna är öppna också för andra aktörer. Även om det är möjligt att personuppgiftsbehandlingen i vart fall delvis skulle kunna falla under begreppet journa-
listiskt ändamål framstår det inte som nödvändigt, för att förena rätten till integritet med yttrande- och informationsfriheten, att undanta en verksamhet som även är tillgänglig för andra än journalister. Det bedöms därför som tveksamt om verksamheten i sin helhet skulle kunna omfattas av undantaget för journalistiskt ändamål.
Beträffande de databaser som publicerar nyhetsartiklar i anslutning till söktjänsterna bör det vidare understrykas att det av dataskyddslagen och dataskyddsförordningen framgår att det journalistiska ändamålet ska vara relaterat till personuppgiftsbehandlingen, i detta fall offentliggörandet i söktjänsten. Det borde därför krävas att kopplingen mellan personuppgifterna i söktjänsten och det redaktionella inslaget framstår som tydligt och relevant för att undantaget för journalistiska ändamål ska vara tillämpligt. Kammarrätten i Stockholm har följaktligen bedömt att personuppgiftsbehandlingen i en söktjänst som offentliggör uppgifter om lagöverträdelser har saknat journalistiskt ändamål trots att det i anslutning till en uppgiftssamling förkommit nyhetsartiklar och att bolaget bakom uppgiftssamlingen även skickat ut nyhetsbrev. (Se Kammarrätten i Stockholms dom den 22 juni 2023 i mål nr 1128-23.)
Kreditupplysningslagen gäller för kreditupplysningsverksamhet som innebär att någon, utom i enstaka fall, lämnar kreditupplysningar mot ersättning eller som ett led i näringsverksamhet. Lagen gäller också annan kreditupplysningsverksamhet om den är av större omfattning. (Jfr 1 §.) I TF och YGL finns delegationsbestämmelser som medför att kreditupplysningslagen i regel även kan tillämpas på verksamheter som omfattas av dessa grundlagar (se 1 kap. 12 § 5 TF och 1 kap. 18 § YGL).
Känsliga personuppgifter enligt artikel 9.1 dataskyddsförordningen får som utgångspunkt inte behandlas i kreditupplysningsverksamhet. Personuppgifter om lagöverträdelser och uppgifter om administrativa frihetsberövanden får som huvudregel inte behandlas i kreditupplysningsverksamhet utan medgivande av Integritetsskyddsmyndigheten, IMY. (Se 6 §.)
Vad gäller fysiska personer som inte är näringsidkare får kreditupplysning inte lämnas ut om det finns anledning att anta att upplysningen kommer att användas av någon annan än den som på grund av vissa angivna skäl har behov av kreditupplysningen, s.k. legitimt behov. Detta krav gäller dock inte om ett utlämnande av en kreditupplysning sker genom offentliggörande på ett sådant sätt som avses i TF. Kravet gäller inte heller om tillhandahållandet sker genom offentliggörande på ett sådant sätt som åsyftas i YGL, utom när upplysningen tillhandahålls ur en databas enligt 1 kap. 4 § första stycket 2 a–c YGL. (Se 9 §.)
Av den information som funnits tillgänglig i databaserna vid tidpunkten för undersökningen har det inte framgått att någon av databaserna som tillhandahåller kreditupplysningar offentliggör känsliga personuppgifter, personuppgifter om lagöverträdelser eller uppgifter om administrativa frihetsberövanden.
Utifrån den information som varit tillgänglig i databaserna har det varit svårt att avgöra om det finns söktjänster som ställer krav på legitimt behov för att lämna ut kreditupplysningar om fysiska personer. Det framstår dock som att vissa aktörer som bedriver grundlagsskyddad kreditupplysningsverksamhet kringgår kravet på legitimt behov genom att tillhandahålla kreditupplysning på annat sätt än ur en databas.
Förtal
Den som utpekar någon såsom brottslig eller klandervärd i sitt levnadssätt eller annars lämnar uppgift som är ägnad att utsätta denne för andras missaktning kan enligt 5 kap. 1 § första stycket brottsbalken dömas för förtal.
I andra stycket finns ett undantag från straffansvar om den som pekar ut eller lämnar uppgifter var skyldig att uttala sig eller om det annars med hänsyn till omständigheterna var försvarligt att lämna uppgift i saken. Dessutom måste han eller hon visa att uppgiften var sann eller att han eller hon hade skälig grund för den.
Förtal kan utgöra tryck- eller yttrandefrihetsbrott och straffansvar kan alltså aktualiseras även när TF och YGL är tillämpliga (se 7 kap. 3 § TF och 5 kap. 1 § YGL).
Uppgifter med innehållet att en person är brottslig eller klandervärd i sitt levnadssätt är typiskt sett ägnade att framkalla andras missaktning, i vart fall om de tar sikte på brottslighet eller klandervärt levnadssätt av allvarligare slag (jfr ”Studenternas förtalsbrott” NJA 2014 s. 808 p. 8).
Uppgift om att någon dömts för brott kan alltså vara en sådan uppgift som kan omfattas av förtalsbestämmelsen. Som framgått tillhandahåller flera av söktjänsterna brottmålsdomar och det går i några av dessa tjänster söka på t.ex. personnamn eller personnummer för att få reda på om någon dömts för brott.
Från straffansvar undantas dock fall där det med hänsyn till omständigheterna var försvarligt att lämna uppgift i saken. Tillämpningen av undantaget för straffansvar har inte omfattats av undersökningen.
8.4. Söktjänsternas betydelse för journalistiken
Många journalister använder sig av söktjänster i sitt dagliga arbete. Tjänsterna används bl.a. för att hitta kontaktuppgifter, kartlägga kriminella aktörer, blottlägga brister hos kommuner och myndigheter samt för faktagranskning. Vid utredningens kontakter med olika aktörer på medieområdet, såsom Journalistförbundet, Utgivarna och Publicistklubben, har samtliga aktörer framhållit söktjänsternas betydelse för journalistiken.
Uppgifterna i söktjänsterna är visserligen i regel offentliga och går att få tillgång till via myndigheter och domstolar. Det är dock mer arbetskrävande och tar längre tid att inhämta uppgifter på det sättet. I regel krävs kontakt med flera olika myndigheter eller domstolar för att få tillgång till de uppgifter som för närvarande tillgängliggörs i söktjänster. Ibland kan det ta tid att få svar och varje sådan förfrågan behöver dessutom göras inom myndighetens eller domstolens öppettider.
Det har vidare framhållits att det utan söktjänsterna kan vara svårt att få en överblick över vilka handlingar som kan begäras ut från myndigheter och domstolar. En journalist har beskrivit det granskande arbetet som att åka slalom mellan söktjänster och myndigheter. Söktjänsterna kan ge indikationer på vilka myndigheter eller domstolar som kan ha handlingar av intresse för en
pågående granskning. Efter att handlingar har begärts ut uppkommer ofta behov av nya slagningar i söktjänster som i sin tur leder till nya förfrågningar till myndigheter eller domstolar.
Vid utredningens kontakter med medieaktörer har framgått att journalister använder sig av olika typer av söktjänster, delvis beroende på vilka uppgifter som efterfrågas och vad uppgifterna ska användas till. Representanter från Journalistförbundet, Utgivarna och Publicistklubben har dock samtliga understrukit att det är betaltjänster riktade mot professionella aktörer, s.k. researchdatabaser, som är av störst vikt för det journalistiska arbetet. Med hjälp av dessa tjänster går det t.ex. att sammanställa och jämföra en stor mängd uppgifter. På så vis kan man bl.a. synliggöra systemfel hos myndigheter och kartlägga kopplingar mellan individer och företag som annars inte hade gått att upptäcka.
Flera exempel har nämnts där den här typen av researchdatabaser har möjliggjort granskningar om exempelvis penningtvätt, korruption och skattefusk, som fått stor uppmärksamhet. Det har också framhållits att sådana söktjänster möjliggör för små lokalredaktioner att genomföra kartläggningar och synliggöra missförhållanden i samhället. Utan dessa söktjänster hade många redaktioner inte kunnat ägna sig åt den typen av journalistik. För stora redaktioner hade den granskande journalistiken begränsats avsevärt.
8.5. Användningen av söktjänster för bakgrundskontroller
Söktjänster används i dag inom både privat och offentlig sektor för bakgrundskontroller. Det kan t.ex. röra sig om kontroller av arbetssökande i samband med tillsättning av tjänster eller av anställda under pågående anställning. Kontrollerna kan även avse företrädare eller anställda hos leverantörer eller kunder inför ingående eller vid uppföljning av avtal. De kan även ha betydelse i samband med förvärv eller avyttring av en juridisk person. Syftet med kontrollerna varierar och kan bl.a. vara att skydda verksamheten mot infiltration av organiserad brottslighet, motverka penningtvätt eller att förhindra att olämpliga personer anställs för arbete med utsatta grupper.
Möjligheten att utföra bakgrundskontroller är till viss del reglerad bl.a. genom lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och säkerhetsskyddslagen (2018:585). Denna reglering är dock begränsad till vissa typer av anställningar eller uppdrag och till vissa sektorer. Genom söktjänsterna kan bakgrundskontroller utföras även utanför det reglerade området.
Som exempel på användande av söktjänster för bakgrundskontroller kan nämnas hur man i vissa kommuner arbetar för att motverka välfärdsbrottslighet. I flera kommuner som utredningen har haft kontakt med används söktjänster för att kontrollera leverantörer vid offentlig upphandling. Vid en sådan kontroll kan bl.a. uppgifter om företagets organisation, ekonomiska ställning samt företrädares eventuella lagöverträdelser ha betydelse. Syftet med kontrollen är att undvika att olämpliga och oseriösa leverantörer tilldelas kontrakt. Motsvarande kontroller kan ibland även genomföras vid uppföljning av kontrakten.
Det förekommer vidare att kommuner använder söktjänster vid rekrytering. Syftet är då främst att undvika att personer anställs som har koppling till organiserad brottslighet eller våldsbejakande extremism eller som på grund av tidigare brottslighet är olämpliga för arbete inom t.ex. vård och omsorg. I detta sammanhang är det framför allt uppgifter om lagöverträdelser som är av intresse. Vissa kommuner som utredningen har haft kontakt med använder dock söktjänster som offentliggör även annan information, t.ex. uppgifter om civilrättsliga domar, bolagsengagemang och fordonskopplingar. I vissa fall genomförs bakgrundskontroller även under pågående anställning efter samtycke från arbetstagaren. De rättsliga förutsättningarna för att genomföra sådana kontroller har dock ifrågasatts av Justitieombudsmannen (se JO:s beslut den 19 oktober 2023, dnr 7143-2022).
Ytterligare ett område inom vilket kommuner ibland använder söktjänster är handläggning av biståndsärenden. Med hjälp av söktjänster som offentliggör uppgifter om personliga och ekonomiska förhållanden kan en handläggare snabbt ta fram ett underlag för bedömning av om sökanden har rätt till ekonomiskt bistånd. Före söktjänsternas tid behövde de sökanden själva hämta in motsvarande uppgifter från olika myndigheter, vilket föranledde längre handläggningstider. I vissa fall används även söktjänster för att
utreda misstankar om felaktiga utbetalningar. Genom söktjänster som tillhandahåller myndighetshandlingar kan handläggare få del av uppgifter som den enskilde i förekommande fall lämnat till andra myndigheter och som kan ha betydelse för prövningen av rätten till ekonomiskt bistånd.
Skälet till att många kommuner väljer att använda söktjänster för bakgrundskontroller är främst att dessa tjänster på ett snabbt och enkelt sätt kan tillgängliggöra och sammanställa en stor mängd offentliga uppgifter. Kommunernas svårigheter att få tillgång till relevanta uppgifter direkt av andra myndigheter har berörts av flera utredningar. Exempelvis har Leverantörskontrollutredningen behandlat upphandlande organisationers behov av uppgifter för leverantörskontroller. Den utredningen har föreslagit att Bolagsverket ska ansvara för en funktion som möjliggör samordnade registerkontroller. Uppgifter som är relevanta för att fastställa om uteslutning ska ske på grund av brott, obetalda skatter och socialförsäkringsavgifter eller kvalificerade ekonomiska svårigheter ska på så vis bli mer tillgängliga för bl.a. kommunerna. (Se betänkandet En samordnad registerkontroll för upphandlande myndigheter
och enheter,SOU 2023:43.)
Det pågår vidare flera utredningar som berör bakgrundskontroller i olika sammanhang. Ett exempel är en utredning inom det s.k. snabbspåret som ska se över kommunernas möjligheter att kontrollera anställda och personer som erbjuds anställning eller uppdrag mot belastningsregistret och misstankeregistret (Ju 2024:A). Inom utbildningsdepartementets område utreds liknande frågor (se uppdraget att utreda vissa möjligheter till kontroll av uppgifter i belastningsregistret och misstankeregistret, U 2024:B). Förutsättningarna för bakgrundskontroller berörs även av utredningen om genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft (Fö 2023:01), utredningen om en förbättrad process för säkerhetsprövningar (Ju 2023:11), utredningen om förbättrade möjligheter att skydda Sveriges säkerhet (Ju 2023:23) samt utredningen om stärkt trygghet och säkerhet för barn och unga i hem för vård eller boende (S 2024:03).
Förhållandet att bakgrundskontroller i stor utsträckning utförs utanför det lagreglerade området, av såväl kommuner som andra aktörer inom offentlig och privat sektor, har på senare tid även
uppmärksammats av IMY. Myndigheten har bl.a. noterat att antalet ansökningar om tillstånd för att få behandla personuppgifter om lagöverträdelser har ökat och bedömer att den utvecklingen kommer att fortsätta. Enligt IMY finns det ett behov av att se över regleringen av bakgrundskontroller och ta ett helhetsgrepp om frågan. Myndigheten har därför hemställt att regeringen tillsätter ytterligare en utredning på området. (Se IMY:s hemställan den 13 juni 2024 om utredning avseende bakgrundskontroller, dnr IMY-2024-8036.)
8.6. Problem som har påtalats relaterade till söktjänster
8.6.1. Enskildas oro över behandlingen av personuppgifter
Både IMY och Mediemyndigheten tar emot ett stort antal frågor och klagomål rörande söktjänster som offentliggör personuppgifter. Av klagomålen framgår att många människor känner oro för söktjänsternas behandling av deras personuppgifter. Eftersom dataskyddsförordningens bestämmelser inte tillämpas på söktjänsternas personuppgiftsbehandling i den mån bestämmelserna skulle strida mot TF och YGL, finns det i regel ingen skyldighet för söktjänsterna att på begäran ta bort personuppgifter eller rätta felaktiga uppgifter. Vissa söktjänster kan ändå gå med på att ta bort personuppgifter på frivillig väg medan andra söktjänster låter uppgifterna stå kvar.
IMY och dess föregångare, Datainspektionen, har analyserat klagomål som de tagit emot rörande söktjänster som offentliggör personuppgifter. I en rapport framtagen av Datainspektionen framgår att myndigheten tog emot drygt 750 klagomål rörande personsöktjänster med utgivningsbevis under de första ett och ett halvt åren efter att dataskyddsförordningen hade trätt i kraft vilket motsvarade var femte mottaget klagomål under den perioden. (Se Rapport 2020:1, Klagomål mot personsöktjänster med frivilligt
utgivningsbevis maj 2018–oktober 2019, s. 9.)
Vid en granskning av inkomna klagomål under år 2021 konstaterade IMY att tio procent av de klagomål som rörde dataskyddsförordningen riktades mot webbplatser med utgivningsbevis och då framför allt mot olika personsöktjänster (se Rapport 2022:2,
Klagomål till IMY. Den nationella bilden 2021, s. 10 f.). Även Medie-
myndigheten har i kontakt med utredningen uppgett att söktjänster
som offentliggör personuppgifter är ett återkommande ämne för de personer som kontaktar myndigheten med frågor eller klagomål.
I rapporten från Datainspektionen analyserades 300 av de inkomna klagomålen beträffande personsöktjänster. Av denna analys framgår att de flesta som hade hört av sig uppfattade masspublicering av personuppgifter i söktjänster som ett integritetsintrång. Det var antingen förekomsten av en specifik personuppgift – exempelvis personnummer – eller den omfattande och detaljerade samlingen av information på webbsidorna som fick människor att reagera. Många av de som hade kontaktat myndigheten ansåg att personuppgifterna rörde den privata sfären och uttryckte en önskan om att själva få bestämma över om informationen fick tillgängliggöras och i så fall för vem. (Se nämnda Rapport 2020:1, s. 13 f.)
I vissa av de klagomål som analyserades i rapporten uttrycktes en oro för att drabbas av konkreta negativa konsekvenser av att söktjänster publicerar en stor mängd personuppgifter. Det kunde t.ex. vara oro för id-kapningar, bedrägerier och inbrott. I många klagomål uttrycktes även ett missnöje över att vissa söktjänster publicerar personuppgifter som skulle kunna användas till id-kapning och samtidigt säljer skydd mot sådan kapning. Det förekom även kritik mot lagstiftningen och en oförståelse för hur det frivilliga grundlagsskyddet rimmar med dataskyddsförordningens syfte att stärka skyddet för den personliga integriteten.
En liknande bild redovisas i IMY:s rapport. I denna konstateras att även en relativt stor del av de klagomål som riktas mot personsöktjänster med utgivningsbevis handlar om tillgängliggörandet av uppgifter om lagöverträdelser. (Se nämnda Rapport 2022:2, s. 10 f.)
8.6.2. Söktjänster används av kriminella för att kartlägga brottsoffer
Uppgifter i söktjänster om bl.a. namn, adress, ålder, familjesituation och fordonsinnehav möjliggör för kriminella att välja ut och kartlägga brottsoffer. Detta framgår exempelvis av domstolsavgöranden och av en rapport från Brottsförebyggande rådet (BRÅ).
Genom att söka på namnet till en av de största söktjänsterna i en rättsdatabas har utredningen identifierat ett femtiotal domstolsavgöranden som behandlar brott där den aktuella söktjänsten använts för att kartlägga brottsoffer eller för att understryka hot.
Vid sökningar på namnet till andra stora söktjänster tillkommer ytterligare sökträffar. Därutöver är bedömningen att det finns ett stort antal avgöranden där söktjänster har använts för att begå brott men där namnet på söktjänsten inte nämns i domen vilket gör att avgörandena inte är sökbara.
Flera av de avgöranden som utredningen har identifierat avser stöld- och bedrägerihärvor med flera brottsoffer. Som exempel kan nämnas ett fall där gärningspersonerna med hjälp av söktjänster valde ut brottsoffer bland personer vars bilar stod parkerade vid ett stort köpcentrum. Förövarna begick sedan inbrott i brottsoffrens hem (se Hovrätten för Västra Sveriges dom den 26 februari 2020 i mål nr B 3829-19). I ett annat fall användes söktjänsterna för att identifiera äldre personer som sedan kontaktades per telefon. Gärningspersonerna utgav sig för att vara släktingar till brottsoffren och lurade dem att lämna ut sina bankkort som därefter tömdes på pengar (se Borås tingsrätts dom den 27 juni 2018 i mål nr B 893-18).
Den bild som framträder i nämnda domstolsavgöranden bekräftas av de representanter från Polismyndighetens Nationella operativa avdelning (NOA) som utredningen haft kontakt med. NOA har bl.a. uppmärksammat att det vid husrannsakningar funnits utdrag från söktjänster där brottsoffer eller potentiella brottsoffer varit listade. Det har vidare påtalats av representanter från både Polismyndigheten och fordonsbranschen att söktjänster gör det enkelt för kriminella att hitta attraktiva fordon och fordonsdelar. Genom i vart fall en söktjänst går det att få en sammanställning över samtliga fordon inom ett visst område som uppfyller vissa kriterier såsom bilmärke och modell. Med hjälp av andra söktjänster kan man ta reda på var fordonen på listan är hemmahörande.
BRÅ har i en rapport som behandlar förebyggande åtgärder mot bedrägerier konstaterat att söktjänster används vid telefonbedrägerier (s.k. vishing) för att kartlägga potentiella brottsoffer och för att få information som ger bedragaren trovärdighet i sin kontakt med dessa. Enligt rapporten riktar bedragarna framför allt in sig på äldre personer, från 70–80 år och uppåt. Det finns även exempel där bedragare med hjälp av söktjänster riktat bedrägerierna till personer över 90 år eller till adresser i förmögna områden. (Se Bedrägerier
mot privatpersoner. De förebyggande åtgärdernas träffsäkerhet,
Rapport 2023:11, s. 25 f., s. 35 och s. 39.)
Bedrägeri är ett brott som över tid har ökat i omfattning. Detta gäller inte minst telefonbedrägerierna. År 2022 anmäldes knappt 22 000 telefonbedrägerier, vilket nästan är en dubblering jämfört med året innan (se a.a. s. 21). Enligt Nationellt Bedrägericentrum – en enhet inom Polismyndigheten – har ökningen fortsatt under år 2023 om än i lägre takt.
Telefonbedrägerierna utförs i stor utsträckning av personer med kopplingar till kriminella nätverk i Sverige. Brottsvinsterna är stora och utgör en viktig inkomstkälla för nätverken. Vinsterna återinvesteras också i annan brottslighet. Under de senaste åren har, enligt uppgift från Nationellt Bedrägericentrum, brottsvinsterna ökat från cirka 156 miljoner kronor år 2020 till drygt 700 miljoner kronor år 2023.
Polismyndigheten menar att det finns en koppling mellan bedrägeribrottsligheten och det dödliga skjutvapenvåldet bl.a. då man funnit att en stor andel av de personer som varit skäligen misstänkta för någon form av skjutvapenvåld även varit skäligen misstänkta för bedrägerier. (Se Polismyndigheten, De dödliga
bedrägerierna. En rapport om bedrägeribrottslighet och skjutvapenvåldet, A554.314/2022 och De organiserade bedrägerierna. En rapport om bedrägerier kopplade till organiserade kriminella miljöer,
A354.340/2021.)
BRÅ har mot bakgrund av hur söktjänster använts vid telefonbedrägerier rekommenderat att regeringen ser över möjligheterna att begränsa publiceringen av personuppgifter som kan användas för att kartlägga potentiella brottsoffer för bedrägerier (se Rapport 2023:11 s. 67 och s. 73).
8.6.3. Offentliganställdas utsatthet för våld, hot och trakasserier
Enligt den problembild som Utredningen om åtgärder för att minska offentliganställdas utsatthet beskriver i betänkandet Ett
starkare skydd för offentliganställda mot våld, hot och trakasserier
(SOU 2024:1) skapar den snabba tillgången till personuppgifter via söktjänster oro bland offentliganställda. Möjligheten att genom en enkel sökning få tillgång till t.ex. hemadress, födelsedatum, telefonnummer och uppgifter om närstående gör det enkelt att kartlägga
och spåra enskilda personer. Detta bidrar till att offentliganställda blir mer exponerade för hot och trakasserier.
Den berörda utredningen har gjort en omfattande genomgång av studier beträffande förekomsten av våld, hot och trakasserier mot offentliganställda samt träffat medarbetare och chefer från olika delar av den offentliga förvaltningen för att inhämta kunskap på området. Utredningen kom fram till att utsattheten för våld, hot och trakasserier inom den offentliga förvaltningen är stor och att den tycks ha ökat, framför allt vad gäller hot och trakasserier. Särskilt utsatta är anställda med arbetsuppgifter som innefattar myndighetsutövning eller som fattar beslut med stor påverkan för enskilda.
Enligt Utredningen om åtgärder för att minska offentliganställdas utsatthet förekommer det att tjänstepersoner tvekar inför eller avstår från att vidta tjänsteåtgärder på grund av rädsla för att utsättas för våld, hot och trakasserier. En följd av detta är att bl.a. ingripanden, inspektioner och kontroller inte genomförs i den utsträckning som är sakligt motiverat. Utsattheten för våld, hot och trakasserier medför dessutom att myndigheterna ställs inför rekryterings- och kompetensförsörjningsproblem genom att färre söker sig till eller vill stanna kvar i yrken där utsattheten är stor.
Vad gäller betydelsen av söktjänster som offentliggör personuppgifter framhöll samtliga myndigheter som utredningen hade varit i kontakt med att en stor källa till de anställdas rädsla för att utsättas för negativa konsekvenser och repressalier var just vetskapen om att privata kontaktuppgifter och uppgifter om närstående, snabbt och enkelt var tillgängliga för envar. Från Polismyndighetens håll påtalades att söktjänster utnyttjas av kriminella i syfte att kartlägga var enskilda poliser bor. Det ökar möjligheten att framställa hot eller liknande och underminerar säkerheten för de anställda. Företrädare från andra myndigheter och fackliga företrädare instämde i den uppfattningen. (Se a. bet. s. 436 f.)
Den berörda utredningen framhöll flera bidragande orsaker till offentliganställdas ökade utsatthet och att åtgärder behöver vidtas inom en rad olika områden för att vända utvecklingen. En åtgärd som lyftes fram som angelägen var att genomföra en översyn av grundlagsskyddet för söktjänster som offentliggör personuppgifter. Utredningen bedömde att söktjänsternas tillgänglighet och den stora mängden personuppgifter som offentliggörs genom en snabb
sökning, i sig kan bidra till att offentliganställda blir mer exponerade för hot och trakasserier.
8.6.4. Privata belastningsregister
Varje person som lagförs för ett brott behöver i dagsläget räkna med att uppgiften om brottet under överskådlig tid kommer att finnas allmänt tillgänglig i söktjänster på internet. Detsamma gäller för personer som frikänns från brott och i viss mån även för personer som misstänks för brott men vars skuld ännu inte prövats av domstol.
Vissa söktjänster som offentliggör uppgifter om lagöverträdelser kan mot den bakgrunden liknas vid privata belastningsregister. Till skillnad från vad som gäller för Polismyndighetens belastningsregister finns det dock, med undantag för vissa känsliga personuppgifter, i stort sett inga regler för vilka uppgifter som får förekomma i söktjänsternas register och det finns inte heller något krav på att uppgifterna ska tas bort efter viss tid (s.k. gallring). Det är vidare inte bara uppgifter om lagöverträdelser eller brottsmisstankar som offentliggörs via söktjänster utan även alla andra mer eller mindre känsliga uppgifter som en dom eller ett förundersökningsprotokoll kan innehålla, inbegripet uppgifter om vittnen och brottsoffer.
Uppgifter i Polismyndighetens belastningsregister omfattas av absolut sekretess och får endast lämnas ut i enlighet med vad som sägs i den särskilda registerlagstiftningen och i lagstiftningen om säkerhetsskydd (se 35 kap. 3 § OSL). Sekretessen hindrar dock inte att vem som helst kan få tillgång till motsvarande uppgifter via de berörda söktjänsterna.
En del söktjänster som offentliggör uppgifter om lagöverträdelser marknadsför sina tjänster som ett sätt för arbetsgivare att kontrollera arbetssökande vid rekrytering (se avsnitt 8.5 angående användningen av söktjänster för bakgrundskontroller). Sekretessen för uppgifter i Polismyndighetens belastningsregister medför att arbetsgivare inte utan lagstöd kan begära ut uppgifter därifrån. Arbetsgivare som inte omfattas av de lagreglerade registerkontrollerna kan dock begära att en arbetssökande visar upp ett utdrag från belastningsregistret inför anställning. Utdragen begärs i dessa fall med stöd
av den rätt till insyn i belastningsregistret som tillkommer den enskilde enligt 9 § första stycket lagen om belastningsregister. (Se betänkandet Belastningskontroll i arbetslivet, SOU 2019:19 s. 113).
En arbetsgivares kontroll av om en arbetssökande har begått brott innebär ett påtagligt intrång i den personliga integriteten och flera utredningar har haft i uppdrag att utreda hur de motstående intressen som arbetsmarknadens parter har i detta hänseende ska kunna balanseras på ett ändamålsenligt sätt. Som framgår av avsnitt 8.5 pågår för närvarande ytterligare utredningar på detta område. Lagstiftarens avvägningar i denna fråga får dock allt mindre betydelse eftersom uppgifter om lagöverträdelser numera finns att tillgå på annat sätt än genom Polismyndighetens belastningsregister. Ur integritetssynpunkt är det en klar skillnad mellan det fall att en arbetssökande begär ut uppgifter från belastningsregistret i syfte att visa arbetsgivaren och att arbetsgivaren söker efter uppgifter om lagöverträdelser i söktjänster. Som nämnts omfattas inte söktjänsterna av samma regelverk som Polismyndighetens belastningsregister.
Det kan tilläggas att för det fall söktjänster som offentliggör uppgifter om lagöverädelser inte hade omfattats av TF eller YGL är bedömningen att dessa tjänster varit att pröva enligt artikel 10 dataskyddsförordningen. Enligt denna bestämmelse får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast utföras ”under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs”. Ett fullständigt register över fällande domar i brottmål får dessutom endast föras under kontroll av en myndighet.
9. Överväganden och förslag
9.1. Om behovet av att begränsa grundlagsskyddet för söktjänster
Bedömning: Grundlagsskyddet bör begränsas för söktjänster
som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt för söktjänster som offentliggör personuppgifter om lagöverträdelser.
9.1.1. Inledning
Yttrandefrihet är av central betydelse för det svenska statsskicket. Enligt 1 kap. 1 § regeringsformen (RF) är den fria åsiktsbildningen en del av den svenska folkstyrelsen. Av 2 kap. 1 § första stycket följer att yttrandefrihet är en av de s.k. opinionsfriheterna. Enligt andra stycket ges ett särskilt skydd åt tryckfrihet och yttrandefrihet när vissa medier används. Det gäller t.ex. tryckta skrifter, sändningar och en del webbsidor. Under vissa förutsättningar anses medier av det här slaget omfattas av tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL) och RF tillämpas i princip inte.
Grundfrågan i utredningens uppdrag är till att börja med om det finns behov av att inskränka grundlagsskyddet för söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt för söktjänster som offentliggör personuppgifter om lagöverträdelser. I regel rör det sig om olika internetbaserade tjänster vilka bedrivs på kommersiella grunder och som innebär att allmänheten ges tillgång till information om enskilda som hämtats ur offentliga hand-
lingar och register. Utredningens uppdrag är att bedöma om dessa söktjänster fullt ut ska omfattas av TF och YGL eller inte.
Det bör påminnas om att rättsläget till viss del är oklart, något som bl.a. framgår av redogörelsen i avsnitt 3.2.2. och 5.3.4. När detta skrivs är det inte avgjort i vilken utsträckning mediegrundlagarna ska tillämpas om en begäran om utfående av allmän handling från myndigheter eller domstolar även inkluderar personuppgifter. Till bilden hör vidare den nämnda begäran från Attunda tingsrätt om förhandsavgörande från EU-domstolen med anledning av en pågående skadeståndtvist som rör uppgifter om lagöverträdelser. Ett förhandsavgörande kan enligt uppgifter till utredningen förväntas under våren 2025. De pågående prövningarna kan påverka bedömningen av det rättsliga behovet av att begränsa grundlagsskyddet för söktjänster.
9.1.2. Om mediegrundlagarna
Det sätt som yttrandefriheten kommer till uttryck i TF och YGL framstår som unikt och anses ha medfört att skyddet för yttrandefriheten är starkt. Utgångspunkten är de principer som läggs fast i TF. I denna grundlag etableras ett teknikbundet system som inte är beroende av en bedömning av innehållet i det yttrande som sprids eller avses spridas med en tryckt skrift. Ett inslag av frivillighet har byggts in i systemet genom den s.k. stencilregeln. Den regeln innebär att det särskilda grundlagsskyddet under vissa förhållanden även tillkommer skrifter som inte är tryckta.
Ett särdrag i svensk rätt i jämförelse med andra rättsordningar är principerna om ensamansvar (att endast en person är ansvarig för innehållet i den tryckta skriften) och meddelarfrihet (friheten att framföra meddelanden i vilket ämne som helst i syfte att göra uppgiften offentlig i en tryckt skrift). De två principerna förutsätter varandra och innebär i praktiken ett avsteg från den traditionella ansvarsregleringen i brottsbalken.
Införandet av YGL år 1992 innebar att TF:s regler på grundlagsnivå utvidgades till att omfatta vissa ytterligare medier. Dessa medier kan delas in i två kategorier. Den första kategorin består av fysiska databärare och omfattar s.k. tekniska upptagningar. Exempel på sådana medier är cd-skivor och dvd-skivor. Långt viktigare är
numera den andra kategorin som innebär att skydd ges åt icke- fysiska databärare i form av sändningar av ljud och bild. Till sändningar hör genom den s.k. databasregeln även vissa webbplatser.
Enligt databasregeln är utgångspunkten att vissa aktörer ges automatiskt grundlagsskydd. Det gäller bl.a. redaktioner för periodiska skrifter eller ett program samt bokförlag och nyhetsbyråer. Vidare finns det som brukar omnämnas för det frivilliga skyddet. Den frivilliga ordningen innebär att skyddet enligt YGL även tilllämpas på verksamheter för vilka utgivningsbevis gäller, dvs. om ett medium som avses i databasregeln används.
Syftet med det frivilliga grundlagsskyddet var när det infördes att anpassa grundlagsskyddet till utvecklingen på medieområdet som hade lett till att mycket av den verksamhet som databasregeln var tänkt att skydda – tillhandahållandet av information till allmänheten – bedrevs av andra aktörer än traditionella massmedieföretag. Det ställdes dock inte upp några kvalitativa kriterier för att få utgivningsbevis, vilket innebar att vem som helst kunde få grundlagsskydd för sin verksamhet om denna var utformad såsom förutsätts i databasregeln. Bedömningen var att utvidgningen av grundlagsskyddet i allt väsentligt skulle ske till en krets som sysslade med massmedial verksamhet (se prop. 2001/02:74 s. 48 och s. 53 f.). Införandet av den frivilliga ordningen har dock medfört att YGL i dagsläget omfattar både tidningar på internet och söktjänster med adressuppgifter, förutsatt att utgivningsbevis gäller för verksamheten.
I sammanhanget finns anledning att uppmärksamma att det finns två grundläggande sätt som bestämmer om TF och YGL ska vara tillämpliga på ett visst medium och i så fall i vilken utsträckning. En förutsättning är att de formella kraven är uppfyllda, t.ex. att en tryckt skrift används eller att utgivningsbevis gäller för en webbplats.
Det ena innebär att en viss företeelse bedöms ligga utanför ändamålet med de två grundlagarna. Exempelvis anses vissa straffstadganden inte beröra TF och YGL även om de avser gärningar som begås i en tryckt skrift eller på en webbplats med grundlagsskydd. Genom ändamålstolkning anses även vissa framställningar av utpräglat kommersiell natur falla utanför grundlagarnas materiella tillämpningsområde (se t.ex. ”Trisskrapningarna” NJA 2023 s. 211).
Ett annat sätt som kan innebära en begränsning av grundlagarnas räckvidd är när det finns uttryckliga undantag i TF och YGL. Det gäller t.ex. vissa kommersiella annonser eller produktinformation.
I dessa fall tillämpas i stället vad som framgår av lag och inte själva grundlagstexten.
Det här innebär en tydlig skillnad mot rättsläget utanför TF:s och YGL:s områden. När 2 kap. RF är tillämpligt (i stället för TF och YGL) är utgångspunkten att fri- och rättighetsskyddet kan begränsas, dock inom ramen för vad som anges i den aktuella grundlagsbestämmelsen. En konsekvens när TF och YGL är tillämpliga är att grundlagstiftaren ges makt på bekostnad av lagstiftaren och rättstillämparen. Det krävs som regel grundlagsändring – med det särskilda förfarande som då gäller – för att kunna inskränka tryck- och yttrandefriheten. En sådan inskränkning kan således som utgångsläge inte göras genom vanlig lag eller genom att t.ex. domstol sätter TF och YGL åt sidan vid rättstillämpningen.
Det finns två principiella undantag från denna begränsningsordning. För det första undantas tryck- och yttrandefrihetsbrotten genom att en förutsättning för att döma någon för den typen av brott är att den aktuella gärningen också är brottslig enligt lag. Det andra undantaget avser principen om handlingsoffentlighet i 2 kap. TF. I det kapitlet läggs vissa ändamål fast enligt vilka handlingsoffentligheteten får begränsas genom lag.
När det gäller handlingsoffentligheten har tillämpningsområdet avgränsats på ett annat sätt än skyddet för tryckfriheten. Detta hänger samman med att den offentliga makten ska kunna granskas, vilket förutsätter att information som utgångspunkt är öppen. I denna mening har handlingsoffentligheten samma principiella motivering som meddelarfriheten.
Den som önskar få ut en handling är inte skyldig att uppge sin identitet. Ett frågeförbud gäller i den meningen att en myndighet enligt 2 kap. 18 § TF inte får efterforska vem som begär ut en handling eller vilket syfte han eller hon har med sin begäran i större utsträckning än vad som behövs för att kunna pröva om det finns hinder mot att handlingen lämnas ut. Bestämmelsen i 21 kap. 7 § offentlighets- och sekretesslagen (2009:400), OSL, berör behandling i strid med dataskyddsregleringen och är central i sammanhanget. Den innebär att sekretess gäller för personuppgift om det antas att uppgiften efter ett utlämnande kommer att behandlas i
strid med bl.a. EU:s dataskyddsförordning1 eller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
I stället för dataskyddsförordningen och dataskyddslagen tilllämpas TF och YGL, dvs. i den utsträckning som dataskyddsregleringen skulle strida mot mediegrundlagarna (se 1 kap. 7 § första stycket dataskyddslagen). En konsekvens är att de söktjänster som omfattas av utredningsuppdraget i regel inte behöver tillämpa dataskyddsregleringen. Det är i de fallen inte sekretess enligt 21 kap. 7 § OSL när dessa tjänster t.ex. begär ut födelsedata från Skatteverket eller domar från en domstol. Mot denna bakgrund kan det uppstå en situation där en förvaltningsmyndighet m.m. som förvarar en handling, för att kunna genomföra en sekretessprövning, behöver ta ställning till om dataskyddsregleringen ska tillämpas eller om t.ex. ett utgivningsbevis enligt YGL gäller.
Under senare tid har mediegrundlagarnas företräde framför dataskyddsförordningen ifrågasatts av vissa domstolar. Sekretessbestämmelsen i 21 kap. 7 § OSL har således tillämpats även i fall där sökanden haft utgivningsbevis för verksamheten. När detta skrivs har frågan om dataskyddssekretess när sökanden har grundlagsskydd enligt TF eller YGL inte prövats av högsta instans.
9.1.3. Ska mediegrundlagarnas tillämplighet begränsas?
Utgångspunkten för de bedömningar som ska göras enligt utredningsuppdraget är att den aktuella hanteringen av personuppgifter omfattas av TF eller YGL. Det betyder att databaser med utgivningsbevis som utgör sammanställningar av personuppgifter har grundlagsskydd genom YGL som i flera avseenden bygger på principer som följer av TF. Det kan vara så att den verksamhet som bedrivs ligger långt från medieverksamhet eller annars är av det slaget att grundlagsskydd inte framstår som motiverat. Men det förhållandet att verksamheten ligger långt från kärnområdet för TF och YGL leder knappast till slutsatsen att grundlagarna inte blir tillämpliga, dvs. om det finns utgivningsbevis för verksamheten.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Skälen för att låta mediegrundlagarna vara tillämpliga framstår likväl som svaga i vissa fall.
Det bör hållas i minnet att det särskilda sätt som tryck- och yttrandefriheten regleras på har gett upphov till olika – med ett uttryck som ibland förekommer – marginaleffekter. Det system som TF och YGL utgör leder ofrånkomligen till att vissa företeelser inte regleras ändamålsenligt. Så kan bl.a. vara fallet genom att visst innehåll behandlas på olika sätt beroende på vilken plattform som används för att sprida detta. Ett annat exempel är det förhållandet att grundlagarna blir tillämpliga enbart för att viss teknik används. Detta trots att någon verksamhet som är t.ex. journalistisk, politisk eller konstnärlig inte bedrivs. Det kan exempelvis inträffa när flaggor eller bipacksedlar framställs med hjälp av tryckteknik.
Frågan är om det finns skäl att begränsa mediegrundlagarnas tillämplighet på de aktuella söktjänsterna och inte låta dessa grundlagar gälla fullt ut för söktjänster som tar sikte på personuppgifter. Bedömningen är att denna prövning av om-frågan i första hand bör ske med utgångspunkt i det faktiska behovet utifrån svenska förhållanden. Men i det sammanhanget bör även aspekter som följer av EU-rätten vägas in.
Det framgår av den kartläggning som utredningen har låtit genomföra och som redovisas i avsnitt 8.3 att det främst är söktjänster med utgivningsbevis som är aktuella, även om det finns några söktjänster med s.k. automatiskt grundlagsskydd för verksamheten. Söktjänsterna avser ett antal varierande ämnen och har olika inriktningar. Ett stort antal av söktjänsterna förefaller ha lite att göra med vad som lyfts fram i 1 kap. 1 § TF och 1 kap. 1 § YGL om ”att säkra ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande”. Deras främsta ändamål tycks vara att till allmänheten tillgängliggöra redan offentliga personuppgifter. Söktjänsterna framstår i första hand som sammanställningar av personuppgifter.
Det görs här således bedömningen att dessa söktjänster omfattas av det särskilda grundlagsskyddet enligt YGL genom att utgivningsbevis gäller för verksamheten. De aktuella söktjänsterna drar nytta av det förhållande att TF och YGL som utgångspunkt är ett innehållsneutralt system och som ger grundlagsskydd under förutsättning att viss medieteknik används. Ur det perspektivet kan diskuteras om de verkligen bör omfattas av det särskilda grundlags-
skyddet för tryck- och yttrandefriheten. De hör knappast till kärnområdet för skyddet och något egentligt behov av att låta de yttrandefrihetsrättsliga grundprinciperna gälla tycks inte föreligga, t.ex. när det gäller ensamansvaret och meddelarfriheten. Den utvidgning som skedde i och med införandet av utgivningsbevis var inte heller avsedd att ge grundlagsskydd till rena personregister (se prop. 2001/02:74 s. 48 och bet. 2001/02:KU21 s. 31 f.).
I sak är det främst två argument som står ut för att begränsa grundlagsskyddet för söktjänster. Det ena har att göra med risken för skada hos de registrerade och det andra med förtroendet för hela TF/YGL-systemet.
För det första sammanställer och tillhandahåller de aktuella söktjänsterna offentliga uppgifter på ett sätt som för helt utomstående personer kan leda till skada och allvarliga ingrepp i enskildas personliga integritet. Mycket talar för att denna verksamhet hela tiden får större betydelse i samhället och att det kommersiella intresset ökar. En bidragande förklaring är sannolikt internets helt dominerande position i kombination med den offentlighetsprincip som gäller enligt svensk rätt. Sammantaget blir personuppgifter lätt tillgängliga för spridning.
Den redovisning som görs i avsnitt 8.6 visar att ett antal problem har påtalats relaterade till söktjänster. Framställningen åskådliggör att det finns en allmän oro hos enskilda över hur söktjänster behandlar personuppgifter. I ett antal sammanhang tycks personuppgifter dessutom ha hämtats från söktjänster i syfte att begå brott, inte sällan mot äldre. Den bedömning som görs i betänkandet Ett
starkare skydd för offentliganställda mot våld, hot och trakasserier
(SOU 2024:1) är dessutom att den enkelhet med vilken personuppgifter (t.ex. hemadress, födelsedatum, telefonnummer och uppgifter om närstående) är tillgängliga genom skilda söktjänster riskerar att påverka tjänsteåtgärder i olika avseenden. Det kan t.ex. avse tvekan inför ingripanden, inspektioner och kontroller eller att man helt avstår från att vidta sådana åtgärder. Bilden av att söktjänster riskerar att bidra till integritetsskada förstärks av att fullt grundlagsskydd enligt TF och YGL gäller för webbplatser som offentliggör uppgifter om lagöverträdelser. Dessa uppgifter är i allmänhet integritetskänsliga.
I utredningens uppdrag ligger inte att ha synpunkter på om personuppgifter ska vara offentliga eller inte. Dock inger det betänk-
ligheter att redan offentliga uppgifter tillgängliggörs på ett sätt som inte tycks ha att göra med de ändamål som gäller för TF och YGL. De söktjänster som avses drar som nämnts nytta av mediegrundlagarnas konstruktion och risken är att enskilda far illa.
I detta sammanhang bör även följande noteras. Det står klart att söktjänster som tillgängliggör personuppgifter även kan fylla andra viktiga funktioner i samhället än sådana som berör TF:s och YGL:s kärnområden. Av avsnitt 8.5 framgår exempelvis att söktjänster används inom både privat och offentlig sektor för bakgrundskontroller i syfte att skydda verksamheter mot infiltration av organiserad brottslighet eller för att hindra att olämpliga personer anställs för arbete med utsatta grupper. Att söktjänster kan användas för legitima ändamål utgör dock inte ett bärande argument för att låta tjänsterna omfattas av mediegrundlagarna. Den samhällsnytta som t.ex. bakgrundskontroller ofta har får i stället komma till uttryck genom lagstiftning eller andra åtgärder som inte hindras av TF och YGL. Det förhållandet att söktjänsterna i nu aktuellt avseende ligger utanför mediegrundlagarna skulle således i sig inte innebära ett förbud mot viss typ av verksamhet.
För det andra talar mycket för att den nu gällande ordningen kan gröpa ur det långsiktiga förtroendet för den svenska regleringen av tryck- och yttrandefriheten. Det skulle då inte finnas nödvändig förståelse för ett system som lägger fast det formella tillämpningsområdet med innehållsneutrala utgångspunkter och som bygger bl.a. på ensamansvar, meddelarfrihet och handlingsoffentlighet. Enligt utredningens bedömning skulle trycket öka på att reglera journalistik och annan närliggande verksamhet på ett annat sätt och som inte tar tillvara särarten hos TF och YGL. Detta vore en olycklig effekt som skulle ha negativ påverkan på yttrandefriheten.
Slutsatsen i den här delen är följande. Det saknas skäl att låta det särskilda grundlagsskyddet för tryck- och yttrandefriheten fullt ut omfatta söktjänster som normalt inte används inom ramen för den fria nyhetsförmedlingen, den – med ett uttryck som förekom i förarbetena till TF – obeskurna politiska debatten eller i övrigt på ett mer omedelbart sätt omfattas av de ändamål som anges i portalparagraferna i TF och YGL. Det innebär att det finns anledning att begränsa grundlagsskyddet för de söktjänster som omfattas av
utredningsuppdraget och som således är sammanställningar av personuppgifter.
Frågan blir dock om det över huvud taget är möjligt att göra åtskillnad mellan verksamhet som fullt ut bör omfattas av det särskilda grundlagsskyddet enligt TF och YGL – för att den är t.ex. journalistisk – och sådan som bör undantas. Svårigheter att skilja mellan viss typ av verksamhet från annan skulle kunna medföra att något undantag inte kan göras, trots att det finns ett behov. Det här sätter fingret på ett återkommande problem inom tryck- och yttrandefriheten enligt TF och YGL. Kan journalistik eller annan liknande verksamhet identifieras och anses som mer skyddsvärd än annan aktivitet?
Enligt utredningen bör denna frågeställning besvaras jakande. Ett undantag från TF och YGL bör utgå från de tryck- och yttrandefrihetsrättsliga grundprinciperna och behovet av att dessa gäller för den aktuella verksamheten. Om syftet med en tjänst är att tillgängliggöra personuppgifter framstår det inte som rimligt att t.ex. ensamansvar och meddelarfrihet gäller för tjänsten. För sådan verksamhet bör i stället den reglering tillämpas som tar sikte på just uppgiftssamlingar av det slaget och som har sin grund i EU-rätten. Däremot måste verksamhet som helt klart faller inom mediegrundlagarnas kärnområden i alla delar omfattas av dessa.
En svår avvägning rör verksamhet som har karaktären av mellanprodukt. Det gäller söktjänster som i huvudsak används för att ta fram underlag för journalistiska yttranden. Här måste en hållning tillämpas som i tveksamma fall ger tryck- och yttrandefriheten enligt TF och YGL företräde framför andra aspekter. Bedömningen är att det med ett sådant förhållningssätt är möjligt att göra en ändamålsenlig avgränsning av grundlagsskyddet.
En viktig frågeställning är som framgår nedan om ett eventuellt undantag ska avse den verksamhet som bedrivs eller de enskilda personuppgifterna. Det här kan få relevans för vilken betydelse som ska tillmätas det befintliga regelverket i TF och YGL men hindrar inte i sig att det görs undantag från dessa grundlagar.
Det nu diskuterade undantaget avseende personuppgifter innebär att flera bedömningsfrågor läggs på en myndighet. En viktig tanke med den nuvarande ordningen är att tillämpningsområdet för TF och YGL och liknande typer av bedömningar inte görs i rättstillämpningen utan av grundlagsstiftaren. En undantagsreglering för
personuppgifter blir i viss mån ett steg bort från den här ordningen. Men den får som sagt anses förutsätta att TF och YGL ges ett expansivt tillämpningsområde när det gäller det som ovan benämns som mellanprodukter. I tveksamma fall måste gränsdragningsproblematiken kunna bli föremål för prövning i domstol.
Den förvaltningsmyndighet som är aktuell för denna uppgift är Integritetsmyndigheten (IMY). Genom de befintliga undantagsbestämmelserna när det gäller känsliga personuppgifter i 1 kap. 13 § TF och 1 kap. 20 § YGL är myndigheten väl insatt i frågeställningen att bedöma gränsdragningen mellan det svenska grundlagsskyddet och dataskyddsförordningen. I gränsdragningssituationer bör IMY ha möjlighet att samråda med Justitiekanslern (JK) i ärendet. Denna aspekt bör ses i ljuset av att JK – som också är en myndighet under regeringen – genom 9 kap. 1 § TF och 7 kap. 1 § YGL har getts särskilda uppgifter att vaka över att tryck- och yttrandefriheten inte överträds. Bedömningen är att ett sådant samråd kan genomföras inom ramen för det befintliga regelverket och således inte förutsätter författningsändringar.
Utredningens bedömning är alltså att grundlagsskyddet bör begränsas för vissa söktjänster.
9.1.4. Något om förhållandet till EU-rätten
I samband med det svenska anslutningsavtalet till EU från juni 1994 gjorde Sverige en ensidig förklaring rörande offentlighetsprincipen och meddelarfriheten. Från svensk sida förklarade regeringen ”att offentlighetsprincipen, särskilt rätten att ta del av allmänna handlingar, och grundlagsskyddet för meddelarfriheten, är och förblir grundläggande principer som utgör en del av Sveriges konstitutionella, politiska och kulturella arv”. I en svarsförklaring från medlemsstaterna förklarades att de förutsatte ”att Sverige som medlem i Europeiska unionen kommer att fullt ut följa gemenskapsrätten i detta avseende”.
Den ensidiga svenska förklaringen kan sägas avspegla regeringens och konstitutionsutskottets (KU:s) uttalanden i samband med överlåtelse av beslutanderätt. Synsättet har varit att sådan överlåtelse inte omfattar grundläggande konstitutionella principer här i landet. Handlingsoffentligheten liksom de tryck- och
yttrandefrihetsrättsliga grundprinciperna om censurförbud, meddelarskydd, ensamansvar m.m. har framhållits i det sammanhanget. De har ansetts utgöra förutsättningar för den fria åsiktsbildningen (jfr 1 kap. 1 § RF).
Utredningsuppdraget handlar om söktjänster som offentliggör personuppgifter. I EU-rättsligt avseende tycks söktjänsterna omfattas av dataskyddförordningen, dvs. av personuppgiftsregleringen på europeisk nivå. Det får dock i vissa fall antas vara så att artikel 85 dataskyddförordningen blir tillämplig så att undantag kan göras för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
De två rättssystemen – här avses således TF och YGL å ena sidan och dataskyddsförordningen å andra sidan – har som framgått av kapitel 3 och 5 olika uppbyggnad när det gäller tillämpningsområde och innehåll. EU-rätten blir gällande i Sverige genom 10 kap. 6 § RF. Genom den här bestämmelsen kan riksdagen överlåta svensk beslutanderätt inom ramen för samarbete inom EU. Det finns som framgått av avsnitt 4.3.1 begränsningar när det gäller förutsättningarna att överlåta beslutanderätt. Överlåtelse som rör principerna för statsskicket kan inte ske. Vidare förutsätter överlåtelse att fri- och rättighetsskyddet inom det samarbetsområde till vilket överlåtelse sker motsvarar det som följer av RF och Europakonventionen.
När det gäller TF och YGL är det i första hand den restriktion som rör statsskicket som anses bli aktuell. I samband med EU- anslutningen framhöll regeringen således särskilt offentlighetsprincipen och meddelarfriheten. Det framstår som uppenbart att den fria åsiktsbildningen rör principerna för statsskicket (se rubriken Statsskickets grunder till 1 kap. RF). Genom de nämnda uttalandena om offentlighetsprincipen och meddelarfriheten talar mycket för att TF och YGL i centrala delar ”rör principerna för statsskicket” och då som en del av den fria åsiktsbildningen. Det är dessutom så att meddelarfriheten har koppling till flera tryck- och yttrandefrihetsrättsliga principer, däribland till principen om ensamansvar.
Det måste samtidigt finnas gränser för detta synsätt. En reglering som är helt utan förbindelse till den fria åsiktsbildningen kan inte anses röra principerna för statsskicket. Det innebär i praktiken att verksamhet som genom utgivningsbevis har s.k. frivilligt grundlagsskydd svårligen rör principerna för statsskicket om den inte används inom ramen för den fria åsiktsbildningen.
Slutsatsen är att det inte är tillräckligt att en tänkt rättsakt från EU reglerar en fråga där mediegrundlagarna är tillämpliga för att en överlåtelse ska röra principerna för statsskicket i den mening som avses i 10 kap. 6 § RF. För att så ska vara fallet krävs att den fria åsiktsbildningen berörs. Verksamhet som främst utgör sammanställningar av personuppgifter kan inte anses röra den fria åsiktsbildningen i nu aktuellt avseende.
Enligt utredningen finns det ett faktiskt behov av att begränsa tillämpligheten för TF och YGL när det gäller söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt för söktjänster som offentliggör personuppgifter om lagöverträdelser. En sådan åtgärd skulle dessutom tydliggöra att regleringen i svensk rätt uppfyller de krav som EU-rätten ställer på personuppgiftsområdet.
Frågan är hur detta i sådana fall kan göras. Den frågeställningen behandlas nedan.
9.2. Grundlagsändringar som kan stärka skyddet för personuppgifter i söktjänster
Bedömning: Ändringar i syfte att stärka skyddet för person-
uppgifter i söktjänster bör utformas som generella undantagsbestämmelser i TF och YGL.
9.2.1. Inledning
Utredningen har övervägt olika sätt att åstadkomma ett förstärkt skydd för den personliga integriteten när personuppgifter offentliggörs i söktjänster. Vad det handlar om är alltså söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt söktjänster som offentliggör personuppgifter om lagöverträdelser. Flera av de regleringsmodeller som har diskuterats kan visserligen stärka skyddet för den personliga integriteten men har vid närmare granskning bedömts vara mindre lämpliga.
Vid utvärderingen av regleringsmodellerna har en viktig utgångspunkt varit att en modell för att komma i fråga, ska ge utrymme för att lösa de problemen som är förknippade med söktjänster. Regleringar som bedömts som i huvudsak verkningslösa eller som möjliga att kringgå har därför uteslutits.
En annan utgångspunkt har varit att en regleringsmodell inte ska inskränka grundlagsskyddet mer än vad som är nödvändigt för att komma till rätta med de påtalade problemen. Det följer bl.a. av den försiktighetsprincip som brukar tillämpas vid inskränkningar av grundlagsskyddet på det tryck- och yttrandefrihetsrättsliga området (se bl.a. betänkandet Yttrandefrihetsgrundlagen och Internet.
Utvidgat grundlagsskydd och andra frågor om tryck- och yttrandefrihet, SOU 2001:28 s. 25).
Slutligen har utredningen strävat efter att hitta en lösning som innebär att tillämpningsområdet för TF och YGL även fortsättningsvis främst ska avgöras av vilken kommunikationsteknik som används. Modeller som innebär att endast verksamheter med visst innehåll kan få grundlagsskydd har därför uteslutits av principiella skäl. En annan sak är att mediegrundlagarnas materiella tillämpningsområde kan avgränsas genom krav som i viss mån tar sikte på yttrandets innehåll. Så sker redan i dag genom bl.a. undantagsbestämmelserna i 1 kap. 11–14 §§ TF.
Nedan redogörs först för de modeller som utredningen har övervägt men uteslutit utifrån nämnda utgångspunkter. Därefter redovisas tre alternativa sätt att genom grundlagsändring stärka skyddet för personuppgifter i söktjänster.
9.2.2. Alternativ som har uteslutits
Ett alternativ som utredningen har övervägt är införandet av krav på visst innehåll eller viss inriktning för att få utgivningsbevis enligt YGL. Modellen skulle t.ex. kunna utformas så att det krävs en journalistisk inriktning för att utgivningsbevis ska utfärdas. Något liknade krav förekommer inte enligt den nuvarande ordningen. Krav på visst innehåll eller viss inriktning för att erhålla utgivningsbevis strider dock mot principen om att grundlagsskyddet ska vara innehållsneutralt. En sådan ordning är oförenlig med grunderna för mediegrundlagarna och bedöms därför som utesluten av principiella skäl.
Ytterligare en modell som har övervägts är införandet av materiella krav i TF och YGL som tar sikte på offentliggörande av personuppgifter när uppgifterna ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa. Det skulle bl.a. kunna röra sig om krav på rättslig grund vid offentliggörande av personuppgifter och en skyldighet att under vissa förutsättningar ta bort personuppgifter efter begäran av den registrerade. De materiella kraven skulle i denna modell dessutom kopplas samman med särskilda tillsyns- och sanktionsbestämmelser. Utredningen bedömer dock att det krävs en relativt omfattande och detaljerad reglering för att komma till rätta med de problem som söktjänsterna för med sig. Sådan reglering lämpar sig dåligt på grundlagsnivå. Uttrycket ”uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa personuppgifter” är vidare relativt brett och riskerar att inte bara träffa söktjänster utan även sådan verksamhet som utgör själva kärnan av vad mediegrundlagarna är tänkta att skydda. Regleringsmodellen bedöms därför medföra alltför stora inskränkningar i yttrandefriheten. Modellen innebär vidare att Sverige skulle införa nationella bestämmelser på ett område som är föremål för en EU-förordning, vilket riskerar att strida mot EU-rätten.
Ett annat sätt att stärka skyddet för den personliga integriteten kan vara att införa ett nytt tryck- och yttrandefrihetsbrott som tar sikte på integritetskränkningar till följd av offentliggöranden i söktjänster. Det framstår dock som tveksamt om detta är ett effektivt sätt att komma till rätta med de problem som är förenade med söktjänster. För att ett nytt tryck- och yttrandefrihetsbrott inte ska hämma journalistisk verksamhet skulle det krävas ett relativt omfattande undantag från straffansvaret, vilket riskerar leda till att regleringen blir urvattnad och svårtillämpad. Införandet av ett nytt tryck- och yttrandefrihetsbrott skulle dessutom kunna få långtgående konsekvenser på straffrättens område eftersom det krävs att gärningen också är straffbar enligt lag (principen om dubbel täckning). I dagsläget finns ingen straffbestämmelse som träffar samtliga söktjänster som lyfts fram som problematiska i utredningens direktiv. Vad gäller uppgifter om lagöverträdelser har frågan om ett nytt tryck- och yttrandefrihetsbrott dessutom redan övervägts och avfärdats av en parlamentarisk kommitté (se Mediegrundlagskommitténs betänkande Ändrade mediegrundlagarSOU 2016:58 s. 394).
Bedömningen är därför att det snarare behövs en reglering på lagnivå och att en sådan regleringen i första hand inte bör vara straffrättslig.
Utredningen har även övervägt införandet av ett grundlagsundantag som enbart träffar aktörer som har s.k. frivilligt grundlagsskydd på grund av utgivningsbevis. En modell som särbehandlar aktörer med utgivningsbevis är dock svår att förena med tanken att nya kommunikationsformers grundlagsskydd ska bestämmas utifrån samma förutsättningar som de som gäller för traditionell media. En reglering som enbart omfattar aktörer med utgivningsbevis bedöms vidare vara relativt enkel att kringgå även om det skulle införas skrivningar i TF och YGL som syftar till att försvåra detta. Det bör påpekas att det av utredningens kartläggning framgår att det redan i dag finns aktörer som anser sig ha automatiskt grundlagsskydd för söktjänster som offentliggör en stor mängd personuppgifter. Inte heller detta alternativ har därför bedömts som genomförbart.
9.2.3. Ett generellt grundlagsundantag bör införas
Den modell som framstår som mest ändamålsenlig är införandet av ett generellt grundlagsundantag i TF och YGL, s.k. delegationsbestämmelse. Sådana undantagsbestämmelser finns redan i dag på flera områden och inskränkningar av liknande slag brukar göras så i mediegrundlagarna (se t.ex. 1 kap. 11–14 §§ TF).
Regleringsmodellen innebär att lagstiftaren får möjlighet att stifta lag på det område som omfattas av grundlagsundantaget. Modellen medger också tillämpning av redan befintlig lagstiftning och EU-förordningar på området. Det sistnämnda medför att dataskyddsförordningen och dataskyddslagen i praktiken blir tillämpliga för de aktörer som träffas av bestämmelserna. (Se t.ex. rättsfallet HFD 2024 ref. 43.)
Den verksamhet som bedrivs av de söktjänster som omfattas av uppdraget syftar i huvudsak till att offentliggöra personuppgifter och ligger som nämnts långt från den kärna som TF och YGL är tänkta att skydda. Till skillnad från dessa grundlagar är dataskyddsförordningen och dataskyddslagen anpassade för just behandling av personuppgifter och dataskyddsregleringen framstår därför som ett mer ändamålsenligt regelverk för söktjänster. Därtill innebär
en tillämpning av dataskyddsregleringen på dessa verksamheter att skyddet för den personliga integriteten stärks. Utredningen bedömer således att flertalet av de problem som förknippas med söktjänster kan åtgärdas genom att dataskyddsregleringen blir tillämplig vid söktjänsternas personuppgiftsbehandling.
Ett grundlagsundantag bör vidare utformas så att undantaget från TF och YGL blir så litet som möjligt. Grundlagsskyddet ska således inte inskränkas mer än vad som är nödvändigt för att komma till rätta med de problem som har påtalats.
Hur kan ett grundlagsundantag utformas?
Det finns ett par frågeställningar som behöver beröras när det gäller omfattningen och utformningen av ett nytt grundlagsundantag. Till att börja med finns det skäl att diskutera vilken typ av personuppgifter som bör omfattas av undantaget och vilka andra krav som bör ställas för att grundlagsundantaget ska kunna tillämpas. Därtill bör frågan ställas vilka begränsningar som lagstiftaren ska kunna göra i vanlig lag på området för undantaget.
Vilka personuppgifter bör omfattas?
Som nämnts är tanken med ett grundlagsundantag på detta område att dataskyddsförordningen och dataskyddslagen ska kunna tilllämpas vid söktjänsternas personuppgiftsbehandling. Det är därför naturligt att utgå från dataskyddsförordningens definition av personuppgifter vid utformningen av undantagsbestämmelserna. När det fortsättningsvis talas om personuppgifter avses alltså det EU-rättsliga begreppet, vilket innefattar varje upplysning om en identifierad eller identifierbar fysisk person (se artikel 4.1 dataskyddsförordningen).
Användningen av uttrycket varje upplysning innebär att begreppet personuppgifter kan gälla i princip all typ av information förutsatt att den avser en identifierad eller identifierbar fysisk person. Tidigare förslag om grundlagsundantag för personuppgifter har varit begränsade till de uppgifter som ansetts mest integritetskänsliga. Det har dels rört sig om s.k. känsliga personuppgifter enligt artikel 9 dataskyddsförordningen, dels personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott enligt
artikel 10 dataskyddsförordningen (härefter personuppgifter om lagöverträdelser). Vad gäller de känsliga personuppgifterna har förslagen lett fram till de befintliga undantagsbestämmelserna i 1 kap. 13 § TF och 1 kap 20 § YGL.
Utredningen bedömer att söktjänster som tillhandahåller personuppgifter om lagöverträdelser kan utgöra ett allvarligt ingrepp i enskildas personliga integritet och att grundlagsskyddet bör kunna begränsas vid offentliggörande av den här typen av uppgifter. Utredningen har i den delen kommit fram till samma slutsats som Mediegrundlagskommittén och 2018 års tryck- och yttrandefrihetskommitté.
De problem som är förknippade med söktjänster är dock som framgått inte enbart hänförliga till personuppgifter om lagöverträdelser. Även offentliggörande av personuppgifter som t.ex. adress, inkomstuppgifter och ålder kan förorsaka problem för enskilda. Därtill upplever många att mängden personlig information som offentliggörs i vissa söktjänster inkräktar på den personliga integriteten, även om varje enskild uppgift inte framstår som integritetskänslig. Utredningen har därför kommit fram till att det bör finnas förutsättningar att undanta alla typer av personuppgifter från grundlagsskyddet.
Vilka andra krav bör ställas för undantag?
Som framgått är personuppgifter ett mycket vitt begrepp som innefattar alla upplysningar om en identifierad eller identifierbar fysisk person. För att grundlagsundantaget inte ska bli större än vad som är motiverat behöver därför undantaget avgränsas ytterligare.
En sådan avgränsning av undantagets tillämpningsområde kan enligt utredningens mening göras utifrån i huvudsak två olika faktorer: sättet på vilket personuppgifterna tillhandahålls och syftet med tillhandahållandet. Det är möjligt att låta enbart en av dessa faktorer vara avgörande för avgränsningen men faktorerna kan också kombineras.
Utredningens ställningstagande innebär vidare att det bör finnas förutsättningar att undanta alla typer av personuppgifter från grundlagsskyddet. Olika typer av personuppgifter kan dock vara
olika känsliga ur integritetssynpunkt. Det kan därför finnas anledning att även beakta uppgifternas karaktär vid avgränsningen.
Utredningen har övervägt olika modeller för att avgränsa undantaget och då identifierat två huvudsakliga tillvägagångssätt. I den (1) första modellen riktas bestämmelserna mot just söktjänster, vilket innebär att sättet för tillhandahållandet blir en faktor som avgränsar undantaget. Den (2) andra modellen innebär i stället att själva syftet med tillhandahållandet blir avgörande för tillämpningsområdet. I en sådan modell saknar det alltså betydelse om personuppgifterna offentliggörs i en söktjänst eller inte.
Det är i enlighet med den första modellen som de nuvarande undantagsbestämmelserna för känsliga personuppgifter har utformats. Grundlagsundantaget för känsliga personuppgifter gäller således endast för personuppgifter som ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa (se 1 kap. 13 § andra stycket 1 TF och 1 kap. 20 § andra stycket 1 YGL).
Med uppgiftssamling avses i detta sammanhang vad som enligt ett vardagligt språkbruk kan anses utgöra ett register. Uppgifterna ska ha samlats ihop och gjorts sökbara eller möjliga att sammanställa. Uttrycket omfattar även rent manuella samlingar av uppgifter som t.ex. hämtats från skriftliga dokument och ställts samman till ett register. (Se avsnitt 3.1.1 samt prop. 2017/18:49 s. 150 f. och s. 189.)
En avgränsning som enbart utgår från uppgiftsamlingens sökfunktion riskerar dock att leda till att även yttranden som kan sägas röra själva kärnan av det som TF och YGL är avsedda att skydda kan komma att omfattas av grundlagsundantaget. Det skulle t.ex. kunna bli fallet om det i anslutning till en redaktions granskning av kommunpolitiker publiceras en lista över politiker i kommunfullmäktige som har dömts för brott. I det exemplet skulle listan kunna omfattas av grundlagsundantaget. Samma sak kan gälla för en sammanställning av nätverkskriminella som publiceras i anslutning till en kartläggning av den organiserade brottsligheten. En sådan ordning vore inte acceptabel. Därför måste en modell som riktar in sig mot söktjänster innehålla ytterligare krav för att undantaget inte ska innebära en alltför stor inskränkning i yttrandefriheten.
Detta är skälet till att man i befintliga undantagsbestämmelser för känsliga personuppgifter har gjort ett tillägg som innebär att
endast vissa kvalificerade situationer omfattas, dvs. sådana fall i vilka det finns särskilda risker för otillbörliga integritetsintrång. Därtill preciseras vad som ska ligga till grund för bedömningen av eventuella risker för otillbörliga intrång i enskildas personliga integritet. Ett liknande tillägg finns i kreditupplysningsundantaget. I den bestämmelsen förekommer dock inte någon precisering av uttrycket otillbörligt intrång i enskilds personliga integritet (se 1 kap. 12 § 5 TF).
Utredningen bedömer att yttrandefrihetsintresset talar för att ett nytt grundlagsundantag på personuppgiftsområdet bör vara så tydlig avgränsat som möjligt för att undvika osäkerhet beträffande mediegrundlagarnas tillämpningsområde. I en modell med ett otillbörlighetsrekvisit bör det därför anges i lagtexten vilka faktorer som ska ligga till grund för otillbörlighetsbedömningen. Det presenteras i följande avsnitt två alternativ som utgår från en sådan regleringsmodell.
Vad som skiljer alternativen åt är utformningen av otillbörlighetskravet. I det första alternativet prövas risken för otillbörligt intrång i förhållande till verksamheten. Sättet på vilket personuppgifterna tillhandahålls får fullt genomslag. I det andra alternativet grundar sig i stället bedömningen på det enskilda tillhandahållandet av personuppgifter. Därtill beaktas andra kriterier såsom uppgifternas karaktär och syftet med tillhandahållandet.
Det andra sättet för att uppnå en ändamålsenlig avgränsning av grundlagsundantaget är som nämnts att låta syftet med tillhandahållandet vara ensamt avgörande för tillämpningsområdet. Redan i dag avgränsas grundlagarnas tillämpningsområde genom ändamålstolkning (se bl.a. ”Trisskrapningarna” NJA 2023 s. 211 beträffande marknadsföring). Ett grundlagsundantag enligt denna modell innebär att all personuppgiftsbehandling som inte har visst syfte undantas från mediegrundlagarna. Personuppgiftsbehandling vars ändamål berör själva kärnområdet för TF och YGL kommer därmed även fortsättningsvis att omfattas av grundlagarna. Modellen innebär vidare att det enskilda tillhandhållandet av personuppgifter är i fokus. Det tredje alternativet nedan är utformat enligt denna modell.
Vad ska delegeras till lagstiftaren?
I det befintliga undantaget för känsliga personuppgifter i 1 kap. 13 § TF och 1 kap. 20 § YGL anges inledningsvis att mediegrundlagarna inte hindrar att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter. Detta stadgande innebär att lagstiftaren ges möjlighet att i lag föreskriva om förbud i de delar som omfattas av undantagsbestämmelserna. Utformningen av undantaget medger också tillämpning av redan befintlig lagstiftning på området. Med lag jämställs EU-förordning, vilket inbegriper dataskyddsförordningen. (Se bl.a. rättsfallet HFD 2024 ref. 43.)
I likhet med vad som är fallet beträffande undantagen i 1 kap. 12 § TF inkluderar ovan nämnda stadgande även en möjlighet att föreskriva om åtgärder som är mindre ingripande än förbud. Det kan t.ex. avse olika typer av villkor såsom att uppgifter om namn, personnummer och adress inte får behandlas på visst sätt. Vidare öppnar undantagsbestämmelserna för straffpåföljder och andra typer av rättsverkan av överträdelser, t.ex. sanktionsavgifter och skadestånd. (Jfr bl.a. prop. 1973:123 s. 47 f., prop. 2001/02:64 s. 55 och prop. 2017/18:49 s. 188.)
Ett undantag för personuppgifter med den nu beskrivna utformningen innebär alltså att dataskyddsförordningen och dataskyddslagen kan tillämpas på området för undantagsbestämmelserna. Bedömningen är att detta innebär en fördel eftersom dataskyddsregleringen syftar till att reglera just personuppgiftsbehandling. Dataskyddsregleringen är därför en mer ändamålsenlig reglering för söktjänster än mediegrundlagarna. Flertalet av de problem som förknippas med dessa verksamheter kan åtgärdas med ett sådant undantag.
I mediegrundlagarna förekommer även andra sätt att avgränsa området för delegationen. Det nämns särskilt i utredningens direktiv att ett alternativ kan vara att direkt i grundlag reglera vilka begränsningar som kan göras i vanlig lag. Ett exempel på den typen av undantagsbestämmelse finns i 1 kap. 12 § 5 TF som tar sikte på kreditupplysningsverksamhet. I den bestämmelsen har vissa tillägg gjorts i syfte att just förtydliga vilka begränsningar som går att göra i vanlig lag (se prop. 2013/14:47 s. 19 f.). Det anges således att TF inte hindrar att det i lag meddelas föreskrifter om förbud mot offentliggörande i yrkesmässig kreditupplysningsverksamhet av
kreditupplysning som innebär otillbörligt intrång i enskilds personliga integritet eller som innehåller oriktig eller missvisande uppgift, om ersättningsskyldighet för sådant offentliggörande, om krav på berättigat behov hos den som beställer kreditupplysningen, om skyldighet att lämna information till den som avses med upplysningen och om rättelse av oriktig eller missvisande uppgift.
Syftet med ett undantag för personuppgifter enligt den modell som används för kreditupplysningsverksamhet skulle enligt utredningens mening vara att begränsa lagstiftarens möjlighet till reglering på personuppgiftsområdet. I praktiken skulle det innebära att endast delar av dataskyddsregleringen blir tillämplig för de aktörer som omfattas av undantaget.
En utgångspunkt för bedömningen av vad som bör delegeras till lagstiftaren vid ett undantag enligt kreditupplysningsmodellen bör vara skyddet för personuppgifter i artikel 8 i EU-stadgan. Av denna bestämmelse följer bl.a. att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har vidare rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska därtill kunna kontrollera att dessa regler följs. Med beaktande av detta och för att modellen ska kunna komma till rätta med de problem som förknippas med söktjänster, bedömer utredningen att ett undantag behöver möjliggöra tillämpning av bestämmelserna om ändamålsbegränsning (artikel 5.1 b), uppgiftsminimering (artikel 5.1 c), rättslig grund (artikel 6), skyldighet att lämna information om personuppgiftsbehandling till den registrerade (artikel 13–15), rättelse av oriktig eller ofullständig personuppgift (artikel 16), radering av personuppgift (artikel 17), tillsyn (kap. VI) och sanktionsavgifter (artikel 83). Kompletterande bestämmelser i dataskyddslagen behöver också kunna tillämpas. Det behövs vidare en fortsatt särreglering av känsliga personuppgifter för att skyddet för dessa uppgifter inte ska försvagas.
En fördel med den sistnämnda modellen är att den ger uttryck för en tydlig avvägning från grundlagsstiftaren mellan intresset för yttrandefrihet å ena sidan och intresset för den personliga integriteten å andra sidan. Resultatet av denna avvägning innebär dock ett svagare skydd för personuppgifter än vad som följer av den modell som används i det befintliga undantaget för känsliga personupp-
gifter. Därtill kan ett grundlagsundantag som medför att endast delar av dataskyddsregleringen blir tillämplig vara problematisk ur ett EU-rättsligt perspektiv. Det är osäkert vilket utrymme som artikel 85 i dataskyddsförordningen ger för nationell särreglering i detta avseende och det finns en risk att regleringen kan komma i konflikt med EU-rätten. Såsom beskrivits i avsnitt 5.3.4 har t.ex. vissa svenska domstolar ifrågasatt om söktjänster faller inom undantaget för journalistiskt ändamål i artikel 85.2. Frågan kan dessutom inom en snar framtid bli föremål för EU-domstolens prövning (se Attunda tingsrätts beslut den 1 mars 2024 i mål nr T 3743-23).
Utredningen bedömer därför att delegationen till lagstiftaren bör utformas på samma sätt som i undantaget för känsliga personuppgifter. Samtliga alternativ som presenteras nedan inleds därför med stadgandet att TF och YGL inte hindrar att bestämmelser meddelas i lag om förbud mot offentliggörande eller behandling av personuppgifter. Därmed saknas skäl att ha skilda undantagsbestämmelser för olika kategorier av personuppgifter. Samtliga alternativ innebär därför att de befintliga undantagsbestämmelserna för känsliga personuppgifter ändras.
I bilaga 2 redovisas hur alternativen nedan skulle kunna se ut vid en utformning av undantagen i enlighet med den modell som används för kreditupplysningsverksamhet.
Tre alternativ för utformningen av ett grundlagsundantag
Alternativ 1 – Tillämpningsområdet för befintligt undantag utökas
Delegationsbestämmelserna i 1 kap. 13 § TF och 1 kap. 20 § YGL utökas till att omfatta samtliga personuppgifter.
Det första alternativet utgår från den befintliga regleringen avseende offentliggörande av känsliga personuppgifter i 1 kap. 13 § TF och 1 kap. 20 § YGL. Alternativet innebär att tillämpningsområdet för dessa undantagsbestämmelser utökas till att omfatta samtliga personuppgifter. Därmed utgår uppräkningen av vissa kategorier av personuppgifter som i dag finns i bestämmelsernas första stycke.
Alternativet innebär att bestämmelserna i 1 kap. 13 § TF och 1 kap. 20 § YGL får följande lydelse.
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter. Vad som anges i första stycket gäller endast om
1. Personuppgifterna ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa, och
2. det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet.
Detta alternativ innebär att grundlagsundantaget är avgränsat till att omfatta uppgiftssamlingar som har ordnats så att det är möjligt att söka efter eller sammanställa personuppgifter. Med detta uttryck avses framför allt söktjänster. Därutöver avgränsas undantagets tillämpningsområde till situationer där det finns särskilda risker för otillbörliga integritetsintrång.
Bedömningen av om det finns risker för otillbörliga intrång ska i det här alternativet göras på det sätt som redan sker för känsliga personuppgifter. Avgörande för undantagets tillämpningsområde är därmed om det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet. Utgångspunkten för otillbörlighetsbedömningen är således det sätt på vilken uppgiftssamlingen tillhandahålls.
Modellen möjliggör en bred prövning av de omständigheter under vilka tillhandahållandet sker i det enskilda fallet. Bedömningsgrunder av betydelse kan t.ex. vara tjänsternas sök- och sammanställningsfunktioner, formerna för tillhandahållandet, vilken typ av uppgifter som tillhandahålls och syftet med verksamheten. Uppgiftssamlingens målgrupp, dvs. den tänkta eller faktiska användarkretsen, har däremot inte någon självständig betydelse vid bedömningen av om det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet. (Jfr bet. 2017/18:KU16 s. 41 samt prop. 2017/18:49 s. 152 f. och s. 188 f.)
Tjänster med särskilda sökfält för någon eller några personuppgifter eller som erbjuder en personanknuten sammanställning innebär normalt sett en risk för otillbörliga intrång i den personliga integriteten. Även tjänster med en generell struktur som gör det möjligt
att söka efter uppgifter med fritextsökning kan dock i vissa fall vara problematiska ur integritetssynpunkt. Skillnaderna är inte så stora att avsaknaden av särskilda sökfält för personuppgifter utesluter bestämmelsernas tillämplighet. Förekomsten av s.k. följdfunktioner som innebär att den som använder funktionen får en avisering när uppgifter ändras rörande den person man följer, är en annan omständighet som typiskt sett innebär risker för otillbörliga integritetsintrång.
Även vilken typ av uppgifter som tillhandahålls i en uppgiftssamling kan ha betydelse för otillbörlighetsbedömningen. Risken för integritetsintrång är t.ex. i allmänhet större med en söktjänst som offentliggör känsliga personuppgifter enligt artikel 9 eller personuppgifter om lagöverträdelser enligt artikel 10 dataskyddsförordningen än med en uppgiftssamling som enbart innehåller adressuppgifter. Även offentliggöranden av personnummer och samordningsnummer innebär en ökad risk för integritetsintrång bl.a. på grund av förekomsten av id-kapning.
En helhetsbedömning enligt detta alternativ innebär dock att syftet med verksamheten också behöver vägas in. Uppgiftssamlingar vars syfte berör själva kärnan av vad mediegrundlagarna är tänkta att skydda, i detta sammanhang främst den fria nyhetsförmedlingen och den obeskurna politiska debatten, kan inte anses vara otillbörliga (jfr SOU 1947:60 s. 120 och prop. 1948:230 s. 172). En uppgiftssamling som tillhandahålls som ett led i en journalistisk granskning kan därmed inte anses medföra särskilda risker för otillbörliga integritetsintrång för de personer som förekommer i uppgiftssamlingen. Undantaget är t.ex. inte tänkta att ge utrymme för lagstiftning som rör situationen att det i anslutning till en redaktions granskning av kommunpolitiker publiceras en lista över politiker i kommunfullmäktige som är dömda för brott.
Det ovan sagda innebär inte att en söktjänst alltid faller utanför grundlagsundantaget när det på samma webbsida som söktjänsten tillhandahålls redaktionellt material. Det är i första hand söktjänstverksamheten som ska bedömas och inte all övrig verksamhet som kan förekomma på samma webbplats. En förutsättning för att söktjänsten ska falla utanför grundlagsundantaget i exemplet ovan är därför att det finns ett samband mellan den journalistiska granskningen och uppgifterna som tillhandahålls i uppgiftssamlingen.
Om syftet med tjänsten däremot är att tillgängliggöra personuppgifter finns det typiskt sett en risk för otillbörliga intrång i den personliga integriteten. Så är t.ex. fallet med de uppgiftssamlingar som ibland kallas för personsöktjänster. Detsamma gäller i regel de söktjänster som erbjuder möjligheten att ta reda på om enskilda har varit inblandade i t.ex. brottmål eller tvistemål.
Om syftet med söktjänsten inte är att tillgängliggöra personuppgifter utan att tillhandahålla rätts- och myndighetspraxis är integritetsrisken oftast mindre. Detsamma gäller helt klart om tjänsten syftar till att underlätta journalistisk granskning eller har något annat ändamål som rör den fria åsiktsbildningen. Undantaget är således inte tänkt att tillämpas på uppgiftssamlingar som har ett journalistiskt syfte oavsett om personuppgifterna tillhandahålls som ett led i en publicering eller för att underlätta researcharbetet inför en publicering.
Vid bedömningen av risken för otillbörliga integritetsintrång har dock formerna under vilka uppgiftssamlingen hålls tillgänglig stor betydelse. Om söktjänsten är utformad på ett sådant sätt att den kan användas till annat än att ta del av rätts- och myndighetspraxis eller för journalistisk granskning kan det därför ändå finnas sådana integritetsrisker att tjänsten faller under grundlagsundantaget. Vid bedömningen av undantagets räckvidd kan det således ha betydelse vilka åtgärder som har vidtagits för att försvåra sökning på enskilda personer eller, i förekommande fall, för att säkerställa att tjänsterna enbart används för att underlätta journalistisk granskning.
Det bör framhållas att det inte görs någon principiell åtskillnad mellan traditionell media och andra aktörer. Vem som offentliggör uppgifterna saknar alltså betydelse för bedömningen av undantagets avgränsning. En betydande marginal ska som nämnts tillämpas i fråga om vad som faller inom det grundlagsskyddade området. Yttrandefriheten får med andra ord inte ge vika för intresset av att skydda enskildas integritet i gränsfall eller svårbedömda situationer.
Alternativ 2 – Ett ändrat otillbörlighetskrav
Delegationsbestämmelserna i 1 kap. 13 § TF och 1 kap. 20 § YGL utökas till att omfatta samtliga personuppgifter.
Vidare ändras bestämmelserna så att de tillämpas endast om offentliggörandet innebär särskilda risker för otillbörliga intrång i enskildas personliga integritet. Vid bedömningen av risken för otillbörligt intrång i enskildas personliga integritet ska särskilt beaktas
1. personuppgifternas karaktär,
2. omfattningen av offentliggörandet, och
3. syftet med offentliggörandet.
Även detta alternativ tar sin utgångspunkt i de befintliga undantagsbestämmelserna för känsliga personuppgifter i 1 kap. 13 § TF och 1 kap. 20 § YGL. I likhet med alternativ 1 utökas tillämpningsområdet för dessa undantagsbestämmelser till att omfatta samtliga personuppgifter.
Av redaktionella skäl flyttas vidare kravet på att personuppgifterna ingår i en uppgiftssamling från bestämmelsernas andra stycke 1 till första stycket. Detta är dock inte avsett att medföra någon ändring i sak.
Skillnaden i förhållande till föregående alternativ är att utformningen av otillbörlighetskravet ändras i syfte att tillmötesgå delar av den kritik som bl.a. KU riktat mot tidigare lagförslag på området (se bet. 2017/18:KU16 s. 41 och bet. 2021/22:KU14 s. 29 f.).
Alternativet innebär att undantagsbestämmelserna får följande lydelse.
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter som ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa. Vad som anges i första stycket gäller endast om offentliggörandet innebär särskilda risker för otillbörliga intrång i enskildas personliga integritet. Vid denna bedömning ska särskilt beaktas
1. personuppgifternas karaktär,
2. omfattningen av offentliggörandet, och
3. syftet med offentliggörandet.
Undantagsbestämmelsernas tillämpningsområde är alltså även i denna modell begränsat till personuppgifter som ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa. I likhet med föregående alternativ finns det även ett otillbörlighetskrav som därutöver avgränsar undantaget.
Skillnaden i förhållande till föregående alternativ är som nämnts att otillbörlighetskravet är utformat på ett annat sätt. I detta alternativ är otillbörlighetsbedömningen kopplad till offentliggörandet av personuppgifter i stället för till verksamheten. Det blir därmed det enskilda tillhandahållandet som kommer att ligga till grund för bedömningen. Därtill införs nya kriterier för bedömningen av risken för otillbörliga intrång i enskildas personliga integritet. Det ska vid bedömningen av den risken särskilt beaktas personuppgifternas karaktär, omfattningen av offentliggörandet och syftet med offentliggörandet.
Alternativet är utformat för att tillåta en helhetsbedömning av nämnda kriterier. Även om exempelvis personuppgifternas karaktär talar för att offentliggörandet innebär särskilda risker för otillbörligt intrång i enskildas personliga integritet, kan syftet med offentliggörandet i vissa fall medföra att tillhandahållandet av personuppgifter inte anses vara otillbörligt. Om syftet med offentliggörandet är att tillgängliggöra personuppgifter kan dock bedömningen bli den motsatta, utan hänsyn till personuppgifternas karaktär och omfattningen av offentliggörandet.
Uppräkningen av omständigheter av betydelse för bedömningen av risken för otillbörligt intrång i enskildas personliga integritet är inte uttömmande. Det finns ett begränsat utrymme för att även beakta andra förhållanden som i det enskilda fallet kan ha betydelse för otillbörlighetsbedömningen.
Med personuppgifternas karaktär avses den typ av personuppgifter som offentliggörs. Såsom anförts under alternativ 1 är känsliga personuppgifter enligt artikel 9 och personuppgifter om lagöverträdelser enligt artikel 10 dataskyddsförordningen i allmänhet integritetskänsliga. Offentliggörandet av sådana uppgifter talar därför typiskt sett för att det finns särskilda risker för otillbörliga intrång i enskildas personliga integritet. Även offentliggörande av person- och samordningsnummer innebär en ökad risk för integritetsintrång, bl.a. på grund av förekomsten av id-kapning.
Med omfattningen av offentliggörandet avses mängden personuppgifter som offentliggörs om varje enskild person. Även om varje uppgift i sig inte är integritetskänslig kan uppgifterna sammantaget ge en översikt av en enskilds personliga förhållanden som blir problematisk ur integritetssynpunkt. Så kan t.ex. vara fallet om det i en uppgiftssamling går att söka på personnamn eller personnummer och därigenom få uppgift om personens adress, ålder och inkomst. Sådana sammanställningar av personlig information kan användas av kriminella för att t.ex. välja ut brottsoffer för bedrägerier. Omfattningen av offentliggörandet kan därmed medföra särskilda risker för otillbörliga integritetsintrång.
Slutligen får syftet med offentliggörandet betydelse för otillbörlighetsbedömningen. Om offentliggörandet utgör ett led i den fria åsiktsbildningen, kan det inte anses vara otillbörligt. I det här sammanhanget brukar den fria nyhetsförmedlingen och den obeskurna politiska debatten lyftas fram (jfr SOU 1947:60 s. 120 och prop. 1948:230 s. 172). I likhet med alternativ 1 kan en uppgiftssamling som tillhandahålls som ett led i en journalistisk granskning inte anses medföra särskilda risker för otillbörliga integritetsintrång för de personer som förekommer i uppgiftssamlingen. Undantaget är t.ex. inte tänkt att ge utrymme för lagstiftning som rör situationen att det i anslutning till en redaktions granskning av kommunpolitiker publiceras en lista över politiker i kommunfullmäktige som är dömda för brott.
Eftersom det är det enskilda offentliggörandet som ska bedömas förutsätter dock exemplet ovan att det finns ett samband mellan den journalistiska granskningen och uppgifterna som tillhandahålls i uppgiftssamlingen. En söktjänst som tillhandahåller personuppgifter faller därför inte utanför grundlagsundantaget enbart för att det på samma webbsida förekommer redaktionellt material.
Om syftet med offentliggörandet är att tillgängliggöra personuppgifter finns det typiskt sett en risk för otillbörliga intrång i den personliga integriteten. Så är t.ex. fallet med de uppgiftssamlingar som ibland kallas för personsöktjänster. Detsamma gäller i regel de söktjänster som erbjuder möjligheten att ta reda på om enskilda har varit inblandade i t.ex. brottmål eller tvistemål.
Om syftet med offentliggörandet inte är att tillgängliggöra personuppgifter utan att tillhandahålla rätts- och myndighetspraxis är integritetsrisken oftast mindre. Detsamma gäller helt klart om
offentliggörandet syftar till att underlätta journalistisk granskning eller har något annat ändamål som rör den fria åsiktsbildningen. Detta undantag är inte tänkt att tillämpas på uppgiftssamlingar som har ett journalistiskt syfte oavsett om personuppgifterna tillhandahålls som ett led i en publicering eller för att underlätta researcharbetet inför en publicering.
Som nämnts är uppräkningen av omständigheter av betydelse för bedömningen av risken för otillbörligt integritetsintrång inte uttömmande. I likhet med alternativ 1 kan det ha betydelse för otillbörlighetsbedömningen om söktjänsten är utformad på ett sådant sätt att den kan användas i annat syfte än att ta del av rätts- och myndighetspraxis eller underlätta journalistisk granskning. Det kan därför finnas skäl att beakta vilka åtgärder som har vidtagits för att försvåra sökning på enskilda personer eller, i förekommande fall, för att säkerställa att tjänsterna enbart används för att underlätta journalistisk granskning.
Liksom i föregående alternativ görs inte någon principiell åtskillnad mellan traditionell media och andra aktörer. Även offentliggöranden av andra aktörer än journalister och traditionella medieföretag kan således ha ett sådant syfte som medför att offentliggörandet inte kan anses vara otillbörligt även om uppgifternas karaktär eller omfattningen av offentliggörandet talar i motsatt riktning. En betydande marginal ska som nämnts tillämpas i fråga om vad som faller inom det grundlagsskyddade området.
Alternativ 3 – Undantag för all personuppgiftsbehandling som inte sker för journalistiska ändamål m.m.
Delegationsbestämmelserna i 1 kap. 13 § TF och 1 kap. 20 § YGL utökas till att omfatta samtliga personuppgifter.
Vidare ändras bestämmelserna på så sätt att all personuppgiftsbehandling som inte sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande omfattas av undantaget.
Liksom i föregående alternativ utökas tillämpningsområdet för de befintliga undantagsbestämmelserna för känsliga personuppgifter i 1 kap. 13 § TF och 1 kap. 20 § YGL till att omfatta samtliga per-
sonuppgifter. Skillnaden i förhållande till övriga alternativ är att metoden för att ytterligare avgränsa undantagets tillämpningsområde här är en annan. I detta alternativ riktas inte undantaget in mot söktjänster. Syftet med personuppgiftsbehandlingen är i stället ensamt avgörande för avgränsningen.
Alternativet innebär att undantagsbestämmelserna får följande lydelse.
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot behandling av personuppgifter. Vad som anges i första stycket gäller inte behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Detta alternativ innebär att grundlagsundantaget blir tillämpligt vid all personuppgiftsbehandling som inte sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Avgörande för avgränsningen av grundlagsundantaget är därmed syftet med personuppgiftsbehandlingen. Med personuppgiftsbehandling avses detsamma som i dataskyddsförordningen.
Till skillnad från de två föregående alternativen kan personuppgiftsbehandling inom andra områden än söktjänstverksamhet omfattas av detta alternativ. Undantaget är här inte heller begränsat till offentliggörande av personuppgifter utan omfattar all personuppgiftsbehandling som inte sker för journalistiska ändamål m.m. Även insamling och registrering av personuppgifter kan alltså falla under undantaget. Det bör dock framhållas att utvidgningen av tillämpningsområdet inte innebär att censurförbudet åsidosätts. I likhet med vad som i allmänhet gäller för materiella undantag medger inte utformningen av detta alternativ något avsteg från förbudet mot censur (se avsnitt 3.1.3).
Undantaget är vidare inriktat mot den enskilda personuppgiftsbehandlingen. Även om verksamhetens karaktär kan ha betydelse är det personuppgiftsbehandlingen i det enskilda fallet som ska bedömas.
Begreppen journalistiska ändamål och akademiskt, konstnärligt eller litterärt skapande förekommer även i artikel 85.2 dataskyddsförordningen och 1 kap. 7 § andra stycket dataskyddslagen. Utgångspunkten är att innebörden av begreppen i grundlagsundantaget i huvudsak ska överensstämma med motsvarande begrepp inom EU-rätten. På så sätt kommer skyddet för den personliga integriteten i Sverige bli mer likvärdigt det skydd som tillhandahålls på
europeisk nivå. Begreppen i mediegrundlagarna har dock en självständig betydelse som ska tolkas bl.a. utifrån grundlagarnas syfte (se 1 kap. 1 § TF och 1 kap. 1 § YGL). Det får som följd att en betydande marginal ska tillämpas i fråga om vad som faller inom det grundlagsskyddade området och att intresset för yttrandefrihet inte får ge vika för intresset av att skydda enskildas integritet i gränsfall eller svårbedömda situationer (jfr bet. 2017/18:KU16 s. 41).
Av störst praktisk betydelse för undantagets avgränsning har begreppet journalistiskt ändamål. Med journalistiskt ändamål avses sådan verksamhet som syftar till att sprida information, åsikter eller idéer till allmänheten. Den typ av arbete bedrivs t.ex. av nyhetsredaktioner och nyhetsbyråer. Verksamheten behöver dock inte utövas av yrkesverksamma journalister eller medieföretag för att kunna anses ha ett journalistiskt ändamål. Begreppet omfattar även andra aktörer som ängar sig åt att sprida information, åsikter eller idéer till allmänheten.
Begreppet journalistiskt ändamål tar alltså sikte på karaktären av den verksamhet som bedrivs. Begreppet innefattar däremot inte någon bedömning av yttrandets kvalité. Vad som är god journalistik saknar således betydelse för avgränsningen av grundlagsskyddet.
Som nämnts innebär dock utformningen av detta alternativ att det är personuppgiftsbehandlingen i det enskilda fallet som ska bedömas. Att en verksamhet har ett journalistiskt ändamål utesluter inte att det inom ramen för denna skulle kunna förekomma behandling av personuppgifter som inte kan anses ha ett sådant ändamål. Publicering av uppgifter av rent privat karaktär kan exempelvis normalt inte anses ha ett journalistiskt ändamål helt oberoende av om publiceringen sker i ett sammanhang som i övrigt har sådana ändamål. (Jfr rättsfallet NJA 2001 s. 409.)
I uttrycket personuppgiftsbehandling som sker för journalistiskt ändamål innefattas inte bara offentliggörande av uppgifter. All personuppgiftsbehandling som utgör ett led i den publicistiska processen kan som framgått omfattas av uttrycket, dvs. även anskaffning och bearbetning av uppgifter. Avgörande är att personuppgiftsbehandlingen syftar till att sprida information, åsikter eller idéer till allmänheten. Det krävs därmed inte att anskaffningen och bearbetningen faktiskt leder till publicering så länge som syftet vid
personuppgiftsbehandlingen var att behandlingen skulle leda till ett offentliggörande.
Av det sagda följer att begreppet journalistiska ändamål har en vid innebörd. Det innebär dock inte att allt tillhandahållande av personuppgifter kan anses ske för journalistiskt ändamål. Ett exempel på tillhandahållande som i regel saknar ett sådant ändamål är offentliggörande av personuppgifter i söktjänster. Dessa söktjänster tillgängliggör visserligen personuppgifter men tillgängliggörandet syftar i allmänhet inte till att sprida information, åsikter eller idéer till allmänheten. Detta gäller oavsett vilken typ av personuppgifter som tillhandahålls. Söktjänsters personuppgiftsbehandling kommer därför i de flesta fall att omfattas av grundlagsundantaget.
Däremot är inte avsikten att grundlagsundantaget ska träffa uppgiftssamlingar som tillhandahålls som ett led i en journalistisk granskning. Inte heller detta alternativ är alltså tänkt att omfatta den situationen att det i anslutning till en redaktions granskning publiceras en sammanställning av personuppgifter med anknytning till granskningen. En förutsättning för att sammanställningen med personuppgifter ska falla utanför grundlagsundantaget är dock att det finns ett samband mellan den journalistiska granskningen och sammanställningen.
Som nämnts kan all behandling av personuppgifter som utgör ett led i den publicistiska processen anses ha ett journalistiskt ändamål. I det förlopp som föregår en publicering får det anses vanligt att man använder sig av fristående söktjänster t.ex. för research eller för att kontrollera de uppgifter som är tänkta att publiceras. Att en söktjänst kan användas för journalistiskt ändamål medför dock inte att allt tillhandahållande av personuppgifter som sker genom denna tjänst kan anses ha ett sådant ändamål. Om söktjänsten även kan nyttjas av aktörer vars verksamhet inte syftar till att sprida information, åsikter eller idéer till allmänheten kan tillgängliggörandet av personuppgifter i regel inte anses ske för journalistiska ändamål. I praktiken kan det därför även i detta alternativ få betydelse vilka åtgärder som har vidtagits för att säkerställa att tjänsterna enbart används för att underlätta journalistisk granskning.
Utöver behandling av personuppgifter som sker för journalistiska ändamål faller även behandling som sker för akademiskt, konstnärligt eller litterärt skapande utanför grundlagsundantagets tillämpningsområde. Även dessa begrepp tar sikte på karaktären av
den verksamhet som bedrivs. Begreppen innefattar därmed inte någon bedömning av yttrandenas kvalité.
9.3. Hur bör grundlagsundantaget utformas?
Förslag: Delegationsbestämmelserna i 1 kap. 13 § TF och 1 kap.
20 § YGL utökas till att omfatta samtliga personuppgifter.
Vidare ändras bestämmelserna så att de tillämpas endast om offentliggörandet innebär särskilda risker för otillbörliga intrång i enskildas personliga integritet. Vid bedömningen av risken för otillbörligt intrång i enskildas personliga integritet ska särskilt beaktas
1. personuppgifternas karaktär,
2. omfattningen av offentliggörandet, och
3. syftet med offentliggörandet.
9.3.1. Inledning
Som framgått i tidigare avsnitt bedömer utredningen att det finns behov av att inskränka grundlagsskyddet för söktjänster som offentliggör personuppgifter. Utredningen gör vidare bedömningen att den modell som bör användas för att stärka skyddet för personuppgifter i söktjänster är införandet av generella undantagsbestämmelser i TF och YGL. Utredningen har härvid presenterat tre alternativ för hur grundlagsundantag kan utformas för att stärka skyddet för personuppgifter i söktjänster.
Utredningen bedömer att alternativ 2 (Ett ändrat otillbörlighets-
krav) är den mest ändamålsenliga lösningen på de problem som är
förknippade med söktjänster. Det beror främst på att inskränkningen i grundlagsskyddet i detta alternativ är tydligt begränsad till vad som är nödvändigt för att komma till rätta med de problem som förknippas med söktjänster. Därtill innebär alternativ 2 att de synpunkter som bl.a. KU framfört beträffande tidigare förslag så långt som möjligt tillgodoses.
Nedan presenteras några för- och nackdelar som de olika alternativen för med sig inklusive en närmare motivering till varför
utredningen anser att ett grundlagsundantag i enlighet med alternativ 2 är det främsta av alternativen och därför bör införas.
9.3.2. För- och nackdelar med regleringsmodellen i alternativ 1 och 2
Som framgått ovan är undantagen i de två första alternativen avgränsade till att gälla uppgiftssamlingar som har ordnats så att det är möjligt att söka efter eller sammanställa personuppgifter, vilket innefattar söktjänster. Undantagen innehåller därtill ett tillägg som innebär att endast de fall i vilka det finns särskilda risker för otillbörliga intrång i enskildas personliga integritet, omfattas av grundlagsundantagen. Syftet med detta tillägg är att inskränkningen av grundlagsskyddet inte ska bli större än vad som är nödvändigt för att komma till rätta med de problem som förknippas med söktjänster.
Den regleringsmodell som används i alternativ 1 och 2 har flera fördelar. Modellen innebär till att börja med att grundlagsundantagen begränsas till att bara gälla de verksamheter som bedömts som mest problematiska ur integritetssynpunkt. Vidare får den här modellen anses göra det möjligt att i enskilda fall balansera intresset av att skydda enskildas personliga integritet mot intresset av yttrandefrihet.
Modellen utgår vidare från den befintliga regleringen av känsliga personuppgifter som har funnits och tillämpats sedan år 2019. Begreppet otillbörlighet förekommer dessutom i delegationsbestämmelsen för kreditupplysningsverksamhet och får anses etablerat i TF och YGL (se 1 kap. 12 § 5 TF).
En bedömning av om en uppgiftssamling är otillbörlig innefattar visserligen i någon mån en bedömning av innehållet i yttrandet. Det bör dock framhållas att samtliga materiella undantagsbestämmelser i mediegrundlagarna i viss utsträckning tar sikte på just innehållet. Detta är alltså inget unikt för de här undantagsbestämmelserna. I de alternativ som presenterats här är innehållet inte heller den enda faktorn som avgränsar undantagens tillämpningsområde. En grundläggande förutsättning för att undantagen ska kunna tillämpas är som nämnts att personuppgifterna ingår i en sök- eller sammanställbar uppgiftssamling.
En nackdel med den här typen av regleringsmodell är att den lämnar ett förhållandevis stort bedömningsutrymme för främst rättstillämparen att avgöra om en uppgiftssamling omfattas av grundlagsundantagen. I vissa fall kan därför osäkerhet uppstå beträffande vilket regelverk som ska tillämpas vid offentliggöranden av personuppgifter.
Liknande bedömningar av risken för otillbörligt integritetsintrång har visserligen ansetts acceptabla vad gäller det befintliga undantaget för känsliga personuppgifter. Det undantaget är dock avgränsat till viss typ av uppgifter som endast i begränsad utsträckning förekommer i den här typen av uppgiftsamlingar. Tanken med de undantag som nu diskuteras är att de ska omfatta samtliga typer av personuppgifter. Dessa undantag berör därmed betydligt fler aktörer. Söktjänsterna som träffas av undantagen har dessutom ett brett användningsområde som kan inkludera kärnan av det som mediegrundlagarna är avsedda att skydda. Exempelvis används söktjänster av journalister vid bl.a. research inför granskande reportage och nyhetsförmedling. Den osäkerhet som otillbörlighetskravet innebär blir därför mer problematisk när regleringsmodellen används beträffande alla typer av personuppgifter. Undantag görs ju bara om offentliggörandet innebär särskilda risker för otillbörliga intrång i enskildas personliga integritet.
Utredningen har övervägt möjligheten att förtydliga avgränsningen av undantagsbestämmelserna genom att använda mer detaljerade bedömningskriterier än vad som föreslås i alternativ 1 och 2. Den tekniska och mediala utvecklingen på området går dock snabbt och det är svårt att förutse hur uppgiftssamlingar, och då framför allt söktjänsterna på internet, kommer att utvecklas. Det finns därför en klar risk att alltför detaljerade kriterier kommer att kringgås. Bedömningskriterierna behöver därför vara generellt utformade. Därtill bör det finnas förutsättningar för en helhetsbedömning av omständigheterna i det enskilda fallet bl.a. för att säkerställa att bestämmelserna inte medför en för stor inskränkning i yttrandefriheten. Faran är annars att undantagen oavsiktligt träffar verksamheter som ur ett yttrandefrihetsperspektiv kan anses som skyddsvärda.
Det bör vidare framhållas att risken för kringgående av grundlagsundantagen under alla förhållanden är något större i alternativ 1 och 2 än i alternativ 3. Detta hänger samman med att undantagen
i alternativ 1 och 2 endast gäller uppgiftssamlingar som har ordnats så att det är möjligt att söka efter eller sammanställa personuppgifter. Uttrycket som används i lagtexten bedöms visserligen omfatta de söktjänster som förekommer i dagsläget. De kommersiella drivkrafterna att försöka kringgå dataskyddsförordningen är dock starka. Företrädare för vissa söktjänster har t.ex. påtalat att det kommer göras försök att anpassa de nuvarande tjänsterna för att de även fortsättningsvis ska omfattas av mediegrundlagarna. I den modell som används i alternativ 3 går det däremot inte att komma runt undantaget genom att ändra tjänsternas tekniska utformning.
Otillbörlighetsbedömningen i alternativ 1
Alternativ 1 innebär att otillbörlighetsbedömningen kommer att göras på samma sätt som redan sker vad gäller känsliga personuppgifter. Avgörande för grundlagsundantagets tillämpningsområde är således om det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet.
Bedömningen av risken för otillbörliga integritetsintrång är i detta alternativ alltså inriktad mot den verksamhet i vilken personuppgifterna tillhandahålls. Detta kan vara att en fördel vid tilllämpningen av frågeförbudet i 2 kap. 18 § TF. Frågeförbudet aktualiseras när någon begär ut allmänna handlingar. Myndigheten får då inte efterforska vem som begär ut handlingen eller vilket syfte som denna har ”i större utsträckning än vad som behövs för att myndigheten ska kunna pröva om det finns hinder mot att handlingen lämnas ut”. När handlingarna innehåller personuppgifter behöver myndigheten under vissa förutsättningar ta ställning till om uppgifterna omfattas av dataskyddssekretessen i 21 kap. 7 § OSL.
Dataskyddssekretessen har dock i regel inte ansetts tillämplig vid utlämnande av uppgifter till verksamheter som omfattas av mediegrundlagarna (se dock beträffande utvecklingen i rättspraxis i avsnitt 3.2.2). En myndighet kan därför vid en begäran om utlämnande av allmänna handlingar behöva pröva om TF och YGL är tillämpliga eller inte. Om grundlagsundantaget utformas i enlighet med alternativ 1 innebär det att myndigheten kan behöva ställa frågor om den verksamhet som sökanden bedriver. Myndigheten
behöver däremot inte veta vad uppgifterna ska användas till eller vad syftet är med begäran. Alternativ 2 och 3 är däremot inriktade mot det enskilda tillhandahållandet av personuppgifter, vilket innebär att myndigheten i den beskrivna situationen kan behöva ställa frågor om hur uppgifterna kommer att behandlas efter utlämnandet och i vilket syfte.
Skillnaden mellan alternativen vid tillämpningen av frågeförbudet bedöms dock ha begränsad praktisk betydelse. En följd av att dataskyddsregleringen blir tillämplig inom området för grundlagsundantagen är att de aktörer som träffas av undantagsbestämmelserna inte kommer kunna tillgängliggöra personuppgifter i samma utsträckning som i dag. Därmed minskar incitamenten för dessa aktörer att begära ut allmänna handlingar från myndigheter och domstolar. Den situation som beskrivs ovan bedöms därför inte uppkomma i någon större utsträckning.
En nackdel med alternativ 1 är att det finns en risk att otillbörlighetsbedömningen felaktigt tolkas så att principiella skillnader ska göras mellan olika typer av söktjänster beroende på bl.a. vilken användarkrets som tjänsterna vänder sig till. Detta är en följd av att alternativet bygger vidare på det befintliga undantaget för känsliga personuppgifter. Lagförslaget som ledde fram till undantaget för känsliga personuppgifter mötte kritik från flera remissinstanser och från KU. Framför allt vände sig utskottet mot motivuttalanden med innebörden att söktjänstens målgrupp, dvs. den tänkta eller faktiska användarkretsen, skulle tillmätas betydelse vid otillbörlighetsbedömningen. KU ansåg att bedömningen i stället borde göras med beaktande av andra faktorer. (Se bet. 2017/18:KU16 s. 41 och jfr SOU 2016:58 s. 401 f. och prop. 2017/18:49 s. 189 f.)
Trots KU:s invändningar ändrades inte lagtexten. 2018 års tryck- och yttrandefrihetskommitté bedömde därför att den nuvarande utformningen felaktigt kunde tolkas så att principiella skillnader skulle göras mellan olika typer av söktjänster beroende på bl.a. vilken användarkrets som tjänsterna vänder sig till. Detta var ett av skälen till att kommittén föreslog att bestämmelserna skulle få en annan utformning (se SOU 2020:45 s. 273 f.). Förslaget fick dock inte tillräckligt stöd i riksdagen.
Eftersom undantaget för känsliga personuppgifter än så länge endast har prövats i ett fåtal fall, är det svårt att avgöra om det finns
fog för de farhågor som 2018 års tryck- och yttrandefrihetskommitté gav uttryck för.
Otillbörlighetsbedömningen i alternativ 2
Alternativ 2 innebär att risken för otillbörligt intrång prövas i förhållande till offentliggörandet av personuppgifter i stället för till verksamheten. Det införs dessutom nya kriterier för otillbörlighetsbedömningen. Vid prövningen av risken för otillbörligt intrång i enskilds personliga integritet ska således beaktas personuppgifternas karaktär, omfattningen av offentliggörandet och syftet med offentliggörandet.
Otillbörlighetskravet i detta alternativ har utformats i syfte att tillmötesgå den kritik som bl.a. KU riktat mot tidigare lagförslag på området. Som bedömningskriterier anges därför de faktorer som enligt utskottet borde vara avgörande för bedömningen av om en uppgiftssamling faller innanför eller utanför det grundlagsskyddade området. (Se bet. 2017/18:KU16 s. 41.)
Till skillnad från 2018 års tryck- och yttrandefrihetskommittés förslag framgår det vidare direkt av lagtexten vilka faktorer som har betydelse för otillbörlighetsbedömningen. Detta medför att avgränsningen av grundlagsskyddet blir tydligare. (Jfr KU:s kritik av kommittéförslaget, bet. 2021/22:KU14 s. 29 f.)
En nackdel med alternativ 2 är att innehållet i yttrandet får en något större betydelse för undantagets avgränsning eftersom personuppgifternas karaktär blir ett bedömningskriterium. Det bör dock framhållas att det inte är innehållet i det enskilda yttrandet som ska ligga till grund för bedömningen utan uppgiftstypen. Alternativet bedöms därför som acceptabelt utifrån ett yttrandefrihetsrättsligt perspektiv.
En annan nackdel med detta alternativ i jämförelse med alternativ 1 har att göra med att otillbörlighetsbedömningen är inriktad mot det enskilda tillhandahållandet av personuppgifter. Som framgått av redogörelsen för föregående alternativ kan det få betydelse vid tillämpningen av frågeförbudet i 2 kap. 18 § TF. Den praktiska betydelsen av denna skillnad mellan alternativen bedöms dock som begränsad.
9.3.3. För- och nackdelar med alternativ 3
Det här alternativet innebär att grundlagsundantaget blir tillämpligt vid all personuppgiftsbehandling som inte sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Avgörande för avgränsningen av grundlagsundantaget är alltså syftet med personuppgiftsbehandlingen.
En fördel med detta alternativ är att det innebär ett mer heltäckande skydd för den personliga integriteten än vad som följer av de två föregående alternativen. Detta beror på att undantaget inte bara omfattar personuppgifter som förekommer i uppgiftssamlingar som har ordnats så att det är möjligt att söka efter eller sammanställa dessa. Undantaget är inte heller begränsat till att avse offentliggörande av personuppgifter utan omfattar all personuppgiftsbehandling som saknar journalistiska ändamål m.m.
Konstruktionen innebär vidare att risken för att undantaget ska kringgås blir något mindre. Som nämnts finns det starka kommersiella intressen för att försöka kringgå dataskyddsförordningen och därmed även grundlagsundantag som rör personuppgiftsbehandling. För att förebygga risken för att undantaget blir verkningslöst är det en fördel om detta kan avgränsas utifrån verksamhetens syfte snarare än det sätt på vilket uppgiftssamlingen tillhandahålls. Bedömningen är att det inte går att komma runt undantaget genom att ändra tjänsternas tekniska utformning.
Det bör vidare framhållas att detta alternativ är det som bäst uppfyller de EU-rättsliga krav som bl.a. följer av dataskyddsförordningen. Alternativet innebär alltså att konfliktytan med europarätten minskar och att skyddet för den personliga integriteten blir mer likvärdigt det skydd som tillhandahålls på europeisk nivå.
En nackdel även med detta alternativ är att det kan uppstå gränsdragningsfrågor. Journalistiska ändamål och akademiskt, konstnärligt eller litterärt skapande är relativt vaga begrepp. Det är de också inom EU-rätten. Gränsdragningsproblem kan därmed uppkomma, vilket kan skapa en osäkerhet kring grundlagarnas tillämpningsområde. Som framgått medför dock även alternativ 1 och 2 vissa gränsdragningsfrågor.
I likhet med alternativ 2 är grundlagsundantaget inriktat mot den enskilda personuppgiftsbehandlingen. Som framgått av redogörelsen för föregående alternativ kan detta utgöra en nackdel vid
tillämpningen av frågeförbudet i 2 kap. 18 § TF. Den praktiska betydelsen av detta spörsmål bedöms dock som begränsad.
Vidare innebär modellen att även annan verksamhet än den som i direktivet ansetts som problematisk kommer att förlora sitt grundlagsskydd. Det blir en effekt av att inte bara söktjänster omfattas av undantaget. I jämförelse med de två andra alternativen som har presenterats är detta alltså ett mer långtgående undantag. Personuppgiftsbehandling som inte sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, kommer att omfattas av grundlagsundantaget. Det gäller även om behandlingen sker inom ramen för en verksamhet som i övrigt ägnar sig åt sådant som faller inom TF:s och YGL:s kärnområde.
9.3.4. Det nya grundlagsundantaget bör utformas i enlighet med alternativ 2
Utredningen föreslår att det nya grundlagsundantaget utformas i enlighet med alternativ 2 (Ett ändrat otillbörlighetskrav). Avgörande för utredningens ställningstagande i denna del har i huvudsak varit två faktorer. För det första talar intresse av vidast möjliga yttrandefrihet för att inskränkningen i grundlagsskyddet inte blir större än vad som är nödvändigt för att komma till rätta med de påtalade problemen. Den andra faktorn är att ett nytt undantag i största möjliga utsträckning bör tillmötesgå den kritik som bl.a. KU riktat mot tidigare förslag.
Grundlagsundantaget i alternativ 2 är avgränsat till att gälla uppgiftssamlingar som har ordnats så att det är möjligt att söka efter eller sammanställa personuppgifter. Undantaget innehåller därtill ett tillägg som innebär att endast de fall i vilka det finns särskilda risker för otillbörliga intrång i enskildas personliga integritet, omfattas av grundlagsundantaget. Denna konstruktion innebär att grundlagsundantaget begränsas till att gälla de verksamheter som bedömts som mest problematiska ur integritetssynpunkt.
En jämförelse kan här göras med grundlagsundantaget i alternativ 3 som har en annan inriktning. Det alternativet innebär att även annan verksamhet än den som i direktivet ansetts som problematisk kommer att förlora sitt grundlagsskydd. Alternativet är inte avgränsat till att gälla söktjänster och även aktörer vars verksamhet berör själva kärnan av det som TF och YGL är avsett att skydda kan
påverkas av ett grundlagsundantag enligt alternativ 3. Det beror på att det inom en verksamhet som har ett journalistiskt ändamål kan förekomma personuppgiftsbehandling som inte kan anses ske för ett sådant ändamål.
Risken för kringgående är visserligen något större i alternativ 2 än i alternativ 3. Skillnaden mellan alternativen i detta avseende bör dock inte överdrivas. Risken för kringgående bedöms som låg även i alternativ 2 eftersom formuleringen ”uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa personuppgifter” möjliggör ett relativt brett tillämpningsområde.
Alternativ 3 har vidare framhållits som det alternativ som säkrast uppfyller de EU-rättsliga krav som bl.a. följer av dataskyddsförordningen. Mot bakgrund av det utrymme som artikel 85 ger för nationell särreglering bedömer dock utredningen att den avvägning som gjorts i alternativ 2 mellan intresset av yttrandefrihet och skyddet för den personliga integriteten är tillräcklig.
De nackdelar som ur ett yttrandefrihetsperspektiv följer av alternativ 3 väger sammantaget tyngre än de fördelar som skulle kunna uppnås genom detta alternativ.
Utredningens bedömning är alltså att den regleringsmodell som används i alternativ 2 innebär att inskränkningen i grundlagsskyddet inte blir större än vad som är nödvändigt för att komma till rätta med de problem som förknippas med söktjänster.
Vad som nu sagts om alternativ 2 gäller dock i huvudsak även för alternativ 1. Problemet med grundlagsundantaget i alternativ 1 är i huvudsak att detta förknippas med motivuttalandena som gjordes i anslutning till de befintliga undantagsbestämmelserna för känsliga personuppgifter och som gjorde gällande att söktjänstens målgrupp, dvs. den tänkta eller faktiska användarkretsen, skulle tillmätas betydelse vid otillbörlighetsbedömningen. Även om KU tydliggjort att målgruppen inte borde vägas in i bedömningen finns det en risk att undantaget i alternativ 1 kommer att tillämpas på ett felaktigt sätt.
I alternativ 2 har bedömningskriterierna utformats i syfte att så långt som möjligt tillmötesgå den kritik som riktats mot tidigare förslag. Detta alternativ lämnar alltså inte utrymme för att göra skillnad beroende på den tänkta eller faktiska användarkretsen. Det framgår vidare direkt av lagtexten vilka faktorer som har betydelse för otillbörlighetsbedömningen. Dessa faktorer överensstämmer med vad som enligt KU borde vara avgörande för bedömningen av
om en uppgiftssamling faller innanför eller utanför det grundlagsskyddade området. Utredningen bedömer därför att grundlagsundantaget i alternativ 2 innebär den mest ändamålsenliga avgränsningen av grundlagsskyddet.
Som nämnts innebär alternativ 2 att ett förhållandevis stort bedömningsutrymme lämnas för främst rättstillämparen att avgöra om en uppgiftssamling omfattas av grundlagsundantaget. Utredningens uppfattning är dock att detta utrymme har smalnats av så långt som är möjligt. Mer detaljerade bedömningskriterier riskerar att medföra att grundlagsundantaget kringgås och kan därtill leda till att undantaget oavsiktligt träffar verksamheter som ur ett yttrandefrihetsperspektiv kan anses som skyddsvärda.
Vid tillämpningen av utredningens förslag ska dessutom en betydande marginal tillämpas i fråga om vad som faller inom det grundlagsskyddade området. Intresset för yttrandefrihet får inte ge vika för intresset av att skydda enskildas integritet i gränsfall eller svårbedömda situationer (jfr bet. 2017/18:KU16 s. 41). Ett sådant synsätt med ett expansivt tillämpningsområde vinner stöd i den s.k. instruktionen i 1 kap. 10 § TF och 1 kap. 15 § YGL enligt vilken den som ska döma över missbruk av tryck- och yttrandefriheten eller på annat sätt vaka över att grundlagarna efterlevs alltid bör ha i åtanke att tryckfriheten är en grundval för ett fritt samhällsskick, alltid uppmärksamma ämnet och tanken mera än uttryckets lagstridighet, liksom syftet mera än framställningssättet samt i tveksamma fall hellre fria än fälla.
9.4. Om behovet av ändringar i vanlig lag
Bedömning: Vid genomförande av utredningens förslag om
grundlagsundantag behövs inte några ändringar i vanlig lag för att ytterligare stärka skyddet för personuppgifter i söktjänster.
Vid ett grundlagsundantag enligt utredningens förslag behövs inte några ändringar i vanlig lag för att ytterligare stärka skyddet för personuppgifter i söktjänster. Utredningens förslag kan dock medföra ett behov av lagändringar av andra hänsyn än till den personliga integriteten. Exempelvis har IMY hemställt om att regeringen tillsätter en utredning med uppdrag att se över behovet av ytter-
ligare reglering av bakgrundskontroller. En sådan översyn ligger utanför utredningens uppdrag.
Bedömningen ovan blir densamma vid införandet av ett grundlagsundantag enligt alternativ 1.
Vid ett grundlagsundantag enligt alternativ 3 bör 1 kap. 7 § andra stycket dataskyddslagen ändras. Skälet är att begreppen journalistiska ändamål och akademiskt, konstnärligt eller litterärt skapande förekommer i både grundlagsundantaget enligt alternativ 3 och i nämnda bestämmelse i dataskyddslagen, men med delvis olika innebörd. Utgångspunkten är visserligen att innebörden av begreppen i grundlagsundantaget i alternativ 3 i huvudsak ska överensstämma med motsvarande begrepp inom EU-rätten och därmed även med dataskyddslagens begrepp. Begreppen i alternativ 3 har dock en självständig betydelse som ska tolkas bl.a. utifrån grundlagarnas syfte.
Begreppen journalistiskt ändamål och akademiskt, konstnärligt eller litterärt skapande får därmed en vidare betydelse i grundlagsundantaget enligt alternativ 3 än vad de har i dataskyddslagen och dataskyddsförordningen. Det innebär att personuppgiftsbehandling i vissa fall kan komma att fortsätta att omfattas av mediegrundlagarna trots att den inte kan anses ske för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande i den mening som begreppen har i dataskyddsregleringen. I de situationerna ska dataskyddsregleringen inte tillämpas som följd av mediegrundlagarnas företräde framför dataskyddsregleringen (jfr 1 kap. 7 § första stycket dataskyddslagen).
För att tydliggöra skillnaden mellan begreppen bör alltså bestämmelsen i 1 kap. 7 § andra stycket dataskyddslagen ändras om ett grundlagsundantag enligt alternativ 3 införs. 1 kap. 7 § dataskyddslagen skulle i så fall kunna få följande lydelse.
EU:s dataskyddsförordning och denna lag ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen Artiklarna 5–30 och 35–50 i EU:s dataskyddsförordning samt 2–5 kap. denna lag ska inte tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 13 § andra stycket TF, 1 kap. 20 § andra stycket YGL eller artikel 85.2 dataskyddsförordningen.
9.5. Vilka regler kommer att gälla för de verksamheter som omfattas av grundlagsundantaget?
I detta avsnitt redogörs för vilka regler som kommer att gälla för de verksamheter som omfattas av det föreslagna grundlagsundantaget. Eftersom delegationen till lagstiftaren är utformad på samma sätt i alla tre alternativ, kan redogörelsen även appliceras på alternativ 1 och 3.
De föreslagna undantagsbestämmelserna innebär att lagstiftaren får möjlighet att i lag föreskriva om förbud i de delar som omfattas av bestämmelserna. Med lag jämställs EU-förordningar. Därtill innefattar delegationen en möjlighet att i lag eller EU-förordning föreskriva om åtgärder av mindre ingripande art. Det kan t.ex. avse olika typer av villkor såsom att uppgifter om namn, personnummer och adress inte får behandlas på visst sätt. Vidare öppnar undantagsbestämmelserna för straffpåföljder och andra typer av rättsverkan av överträdelser, t.ex. sanktionsavgifter och skadestånd. (Jfr bl.a. prop. 1973:123 s. 47 f., prop. 2001/02:64 s. 55 och prop. 2017/18:49 s. 188.)
Utformningen av undantaget medger också tillämpning av redan befintlig lagstiftning och EU-förordningar på området. I praktiken innebär det att dataskyddsförordningen blir tillämplig för de aktörer som träffas av undantagsbestämmelserna (se rättsfallet HFD 2024 ref. 43). Den kompletterande lagstiftningen som finns i främst dataskyddslagen kommer också att bli aktuell. I det här avsnittet ges en kortfattad sammanfattning av detta regelverk. En utförlig beskrivning av dataskyddsregleringen finns i kapitel 5.
Dataskyddsförordningen innehåller ett antal grundläggande principer som gäller för all behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde (se artikel 5). Dessa principer klargör bl.a. vissa allmänna förhållningsregler för personuppgiftsbehandling och i vilka fall sådan behandling över huvud taget får ske. Därutöver finns regler som rör de registrerades rättigheter (se artikel 12–23), organisatoriska krav på verksamheter när personuppgifter behandlas (se t.ex. artikel 25 och 30–39), tillsyn (se kap. VI) samt rättsmedel och sanktioner (se kapitel VIII).
En grundläggande princip för all personuppgiftsbehandling är principen om laglighet. En aktör vars personuppgiftsbehandling omfattas av dataskyddsförordningen måste kunna stödja sig på en rättslig grund i artikel 6 för att personuppgiftsbehandlingen ska vara tillåten. Ett exempel på en sådan rättslig grund är att den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för det specifika ändamålet (se artikel 6.1 a). Ett annat exempel är att behandlingen bedöms vara nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (se artikel 6.1 f.).
Vid behandling av känsliga personuppgifter måste behandlingen för att vara laglig dessutom kunna hänföras under något undantag från förbudet i artikel 9 att behandla känsliga personuppgifter. Det finns även särskilda krav i artikel 10 vad gäller behandling av uppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott.
För en aktör som behandlar personuppgifter om lagöverträdelser innebär artikel 10 att behandlingen behöver ske under kontroll av en myndighet eller ha stöd i svensk lag eller i EU-rätten för att vara tillåten. I dagsläget finns inte något sådant rättsligt stöd för söktjänster som utan urskiljning offentliggör personuppgifter om lagöverträdelser. (Se 3 kap. 8 och 9 §§ dataskyddslagen, 5 och 6 §§ förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning samt Integritetsskyddsmyndighetens föreskrifter om behandling av personuppgifter som rör lagöverträdelser DIFS 2018:2.)
IMY får i enskilda fall besluta att andra än myndigheter får behandla personuppgifter om lagöverträdelser. En förutsättning för att tillstånd ska ges är enligt förarbetena till dataskyddslagen att behandlingen är förenlig med dataskyddsförordningen i övrigt, i synnerhet principerna i artikel 5 och kravet på rättslig grund i artikel 6. (Jfr prop. 2017/18:105 s. 100.)
Det undantag som nu föreslås innebär att flera bedömningsfrågor läggs på en myndighet, i detta fall IMY. Inom undantagsbestämmelsernas tillämpningsområde kommer IMY utöva tillsyn över personuppgiftsbehandlingen. Det innebär att IMY kommer behöva ta ställning till om TF eller YGL ger utrymme för en
tillämpning av dataskyddsregleringen. Den typen av prövning gör IMY även enligt de befintliga grundlagsundantagen för kreditupplysningsverksamhet och känsliga personuppgifter. De föreslagna bestämmelserna utgör alltså inte någon nyordning i det avseendet. Som har framhållits i avsnitt 9.1.3 bör IMY inom ramen för befintlig ordning kunna samråda med JK (jfr 8 § första stycket förvaltningslagen /2017:900/ och 6 § andra stycket myndighetsförordningen /2007:515/). Den enskilde kan dessutom få ett tillsynsbeslut från IMY överprövat i domstol (se 7 kap. 3 § dataskyddslagen).
I de fall mediegrundlagarna ger utrymme för en tillämpning av dataskyddsregleringen kommer IMY alltså ha behörighet att utöva tillsyn över personuppgiftsbehandlingen. IMY:s åtgärd att inleda tillsyn är inte ett rättsligt bindande beslut mot den enskilde och går därför inte att överklaga (jfr artikel 78.1 och rättsfallet HFD 2023 ref. 54).
När IMY väl har inlett ett tillsynsförfarande har myndigheten enligt artikel 58.1 dataskyddsförordningen vissa utredningsbefogenheter. Exempelvis ska IMY från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som myndigheten behöver för att kunna fullgöra sina uppgifter. IMY ska också få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inklusive tillgång till all utrustning och alla andra medel för behandling av personuppgifter.
IMY har dock inga möjligheter att tillgripa tvångsåtgärder för att utöva sina utredningsbefogenheter. I stället bygger systemet på att den personuppgiftsansvarige samarbetar med IMY. Underlåtelse att rätta sig efter ett föreläggande eller att ge tillsynsmyndigheten tillgång till uppgifter kan medföra att administrativa sanktionsavgifter tas ut enligt artikel 83.5 e. Det beslutet kan överklagas. (Se prop. 2017/18:105 s. 157 f.)
Det bör framhållas att de föreslagna undantagsbestämmelserna inte innebär att det yttrandefrihetsrättsliga skyddet i TF och YGL helt upphör för de verksamheter som omfattas av undantaget. Censurförbudet liksom väsentliga delar av meddelarskyddet kommer fortsätta att gälla. Undantaget medger alltså inte att man genom lagstiftning eller EU-förordning åsidosätter dessa principer (jfr t.ex. prop. 1973:123 s. 47 f.).
För IMY:s del innebär detta att myndigheten vid utövandet av ovan nämnda utredningsbefogenheter behöver beakta anonymitetsskyddet för t.ex. meddelare samt det närbesläktade efterforskningsförbudet. Innebörden av efterforskningsförbudet är att myndigheter och andra offentliga organ inte får efterforska identiteten hos en person som omfattas av rätten till anonymitet (se 3 kap. 5 § första stycket TF och 2 kap. 5 § första stycket YGL). Frågan om en utredningsåtgärd strider mot efterforskningsförbudet får bedömas med hänsyn till karaktären av de efterfrågade uppgifterna och, vid begäran om utfående av handlingar, vilka uppgifter dessa kan innehålla. Om det är oklart om ett visst material innehåller skyddade uppgifter måste det beaktas om det finns en konkret risk för att åtgärden leder till att skyddad information röjs. (Jfr ”Trisskrapningarna” NJA 2023 s. 211.)
I de fall skyddet enligt TF och YGL inte gäller inträder RF:s skydd för yttrandefriheten. Skyddet för yttrandefriheten i EU-stadgan och Europakonventionen kommer därtill att kvarstå. Ett grundlagsundantag innebär således inte att det uppkommer ett skyddslöst tillstånd för yttrandefriheten för de verksamheter som träffas av undantaget.
Utredningens förslag innebär inte någon generell inskränkning i rätten att ta del av allmänna handlingar (se 2 kap. 1 § TF). Allmänna handlingar som innehåller personuppgifter kommer alltså även fortsättningsvis kunna begäras ut från myndigheter och domstolar förutsatt att handlingarna inte innehåller uppgifter som omfattas av sekretess.
Som redan nämnts kan dock sekretessbestämmelsen i 21 kap. 7 § OSL komma att aktualiseras för de aktörer som träffas av grundlagsundantaget. Enligt denna bestämmelse gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med bl.a. dataskyddsförordningen eller dataskyddslagen. Mot bakgrund av frågeförbudet i TF får undersökningar av den kommande behandlingen endast vidtas om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgiften på ett sätt som strider mot dataskyddsregleringen. Så kan t.ex. vara fallet om sökanden begär att få ut uppgifter om väldigt många personer från ett register (s.k. massuttag) eller uppgifter om ett urval av personer med vissa karakteristika, t.ex. inkomst, språktillhörighet, politisk tillhörighet osv.
(s.k. selekterade uppgifter), se prop. 2017/18:105 s. 135 f. och JO 4171-2011. Eftersom de aktörer som berörs av grundlagsbegränsningarna inte längre kommer att vara automatiskt undantagna från dataskyddsregleringen, behöver myndigheter och domstolar vid t.ex. massuttag av handlingar som innehåller personuppgifter ta ställning till om aktörernas personuppgiftsbehandling är förenlig med dataskyddsregleringen. Såsom redogjorts för ovan kan det inkludera en prövning av om grundlagsundantaget är tilllämpligt. Om myndigheten vid sin prövning bedömer att det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen får uppgifterna inte lämnas ut.
10. Konsekvenser av förslagen
10.1. Inledning
En särskild utredare ska enligt kommittéförordningen (1998:1474) redovisa vilka konsekvenser som förslagen i ett betänkande kan få i en rad olika avseenden.1
Enligt 14 § gäller att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller regioner, ska den särskilda utredaren föreslå en finansiering.
I 15 § anges att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen, ska konsekvenserna i det avseendet anges i betänkandet.
Om ett betänkande innehåller förslag till nya eller ändrade regler ska, enligt 15 a §, förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet.
Konsekvenserna av utredningens förslag har delvis behandlats i föregående kapitel. Där beskrivs bl.a. utredningens utgångspunkter och vilka alternativa lösningar som finns. I samband med detta redovisas även för- och nackdelarna med de olika alternativen samt vilka
1Kommittéförordningen ändrades den 6 maj 2024. För särskilda utredare som tillsatts före ikraftträdandet gäller 14–15 a §§ i den äldre lydelsen. Nedan redovisas därför innehållet i de bestämmelser som föregick författningsändringen.
effekterna blir om någon reglering inte kommer till stånd. Dessa delar upprepas inte här.
Vad som återstår att redovisa är främst de ekonomiska konsekvenserna samt konsekvenserna för brottsligheten och det brottsförebyggande arbetet. Detta utvecklas i förevarande kapitel.
I avsnitt 9.2.3 har utredningen presenterat två andra alternativ för hur grundlagsundantag kan utformas för att stärka skyddet för personuppgifter i söktjänster. Utredningen bedömer att konsekvenserna av dessa alternativ blir i huvudsak desamma som konsekvenserna av utredningens förslag vad gäller de områden som behandlas i detta kapitel. Redogörelsen nedan kan därför även tillämpas på vad som i kapitel 9 benämns som alternativ 1 och 3. I den del dessa alternativ bedöms ge andra effekterna än utredningens förslag kommenteras detta särskilt.
10.2. Ekonomiska konsekvenser
10.2.1. Allmänt
Utredningens förslag om ett begränsat grundlagsskydd för söktjänster som offentliggör personuppgifter möjliggör reglering av söktjänsternas verksamhet i vanlig lag. Även EU-förordningar kommer att kunna tillämpas på området för undantagsbestämmelserna. Det innebär bl.a. att EU:s dataskyddsförordning2 och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) blir tillämpliga för de aktörer som träffas av bestämmelserna. Eventuella konsekvenser av utredningens förslag bedöms i första hand uppstå som följd av dessa underliggande bestämmelser.
Vad gäller de alternativ till grundlagsundantag som utredningen presenterat i avsnitt 9.2.3 skiljer sig de ekonomiska konsekvenserna av alternativ 3 till viss del från konsekvenserna av utredningens förslag. Skälet är att alternativ 3 inte är inriktat mot söktjänster utan omfattar all personuppgiftsbehandling som inte sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt
2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
skapande. Alternativ 3 innebär därmed ett bredare undantag som berör fler aktörer än utredningens förslag.
10.2.2. Ekonomiska konsekvenser för företagen
Förhållandet att dataskyddsregleringen blir tillämplig inom området för de föreslagna undantagsbestämmelserna kan få ekonomiska konsekvenser för de företag som träffas av bestämmelserna. Vilka de ekonomiska konsekvenserna blir beror på om och hur företagen kan anpassa sin verksamhet efter dataskyddsregleringen.
Ekonomiska konsekvenser kan också uppkomma för företag vars databaser ligger i gränslandet för grundlagsundantagets tillämpningsområde. Vissa företag kan behöva anpassa sina databaser för att undvika att de träffas av undantagsbestämmelserna. Det kan exempelvis röra sig om åtgärder för att säkerställa att uppgiftssamlingarna enbart används i syfte att underlätta journalistisk granskning eller åtgärder för att försvåra sökning på enskilda personer. Sådana anpassningar av databaserna medför kostnader för företagen och kan i vissa fall leda till intäktsbortfall.
Utredningen har i den kartläggning som presenterats i kapitel 8 identifierat cirka 65 databaser med söktjänster som offentliggör personuppgifter avseende ett stort antal personer. De flesta av dessa tjänster kommer enligt utredningens bedömning att omfattas av grundlagsundantaget. För ett fåtal av tjänsterna är bedömningen av om undantaget är tillämpligt eller inte beroende av i vilken mån företagen kan vidta åtgärder för att anpassa sina tjänster.
Bakom de söktjänster som förekommer i kartläggningen står knappt femtio olika företag, varav några av företagen ingår i samma ägarstruktur. Därutöver tillhandahålls ett fåtal söktjänster av en förening respektive en privatperson. Företagen som tillhandahåller söktjänster är av varierande storlek. Medianomsättningen (nettoomsättningen) – det mittersta värdet – uppgick under år 2023 till knappt 20 miljoner kronor. En fjärdedel av företagen redovisade dock en nettoomsättning som understeg två miljoner kronor samtidigt som det finns några företag vars nettoomsättning uppgick till flera hundra miljoner kronor under samma period.
Även företagens verksamhetsinriktning varierar. Flera av de större företagen ägnar sig åt inkasso- och kreditupplysningsverk-
samhet eller reklam. Några företag har nyhetsservice som verksamhetsinriktning. Bland de mindre företagen anges ett stort antal olika verksamhetsinriktningar.
Variationen hos företagen återspeglas i de databaser som företagen tillhandahåller. Beroende på söktjänsternas karaktär och inriktning kommer dataskyddsregleringen således kräva skilda anpassningar av olika företag. För vissa företag kan dataskyddsregleringen medföra krav på begränsning av vilka personuppgifter som offentliggörs. Andra företag kommer att behöva inhämta de registrerades samtycke till personuppgiftsbehandlingen för att kunna fortsätta verksamheten. Företagen kan också behöva införa rutiner för att ta bort personuppgifter för de personer som inte ger sitt samtycke eller senare återkallar sitt samtycke till personuppgiftsbehandlingen.
För företag vars tjänster syftar till att möjliggöra bakgrundskontroller av enskilda kommer det i regel krävas tillstånd från Integritetsskyddsmyndigheten (IMY) för att företagen även fortsättningsvis ska få behandla uppgifter om lagöverträdelser. Tillståndsprövningen är i dagsläget komplicerad. IMY har dock hemställt att regeringen tillsätter en utredning med uppdrag att se över behovet av ytterligare reglering av bakgrundskontroller. Eventuella förändringar av regelverket rörande bakgrundskontroller kan få betydelse för de företag som berörs av ett grundlagsundantag.
Nämnda anpassningar till dataskyddsregleringen bedöms medföra kostnader för administration och initiala kostnader för anpassningar av IT-system. I vissa fall kan förändringarna av verksamheten påverka efterfrågan av tjänsterna vilket kan leda till intäktsbortfall. Storleken av eventuella kostnader och intäktsbortfall kommer variera bl.a. beroende på söktjänstens karaktär och inriktning samt hur företagen väljer att anpassa sin verksamhet efter dataskyddsregleringen. Det går därför inte att uppskatta storleken på företagens kostnader och intäktsbortfall.
Vissa typer av söktjänster kommer enligt utredningens bedömning inte att gå att förena med dataskyddsregleringen. Detta kan t.ex. gälla söktjänster vars syfte är att sprida personuppgifter om lagöverträdelser. De företag som i dagsläget tillhandahåller den typen av tjänster kommer därmed inte kunna fortsätta med verksamheten.
Även söktjänster vars syfte är att tillhandahålla rätts- och myndighetspraxis offentliggör i regel personuppgifter om lagöverträdelser. Dessa tjänster kan komma att omfattas av utredningens
förslag om de exempelvis kan användas i syfte att ta reda på om en enskild har dömts för brott.
För företagen som tillhandahåller sådana rättsdatabaser kan dataskyddsregleringen innebära krav på avidentifiering av domar och beslut. Redan i dag avidentifierar domstolar vägledande avgöranden för publicering i det offentliga rättsinformationssystemet, lagrummet.se. Vilka personuppgifter som behöver tas bort framgår av 22 § rättsinformationsförordningen (1999:175). De högsta instanserna tillhandahåller även vägledande avgöranden på domstolarnas egna webbplatser.
De kommersiella rättsdatabaserna tillhandahåller dock inte bara vägledande avgöranden utan även en mycket stor mängd domar och beslut från underrätter och myndigheter. Exempelvis uppger en rättsdatabas på sin webbsida att det i databasen finns två miljoner domar. Den stora merparten av dessa domar är inte vägledande och kan som följd av utredningens förslag behöva avidentifieras eller tas bort från databaserna.
Tidsåtgången och kostnaden för att avidentifiera avgöranden är svår att uppskatta. Som jämförelse kan nämnas att Högsta domstolen i dagsläget avidentifierar domar och beslut manuellt. Hur lång tid det arbetet tar varierar bl.a. beroende på avgörandets längd, men tidsåtgången kan uppskattas till cirka en timme per dom eller beslut. Med utgångpunkt i fackförbundet ST:s statistik beträffande medianlönen för en domstolshandläggare år 2023 kan kostnaden för avidentifiering beräknas uppgå till cirka 190 kronor per avgörande. Hur stor totalkostnaden blir beror på hur många domar och beslut som behöver avidentifieras men som nämnts är det i allmänhet en mycket liten andel av det totala antalet avgöranden i rättsdatabaserna som avidentifieras av domstolarna.
Det bör dock framhållas att det finns tekniska lösningar som kan underlätta arbetet med att avidentifiera avgöranden och att ny teknik kan förväntas leda till att kostnaden för detta arbete blir betydligt lägre än i exemplet ovan. Exempelvis har en kommersiell rättsdatabas under året lanserat ett projekt där AI-teknik används för pseudonymisering. AI-modellen klarar själv att bedöma vilka fall som kräver manuell kontroll. På så sätt behöver inte varje avgörande kontrolleras av en anställd. (Se Norstedts Juridik, 2024,
Anonymiseringsprojekt stärker rättssäkerheten i samhället,
https://www.nj.se/anonymiseringsprojekt, 2024-09-27.)
En annan metod för avidentifiering används av Domstolsstyrelsen i Danmark. Domstolsstyrelsen har en offentlig databas med avidentifierade straff- och civilrättsliga avgöranden från samtliga danska domstolar. Avgörandena avidentifieras med hjälp av ett dataprogram som föreslår vilka uppgifter som ska pseudonymiseras. Därefter kontrolleras förslaget av en anställd. En person kan på så sätt avidentifiera cirka 200–250 avgöranden om året. Uppskattningen kan dock inte helt överföras till svenska förhållanden eftersom danska brottmålsavgöranden är utformade på ett sätt som innebär att avgörandena ofta innehåller fler personuppgifter än i Sverige.
Vad gäller de två andra alternativ till grundlagsundantag som utredningen presenterat i avsnitt 9.2.3 är det alternativ 3 som till viss del avviker i förhållande till utredningens förslag. Detta alternativ kommer träffa fler aktörer än enbart söktjänster. De flesta företag som i dagsläget omfattas av mediegrundlagarna bedöms visserligen ha en sådan inriktning på sin verksamhet att grundlagsundantaget i alternativ 3 endast kommer att aktualiseras i undantagsfall. Bland databaserna med utgivningsbevis förekommer dock verksamheter som inte bedöms ha ett journalistiskt ändamål eller utgöra ett led i akademiskt, konstnärligt eller litterärt skapande. Utöver söktjänsterna finns det exempelvis företag som har utgivningsbevis för olika typer av köp- och säljsidor på internet. De företagen kommer vid ett grundlagsundantag enligt alternativ 3 att behöva anpassa sin verksamhet efter dataskyddsregleringen, vilket kan medföra kostnader för framför allt administration och anpassning av IT-system.
10.2.3. Ekonomiska konsekvenser för det allmänna
Integritetsskyddsmyndigheten
Enligt dataskyddsförordningen ska en tillsynsmyndighet – IMY för Sveriges del – övervaka att förordningens bestämmelser efterlevs. Tillsynsmyndigheten ska bl.a. behandla klagomål från registrerade och, om det är lämpligt, undersöka den sakfråga som klagomålet gäller. Utredningens förslag innebär att viss ytterligare verksamhet kommer att falla inom IMY:s tillsynsområde, vilket kan leda till fler tillsynsärenden. Det rör sig dock om ett i sammanhanget mindre antal verksamheter. IMY utövar dessutom redan i dag tillsyn över
liknande verksamhet till följd av de befintliga undantagsbestämmelserna för känsliga personuppgifter. Den ökade arbetsbelastningen på tillsynsområdet bedöms därför som begränsad.
Enligt artikel 10 i dataskyddsförordningen är huvudregeln att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast får utföras under kontroll av en myndighet. Andra än myndigheter kan få behandla personuppgifter av detta slag om det finns ett uttryckligt stöd i EU-rättslig eller nationell lagstiftning. Lagstiftningen ska vidare fastställa lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.
Kompletterande lagstiftning har meddelats för svensk del i 3 kap. 8 och 9 §§ dataskyddslagen. Föreskrifter finns även i 5 och 6 §§ förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Av nämnda bestämmelser följer att IMY får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som avses i artikel 10 dataskyddsförordningen. IMY får även i enskilda fall besluta att andra än myndigheter får behandla sådana personuppgifter.
Utredningens förslag kan leda till att söktjänster som offentliggör den typen av uppgifter som avses i artikel 10 dataskyddsförordningen ansöker om tillstånd hos IMY för att få fortsätta behandla uppgifterna. En sådan tillståndsprövning kan vara resurskrävande för IMY eftersom den innefattar komplicerade avvägningar i det enskilda fallet. Eftersom det endast rör sig om ett fåtal söktjänster som offentliggör uppgifter om lagöverträdelser bedöms dock den ökade arbetsbelastningen till följd av utredningens förslag som begränsad.
Sammantaget är utredningens bedömning att kostnaderna som kan uppkomma för IMY till följd av utredningens förslag bör kunna finansieras inom befintliga anslag.
Bedömningen blir densamma vid ett grundlagsundantag enligt något av de andra två alternativ som utredningen presenterat. Alternativ 3 berör visserligen fler verksamheter. Den skillnad i arbetsbelastning som detta kan medföra bedöms dock vara av mindre betydelse.
Sveriges domstolar
Förhållandet att antalet tillsynsärenden förväntas öka hos IMY kan också påverka Sveriges domstolar genom att antalet överklagade tillsynsbeslut blir fler. Utredningen bedömer dock att den ökade arbetsbelastningen till följd av detta kommer att vara av mindre betydelse.
För de söktjänster som omfattas av undantagsbestämmelserna kommer det inte längre att vara tillåtet att, utan stöd i lag eller tillstånd från IMY, offentliggöra sådana uppgifter som avses i artikel 10. Det kan exempelvis röra sig om information om att en enskild person har dömts eller varit misstänkt för brott. Den som vill ha tillgång till den typen av uppgifter kommer i större utsträckning att vara hänvisad till att kontakta Sveriges domstolar. Antalet förfrågningar om enskilda personers förekomst i brottmål kan därmed komma att öka. Detsamma gäller antalet begäran om utlämnande av enstaka brottmålsdomar och förundersökningsprotokoll.
Undantagsbestämmelserna kan dock samtidigt medföra att antalet förfrågningar från söktjänster om utlämnande av ett mycket stort antal brottmålsdomar eller förundersökningsprotokoll minskar. Den typen av förfrågningar är i dagsläget vanligt förekommande och är resurskrävande för Sveriges domstolar.
Sammantaget bedömer utredningen att arbetsbelastningen för Sveriges domstolar kan komma att öka men att ökningen kommer att vara begränsad. Kostnaderna bör därför kunna finansieras inom befintliga anslag.
10.3. Andra konsekvenser
10.3.1. Konsekvenser för brottsligheten och det brottsförebyggande arbete
Såsom närmare har beskrivits i avsnitt 8.6.2 är bedömningen att söktjänster som omfattas av uppdraget används av kriminella för att välja ut och kartlägga brottsoffer. Så är t.ex. fallet vid telefonbedrägerier och vid vissa typer av tillgreppsbrottslighet. Söktjänsternas tillgänglighet och den stora mängden personuppgifter som offentliggörs genom en snabb sökning kan vidare bidra till att offentliganställda blir mer exponerade för hot och trakasserier.
Problematiken beskrivs närmare i betänkandet Ett starkare skydd
för offentliganställda mot våld, hot och trakasserier (SOU 2024:1)
vars slutsatser sammanfattas i avsnitt 8.6.3.
Som nämnts bedöms eventuella konsekvenser av utredningens förslag främst uppstå som följd av att dataskyddsförordningen och dataskyddslagen blir tillämpliga för de söktjänster som omfattas av förslaget. Dataskyddsförordningen innehåller bl.a. ett antal grundläggande principer som klargör vissa allmänna förhållningsregler för personuppgiftsbehandling och i vilka fall sådan behandling över huvud taget får ske. Enligt utredningens bedömning kommer dessa regler innebära en betydande begränsning för söktjänsternas verksamhet vad gäller vilka personuppgifter som får offentliggöras och på vilket sätt. Detta medför att det blir svårare och mer tidskrävande för kriminella att få tillgång till uppgifter för att välja ut och kartlägga brottsoffer. I många fall kommer det att krävas att de vänder sig till en myndighet för att få tillgång till uppgifterna. Utredningen bedömer att den minskade tillgängligheten av personuppgifter främst kommer att försvåra planeringen och utförandet av telefonbedrägerier och vissa typer av tillgreppsbrott. Den minskade tillgängligheten av personuppgifter bedöms även utgöra en viktig åtgärd för att minska offentliganställdas exponering för hot och trakasserier.
En annan effekt av att dataskyddsregleringen blir tillämplig för vissa söktjänster är att det inte längre kommer att vara tillåtet att, utan stöd i lag eller tillstånd från IMY, offentliggöra sådana uppgifter som avses i artikel 10, t.ex. uppgifter om lagöverträdelser, i tjänster som omfattas av grundlagsundantaget. Att uppgifter om lagöverträdelser blir mindre tillgängliga kan bidra till förbättrade möjligheter för personer som har dömts för brott och avtjänat sitt straff att återanpassa sig till ett laglydigt levnadssätt, t.ex. genom ökade möjligheter att skaffa arbete och bostad och att därigenom bryta en kriminell livsstil. Dataskyddsregleringen kan därför även i detta avseende ha en brottsförebyggande effekt.
Söktjänster som offentliggör uppgifter om lagöverträdelser används dock även för att förebygga brott. Exempelvis förekommer det inom både privat och offentlig sektor att söktjänster används för bakgrundskontroller av arbetssökande eller leverantörer i syfte att skydda verksamheten mot bl.a. infiltration av organiserad brottslighet, motverka penningtvätt eller att förhindra att olämpliga personer anställs för arbete med utsatta grupper. Sådana kontroller
kommer att bli svårare att utföra utan vissa av de söktjänster som i dag förekommer på marknaden.
Såsom framgår av avsnitt 8.5 pågår det dock lagstiftningsarbete som syftar till att bl.a. underlätta för upphandlande myndigheter att genomföra vissa typer av leverantörskontroller och ge kommunerna bättre förutsättningar att utföra bakgrundskontroller av arbetssökanden. I vilken utsträckning det framöver kommer att vara möjligt att behandla uppgifter om lagöverträdelser för t.ex. bakgrundskontroller beror alltså delvis på utfallet av annat lagstiftningsarbete.
10.3.2. Övriga konsekvenser
Utredningens förslag förväntas inte få några konsekvenser för den kommunala självstyrelsen, för sysselsättning och offentlig service i olika delar av landet eller för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags. Förslaget bedöms inte heller få några konsekvenser för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen. (Jfr 15 § kommittéförordningen.)
Förslaget bedöms vara i överensstämmelse med de skyldigheter som följer av Sveriges anslutning till Europeiska unionen.
11. Ikraftträdande och övergångsbestämmelser
Förslag: De föreslagna grundlagsändringarna bör träda i kraft
den 1 januari 2027.
Förslagen till ändringar i tryckfrihetsförordningen och yttrandefrihetsgrundlagen bör träda i kraft vid årsskiftet efter utgången av det år då förslagen tidigast kan bli slutligt antagna av riksdagen. Det innebär att de träder i kraft den 1 januari 2027.
Utredningen bedömer att det inte finns behov av övergångsbestämmelser.
12. Författningskommentar
12.1. Förslaget till lag om ändring i tryckfrihetsförordningen
1 kap.
13 §
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter som ingår
i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa.
Vad som anges i första stycket gäller endast om offentliggörandet
innebär särskilda risker för otillbörliga intrång i enskildas personliga integritet. Vid denna bedömning ska särskilt beaktas
1. personuppgifternas karaktär,
2. omfattningen av offentliggörandet, och
3. syftet med offentliggörandet.
I paragrafen finns bestämmelser som möjliggör reglering i lag i fråga om offentliggörande av personuppgifter när uppgifterna ingår i en viss typ av uppgiftssamling. Övervägandena finns i kapitel 9. Motsvarande ändringar införs i 1 kap. 20 § yttrandefrihetsgrundlagen (YGL). De kommentarer som lämnas här gäller även den paragrafen.
Av första stycket följer att förbud mot offentliggörande av personuppgifter får meddelas i lag. Det framgår av paragrafens förarbeten att direkt tillämpliga EU-rättsakter jämställs med lag i paragrafens mening och att bestämmelsen även ger utrymme att föreskriva om åtgärder som är mindre ingripande än förbud (jfr prop. 2017/18:49 s. 188).
Paragrafen medger även tillämpning av redan befintlig nationell eller EU-rättslig lagstiftning. För närvarande innebär det att EU:s
dataskyddsförordning och kompletterande nationell lagstiftning blir tillämplig. (Se rättsfallet HFD 2024 ref. 43.)
Uppräkningen av personuppgifter i första stycket har tagits bort. Tillämpningsområdet för bestämmelsen utvidgas till att omfatta alla slag av personuppgifter. Med personuppgifter avses information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (jfr a. prop.).
Kravet på att personuppgifterna ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa fanns tidigare i paragrafens andra stycke punkt 1. Detta krav förs över till första stycket. Ändringen är endast redaktionell.
Andra stycket ändras. Stycket innehåller bestämmelser om den
bedömning som ska göras av risken för otillbörligt intrång i enskildas personliga integritet. Det klargörs att bedömningen ska avse det enskilda offentliggörandet. Därtill införs nya kriterier för bedömningen. Ändringen innebär att det vid prövningen av risken för otillbörligt intrång i enskildas personliga integritet särskilt ska beaktas personuppgifternas karaktär, omfattningen av offentliggörandet och syftet med offentliggörandet.
En helhetsbedömning ska göras med utgångspunkt i nämnda kriterier. Även om exempelvis personuppgifternas karaktär talar för att offentliggörandet innebär särskilda risker för otillbörligt intrång i enskildas personliga integritet, kan syftet med offentliggörandet i vissa fall medföra att tillhandahållandet av personuppgifter inte anses vara otillbörligt. Om syftet med offentliggörandet är att tillgängliggöra personuppgifter kan dock bedömningen bli den motsatta, trots att personuppgifternas karaktär och omfattningen av offentliggörandet talar emot otillbörlighet.
Uppräkningen av omständigheter av betydelse för prövningen är inte uttömmande. Det finns ett begränsat utrymme för att även beakta andra förhållanden som i det enskilda fallet kan ha betydelse för otillbörlighetsbedömningen.
Med personuppgifternas karaktär i punkt 1 avses den typ av personuppgifter som offentliggörs. Känsliga personuppgifter enligt artikel 9 och uppgifter om lagöverträdelser enligt artikel 10 dataskyddsförordningen är i allmänhet integritetskänsliga. Offentliggörande av sådana uppgifter talar därför typiskt sett för att det finns särskilda risker för otillbörliga intrång i enskildas personliga integritet. Även offentliggörande av person- och samordnings-
nummer innebär en ökad risk för integritetsintrång, bl.a. på grund av förekomsten av id-kapning.
Med omfattningen av offentliggörandet i punkt 2 avses mängden personuppgifter som offentliggörs om varje enskild person. Även om de enskilda uppgifterna i sig inte är integritetskänsliga kan uppgifterna sammantaget ge en översikt av en enskilds personliga förhållanden som blir problematisk ur integritetssynpunkt. Så kan t.ex. vara fallet om det i en uppgiftssamling går att söka på namn eller personnummer och därigenom få uppgift om personens adress, ålder och inkomst. Sådana sammanställningar av personlig information kan användas av kriminella för att t.ex. välja ut brottsoffer för bedrägerier. Omfattningen av offentliggörandet kan därmed medföra särskilda risker för otillbörliga integritetsintrång.
Slutligen får enligt punkt 3 syftet med offentliggörandet betydelse för otillbörlighetsbedömningen. Om offentliggörandet utgör ett led i den fria åsiktsbildningen, kan det inte anses vara otillbörligt. I det här sammanhanget brukar den fria nyhetsförmedlingen och den obeskurna politiska debatten lyftas fram (jfr SOU 1947:60 s. 120 och prop. 1948:230 s. 172). En uppgiftssamling som tillhandahålls som ett led i en journalistisk granskning kan därmed inte anses medföra särskilda risker för otillbörliga integritetsintrång för de personer som förekommer i uppgiftssamlingen. Undantaget är t.ex. inte tänkt att ge utrymme för lagstiftning som rör situationen att det i anslutning till en redaktions granskning av kommunpolitiker publiceras en lista över politiker i kommunfullmäktige som är dömda för brott eller vad de har för inkomst.
Eftersom det är det enskilda offentliggörandet som ska bedömas förutsätter dock exemplet ovan att det finns ett samband mellan den journalistiska granskningen och uppgifterna som tillhandahålls i uppgiftssamlingen. En söktjänst som tillhandahåller personuppgifter faller därför inte utanför grundlagsundantaget enbart för att det på samma webbsida förekommer redaktionellt material.
Om syftet med offentliggörandet är att tillgängliggöra personuppgifter finns det typiskt sett en risk för otillbörligt intrång i den personliga integriteten. Så är t.ex. fallet med de uppgiftssamlingar som ibland kallas för personsöktjänster. Detsamma gäller i regel de söktjänster som erbjuder möjligheten att ta reda på om enskilda har varit inblandade i t.ex. brottmål eller tvistemål.
Om syftet med offentliggörandet inte är att tillgängliggöra personuppgifter utan att tillhandahålla rätts- och myndighetspraxis är integritetsrisken ofta mindre. Detsamma gäller helt klart om offentliggörandet syftar till att underlätta journalistisk granskning eller har något annat ändamål som rör den fria åsiktsbildningen. Undantaget är inte tänkt att tillämpas på uppgiftssamlingar som har ett journalistiskt syfte oavsett om personuppgifterna tillhandahålls som ett led i en publicering eller för att underlätta researcharbetet inför en publicering.
Som nämnts är uppräkningen av omständigheter av betydelse för bedömningen av risken för otillbörligt integritetsintrång inte uttömmande. Det kan även ha betydelse för otillbörlighetsbedömningen om uppgiftssamlingen är utformad på ett sådant sätt att den kan användas i annat syfte än att t.ex. ta del av rätts- och myndighetspraxis eller underlätta journalistisk granskning. Det kan därför finnas skäl att beakta vilka åtgärder som har vidtagits för att försvåra sökning på enskilda personer eller, i förekommande fall, för att säkerställa att tjänsterna enbart används för att underlätta journalistisk granskning.
Uppgiftssamlingens förväntade mottagarkrets är inte en faktor som ska beaktas vid bedömningen. Det görs inte heller någon principiell åtskillnad mellan traditionell media och andra aktörer som agerar i syfte att sprida information till allmänheten. Även offentliggöranden av andra aktörer än journalister och traditionella medieföretag kan således ha ett sådant syfte som medför att offentliggörandet inte är otillbörligt även om uppgifternas karaktär eller omfattningen av offentliggörandet talar i motsatt riktning.
Vid tillämpningen av paragrafen ska den s.k. instruktionen beaktas (se 1 kap. 10 §, jfr även 1 kap. 15 § YGL). Enligt den bestämmelsen bör den som ska vaka över att grundlagarna efterlevs alltid ha i åtanke att tryck- och yttrandefriheten är en grundval för ett fritt samhällsskick, alltid uppmärksamma ämnet och tanken mera än uttrycket, liksom syftet mera än framställningssättet samt i tveksamma fall hellre fria än fälla. En betydande marginal ska därför tilllämpas i fråga om vad som faller inom det grundlagsskyddade området så att intresset för yttrandefrihet inte får ge vika för intresset av att skydda enskildas integritet i gränsfall eller svårbedömda situationer. (Jfr bet. 2017/18:KU16 s. 41 och prop. 2017/18:49 s. 154.)
12.2. Förslaget till lag om ändring i yttrandefrihetsgrundlagen
1 kap.
20 §
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter som ingår
i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa.
Vad som anges i första stycket gäller endast om offentliggörandet
innebär särskilda risker för otillbörliga intrång i enskildas personliga integritet. Vid denna bedömning ska särskilt beaktas
1. personuppgifternas karaktär,
2. omfattningen av offentliggörandet, och
3. syftet med offentliggörandet.
I paragrafen finns bestämmelser som möjliggör reglering i lag i fråga om offentliggörande av personuppgifter när uppgifterna ingår i en viss typ av uppgiftssamling. Övervägandena finns i kapitel 9. Motsvarande ändringar införs i 1 kap. 13 § tryckfrihetsförordningen. Se vidare kommentaren till den paragrafen.
Särskilt yttrande
Av experten Per Hultengård
Utredningen har haft de direktiv den haft (dir. 2023:145) och därmed att förhålla sig till.
Även om frågan ”Om” (ska något ändras?) prövats och diskuterats av utredaren, så har budskapet i utredningsdirektiven varit ett underförstått, men tydligt, ”Ska”: dvs. ta fram förslag på inskränkningar av grundlagsskyddet för söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt för söktjänster som offentliggör personuppgifter om lagöverträdelser.
Givet dessa förutsättningar är min uppfattning att utredaren försökt att å ena sidan utföra uppdraget, å andra sidan begränsa skadeverkningarna för tryck- och yttrandefriheten. Det förtjänar att betonas att det inte har varit någon lätt uppgift.
Utredningens arbete har dessutom försvårats av den, för svenska förhållanden ovanliga, ”domstolsaktivism” som parallellt i tiden – och trots regleringen i 1 kap. 7 § första stycket dataskyddslagen – under hänvisning till principen om EU-rättens företräde, kommit till uttryck i ett antal beslut om utlämnande av allmänna handlingar, vilka vid utredningens avlämnande ännu inte slutligt avgjorts.
Jag kan för egen del inte ställa mig bakom något av de alternativ som övervägts, men noterar, åter igen, en strävan att med det valda alternativet försöka tillse att inskränkningen i grundlagsskyddet inte blir större än vad som är nödvändigt.
Det är dock ett principiellt och utmanande vägval som görs om den grundlagsskyddade tryck- och yttrandefriheten nu på allvar ställs åt sidan till förmån för EU-rätten och integritetsskyddet.
Det är något som inger djupa betänkligheter.
Kommittédirektiv 2023:145
Ett förstärkt skydd för personuppgifter på tryck- och yttrandefrihetsområdet
Beslut vid regeringssammanträde den 19 oktober 2023
Sammanfattning
En särskild utredare ska se över grundlagsskyddet för söktjänster som offentliggör personuppgifter om lagöverträdelser och söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden. Syftet med uppdraget är att stärka skyddet för den personliga integriteten när personuppgifter offentliggörs i sådana söktjänster.
Utredaren ska
- analysera och ta ställning till om det finns behov av att inskränka grundlagsskyddet för söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt för söktjänster som offentliggör personuppgifter om lagöverträdelser,
- ingående redovisa de ändringar i grundlag och, vid behov, i vanlig lag som skulle kunna göras för att stärka skyddet för personuppgifter i sådana söktjänster samt konsekvenserna av varje författningsändring,
- lämna de förslag på författningsändringar som utredaren bedömer motiverade för att stärka skyddet för den personliga integriteten när personuppgifter offentliggörs i sådana söktjänster, och
- redogöra för de regler som kommer att gälla för söktjänsterna för det fall utredaren bedömer att delegationsbestämmelser bör införas i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Utredaren ska biträdas av en parlamentariskt sammansatt referensgrupp.
Uppdraget ska redovisas senast den 15 november 2024.
Skyddet för privatlivet och skyddet för personuppgifter enligt Europakonventionen och EU-rätten
Rätten till respekt för privat- och familjelivet slås fast i artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Av artikeln följer att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Vidare framgår att det allmänna får ingripa i rättigheten bara om det är förenligt med lag och nödvändigt i ett demokratiskt samhälle och ingripandet sker för att tillgodose vissa närmare uppräknade ändamål, däribland skyddet av andras fri- och rättigheter. Av Europadomstolens praxis följer att konventionsstaterna också har en positiv förpliktelse att värna enskildas intresse av respekt för privat- och familjelivet i förhållande till andra enskilda. Det innebär att en stat i viss utsträckning kan vara skyldig att t.ex. införa straffrättslig reglering för att motverka olika former av fridskränkningar och ett skydd mot t.ex. förtal. När det gäller hur rätten till respekt för privatlivet ska vägas mot t.ex. rätten till yttrande- och informationsfrihet, har Europadomstolen flera gånger uttalat att dessa båda rättigheter förtjänar samma respekt och att en avvägning mellan dem måste göras i varje enskilt fall (se bl.a. dom den 24 juni 2004 i målet von Hannover mot Tyskland och dom den 7 februari 2012 i målet von Hannover mot Tyskland samt dom den 27 juni 2017 i målet Satakunnan Markkinapörssi Oy och Satamedia Oy mot Finland).
Även på EU-rättens område finns bestämmelser som innebär att enskildas rätt till respekt för sitt privatliv ska säkerställas. Europeiska unionens stadga om de grundläggande rättigheterna innehåller bestämmelser både om rätten till respekt för privat- och familjelivet och om skydd för personuppgifter (artiklarna 7 och 8). Genom stadgan slås
också rätten till yttrande- och informationsfrihet fast (artikel 11). När rättigheter enligt stadgan har en motsvarighet i Europakonventionen ska de ges samma innebörd och räckvidd som enligt konventionen (artikel 52.3). Av artikel 7 framgår, i likhet med vad som följer av Europakonventionen, att var och en har rätt till respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 framgår att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Av bestämmelsen följer vidare bl.a. att personuppgifter måste behandlas lagenligt och för ett bestämt ändamål, att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne samt att få felaktiga uppgifter rättade. En oberoende myndighet ska också kunna kontrollera att dessa regler följs. I likhet med vad som gäller enligt Europakonventionen anses rätten till skydd för privatlivet, inklusive skydd för personuppgifter, och rätten till yttrande- och informationsfrihet vara två likvärdiga rättigheter. Ingen av dem anses väga tyngre än den andra och en eventuell konflikt dem emellan måste lösas genom en avvägning i varje enskilt fall (se EU-domstolens avgöranden i målen Google Spain, C-131/12 och Satakunnan Markkinapörssi Oy och Satamedia Oy, C-73/07).
Mer detaljerade regler om de närmare villkoren för behandlingen av personuppgifter inom EU finns bl.a. i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen syftar dels till att skapa förutsättningar för ett fritt flöde av personuppgifter inom EU, dels till att skydda fysiska personers rätt till skydd av personuppgifter. I Sverige kompletteras förordningen av bl.a. lagen (2018:218) om kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen.
Med personuppgifter avses alla upplysningar som direkt eller indirekt kan hänföras till en levande fysisk person. Namn och personnummer är typiska exempel på personuppgifter. Men även en uppgift om t.ex. fysiska kännetecken och liknande kan vara en personuppgift, om uppgiften kan användas för att identifiera en viss person. Med behandling av personuppgifter avses i princip all hantering av personuppgifter.
Dataskyddsförordningen ger de registrerade – dvs. de personer vars personuppgifter behandlas – ett antal rättigheter, bl.a. en rätt att
få information om hur personuppgifterna behandlas, att få felaktiga uppgifter rättade samt att i vissa fall få personuppgifter raderade (”rätten att bli bortglömd”). Den registrerade har också enligt förordningen en rätt till ersättning för skada från den personuppgiftsansvarige, dvs. från den som bestämmer ändamålen och medlen för behandlingen av personuppgifterna.
Särskilda krav gäller enligt förordningen för att behandling av s.k. känsliga personuppgifter och personuppgifter som rör lagöverträdelser ska vara tillåten. De sistnämnda får enligt förordningen i princip endast behandlas under kontroll av en myndighet.
Tillsynsmyndigheterna – i Sverige Integritetsskyddsmyndigheten – har till uppgift att övervaka att dataskyddsförordningens bestämmelser följs och att bidra till en enhetlig tillämpning av förordningen inom unionen. I tillsynsmyndighetens uppdrag ligger bl.a. att behandla klagomål från enskilda. Myndigheten kan då förelägga den personuppgiftsansvarige att tillmötesgå de registrerades begäran att få utöva sina rättigheter enligt förordningen. Myndigheten kan också, när förordningens bestämmelser överträds, utfärda varningar eller reprimander, meddela beslut om förelägganden att vidta rättelse eller påföra den personuppgiftsansvarige administrativa sanktionsavgifter.
Dataskyddsförordningen förutsätter att medlemsstaterna gör undantag från förordningens bestämmelser med hänsyn till intresset av yttrande- och informationsfrihet. Detta uttrycks i förordningens artikel 85 som att medlemsstaterna ska förena rätten till integritet med yttrande- och informationsfriheten, inbegripet sådan behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Sådana bestämmelser har förts in i dataskyddslagen. Enligt 1 kap. 7 § första stycket dataskyddslagen ska dataskyddsförordningen och dataskyddslagen inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Av andra stycket följer vidare att stora delar av dataskyddsförordningen och dataskyddslagen inte heller ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande vid offentliggöranden som inte omfattas av mediegrundlagarna.
Skyddet för personuppgifter i söktjänster som omfattas av mediegrundlagarnas skydd
Yttrandefrihetsgrundlagens skydd för publiceringar på internet
Publiceringar på internet faller enligt huvudregeln utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområden, vilket innebär att grundlagsskyddet i stället finns i regeringsformen. Från denna huvudregel görs det undantag genom bl.a. den s.k. databasregeln i 1 kap. 4 § yttrandefrihetsgrundlagen.
Databasregeln ger under vissa närmare angivna förutsättningar grundlagsskydd för yttranden som sker genom tillhandahållanden till allmänheten ur databaser. Det som typiskt sett avses är tillhandahållanden av lagrad information från webbplatser på begäran. För vissa aktörer – redaktioner för periodiska skrifter och redaktioner för program – gäller grundlagsskyddet automatiskt, dvs. utan att någon särskild åtgärd behöver vidtas. Även massmedieföretag, t.ex. bokförlag som ger ut tryckta böcker och skivbolag som ger ut tekniska upptagningar, och nyhetsbyråer har automatiskt grundlagsskydd för sina webbsidor. Andra aktörer har möjlighet att hos Myndigheten för press, radio och tv ansöka om ett utgivningsbevis och på så sätt få ett frivilligt grundlagsskydd.
Möjligheten till grundlagsskydd genom utgivningsbevis infördes 2003 som en anpassning till den tekniska utvecklingen och till förhållandet att alltmer nyhetsförmedling, opinionsbildning och upplysning bedrivs av andra aktörer än traditionella massmedieföretag. Tanken var alltså främst att skydda nya former av massmedial verksamhet.
Kraven för att få ett utgivningsbevis framgår av 1 kap. 5 § yttrandefrihetsgrundlagen. Kraven är av formell karaktär. Vid en ansökan om utgivningsbevis görs det inte någon prövning av verksamhetens syfte eller databasens förväntade eller faktiska innehåll. Det går alltså att få grundlagsskydd även för databaser som inte har någon massmedial karaktär.
Lagstiftarens farhågor vid införandet av det frivilliga grundlagsskyddet och efterföljande utredningar
När möjligheten till frivilligt grundlagsskydd genom utgivningsbevis infördes uttalade konstitutionsutskottet att konflikter skulle kunna uppstå med de bestämmelser som finns i syfte att skydda den personliga integriteten (bet. 2001/02:KU21 s. 32). Utskottet pekade särskilt på att grundlagsskyddet i värsta fall skulle kunna komma att omfatta webbsidor som är rena personregister. Efter utskottets förslag beslutade riksdagen att tillkännage för regeringen att den skulle ytterligare analysera eller låta analysera huruvida det frivilliga grundlagsskyddet kunde komma i konflikt med bestämmelser som syftar till att skydda den personliga integriteten (bet. 2001/02:KU21 punkt 3 och rskr. 2001/02:233).
Frågan om det frivilliga grundlagsskyddet och riskerna för konflikter med skyddet för den personliga integriteten behandlades inledningsvis av den parlamentariskt sammansatta Yttrandefrihetskommittén (Ju 2003:04). Kommittén lämnade dock inte några förslag till förändringar (SOU 2009:14 s. 65–114 och SOU 2012:55 Del 1 s. 429–440).
Den parlamentariskt sammansatta Mediegrundlagskommittén (Ju 2014:17) fick därefter i uppdrag att analysera frågan på nytt. Kommittén konstaterade i fråga om webbsidor med utgivningsbevis att verksamheterna i allt väsentligt bedrivs på ett seriöst och ansvarsfullt sätt men att det finns ett antal webbsidor som avser rena söktjänster och som tillhandahåller integritetskänsliga personuppgifter. Kommittén ansåg att starka skäl talade för en inskränkning av grundlagsskyddet för vissa typer av söktjänster och lämnade också förslag på delegationsbestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen som skulle möjliggöra en sådan inskränkning (SOU 2016:58 s. 391–406).
I propositionen Ändrade mediegrundlagar (prop. 2017/18:49) gjorde regeringen, i likhet med Mediegrundlagskommittén, bedömningen att integritetshänsyn motiverade en begränsning av grundlagsskyddet för vissa söktjänster och föreslog bestämmelser i de båda mediegrundlagarna som skulle göra det möjligt att i vanlig lag, under vissa förutsättningar, förbjuda offentliggöranden av personuppgifter av särskilt integritetskänslig karaktär. Utöver uppgifter om att en enskild har gjort sig skyldig till lagöverträdelser, föreslogs delegationsbestämmelserna omfatta känsliga personuppgifter om bl.a. hälsa,
sexualliv, sexuell läggning och politiska åsikter. Bestämmelserna skulle enligt förslaget kunna tillämpas endast om personuppgifterna var sök- eller sammanställningsbara och om offentliggörandet gjordes på sådant sätt att det innebar särskilda risker för otillbörliga intrång i enskildas personliga integritet (prop. 2017/18:49 s. 144–154).
Under riksdagsbehandlingen av propositionen ställde sig konstitutionsutskottet i stort bakom regeringens förslag. Utskottet konstaterade dock att det i fråga om förslaget att inskränka grundlagsskyddet för söktjänster som offentliggör personuppgifter om lagöverträdelser saknades ett brett samförstånd bland riksdagspartierna. Utskottet vände sig bl.a. mot att regeringens förslag innebar att den tilltänkta användarkretsen av en söktjänst skulle påverka grundlagsskyddets omfattning. Utskottet menade att avgränsningen i stället borde utgå från syftet med offentliggörandet och vilken typ av uppgifter som tillhandahölls och föreslog att riksdagen skulle tillkännage för regeringen att den på nytt skulle utreda frågan om att begränsa grundlagsskyddet för sådana söktjänster (bet. 2017/18:KU16 punkt 2c och s. 39–42). Riksdagen beslutade i enlighet med utskottets förslag (rskr. 2017/18:336). Förslaget genomfördes således inte i den del det avsåg söktjänster som offentliggör personuppgifter om lagöverträdelser. Övriga delar av förslaget antogs dock. De nya bestämmelserna trädde i kraft den 1 januari 2019.
I juni 2019 fick en ny parlamentarisk kommitté, 2018 års tryck- och yttrandefrihetskommitté (Ju 2018:01), genom tilläggsdirektiv i uppdrag att på nytt överväga en begränsning av grundlagsskyddet för söktjänster som offentliggör uppgifter om lagöverträdelser. Kommittén ansåg att en begränsning av grundlagsskyddet var motiverad och föreslog därför delegationsbestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen som skulle möjliggöra en tillämpning av dataskyddsregleringen på sådana söktjänster. Regeringen instämde i kommitténs bedömning och lade fram ett förslag som låg i linje med det förslag som presenterats av kommittén (prop. 2021/22:59). Förslaget accepterades dock inte av riksdagen då det även denna gång saknades ett tillräckligt brett stöd bland riksdagspartierna för förslaget. Till huvudsaklig grund för sitt ställningstagande lyfte konstitutionsutskottet fram de synpunkter som förts fram av vissa remissinstanser om att bestämmelserna var för vaga eller svårtolkade för att skapa en förutsebar begränsning av grundlagsskyddet. Enligt utskottet skapade de föreslagna bestämmelserna
en alltför bred och oprecis möjlighet att göra inskränkningar i grundlagsskyddet genom vanlig lag (bet. 2021/22:KU14 s. 30).
Sedan den 1 januari 2019 är det alltså t.ex. möjligt för Integritetsskyddsmyndigheten att med stöd av delegationsbestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen ingripa mot söktjänster som offentliggör känsliga personuppgifter, se Kammarrätten i Stockholms dom den 22 juni 2023 i mål nr 1128-23. (Domen är överklagad till Högsta förvaltningsdomstolen, mål nr 4588-23.) Myndigheten är dock förhindrad att ingripa mot söktjänster som offentliggör andra typer av personuppgifter och som med stöd av ett utgivningsbevis eller på annan grund omfattas av mediegrundlagarnas skydd.
Uppdraget att göra en översyn av reglerna om söktjänsters grundlagsskydd
Syftet med det frivilliga grundlagsskyddet genom utgivningsbevis var att sträcka ut grundlagsskyddet till nya former av massmedial kommunikation och att möjliggöra för andra aktörer än traditionella massmedieföretag att verka under yttrandefrihetsgrundlagens skydd.
Samtidigt som den tekniska och mediala utvecklingen medför behov av att sträcka ut grundlagsskyddet till nya kommunikationstekniker kan den också föra med sig företeelser för vilka grundlagsskydd varken framstår som önskvärt eller lämpligt. Nya överväganden behöver därför göras, när det gäller såväl vad som bör ges grundlagsskydd som vad som bör falla utanför. Att den typen av överväganden görs är en viktig del av värnandet av en livskraftig tryck- och yttrandefrihetsreglering. Alternativet, att låta företeelser som ligger långt från kärnan för vad mediegrundlagarna är tänkta att skydda omfattas av grundlagsskydd, riskerar att underminera acceptansen och respekten för det särskilda tryck- och yttrandefrihetsrättsliga systemet. Söktjänster som utan urskillning offentliggör enskildas personuppgifter är ett exempel på en företeelse som kräver överväganden av det slaget.
Det finns i dag ett antal söktjänster som utan urskillning offentliggör enskildas personuppgifter. Gemensamt för alla söktjänster är att de offentliggör en stor mängd personlig information om enskilda. Vem som helst kan ta del av informationen, ofta kostnadsfritt, med en enkel sökning. Informationen inhämtas i regel från olika myndigheter med stöd av offentlighetsprincipen.
Vilken slags personlig information som tillhandahålls av en söktjänst varierar men det finns ett antal söktjänster som tillhandahåller uppgifter om bl.a. adress, ålder, telefonnummer, bostadens och hushållets storlek, bolagsengagemang samt fordonsinnehav. Åtminstone en söktjänst har även en s.k. följfunktion. Den som använder funktionen får då kostnadsfritt en avisering när personen man följer till exempel byter namn, ändrar civilstånd, byter adress eller får ett nytt telefonnummer. Även om varje enskild uppgift i sig inte är integritetskränkande kan mängden personlig information som offentliggörs upplevas som påträngande.
Det finns anledning att se över grundlagsskyddet för rena söktjänster som offentliggör denna typ av personuppgifter. Att en stor mängd personlig information på detta sätt sprids kan skapa en oro hos enskilda för hur uppgifter om deras personliga förhållanden behandlas. Informationen kan också användas av kriminella för att välja ut och kartlägga brottsoffer som på grund av ålder eller annan omständighet är särskilt sårbara för vissa typer av brott, t.ex. rån och bedrägeri, eller för planering av tillgreppsbrott som sker i organiserade former och riktas in mot t.ex. exklusiva fordon. Det kan tilläggas att bedrägerier riktade mot t.ex. äldre också har ökat i omfattning, en ökning som skett i takt med att betaltjänster i allt högre grad utförs digitalt. Informationen som är tillgänglig genom söktjänsterna kan vidare användas för att kartlägga offentliganställda för att sedan genom hot eller på annat sätt försöka påverka de beslut som de fattar i tjänsten. Den utsatthet som offentliganställda upplever kan innebära stora problem ur de enskildas synvinkel men i ett bredare perspektiv på sikt även få negativa verkningar när det gäller allmänhetens förtroende för myndighetsutövningen i stort.
Det finns vidare ett antal söktjänster som huvudsakligen är inriktade på att tillhandahålla uppgifter om enskildas lagöverträdelser. Brottmålsdomarna tillhandahålls i regel mot betalning och utan att personuppgifter anonymiseras. Offentliggörandet ger många gånger upphov till påtaglig integritetsskada för de individer som förekommer i söktjänsterna. Det kan också försvåra för dömda personer att bryta en kriminell livsstil och återgå till ett hederligt levnadssätt. Det har ifrågasatts om den nuvarande regleringen vad gäller dessa söktjänster ger ett tillräckligt skydd mot integritetskränkningar på det sätt som både Europakonventionen och EU-rätten kräver.
Sammantaget finns ett behov av att utreda om den nuvarande regleringen ger ett tillräckligt skydd mot integritetskränkningar på det sätt som både Europakonventionen och EU-rätten kräver. Ett inskränkt grundlagsskydd för ovannämnda söktjänster bör därför övervägas. Det kan i sammanhanget noteras att Sveriges genomförande av dataskyddsförordningen på bl.a. tryck- och yttrandefrihetsområdet ifrågasätts av Europeiska kommissionen. Kommissionen lyfter bl.a. fram vikten av att – i ljuset av EU-domstolens praxis – balansera och förena rätten till informations- och yttrandefrihet med den i stadgan jämställda rätten till integritetsskydd och uttrycker tvivel i fråga om Sverige har åstadkommit en riktig balans genom det företräde som mediegrundlagarna ges framför dataskyddsförordningen (Ju2019/01709).
Tidigare förslag att begränsa grundlagsskyddet för söktjänster som offentliggör uppgifter om enskildas brottlighet har inte accepterats av riksdagen bl.a. med hänvisning till att delegationsbestämmelserna inte varit utformade på ett ändamålsenligt sätt. Ett alternativ kan därför vara att direkt i grundlag reglera vilka begränsningar som kan göras i vanlig lag för rena söktjänster. För det fall att nya delegationsbestämmelser övervägs är det viktigt att bestämmelserna är tydliga och skapar en förutsebar begränsning av grundlagsskyddet.
Utredaren ska i sina analyser göra en noggrann avvägning mellan intresset av yttrandefrihet och intresset att skydda enskildas personliga integritet. Utgångspunkten för utredarens arbete ska vara att det även fortsättningsvis ska vara möjligt att få grundlagsskydd genom utgivningsbevis.
Utredaren ska därför
- analysera och ta ställning till om det finns behov av att inskränka grundlagsskyddet för söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt för söktjänster som offentliggör personuppgifter om lagöverträdelser,
- ingående redovisa de ändringar i grundlag och, vid behov, i vanlig lag som skulle kunna göras för att stärka skyddet för personuppgifter i sådana söktjänster samt konsekvenserna av varje författningsändring,
- lämna de förslag på författningsändringar som utredaren bedömer motiverade för att stärka skyddet för den personliga integriteten när personuppgifter offentliggörs i sådana söktjänster, och
- redogöra för de regler som kommer att gälla för söktjänsterna för det fall utredaren bedömer att delegationsbestämmelser bör införas i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Konsekvensbeskrivningar
Utredaren ska beakta de krav på konsekvensbeskrivningar som finns i 14–15 a §§kommittéförordningen (1998:1474). I detta ingår att bedöma och redovisa de ekonomiska konsekvenserna av förslagen för staten, företag och andra enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa om förslagen har någon påverkan på jämställdheten mellan kvinnor och män.
Kontakter och redovisning av uppdraget
Under uppdraget ska utredaren samråda med myndigheter och organisationer i den utsträckning som utredaren finner behövligt.
Utredaren ska också hålla sig informerad om och beakta relevant arbete som pågår inom Regeringskansliet och inom utredningsväsendet. Utredaren ska beakta utvecklingen vid såväl EU:s lagstiftande institutioner som EU-domstolen.
Till stöd för utredarens arbete ska en referensgrupp med representanter för riksdagspartierna inrättas. Utredarens förslag ska ha en bred parlamentarisk förankring.
Uppdraget ska redovisas senast den 15 november 2024.
(Justitiedepartementet)
Undantag enligt kreditupplysningsmodellen
Alternativ 1
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter
1. som avslöjar etniskt ursprung, hudfärg eller annat liknande för-
hållande, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. om hälsa, sexualliv eller sexuell läggning, eller
3. som består av genetiska uppgifter eller biometriska uppgifter för
att entydigt identifiera en fysisk person.
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om offentliggörande av andra personuppgifter än sådana som avses i första stycket. Dessa föreskrifter får innefatta
1. krav på rättslig grund,
2. krav på ändamålsbegränsning,
3. krav på uppgiftsminimering,
4. skyldighet att lämna information om personuppgiftsbehandling
till den registrerade,
5. krav på rättelse av oriktig eller ofullständig personuppgift,
6. krav på radering av personuppgift,
7. tillsyn, och
8. sanktionsavgift.
Vad som anges i första och andra stycket gäller endast om
1. personuppgifterna ingår i en uppgiftssamling som har ordnats
så att det är möjligt att söka efter eller sammanställa dessa, och
2. det med hänsyn till verksamheten och de former under vilka
uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet.
Alternativ 2
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter
1. som avslöjar etniskt ursprung, hudfärg eller annat liknande
förhållande, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. om hälsa, sexualliv eller sexuell läggning, eller
3. som består av genetiska uppgifter eller biometriska uppgifter för
att entydigt identifiera en fysisk person.
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om offentliggörande av andra personuppgifter än sådana som avses i första stycket. Dessa föreskrifter får innefatta
1. krav på rättslig grund,
2. krav på ändamålsbegränsning,
3. krav på uppgiftsminimering,
4. skyldighet att lämna information om personuppgiftsbehandling
till den registrerade,
5. krav på rättelse av oriktig eller ofullständig personuppgift,
6. krav på radering av personuppgift,
7. tillsyn, och
8. sanktionsavgift.
Vad som anges i första och andra stycket gäller endast om
1. personuppgifterna ingår i en uppgiftssamling som har ordnats
så att det är möjligt att söka efter eller sammanställa dessa, och
2. offentliggörandet innebär särskilda risker för otillbörliga intrång
i enskildas personliga integritet. Vid denna bedömning ska särskilt beaktas personuppgifternas karaktär, omfattningen av offentliggörandet, och syftet med offentliggörandet.
Alternativ 3
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter
1. som avslöjar etniskt ursprung, hudfärg eller annat liknande
förhållande, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. om hälsa, sexualliv eller sexuell läggning, eller
3. som består av genetiska uppgifter eller biometriska uppgifter för
att entydigt identifiera en fysisk person.
Bestämmelserna i denna grundlag hindrar inte att det i lag meddelas föreskrifter om behandling av andra personuppgifter än sådana som avses i första stycket. Dessa föreskrifter får innefatta
1. krav på rättslig grund,
2. krav på ändamålsbegränsning,
3. krav på uppgiftsminimering,
4. skyldighet att lämna information om personuppgiftsbehandling
till den registrerade,
5. krav på rättelse av oriktig eller ofullständig personuppgift,
6. krav på radering av personuppgift,
7. tillsyn, och
8. sanktionsavgift.
Vad som anges i första och andra stycket gäller inte behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.