Konstitutionsutskottets betänkande med anledning av dels propositionen 1974:1 såvitt gäller anslag under justitiedepartementets verksamhetsområde för budgetåret 1974/75 till datainspektionen, dels motioner (Betänkande 1974:KU20 Konstitutionsutskottet)

Konstitutionsutskottets betänkande nr 20 år 1974

KU 1974:20

Nr 20

Konstitutionsutskottets betänkande med anledning av dels propositionen
1974:1 såvitt gäller anslag under justitiedepartementets
verksamhetsområde för budgetåret 1974/75 till datainspektionen,
dels motioner.

Propositionen

I propositionen 1974:1 såvitt nu är i fråga (bilaga 4, s. 15—18) föreslår
Kungl. Maj:t att riksdagen för budgetåret 1974/75 anvisar till Datainspektionen
ett förslagsanslag av 2 776 000 kronor.

Departementschefen anför att datainspektionen som inrättades den 1 juli
1973 ännu är i sitt uppbyggnadsskede. Antalet tillståndsärenden kan endast
beräknas mycket ungefärligt. Det är därför enligt departementschefen ej
möjligt att med någon nämnvärd grad av säkerhet bedöma inspektionens
behov av resurser under budgetåret 1974/75. Fr. o. m. den 1 juli 1974 kommer
datainspektionens arbetsuppgifter dessutom att utökas med tillståndsoch
tillsynsärenden enligt kreditupplysningslagen (1973:1173). Vilket arbete
detta kommer att medföra för inspektionen är enligt departementschefen
svårt att förutse.

Motionerna

I motionen 1974:1 av herr Helén m. fl. (fp) hemställs (A 1) att riksdagen
beslutar ändringar i datalagen i enlighet med ett i motionen framlagt förslag
till lagtext syftande till att även ADB-förda personregister inrättade
av Kungl. Maj:t skall omfattas av datainspektionens tillståndsprövning. I

motionen hemställs vidare ”A. att riksdagen beslutar 2. att ge Kungl.

Maj:t till känna vad som i motionen anförts om dataregistrering av s. k.
mjukdata, 3. att ge Kungl. Maj:t till känna vad som i motionen anförts
beträffande krav på insikter i datadokumentation hos auktoriserad revisor,

4. att ge Kungl. Maj:t till känna vad som i motionen anförts om data i
sjukvården, 5. att ge Kungl. Maj:t till känna vad som i motionen anförts
om nödvändigheten att specificera sekretesskraven för data i kommunal
eller statlig ägo, B. att riksdagen hos Kungl. Maj:t begär 1. förslag om inrättande
av en dataombudsman med uppgift att övervaka efterlevnaden av
datalagstiftningen och därvid besvärsvägen tillvarata den enskildes rätt till
integritet, 2. utredning av de juridiska problemen i samband med missbruk
av och fel i användningen av datorer, 3. att regeringen tar initiativ till internationella
konventioner om likartad tillämpning av vissa typer av da -

1 Riksdagen 1974. 4 samt. Nr 20

KU 1974:20

talagar, 4. att regeringen utarbetar förslag till kompletterande bestämmelser
som bemyndigar datainspektionen att förhindra att personregister mot datalagen
kopplas samman med manuellt förda register”.

Motionärerna anför i en sammanfattning av motionen att det krävs en
rad åtgärder för att äganderätten till data om både personer och deras ekonomiska
förhållanden skall få en juridiskt tillfredsställande lösning. En punkt
där skyddet enligt motionärerna är mycket svagt är revisorers lagliga skyldigheter.
Ett annat krav som måste ställas är att datasystem skall vara ordentligt
dokumenterade. I motionen anförs vidare att det måste skapas garantier
för att missbruk av datorer skall kunna förhindras resp. upptäckas.
Den ökade användningen av datatekniken i samhällsvården och även i
näringslivets personalvård gör det nödvändigt att lagstiftaren tar ställning
till vad som skall vara tillåtet eller icke på detta område. Motionärerna
anför också att användningen av de stora datakommunikationsnät som är
under uppbyggnad både inom landet och internationellt bör uppmärksammas.

I motionen 1974:918 av herr Boo m. fl. (c) hemställs ”att riksdagen hos
Kungl. Maj:t begär att åtgärder vidtas i syfte att ytterligare öka integritetsskyddet
vid upprättande och användande av personregister på data i enlighet
med vad i motionen anförts”.

Motionärerna anför att även om datalagen tills vidare bör kunna anses
ge ett tillräckligt integritetsskydd är det, mot bakgrund av den snabbhet
som kännetecknar utvecklingen på dataområdet och uppbyggandet av nya
dataregister, likväl angeläget att redan nu se över vilka ytterligare åtgärder
som kan vidtas för att förstärka skyddet av den enskildes integritet. En
sådan förstärkning av integritetsskyddet får emellertid enligt motionärerna
inte stå i strid med grundprincipen i tryckfrihetsförordningen om allmänna
handlingars offentlighet.

Enligt motionen är det nödvändigt att datainspektionen genom direkt
uppsökande verksamhet ”håller ett ständigt öga” på upprättade register för
att på ett tidigt stadium kunna föranstalta om åtgärder när så är befogat.
För att möjliggöra en aktiv inspektionsverksamhet och för att förhindra
alltför långt dröjsmål med prövningen av de dataregister som redan är i
bruk krävs enligt motionärerna en viss ökning av datainspektionens handläggande
personal. Det bör enligt motionen slås fast att tillståndsprövningen
av de personregister som redan är i bruk bör vara genomförd inom en tvåårsperiod.

1 motionen anförs vidare att erfarenheten visar att dataregistrering bör
decentraliseras bl. a. för att enskildas integritet även den vägen skall skyddas.
Dessutom föreslås att en regional ansvarsnämnd bör inrättas för varje region
med uppgift att utöva medborgarkontroll när regiongränser skall överträdas.

I motionen 1974:1181 av herr Olof Johansson i Stockholm (c) hemställs
”att riksdagen hos Kungl. Maj:t begär översyn och förslag till sådan ändring

KU 1974:20

i datalagen att försäljning av personregister för kommersiellt bruk omöjliggörs”.

I motionen anförs att med nuvarande regler kan exempelvis företag köpa
person- och adressregister för reklamändamål. Resultatet har enligt motionären
blivit att hushåll och enskilda personer utsätts för en omfattande
direktreklam där det ibland kan ifrågasättas om den står i överensstämmelse
med de regler som gäller för reklam verksam het i Sverige.

I motionen 1974:1190 av herr Wijkman (m)och fru Sundberg (m) hemställs
”l.att riksdagen beslutar att personregister som beslutats av Kungl. Maj:t
icke får inrättas och föras utan tillstånd av datainspektionen, 2. att riksdagen
i skrivelse till Kungl. Maj:t begär förslag om inrättande av en dataombudsman
med uppgift att övervaka efterlevnaden av lagstiftning i datafrågor och därmed
sammanhängande integritetsfrågor och därvid besvärsvägen tillvarata
den enskildes rätt”.

Motionärerna anför att just de statliga registren — och kanske allra främst
de register som i datalagen är undantagna från tillståndsprövning — torde
vara de som innebär de allvarligaste integritetsproblemen och som därför
bör bli föremål för tillståndsprövning. Bl. a. medför den särställning som
offentlighetsprincipen ger myndigheternas register i förhållande till privata
register speciella integritetsproblem. Beträffande förslaget att inrätta en särskild
dataombudsman anför motionärerna att det med tanke på de invecklade
och svåröverskådliga problem som kan uppstå när dataregister på olika sätt
sammanförs och bringas att samarbeta är orimligt att begära att JO och
JK skall samla tillräcklig erfarenhet och sakkunskap för att fullgöra sina
uppgifter även på dataområdet.

Utskottet har berett datainspektionen möjlighet att yttra sig över motionerna.
Inspektionens yttrande redovisas i bilaga till vilken hänvisas.

Frågornas behandling vid 1973 års riksdag, m. m.

Datalagen m. m.

Vid 1973 års riksdag föreläde Kungl. Maj:t riksdagen i propositionen
1973:33 för prövning i grundlagsenlig ordning förslag till vissa ändringar
i tryckfrihetsförordningen vilka syftade till att undanröja den oklarhet som
dittills rått i frågan hur offentlighetsprincipen skall tillämpas på ADB-upptagningar
och andra upptagningar av teknisk natur, t. ex. mikrofilm och
fonogram. Förslaget innebar i huvudsak att samma regler som hittills gällt
för handlingar så långt möjligt skall tillämpas också på tekniska upptagningar.
Vissa särskilda regler föreslogs dock när det gäller på vilket sätt myndigheterna
skall tillhandahålla sådana upptagningar som är offentliga. Den enskilde
skall t. ex. ha rätt att mot avgift erhålla en särskild utskrift av en
teknisk upptagning. Myndigheterna skall dock inte, såvitt gäller ADB-upptagningar,
vara skyldiga att lämna ut kopia av själva datamediet, t. ex. mag -

KU 1974:20

netbandet. Ändringarna föreslogs träda i kraft den 1 juli 1974.

I propositionen framlades vidare förslag dels till datalag, dels till inrättande
av en central förvaltningsmyndighet — datainspektionen. Förslaget till datalag
syftade till att skydda den enskilde mot sådant otillbörligt intrång i
den personliga integriteten som kan bli följden av den alltmer utbredda
dataregistreringen av personuppgifter. Förslaget innebar att dataregister med
personuppgifter får inrättas och föras endast med tillstånd av datainspektionen.
Register som inrättas genom beslut av Kungl. Maj:t eller riksdagen
skall dock endast anmälas till datainspektionen som då kan meddela föreskrifter
angående registrets förande bl. a. för att förebygga integritetsintrång.
Beträffande övriga register meddelar datainspektionen sådana föreskrifter
i samband med tillståndsgivningen. Datainspektionen övar vidare tillsyn
över registren och kan ingripa i efterhand med nya eller ändrade föreskrifter.
I sista hand kan inspektionen återkalla meddelat tillstånd. För att ytterligare
tillgodose den enskildes intressen stadgas i datalagen bl. a. att han skall ha
rätt att på begäran tå upplysning om de uppgifter som finns om honom
i ett visst dataregister. Sådan upplysning skall kunna erhållas en gång om
året och skall i princip ske utan kostnad för den enskilde.

Datalagen innehåller även vissa bestämmelser om straff och skadestånd.
Den som ansvarar för ett personregister är skyldig att ersätta sådan skada
som uppkommer genom att registret innehåller oriktig uppgift. Skadestånd
utgår även om skadan inte har uppkommit genom vållande hos den som
ansvarar för personregistret.

1 propositionen föreslogs också en ändring i 13 § lagen (1967:248) om
inskränkningar i rätten att utbekomma allmänna handlingar — sekretesslagen.
Personuppgift som ingår i sådant personregister som avses i datalagen
må ej utlämnas, om det finns anledning antaga att uppgiften skall användas
för automatisk databehandling i strid med datalagen. Om det är troligt att
personuppgiften kan komma att användas för automatisk databehandling
utomlands får uppgiften utlämnas endast efter medgivande av datainspektionen.
Sådant medgivande må lämnas endast om det kan antas att utlämnandet
av uppgiften icke kommer att medföra otillbörligt intrång i personlig
integritet.

Konstitutionsutskottet tillstyrkte i sitt betänkande (KU 1973:19) propositionen,
och riksdagen beslöt i enlighet med utskottets förslag. Ändringarna
i tryckfrihetsförordningen har slutligt antagits av riksdagen under innevarande
session(KU 1974:2,rskr 1974:10). Beträffandetvåfrågor —inrättandet
av en särskild dataombudsman och det undantag från de allmänna tillståndsreglerna
som ligger i att personregister, vars inrättande beslutas av Kungl.
Maj:t, inte är underkastat datainspektionens tillståndsprövning på vanligt
sätt — förelåg reservationer mot utskottets betänkande. Frågorna redovisas
nedan under särskilda rubriker.

KU 1974:20

Dalaombudsman

Frågan om att inrätta en särskild dataombudsman togs upp i motionen
1973:1638 av herr Helén m. fl. (fp). I motionen anfördes att rätten att överklaga
datainspektionens beslut borde förläggas till ett särskilt, fristående organ
— en dataombudsman. Dataombudsmannen skulle överta den allmänna
tillsyn som ankommer på JO liksom den rätt att överklaga inspektionens
beslut som har tilldelats JK.

Utskottet avstyrkte motionen och anförde i denna fråga bl. a.:

Enligt motionen 1973:1638 främjas rättssäkerheten bättre om frågor och
klagomål rörande datainspektionens handhavande av integritetsfrågorna
handläggs av en särskild fristående institution, en ”dataombudsman”. På
denna skall enligt motionärerna också ankomma såväl den allmänna tillsyn
som enligt propositionen skall fullgöras av JO som den rätt att överklaga
inspektionens beslut som propositionens förslag tilldelar JK.

Även enligt utskottets mening skulle ett sammanförande av tillsyns- och
besvärsbefogenheter till ett enda, fristående organ i och förr sig kunna tänkas
ha vissa fördelar från integritetsskyddssynpunkt. Att nu tillskapa en ny,
särskild institution för ändamålet kan emellertid lätt innebära en överorganisation,
som utskottet inte är berett att tillstyrka i dagens läge. Frågan
bör emellertid hållas öppen i avbidan på erfarenheter av den nya lagstiftningen.
Skulle den i propositionen föreslagna ordningen beträffande tillsyn,
kontroll och besvärsrätt på detta område inte visa sig motsvara de anspråk
som måste kunna ställas därpå får självfallet andra åtgärder snabbt övervägas.
Såvitt nu kan bedömas bör emellertid enligt utskottets mening denna ordning
fullt ut tillgodose allmänhetens intressen.

I en reservation (2 fp, 2 m) hemställdes ”att riksdagen 8. med bifall till
motionen 1973:1638, såvitt nu är i fråga, hos Kungl. Maj:t begär förslag
om inrättande av en dataombudsman med uppgift att övervaka efterlevnaden
av den kommande datalagstiftningen och därvid besvärsvägen tillvarata den
enskildes rätt till integritet”.

I motiveringen anförde reservanterna att utskottets yttrande i berörda delar
bort ha följande lydelse:

Med tanke på de invecklade och svåröverskådliga frågor, som uppstår
när dataregister på olika sätt sammanförs och samarbetar, krävs en inte obetydlig
kunskap om datateknikens möjligheter och begränsningar hos den
som skall handlägga ärenden angående tillsyn och besvär. Utskottet finner
med hänsyn till detta att den av departementschefen ovan skisserade ordningen
inte är helt tillfredsställande. Allmänheten kommer att ha tre olika
instanser att vända sig till och kommer att ha svårt att veta, vilken som
är den rätta. Det blir svårt för såväl JO som JK att samla tillräcklig erfarenhet
och sakkunskap för att kunna fullgöra sina uppgifter på dataområdet. Utskottet
anser därför att rätt att överklaga datainspektionens beslut, på eget
initiativ eller på uppmaning av enskild, bör ges, inte till JK utan till ett
särskilt fristående organ benämnt ”dataombudsman”. Dataombudsmannen
skall också utöva den allmänna tillsyn över datainspektionens verksamhet
som departementschefen anser skall fullgöras av JO. Det är här fråga om
ett så speciellt och svårbearbetat område att tillsynen bör skötas av personer

KU 1974:20

med särskild kompetens för saken och med möjlighet att helt ägna sig åt
uppgiften. Det är dessutom mer tillfredsställande för allmänheten att kunna
framföra frågor och klagomål över datainspektionens handhavande av integritetsfrågorna
till en fristående institution än att behöva gå till detta
ämbetsverk självt. Detta ökar rättssäkerheten.

Riksdagen beslöt som redan anförts i enlighet med utskottets förslag.

Personregister med ADB inrättade efter beslut av Kungl. Maj:t

I två motioner — 1973:1638 av herr Helén m. fl (fp) och 1973:1641 av
fru Kristensson m. fl. (m) — föreslogs att datainspektionens tillståndsprövning
skulle gälla även de personregister som inrättas efter beslut av Kungl.
Maj:t. Utskottet avstyrkte motionerna. Efter en redogörelse för datainspektionens
befogenheter i hithörande frågor enligt förslaget till datalag anförde
utskottet:

Av de angivna omständigheterna följer att datainspektionen kommer
att pröva frågor om skydd för den personliga integriteten i samband med
personregister som beslutas av regeringen eller riksdagen i samma utsträckning
som beträffande övriga personregister. Skillnaden blir bara den att datainspektionen
beträffande de förra inte alltid själv kan fatta beslut. Med
hänsyn till den sakkunskap datainspektionen kommer att besitta på området
måste det emellertid förutsättas att uttalanden av inspektionen tillmäts
mycket stor betydelse vid beslutsfattandet.

En ytterligare omständighet av stor vikt i föreliggande sammanhang är
att den offentliga debatten med säkerhet kommer att noggrant följa alla
de frågor om inrättande av statliga personregister, som förs upp till regeringen
eller riksdagen. 1 vad gäller register som beslutas av regeringen bör också
ihågkommas att sådana beslut nära nog undantagslöst torde ha föregåtts
av riksdagsprövning av frågan i t. ex. anslagssammanhang. Även den allmänna
kontroll över regeringen som riksdagen utövar genom fråge- och
interpellationsinstituten, konstitutionsutskottets granskning och, i sista hand,
riksdagens möjlighet att avge misstroendeförklaring har betydelse härvidlag.

Departementschefen har ansett att den av honom förordade ordningen
innebär att kontrollen över att otillbörligt integritetsintrång inte skall uppkomma
i samband med de av statsmakterna inrättade personregistren blir
minst lika god som beträffande övriga register. Med hänsyn till vad som
anförts i det föregående ansluter sig utskottet till denna bedömning. Då
därtill kommer att riskerna för kompetenskonflikter undanröjs med den
föreslagna ordningen, anser sig utskottet böra tillstyrka denna.

I en reservation (3 c, 2 fp, 2 m) hemställdes att riksdagen skulle anta
förslaget till datalag med sådana ändringar att även personregister inrättade
efter beslut av Konungen kom att innefattas av datainspektionens tillståndsprövning.
Reservanterna ansåg att utskottets betänkande i berörda delar bort
ha följande lydelse:

Huvudprincipen i propositionens förslag är, som framgått av det föregående,
att alla personregister, både inom den enskilda och den offentliga
sektorn, skall tillståndsprövas av datainspektionen. Beträffande de register

KU 1974:20

som inrättas av regeringen och riksdagen begränsas dock datainspektionens
befogenheter i de fall inspektionens egna regler och förbud står i strid med
föreskrifter som beslutats av Kungl. Maj:t eller riksdagen. Datainspektionen
har i sådant fall inte någon självständig rätt att ingripa utan kan endast
”göra anmälan” om att en situation uppkommit som kräver nya beslut.

Många av de största och från integritetssynpunkt känsligaste registren
beslutas av regering och riksdag. I och för sig är det angeläget att datainspektionens
tillståndsprövning och tillsyn omfattar alla dessa register. Av
konstitutionella skäl bör dock riksdagens beslut angående inrättande av personregister
inte göras beroende av datainspektionens tillstånd. I dessa fall
bör man kunna nöja sig med att yttrande inhämtas från datainspektionen
före beslutet att inrätta registret i fråga. I övrigt bör dock inte stadgas någon
begränsning i datainspektionens kompetensområde. Detta inte minst för att
praxis skall bli så enhetlig och rättvis som möjligt och för att den sakkunskap
och erfarenhet som datainspektionen bör inrymma skall komma alla register
i lika mån till godo.

Det bör vidare betonas att det vanligen inte är just de enskilda uppgifterna
i de enskilda registren som är eller upplevs som ett hot mot den enskildes
integritet, utan det är sammanställningen av dem i olika register och möjligheterna
till samköming mellan dessa, som innebär de verkliga farorna.

I tillståndsgivningen för ett visst register, särskilt ett statligt, måste alltså
ingå en god överblick över de kombinationsmöjligheter mellan olika register
som därmed uppstår. Datainspektionen måste ge regler för hur uppgifterna
får överföras från ett register till ett annat — en ofta mycket invecklad
fråga. Om vissa väsentliga register undandras från denna kontroll och datainspektionen
endast får ”yttra sig” om dem, ökar risken att reglerna för
samköming mellan de statliga registren inte blir tillräckligt väl genomarbetade,
till nackdel för den enskildes säkerhet.

Med hänvisning till det anförda anser utskottet att även sådana register
som beslutas av regeringen skall ligga under datainspektionens tillståndsprövning.
Om datainspektionen vägrar tillstånd för av regeringen beslutat
register men regeringen vidhåller sin önskan att inrätta registret, kan regeringen
underställa frågan riksdagens prövning, varvid riksdagen enligt 2 §
andra stycket datalagen kan besluta om registrets inrättande.

Riksdagen beslöt som redan anförts i enlighet med utskottets förslag.

Datainspektionen m. m.

Datalagen kompletteras av bestämmelserna i den av Kungl. Maj:t utfärdade
datakungörelsen (1973:291). I denna stadgas bl. a. att ytterligare föreskrifter
för tillämpningen av datalagen meddelas av datainspektionen.

Datainspektionen inrättades den 1 juli 1973. Den har som central förvaltningsmyndighet
till uppgift att pröva frågor om tillstånd och utöva tillsyn
enligt datalagen. Enligt sin instruktion (SFS 1973:292) åligger det inspektionen
särskilt att med uppmärksamhet följa utvecklingen i fråga om användningen
av automatisk databehandling av personuppgifter, att hos Kungl.
Maj:t framlägga förslag till åtgärder, som är påkallade för att främja de syften
inspektionen skall befordra, samt att inom sitt verksamhetsområde lämna
myndigheter, organisationer och enskilda råd och upplysningar i frågor om

KU 1974:20

automatisk databehandling av personuppgifter.

Datainspektionen leds av en styrelse med nio ledamöter. En av dessa
är chefen för inspektionen, som tillika är styrelsens ordförande. De övriga
åtta ledamöterna jämte fem ersättare för dessa utses av Kungl. Maj:t särskilt.
I styrelsen ingår bl. a. företrädare för de fyra största politiska partierna.

Datainspektionens arbetsuppgifter kommer fr. o. m. den 1 juli 1974 att
utökas med tillstånds- och tillsynsärenden enligt kreditupplysningslagen
(1973:1173). Vidare kan nämnas att Kungl. Maj:t i propositionen 1974:42
med förslag till inkassolag m. m. föreslår att inkassoverksamhet, som avser
indrivning av fordringar för annans räkning eller fordringar som övertagits
för indrivning, får bedrivas endast efter tillstånd av datainspektionen. Tillstånd
skall dock enligt propositionen inte krävas för inkassoverksamhet som
bedrivs av Sveriges riksbank, Sveriges investeringsbank AB, kreditinrättning
under bankinspektionens tillsyn eller advokat. Datainspektionen skall dessutom
enligt propositionen öva tillsyn över tillståndspliktig inkassoverksamhet
och har i samband därmed rätt att företa inspektioner och att meddela
föreskrifter för verksamheten. Inkassolagen föreslås i propositionen träda
i kraft den 1 januari 1975. I följdmotionerna 1974:1624 av herr Sjöholm
(fp) och herr Andersson i Örebro (fp) samt 1974:1635 av herr Israelsson
m. fl. (vpk) föreslås att lagen skall träda i kraft redan den 1 juli 1974. I
följdmotionerna 1974:1627 av herrar Hugosson (s) och Polstam (c) samt
1974:1634 av herr Börjesson i Glömminge (c) och fru Hambraeus (c) föreslås
att lagen med undantag av tillståndstvånget skall träda i kraft den 1 juli
1974. Propositionen och motionerna behandlas av näringsutskottet (NU
1974:17).

Pågående utredningsarbete

Enligt Kungl. Maj:ts bemyndigande den 18 juni 1971 tillkallades dalasamordningskommittén
(Fi 1971:03) med uppdrag att svara för utredning av
frågor rörande samordning och kontroll av databanker m. m. 1 direktiven
till utredningen anförde departementschefen beträffande utredningens arbetsuppgifter
bl. a.:

Det behövs enligt min mening ett särskilt organ för att följa pågående
utrednings- och utvecklingsarbete, att initiera kompletterande utredningar

— särskilt rörande grundläggande eller eljest övergripande frågeställningar

— samt att tillhandahålla statsmakterna ett relevant beslutsunderlag. Sistnämnda
uppgift kan innefatta överlämnande av egna utredningar eller utredningsresultat
från annat håll med förslag till åtgärder i olika hänseenden,
eller påpekanden om behov av utredningar som Kungl. Maj:t anses böra
initiera, behov av riktlinjer för viss verksamhet etc. 1 varje fall initialt bör
detta organ konstitueras i kommittéform.

Den grundläggande uppgiften för kommittén bör vara att mot bakgrund
av dagens situation i fråga om etablerade eller planerade databanker och
med hänsyn till den överblickbara tekniska utvecklingen belysa vilken samordning
— främst inom den offentliga sektorn men även i övrigt — som

KU 1974:20

är möjlig och önskvärd såväl i dagsläget som på sikt. Härvid bör ekonomiska
lönsamhetsbedömningar spela en viktig roll. Frågan om samordning på dataområdet
är mycket komplicerad och påverkas av en mängd faktorer. Ett
visst ställningstagande i frågan kan bedömas få betydande konsekvenser
på i stort sett alla aktiviteter inom ADB-området. Dessa konsekvenser kan
avse standardiseringsfrågor på flera områden, kommunikationslösningar,
säkerhets- och sekretessfrågor, driftsorganisation, upphandlingspolitik etc.
Det krävs således att alla dessa faktorer och konsekvenser analyseras.

Beträffande utredningens organisation och arbetsformer anförde departementschefen: De

uppgifter som ankommer på kommittén innefattar ett mångfacetterat
och komplicerat utrednings- och analysarbete, som i många stycken kräver
medverkan av högt kvalificerade experter. Detta måste påverka kommitténs
organisation och arbetsformer. I kommittén bör ingå företrädare för statsdepartementen
och vissa centrala statliga myndigheter men också för andra
samhällsområden. Vidare bör kommittén ha ett parlamentariskt inslag. Sekretariatet
bör dimensioneras för att bestrida sedvanliga sekretariatsfunktioner
samt för att biträda kommittén med lednings- och samordningsuppgifter.
I övrigt bör arbetet bedrivas i projektgrupper med anlitande av erforderliga
experter. Vidare bör eftersträvas att utredningsuppgifter anförtros
statliga myndigheter eller andra organ. Konsulttjänster bör kunna köpas antingen
för särskilda uppdrag eller i form av medverkan i projektarbete.

Kommittén har avgett förslag om ett organ för ökad samordning inom
den offentliga sektorn i vad gäller teknisk standardisering och dylikt inom
ADB-området. I augusti 1973 publicerade kommittén vidare en verksamhetsrapport
(Ds Fi 1973:10) med redogörelse för kommitténs arbete under
det första året samt uppläggningen av det fortsatta arbetet.

Datasamordningskommitténs fortsatta arbete har delats upp i ett antal
olika utredningsområden: samordning av data i ADB-baserade informationssystem,
den tekniska och organisatoriska utformningen av ADB-verksamheten,
metodik- och teknikutveckling, säkerhet och ADB samt de
offentliga ADB-systemens inverkan på förvaltning och samhälle.

Inom utredningsområdet avseende den tekniska och organisatoriska utformningen
av ADB-verksamheten ingår som en huvuduppgift att klarlägga
vilka systemstrukturer som från tekniska och ekonomiska utgångspunkter
är tänkbara i framtiden samt vilka för- och nackdelar som är förknippade
med olika strukturer. Med systemstruktur avses därvid främst de tekniska,
organisatoriska och lokaliseringsmässiga aspekterna på de enskilda ADBsystemen
samt dessas samverkan i ett mer eller mindre samordnat och överordnat
informationssystem. Till systemstrukturen hör således frågorna om
centralisering, decentralisering och regionalisering av ADB-system.

Arbetet inom datasamordningskommittén med den framtida systemstrukturen
har organiserats som ett särskilt projekt "Den framtida systemstrukturen”.
Inom detta projekt har gjorts dels en teknisk miljöstudie för perioden
fram till 1985, delsen förstudie avseende det fortsatta arbetet inom projektet.

1* Riksdagen 1974. 4 sami. Nr 20

KU 1974:20

Den tekniska miljöstudien har utförts av Statskonsult AB på uppdrag av
kommittén och dataindustriutredningen och redovisats i en rapport — ”Teknisk
miljöstudie för perioden 1980—1985”. Förstudien har utförts av en
arbetsgrupp inom kommiténs sekretariat och redovisats i en rapport —
”Olika systemstrukturer”.

Förstudierapporten innehåller bl. a. beskrivningar av olika systemstrukturer,
däribland olika former av regionalisering och en genomgång av föroch
nackdelarna med dem.

Rapporten har remissbehandlats och enligt vad som inhämtats planerar
kommittén att ta ställning till de frågor som behandlas i rapporten under
hösten 1974.

Förutom datasamordningskommittén arbetar flera andra offentliga utredningar
med olika frågor på dataområdet. Dataarkiveringskommittén (U
1968:48) utreder arkivfrågor för den moderna informationsbehandlingens
databärare m. m. Dataindustriutredningen (11971:02) utreder näringspolitiska
åtgärder på det datatek n i ska om rådet. Beredningsgruppen för A DB-frågor inom
länsstyrelserna m. m. (C 1973:06) behandlar frågor om utveckling och utnyttjande
av automatisk databehandling med anknytning till samhällsplaneringen
inom länsstyrelserna m. m. Samarbetsorganet för ADB inom rättsväsendet
(Ju 1968:59) bereder frågor om omläggning av rutiner inom rättsväsendet
för automatisk databehandling och därmed sammanhängande frågor.

Vidare kan nämnas att sjukvårdens och socialvårdens planerings- och rationaliseringsinstitut
(Spri) under våren 1974 presenterat en rapport angående
integritetsfrågor vid databehandling inom sjukvården speciellt från juridiska,
etiska, medicinska, organisatoriska och funktionella synpunkter. Avsikten
är att rapporten efter remissbehandling skall läggas till grund för generella
anvisningar angående användningen av ADB inom sjukvården.

Datalagstiftning i andra länder m. m.

Sverige är för närvarande det enda land som har en datalag som täcker
såväl den privata som den offentliga sektorn. I åtskilliga europeiska länder
pågår lagstiftningsarbetet. I Norge, Finland, Nederländerna och Belgien arbetar
kommittéer med frågan. 1 Danmark har ett kommittéförslag i ämnet
nyligen offentliggjorts och i Luxemburg finns ett lagförslag utarbetat.

I detta sammanhang kan nämnas att ministerrådet inom Europarådet i
september 1973 antog resolutionen (73) 22, innehållande rekommendationer
till skydd för privatlivet gentemot ADB-register på den privata sektorn. För
närvarande förbereds en motsvarande resolution avseende ADB-register
inom den offentliga sektorn. Vidare kan nämnas att inom OECD pågår
arbete med en sammanställning av hur långt medlemsländerna hunnit i
fråga om datalagstiftning.

KU 1974:20

Utskottet

Utvecklingen inom ADB-området har under de senaste årtiondena varit
utomordenligt snabb. Genom införandet av ADB har betydande administrativa
rationaliseringar kunnat genomföras varjämte underlaget för planering
och beslutsfattande i olika sammanhang har förbättrats på avgörande
sätt. Samtidigt som utvecklingen av ADB-tekniken visat denna tekniks stora
betydelse för den industriella och samhälleliga utvecklingen har de alltmer
avancerade datasystemen väckt stark oro. Farhågor har t. ex. uttalats för
att utvecklingen kan medföra stora risker för den enskildes integritet. Vidare
har anförts att avancerade ADB-system möjliggör en centralisering av beslutsfattande
inom olika områden. Det har gjorts gällande att icke önskvärda
maktförskjutningar i samhället kan bli en följd härav om inte motåtgärder
vidtas i tid.

I motionerna 1974:1, 1974:918, 1974:1181 och 1974:1190 behandlas åtskilliga
frågor med anknytning till användningen av ADB inom den privata
respektive den offentliga sektorn. De tar bl. a. upp skyddet för den enskildes
integritet och riskerna för icke önskvärda maktförskjutningar i samhället.
Datainspektionen har — sedan utskottet berett inspektionen tillfälle härtill

— avgett yttrande över motionerna.

De risker i samband med utvecklingen av ADB-tekniken som berörts
i det föregående har föranlett en rad åtgärder i vårt land.

Med hänsyn bl. a. till de påtalade riskerna för en utveckling mot ett alltmer
centraliserat beslutsfattande tillkallades 1971 datasamordningskommittén
(DASK) med uppdrag att svara för utredning av frågor rörande samordning
och kontroll av databanker, m. m. Kommitténs huvuduppgift är att belysa
vilken samordning — främst inom den offentliga sektorn men även i övrigt

— som är möjlig och önskvärd såväl i dagsläget som på sikt. Utöver de
tekniska och dataorganisatoriska frågor som därvid aktualiseras skall utredningen
också uppmärksamma t. ex. frågor om definitioner och terminologi,
datakvalitet, sekretesskydd och andra säkerhetsfrågor samt dokumentationsproblem
i samband med användningen av ADB. Med hänsyn till nödvändigheten
att få ett samlat underlag för den politiska styrningen av utvecklingen
inom ADB-området skall kommittén följa pågående utrednings- och
utvecklingsarbete inom området, initiera kompletterande utredningar samt
tillhandahålla statsmakterna ett relevant beslutsunderlag.

Vid 1973 års riksdag antogs ett förslag till datalag som syftar till att skydda
den enskilde mot sådant otillbörligt intrång i den personliga integriteten
som kan bli följden av den alltmer utbredda dataregistreringen av personuppgifter.
Enligt datalagen (1973:289) får dataregister som innehåller personuppgifter
i princip inte inrättas eller föras utan tillstånd av ett nytt centralt
ämbetsverk — datainspektionen. Vissa särskilda regler gäller dock i fråga
om register som inrättas genom beslut av Kungl. Maj:t eller riksdagen. I
samband med att datainspektionen beviljar tillstånd till ett personregister

KU 1974:20

skall den också meddela alla de föreskrifter som behövs för att förebygga
otillbörligt integritetsintrång. Datainspektionen skall vidare utöva tillsyn över
registren och kunna ingripa i efterhand med nya eller ändrade föreskrifter,
i sista hand skall inspektionen kunna återkalla meddelat tillstånd. Enskild
skall ha rätt att på begäran få upplysning om de uppgifter som finns om
honom i ett visst dataregister. Till den enskildes skydd innehåller datalagen
vidare bl. a. föreskrifter om tystnadsplikt samt straff- och skadeståndsskyldighet.
Tillståndssystemet för personregister skall inte börja gälla förrän den
1 juli 1974. Beträffande sådana register som har tagits i drift före denna
tidpunkt gäller särskilda övergångsbestämmelser. I princip är emellertid även
nu befintliga register underkastade datainspektionens tillståndsprövning. —
Datainspektionens beslut kan överklagas till regeringen. JO har tillsyn över
datainspektionens verksamhet liksom över varje annan myndighet, bl. a.
dem som för personregister. JK har enligt datalagen rätt att föra talan mot
datainspektionens beslut för att tillvarata allmänna intressen.

Samtidigt med datalagen antogs som vilande ett förslag till ändringar i
tryckfrihetsförordningen, vilket avsåg att i offentlighetshänseende likställa
ADB-upptagningaroch andra upptagningar av teknisk natur med handlingar.
Förslaget har slutligt antagits tidigare i år och träder i kraft den 1 juli 1974.

Datalagen kompletteras av bestämmelserna i den av Kungl. Maj:t utfärdade
datakungörelsen (1973:291). Ytterligare föreskrifter för tillämpning av datalagen
får meddelas av datainspektionen. Detta ämbetsverk inrättades den
1 juli 1973. Datainspektionen har som central förvaltningsmyndighet till
uppgift att pröva frågor om tillstånd och utöva tillsyn enligt datalagen. Det
åligger datainspektionen särskilt att med uppmärksamhet följa utvecklingen
i fråga om användningen av ADB i vad gäller personuppgifter, att hos Kungl.
Maj:t framlägga förslag till erforderliga åtgärder inom inspektionens verksamhetsområde
samt att inom detta lämna myndigheter, organisationer och
enskilda råd och upplysningar i frågor om ADB i vad gäller personuppgifter.
I datainspektionens styrelse ingår bl. a. företrädare för de fyra största politiska
partierna.

Under riksdagsbehandlingen 1973 av förslaget till datalag bröt sig meningarna
bl. a. om inrättande av en dataombudsman och om det undantag
från de allmänna tillståndsreglerna som ligger i att personregister, vars inrättande
beslutas av Kungl. Maj.t, inte är underkastat datainspektionens tillståndsprövning
på vanligt sätt.

Frågan om att inrätta en dataombudsman togs upp i motionen 1973:1638
(fp). I motionen hävdades att rätten att överklaga datainspektionens beslut
borde förläggas till ett särskilt, fristående organ — en dataombudsman. På
detta organ skulle ankomma att övervaka efterlevnaden av datalagstiftningen.
Organet borde överta den allmänna tillsyn som ankommer på JO liksom
den rätt att överklaga inspektionens beslut som enligt datalagen tillkommer
JK. Yrkandet avsåg att Kungl. Maj:t skulle framlägga förslag om inrättande
av ett sådant organ.

KU 1974:20

I sitt betänkande (KU 1973:19) över datalagsförslaget jämte motioner uttalade
utskottet förståelse för tanken att ett sammanförande av tillsyns- och
besvärsbefogenheter hos ett enda, fristående organ skulle kunna ha vissa
fördelar från integritetssynpunkt. Att tillskapa en ny, särskild institution
för ändamålet kunde emellertid innebära en överorganisation. Enligt utskottet
fick frågan därför hållas öppen i avbidan på erfarenheter av den
nya lagstiftningen. Skulle den föreslagna ordningen beträffande tillsyn, kontroll
och besvärsrätt på området inte visa sig motsvara de anspråk som måste
kunna ställas därpå fick enligt utskottet självfallet andra åtgärder snabbt
övervägas.

1 enlighet med utskottets förslag avslog riksdagen motionsyrkandet.

1 motionerna 1974:1 (fp) och 1974:1190 (m) upprepas nu det 1973 väckta
yrkandet om dataombudsman.

Datainspektionen understryker i sitt remissyttrande att dess verksamhet
i stor utsträckning hittills har inriktats på att inspektionen skall kunna fungera
som en ”allmänhetens dataombudsman”. Denna uppgift är enligt datainspektionen
inte oförenlig med skyldigheten att i varje särskilt fall med den
objektivitet som är möjlig göra avvägningar mellan skilda intressen. Såvitt
datainspektionen kunnat finna under sin hittillsvarande verksamhet motsvarar
den gällande ordningen i fråga om rättssäkerhet, kontroll, tillsyn och
besvärsrätt väl de anspråk som med fog kan ställas. Det finns enligt datainspektionen
ännu inget sakligt underlag för organisatoriska förändringar.
Sådana skulle enligt vad datainspektionen uttalar i det rådande uppbyggnadsskedet
sannolikt försvåra verksamheten.

Datainspektionen framhåller vidare att JO:s tillsyn över myndigheterna
i förevarande sammanhang kan sägas bestå av två led. Det ena innebär
att JO övervakar att de myndigheter, som är ansvariga för ADB-register,
följer gällande bestämmelser om bl. a. skydd för personlig integritet. Denna
tillsynsuppgift tillkommer enligt datalagen även datainspektionen. Det andra
ledet i JO:s tillsyn innebär att JO, som har tillsyn över alla myndigheter,
övervakar att datainspektionen fullgör sin tillsynsuppgift. Eftersom datainspektionens
tillsyn omfattar även den enskilda sektorn kan JO:s övervakning
av inspektionen sägas indirekt innebära tillsyn även inom denna
sektor.

Datainspektionen befinner sig ännu i ett uppbyggnadsskede, och datalagen
träder i sin helhet i kraft först vid halvårsskiftet 1974. Såväl JO som JK
har enligt gällande ordning vittgående befogenheter med avseende på tillsyn
och kontroll inom ADB-området. Med hänsyn härtill och till vad datainspektionen
anfört i sitt remissyttrande är det enligt utskottets mening
inte förenat med risk för åsidosättande av allmänhetens intressen att hålla
frågan om att inrätta ett sådant organ som åsyftas i motionerna öppen i
avvaktan på erfarenheter av den nya lagstiftningen. På grund härav och
med hänvisning till vad utskottet anförde i denna del förra året avstyrker
utskottet förevarande motionsyrkanden.

KU 1974:20

Som redan nämnts finns det i datalagen ett undantag från den eljest föreskrivna
skyldigheten att inhämta datainspektionens tillstånd innan personregister
inrättas. Undantaget avser personregister vars inrättande beslutas
av Kungl. Majit eller riksdagen. Enligt datalagen måste dock sådant beslut
alltid föregås av yttrande från datainspektionen, och i datakungörelsen sägs
att inspektionens bedömning av registret skall ske enligt samma grunder
som vid prövning av tillståndsärende. När beslut meddelats av Kungl. Maj:t
eller riksdagen om att inrätta registret, skall den registeransvariga myndigheten
anmäla registret till inspektionen som då har att granska detta och
meddela bl. a. de föreskrifter som behövs till skydd för den personliga integriteten.

I två motioner 1973 — 1973:1638 (fp) och 1973:1641 (m) — föreslogs
att datainspektionens tillståndsprövning skulle gälla även de personregister
som inrättas efter beslut av Kungl. Maj:t. Motionerna avstyrktes av utskottet.
1 sin skrivning pekade utskottet på en rad omständigheter som enligt utskottet
innebar att kontrollen över att otillbörligt integritetsintrång inte skall
uppkomma i samband med de av statsmakterna inrättade personregistren
blev minst lika god som beträffande övriga register. Därjämte framhöll utskottet
att riskerna för kompetenskonflikter undanröjdes med den i propositionen
föreslagna ordningen.

Även i detta fall följde riksdagen utskottet.

Yrkandet om att datainspektionens tillståndsprövning skall omfatta också
personregister som inrättas efter beslut av Kungl. Maj:t återkommer nu i
motionerna 1974:1 (fp), 1974:918 (c) och 1974:1190 (m).

Datainspektionen behandlar frågan utförligt i sitt remissyttrande. Datainspektionen
påpekar att skillnaden i handläggningen av ärendena om de
på olika sätt inrättade registren är huvudsakligen formell. Enligt datainspektionens
uppfattning kan problemet ADB och personlig integritet normalt
lösas genom lämplig utformning av personregistren. Endast undantagsvis
torde det behöva bli fråga om att ej acceptera inrättandet av ett personregister
för ett rimligt ändamål.

Datainspektionen anser att det med gällande konstitutionella grunder för
vår förvaltning inte bör ifrågakomma att riksdagen fungerar som särskilt
tillståndsorgan. För att uppnå vad motionärerna eftersträvar på ett sätt som
är förenligt med datainspektionens ställning som ett under Kungl. Maj:t
lydande förvaltningsorgan och det förhållandet att inspektionens beslut kan
överklagas hos Kungl. Maj:t pekar inspektionen på en annan lösning. Denna
skulle vara att Kungl. Maj:t konsekvent uppdrar åt den blivande registeransvariga
myndigheten att utveckla ett genom kommittébetänkande eller
på annat sätt väckt förslag om statligt personregister med ADB så långt
att myndigheten — och alltså ej Kungl. Maj:t — kan söka principtillstånd
hos datainspektionen. Ett sådant utvecklingsarbete som här avses kan enligt
datainspektionen ske i samråd med inspektionen. När datainspektionens beslut
föreligger får myndigheten — om beslutet är positivt — föra saken

KU 1974:20

vidare till Kungl. Maj:t för ställningstagande till anslagsfrågan för det tilltänkta
registret. Skulle datainspektionen avslå myndighetens ansökan om
principtillstånd kan myndigheten genom besvär föra frågan under Kungl.
Maj:ts prövning. Kungl. Maj:t har då att överväga om det finns skäl för
en annan syn på integritetsfrågorna än den som kommit till uttryck i datainspektionens
beslut. Datainspektionen tillägger att den — utom i vad
avser de konstitutionella synpunkterna — anser den här diskuterade frågan
som en praktisk handläggningsfråga. Den av datainspektionen angivna lösningen
kan förverkligas inom ramen för gällande bestämmelser i datalagen.

De nuvarande skillnaderna i handläggningsordning mellan personregister
som inrättas genom beslut av Kungl. Maj:t och andra personregister inom
den under Kungl. Majit lydande förvaltningssektorn är som datainspektionen
framhållit huvudsakligen av formell natur. Datainspektionens yttrande ger
vid handen att vissa avgränsningssvårigheter föreligger när det gäller att
avgöra om ett register tillhör den ena eller den andra kategorin.

Med den av datainspektionen angivna lösningen att Kungl. Majit anbefaller
myndigheterna förfarandet med att söka principgodkännande från datainspektionen
synes de nuvarande gränsdragningssvårigheterna i huvudsak kunna
undvikas. På ett sätt som är förenligt med datainspektionens ställning
i förvaltningssystemet och Kungl. Majits roll som bes varsi nstans synes därmed
också kunna tillgodoses motionärernas önskemål att datainspektionen
i förväg skall tillståndspröva alla dataregister som inte inrättas genom beslut
av riksdagen. Ett konsekvent tillämpande av det av datainspektionen rekommenderade
förfarandet bör enligt utskottets mening ha flera fördelar.
Såvitt nu kan bedömas synes det vidare inte vara förenat med svårigheter
av vare sig principiell eller praktisk art. Utskottet förordar därför att Kungl.
Majit närmare utreder frågan på det sätt som kan vara lämpligt och —
om utredningens resultat inte talar däremot — verkar för förfarandets genomförande.
Det anförda bör ges Kungl. Majit till känna.

1 motionen 1974:1 (fp) tas vidare upp åtskilliga datafrågor i övrigt. De
avser de juridiska problemen i samband med missbruk av och fel i användningen
av datorer, auktoriserade revisorers insikter i datadokumentation,
specifikation av sekretesskraven för data i kommunal eller statlig ägo,
sammankoppling av dataregister med manuellt register, dataregistrering av
s. k. mjukdata och data i sjukvården samt initiativ till internationella konventioner
på dataområdet.

De i motionen upptagna frågorna gäller alla centrala problem som aktualiseras
av den snabba utvecklingen inom ADB-tekniken och den alltmer
omfattande användningen av datorer i offentlig och enskild förvaltning. Frågorna
har också uppmärksammats i olika sammanhang.

Beträffande säkerhetsfrågorna i vid mening omfattas dessa som nämnts
av datasamordningskommitténs direktiv. Enligt vad utskottet erfarit har
kommittén för dessa frågor etablerat ett samarbete med statskontoret, som
skapat en särskild organisation för detta arbete med expertis från statsför -

KU 1974:20

valtningen och från leverantörer av datasystem. Inom detta arbete har särskilt
studerats problem i samband med den fysiska säkerheten (t. ex. byggnader,
regler för tillträde till lokaler osv.), metoder för att skydda data (t. ex. genom
kryptering och andra metoder), funktionssäkerhet (t. ex. åtgärder i händelse
av strömavbrott, brand m. m.) samt frågor angående datas kvalitet (t. ex.
kvalitetsdeklaration av statistiska uppgifter, mjukdata m. m.).

De problem som aktualiseras vid dataregistrering av s. k. mjukdata, dvs.
data som grundar sig på värderingar och subjektiva bedömningar, uppmärksammades
av offentlighets- och sekretesslagstiftningskommittén. I 4 § datalagen
har införts vissa begränsningar i rätten för datainspektionen att bevilja
tillstånd till personregister som innehåller särskilt känsliga uppgifter. Datainspektionen
har i sitt remissyttrande förklarat sig vara inställd på att underkasta
register med bedömningar och värderingar en särskilt sträng prövning.
Bl. a. anför datainspektionen att granskningen av sådana register måste
resultera i anvisningar som leder till att information inte redigeras eller struktureras
på ett sådant sätt att nyanseringar går förlorade. Datainspektionen
anför vidare att den, då så behövs, genom föreskrift enligt 6§ datalagen
kan förordna att registrerad skall ha rätt att oftare än en gång per år få
del av innehållet i personuppgift som innefattar upplysning om honom.

Ett område inom vilket användningen av s. k. mjukdata är av den största
vikt är sjukvården. Motionärerna framhåller att data som används i sjukvården
i alldeles särskilt hög grad behöver kvalitetsdeklareras. Sjukvårdens
planerings- och rationaliseringsinstitut (Spri) har under våren 1974 presenterat
en rapport angående integritetsfrågor vid användning av ADB inom sjukvården
speciellt från juridiska, etiska, medicinska, organisatoriska och funktionella
synpunkter. Avsikten är att denna rapport efter remissbehandling
skall läggas till grund för generella anvisningar angående användningen av
ADB inom sjukvården.

Beträffande de juridiska problemen i samband med missbruk och fel i
användningen av datorer kan nämnas att i datalagen införts åtskilliga straffbestämmelser.
De skyldigheter som enligt datalagen åvilar de registeransvariga
är sålunda till större delen straffsanktionerade genom särskilda straffbestämmelser
i datalagen. I vissa fall har datainspektionen möjlighet att
förelägga vite. Datalagen innebär också — i enlighet med vad offentlighetsoch
sekretesslagstiftningskommittén föreslog — kriminalisering av vissa
otillbörliga förfaranden med datamaterial, s. k. dataintrång. Straffbestämmelsen,
som inte är inskränkt till personregister, avser den som olovligen bereder
sig tillgång till upptagning för automatisk databehandling eller olovligen
ändrar eller utplånar eller i register för in sådan upptagning. Bestämmelsen
skall inte tillämpas om gärningen är belagd med straff i brottsbalken. En
hel del brottsliga förfaranden som har anknytning till ADB kan nämligen
straffas enligt gällande regler i brottsbalken.

Skadeståndslagens (1972:207) bestämmelser torde i stor utsträckning täcka
behovet av skadeståndsregler på datateknikens område. För bestämmelsernas

KU 1974:20

tillämplighet fordras att skada vållats uppsåtligen eller av vårdslöshet.
Därjämte innehåller datalagen en särskild bestämmelse som ålägger den registeransvarige
strikt skadeståndsansvar om registrerad tillfogas skada genom
att personregister innehåller oriktig uppgift om honom. Särskilda regler om
strikt skadeståndsskyldighet finns också som avser skador till följd av
tekniska fel i vissa offentliga ADB-register.

Frågor om revision av ADB-redovisningssystem har aktualiserats i flera
sammanhang. 1 oktober 1973 avgav utredningen om bokföringslagstiftningen
sitt betänkande med förslag till bokföringslag (SOU 1973:57). Förslaget tar
betydande hänsyn till förekomsten av datorbaserad bokföring. Med sikte
på mer omfattande och utvecklad datoranvändning föreslås särskilda tilläggsbestämmelser
om automatisk databehandling. Dessa avser bl. a. dokumentation
av datasystem för att möjliggöra en effektiv revision. Betänkandet
remissbehandlas f. n. av justitiedepartementet. Av datainspektionens remissyttrande
framgår vidare att Föreningen auktoriserade revisorer tidigt uppmärksammat
revisorers behov av utbildning i ADB och att föreningen är
verksam för detta ändamål.

Manuellt förda register liksom hålkortsregister omfattas inte av datalagens
regler. En uppbyggnad av registersystem, bestående av en kombination av
ADB-register och annat register, blir sällan aktuell eftersom behandlingskostnaderna
för ett sådant system som regel kommer att vara alltför höga.
Datainspektionen har vidare befogenheter som i praktiken kan sägas hindra
sammankoppling mellan ADB-register och annat register. Enligt 6 § datalagen
kan nämligen datainspektionen förbjuda notering i ADB-fört personregister
att kompletterande material om någon registrerad finns på annat
håll, s. k. ”flaggning”. Sådant förbud får meddelas om sammankoppling
med register av annat slag innebär risk för otillbörligt intrång i personlig
integritet.

Som datainspektionen redovisat i sitt remissyttrande pågår inom Europarådet
arbete med att åstadkomma internationella överenskommelser angående
användningen av bl. a. dataregister med personuppgifter. Bl. a. antog
ministerrådet under 1973 en resolution med rekommendation till skydd
för privatlivet gentemot ADB-register på den privata sektorn. En motsvarande
resolution förbereds såvitt gäller den offentliga sektorn. En svårighet
i detta arbete är att Sverige ännu är det enda land som har en datalag som
trätt i kraft. I flera europeiska länder pågår dock för närvarande lagstiftningsarbete
på detta område. Inom OECD pågår arbete med sammanställning
av hur långt medlemsländerna hunnit i fråga om datalagstiftning. En sådan
sammanställning kan förväntas under år 1974.

De nu aktuella frågorna i motionen 1974:1 är alltså föremål för uppmärksamhet
i många olika sammanhang. Datainspektionen har i sitt remissyttrande
förklarat sig följa dessa frågor med uppmärksamhet och har vidare
upplyst att den själv deltar i utvecklingsarbetet på flera områden. Utskottet
är ense med motionärerna om att utvecklingen på de i motionen angivna

1** Riksdagen 1974. 4 sami Nr 20

KU 1974:20

områdena måste följas med den största uppmärksamhet. Med hänsyn till
det utredningsarbete som redan pågår är det emellertid enligt utskottets
mening inte erforderligt att riksdagen nu tar något särskilt initiativ av sådant
slag som åsyftas i motionen. Utskottet anser sig därvid kunna utgå från
att datainspektionen i sin verksamhet kommer att ägna särskilt intresse åt
register som används inom sjukvården samt andra register som innehåller
”mjukdata” av olika slag. Vidare förutsätter utskottet att Kungl. Maj:t, datainspektionen
och datasamordningskommittén, liksom andra på området
verksamma organ, även fortsättningsvis följer utvecklingen beträffande de
frågor som diskuteras i motionen och tar de initiativ som kan visa sig nödvändiga.

Även i motionen 1974:918 tas upp flera olika frågor med anknytning
till främst ADB-verksamheten inom den offentliga sektorn. I motionen understryks
vikten av att datainspektionen visar stor restriktivitet när det gäller
att tillåta samköming av personregister. Vidare anförs att erfarenheten visar
att dataregistrering bör decentraliseras för att underlätta skyddet av enskildas
integritet. En regional avgränsning bör också enligt motionärerna göras, så
att särskild nyckel krävs för att få fram databehandlad information från
annan region. I motionen föreslås att inrättande av regionala ansvarsnämnder
bör övervägas. Dessa skulle ha till uppgift att utöva medborgarkontroll för
samköming av dataregister från olika regioner. I motionen diskuteras även
datainspektionens verksamhet. Bl. a. anförs att datainspektionens resurser
kan behöva förstärkas för att möjliggöra en aktiv inspektionsverksamhet
från inspektionens sida och för att undvika alltför lång tidsutdräkt innan
de i dag i bruk varande dataregistren blir tillståndsprövade.

Frågan om centralisering eller regionalisering av olika datasystem är som
redan anförts en huvuduppgift för DASK. Inom kommitténs sekretariat
har upprättats en promemoria — ”Olika systemstrukturer” — i vilken
den tekniska och organisatoriska utformningen av olika slags datasystem
studerats. Utskottet har erfarit att kommittén planerar att efter remissbehandling
av promemorian behandla dessa frågor under hösten 1974. Nära
anknytning till frågeställningarna kring decentralisering har också ett annat
utredningsområde inom DASK — de offentliga ADB-systemens inverkan
på förvaltning och samhälle. I detta utredningsarbete studeras sådana centrala
frågeställningar som arbetsfördelningen mellan central och regional eller lokal
förvaltning, förändringar i maktbalansen inom och mellan myndigheter när
databehandlingen förläggs till en särskild enhet inom eller utanför en myndighet,
möjligheten till insyn i förvaltningen m. m. Utredningen planerar
att redovisa visst utredningsarbete inom detta område under 1975.

De frågor beträffande den regionala organisationen av ADB-verksamheten
som aktualiseras i motionen 1974:918 är av central betydelse för den framtida
användningen av ADB inom den offentliga förvaltningen. Frågorna är också,
som framgått, föremål för ett omfattande utredningsarbete, vilket i vissa
delar har redovisats eller kommer att redovisas inom en nära framtid. Enligt

KU 1974:20

utskottets mening bör resultatet av det pågående utredningsarbetet avvaktas
innan riksdagen tar ställning till dessa frågor.

I vad gäller samköming av dataregister vitsordar datainspektionen i sitt
remissyttrande att en samordning av två register kan ge en ackumulerad
effekt beträffande informationens djup. Datainspektionen erinrar i sammanhanget
om att samköming av personregister med annat register innebär att
ett nytt personregister upprättas. Då datalagen kräver datainspektionens prövning
av varje personregister måste således också samköming av berört slag
underställas datainspektionen för tillståndsprövning i vanlig ordning. Det
ankommer därvid på datainspektionen att tillse att otillbörligt intrång i registrerads
personliga integritet inte uppkommer. Ett särskilt initiativ från
riksdagens sida i denna del synes därför inte erforderligt.

Beträffande frågan om datainspektionens resursbehov anför inspektionen
i sitt remissyttrande att det i dag är svårt att bedöma vilken arbetsinsats
som kommer att krävas från inspektionens sida för tillståndsprövning av
de dataregister som redan är i bruk. Först när ansökningstiden utgått —
den 31 december 1974 — kan en riktig uppgift erhållas beträffande antalet
befintliga personregister. För att möjliggöra ett förenklat ansökningsförfarande
och enklare handläggning av de personregister som kan bedömas som
mindre farliga i integritetshänseende har Kungl. Maj.t på framställning av
inspektionen vidtagit en ändring (1974:30) av 2 § datakungörelsen.

Beträffande inspektionsverksamheten anför datainspektionen att resurserna
inte räcker till för en kontinuerlig bevakning av alla register. Enligt datainspektionens
mening är detta inte heller nödvändigt, eftersom det redan
står klart att en förhållandevis stor mängd personregister inte innebär någon
risk för integritetsintrång. Inspektionerna bör i stället enligt datainspektionen
koncentreras till de register där integritetsrisker kan förutses. Datainspektionen
uttalar att den kommer att ta nödvändiga initiativ i detta hänseende.
Även för denna verksamhet är det enligt datainspektionen svårt att nu bedöma
resursbehovet. Datainspektionen, som förklarar sig fortlöpande bevaka
frågan, utesluter inte möjligheten av ett ökat resursbehov i framtiden.

Utskottet delar motionärernas uppfattning att datainspektionen självfallet
måste ges de resurser som behövs för en aktiv inspektionsverksamhet och
en prövning inom rimlig tid av de personregister som redan är i bruk. Som
datainspektionen framhållit är det dock ännu inte möjligt att göra en bedömning
av vilka resurser som kommer att krävas för att inspektionen i
framtiden skall kunna bedriva sin verksamhet på ett tillfredsställande sätt.
Enligt utskottets mening bör denna fråga följas med uppmärksamhet och
bl. a. tillmätas stor betydelse vid kommande budgetbehandlingar. Såvitt gäller
budgetåret 1974/75 finns enligt utskottets mening inte anledning att
nu frångå departementschefens bedömning av medelsbehovet. Anslag bör
därför nu beviljas i enlighet med vad departementschefen förordat.

I motionen 1974:1181 hemställs att riksdagen skall begära översyn av
datalagen i syfte att omöjliggöra försäljning av personregister för kommer -

KU 1974:20

siellt bruk. Motionären uttalar att detta synes vara det enda sättet att skydda
hushållen och enskilda mot den omfattande direktreklam som nu förekommer
och som stundom får anses vara direkt otillbörlig.

Utskottet vill i detta sammanhang erinra om att företagens möjligheter
att få del av person- och adressregister som finns hos myndigheter är en
följd av offentlighetsprincipen. Den i 2 kap. 8 § tryckfrihetsförordningen
stadgade rättigheten för envar att mot fastställd avgift erhålla avskrift av
allmänna handlingar är, beträffande handling som ej skall hållas hemlig,
i princip obegränsad. Med handling jämställs upptagning för ADB. Som
datainspektionen anfört i sitt remissyttrande går en sådan ändring i datalagen
som åsyftas i motionen sålunda inte att förena med den i tryckfrihetsförordningen
stadgade offentlighetsprincipen. Utskottet vill emellertid i detta sammanhang
understryka att myndighet enligt den ändring i tryckfrihetsförordningen
som träder i kraft den 1 juli i år inte är skyldig att lämna ut själva
datamediet utan endast utskrift av de uppgifter som finns lagrade i registren.
Vid prövningen av ansökningar om att utfå magnetbandkopior och andra
datamedier har myndigheterna därigenom möjlighet att ta hänsyn till den
tänkta användningen av uppgifterna. En restriktiv praxis från myndigheternas
sida i fråga om utlämnande av datamedier är enligt utskottets mening
angelägen. Därmed kan i överensstämmelse med motionens önskemål en
icke önskvärd kommersiell användning av de personregister som finns hos
myndigheterna i praktiken förhindras.

I vad gäller den i motionen upptagna frågan om s. k. selektiv direktreklam
vill utskottet framhålla att ingripanden mot otillbörlig reklam av detta slag
i vissa fall kan ske inom ramen för lagstiftningen om otillbörlig marknadsföring.
I de fall selektiv direktreklam kan anses utgöra otillbörligt intrång
i den personliga integriteten ger också, som datainspektionen framhållit,
datalagen och bestämmelserna i 13 § sekretesslagen möjligheter till skydd
häremot.

Med hänsyn till vad sålunda anförts avstyrker utskottet det i motionen
1974:1181 framförda yrkandet.

Utskottet hemställer

att riksdagen

1. med bifall till propositionen 1974:1 i denna del till Datainspektionen
för budgetåret 1974/75 under andra huvudtiteln anvisar
ett förslagsanslag av 2 776 000 kr.,

2. med anledning av motionerna 1974:1,1974:918 och 1974:1190,
alla såvitt nu är i fråga, som sin mening ger Kungl. Maj:t till
känna vad utskottet anfört om tillämpning av visst förfarande
för tillståndsprövning hos datainspektionen av personregister
vid myndighet som lyder under Kungl. Maj:t,

3. avslår motionen 1974:1, såvitt avser hemställan under B l,samt
motionen 1974:1190, såvitt avser hemställan under 2,

KU 1974:20

4. förklarar motionerna 1974:1 och 1974:918, båda i vad de inte
behandlats i det föregående, besvarade med vad utskottet anfört,

5. avslår motionen 1974:1181.

Stockholm den 4 april 1974

På konstitutionsutskottets vägnar
HILDING JOHANSSON

Närvarande: herrar Johansson i Trollhättan (s), Boo (c), Werner i Malmö
(m), Mossberg (s), Pettersson i Örebro (c), Bergqvist* (s), Fiskesjö (c), Karlsson
i Malung (s), Björck i Nässjö (m), Svensson i Eskilstuna (s), Jonnergård
(c), Olsson i Edane (s), Molin (fp), Johansson i Malmö (s) och Berndtson
(vpk).

* Ej närvarande vid justeringen.

Reservationer

1. av herrar Werner i Malmö (m), Björck i Nässjö (m) och Molin (fp) vilka
ansett

dels att det avsnitt i utskottets yttrande på s. 13 som börjar med orden
”Datainspektionen understryker i” och slutar med orden ”utskottet förevarande
motionsyrkanden” bort ha följande lydelse:

Enligt nuvarande ordning övervakar JO att de myndigheter som är ansvariga
för ADB-register följer gällande bestämmelser om bl. a. skydd för
personlig integritet. Denna tillsynsuppgift tillkommer enligt datalagen även
datainspektionen. JO utövar vidare en allmän tillsyn över datainspektionens
verksamhet. JO har däremot inte möjlighet att överklaga datainspektionens
beslut. Den rätten har lagts på JK. Allmänheten har därför tre instanser
att vända sig till i dessa frågor och kan ha svårt att veta vilken som är
den rätta.

Med hänsyn till de invecklade och svåröverskådliga problem som kan
uppstå när dataregister på olika sätt sammanförs och bringas att samarbeta
— och där bl. a. en inte obetydlig kunskap om datateknikens möjligheter
och begränsningar är nödvändig för den som skall handlägga hithörande
ärenden — är det orimligt att begära att JO och JK skall samla tillräcklig
erfarenhet och sakkunskap för att fullgöra sina uppgifter med granskning
av ärenden också på dataområdet.

Det är mer tillfredsställande för allmänheten att kunna framföra frågor
och klagomål över datainspektionens arbete med integritetsfrågorna till en

KU 1974:20

fristående institution än att behöva gå till detta ämbetsverk självt. Detta
torde även öka rättssäkerheten.

Med hänsyn till det anförda anser utskottet att riksdagen, som begärts
i motionerna 1974:1 och 1974:1190, bör hemställa att Kungl. Maj:t framlägger
förslag till riksdagen om inrättande av en dataombudsman.

dels att utskottet under 3 bort hemställa
att riksdagen

3. med bifall till motionen 1974:1, såvitt avser hemställan under
B 1, samt motionen 1974:1190, såvitt avser hemställan under
2, hos Kungl. Maj:t begär förslag om inrättande av en dataombudsman
med uppgift att övervaka efterlevnaden av lagstiftning
i datafrågor och därvid besvärsvägen tillvarata den
enskildes rätt till integritet,

2. av herr Berndtson (vpk) vilken ansett

dels att det avsnitt i utskottets yttrande på s. 20 som börjar med orden
”Utskottet vill i detta” och slutar med orden ”i motionen 1974:1181
framförda yrkandet” bort ersättas med text av följande lydelse:

Utskottet anser att det är angeläget att ett förbud mot handel med personregister
införs. Företagens möjligheter att få del av person- och adressregister
som finns hos myndigheter är en följd av offentlighetsprincipen.
Den i 2 kap. 8 § tryckfrihetsförordningen stadgade rättigheten för envar
att mot fastställd avgift erhålla avskrift av allmänna handligar är, beträffande
handling som ej skall hållas hemlig, i princip obegränsad. För att tillgodose
syftet i motionen att omöjliggöra försäljning av datalagrade personregister
torde därför också krävas ändring i tryckfrihetsförordningen.

Med hänvisning till det anförda anser utskottet att riksdagen hos Kungl.
Maj:t bör begära förslag till de lagändringar som krävs för att förhindra
en kommersiell användning av de personuppgifter som myndigheterna insamlat
för helt andra ändamål.

dels att utskottet under 5 bort hemställa
att riksdagen

5. med anledning av motionen 1974:1181 hos Kungl. Maj:t begär
förslag till de lagändringar som krävs för att omöjliggöra försäljning
av personregister för kommersiellt bruk.

Särskilda yttranden

1. av herrar Boo (c), Pettersson i Örebro (c), Fiskesjö (c) och Jonnergård
(c):

Genom utvecklingen inom ADB-området bortfaller i snabb takt det ena
tekniska hindret efter det andra när det gäller möjligheterna att bygga upp

KU 1974:20

datorsystem av olika slag. Det finns i dag möjligheter att skapa stora landsomfattande
dataregister med en central dator och ett stort antal terminaler
på olika platser i landet. Det är vidare tekniskt möjligt att decentralisera
dataverksamheten genom att bygga upp ett system med regionala datacentraler,
vilka vid behov kan samordnas genom en referensdator.

Den tekniska utvecklingen har i dag gått så långt att vi snart står vid
ett vägskäl och måste ta ställning till hur de möjligheter som den moderna
datatekniken skapar skall utnyttjas. Med hänsyn bl. a. till den snabbhet med
vilken utvecklingen sker inom dataområdet är det särskilt väsentligt att
det pågående utredningsarbetet ordentligt belyser dessa problem och inte
tillåts att onödigtvis fördröja ett ställningstagande i den viktiga frågan om
den regionala uppbyggnaden av framtida datasystem. För en regionaliserad
struktur på dataområdet talar inte bara ekonomiska och tekniska erfarenheter
utan framför allt, som vi ser det, omsorgen om medborgarnas personliga
integritet. Mycket talar för att ett system med länsdatorer, från vilka uppgifter
ej kan samköras utan särskilda nycklar, skulle vara en god garanti mot att
integritetskränkande dataregister byggs upp i offentlig regi. Ett särskilt regionalt
organ, en ansvarsnämnd, i varje region med uppgift att utöva den
medborgarkontroll som måste krävas när regiongränser skall överträdas, skulle
innebära en ytterligare förstärkning av integritetsskyddet.

Vi delar utskottets mening att det pågående arbetet inom datasamordningskommittén
självfallet bör avvaktas men vill med detta yttrande markera
värdet av en snabb och i förhållande till nuvarande systemstruktur förutsättningslös
utredning.

2. av herr Molin (fp):

Det förekommer i stigande utsträckning att i dataregister intages uppgifter
av värderande karaktär. Dessa registeruppgifter — s. k. mjukdata — kräver
särskilda regler om kvalitetskontroll och särskild behandling ur integritetssynpunkt.
Detta gäller inte minst de data som används inom sjukvården
och socialvården, där riskerna för integritetsintrång och för missbruk av
skenbart exakta data är speciellt stora.

Datainspektionen har i sitt remissyttrande förklarat sig beredd att underkasta
register med bedömningar och värderingar en särskilt sträng prövning.
Det är därvid viktigt att inspektionen beaktar de synpunkter i dessa
frågor som framförts i motionen 1974:1. Det är väsentligt att medborgarna
inte behöver frukta att deras databild blir behandlad som något verkligare
än de själva.

3. av herr Berndtson (vpk):

Den tekniska utvecklingen inom automatisk databehandling har gått
mycket snabbt. Liksom all teknik har datatekniken vuxit fram i ett konkret
ekonomiskt och politiskt sammanhang. Tekniken har finansierats och ut -

KU 1974:20

formats av dem som haft makten i företagen. Datorernas användning i organisationer,
i företag och i den statliga förvaltningen har bestämts av dem
som haft ledningen. För dem som haft ledningen för den stora industrin
och för bankkapitalet har det varit viktigt att allmänt framställa den tekniska
utvecklingen, speciellt datautvecklingen, som något som saknar alternativ.
Det har ständigt hävdats att tekniken endast kan fungera på ett och endast
ett sätt.

Det som erfordras är att se datatekniken i ett maktpolitiskt perspektiv.
Statsförvaltningen och de ledande privata storföretagens ledare som på ett
avgörande sätt tagit datatekniken, sedd som administrativt hjälpmedel, i
sin tjänst har därmed skaffat sig ökad och förbättrad information om och
kontroll över underställda personer.

De möjligheter som datatekniken erbjuder skulle givetvis kunna användas
på ett annat sätt — för en styrning från folkets sida över myndigheterna,
från de anställdas sida över företagen etc. Detta kräver en radikalt ändrad
statlig politik på datateknikens område, en politik förankrad i arbetarklassens
krav och behov.

Vänsterpartiet kommunisterna har till tidigare års riksdagar framfört dessa
synpunkter. Likaså har vpk ställt sig kritiskt till den datalag som antogs
av riksdagen föregående år. Bland annat kan man peka på att handeln med
personuppgifter inte är tillfredsställande löst. Den inrättade datainspektionen
är inte ett riksdagens organ vilket är otillfredsställande liksom att de som
inrättar register inte är skyldiga att underrätta den som införs i dataregister
om vilka uppgifter som finns om denne i registret.

Vänsterpartiet kommunisterna har inte till årets riksdag väckt någon
motion angående datateknikens användning. Vi avser emellertid att till kommande
riksdag återkomma med krav på förändringar i datateknikens utnyttjande.

KU 1974:20

DATAINSPEKTIONEN Bilaga

1974-03-07

Till

Riksdagens konstitutionsutskott

Konstitutionsutskottet har berett datainspektionen tillfälle att avge yttrande
över följande motioner till 1974 års riksdag:

1974:1 av herr Helén m. fl. (fp) angående äganderätten till data, m. m.;
1974:918 av herr Boo m. fl. (c) om ökat integritetsskydd för personuppgifter
i dataregister;

1974:1181 av herr Olof Johansson i Stockholm (c) om förbud mot försäljning
av datalagrat personregister;

1974:1190 av herr Wijkman (m) och fru Sundberg (m) om vidgad kompetens
för datainspektionen och inrättande av en dataombudsman.

Datainspektionen anför följande.

1. Dalaombudsman (motion nr I och 1190)

I båda motionerna hemställs i denna fråga att riksdagen hos Kungl. Maj:t
begär förslag om inrättande av en dataombudsman med uppgift att övervaka
efterlevnaden av lagstiftning i datafrågor och därmed sammanhängande integritetsfrågor
och därvid besvärsvägen tillvarata den enskildes rätt.

Frågan om dataombudsman behandlades av KU, med anledning av prop.
1973:33 och motionen 1973:1638, i betänkandet 1973:19 s. 13 och 19.

Datainspektionen finner det inte helt klart vilken organisatorisk lösning
som motionärerna avser med förslaget om en dataombudsman. På grund
härav och då önskemål om en sådan ombudsman har framförts i den allmänna
debatten på dataintegritetens område, tar datainspektionen i det följande
upp olika alternativ som kan tänkas omfattade av förslaget. Under alla förhållanden
antas förslaget därvid innebära antingen att den nuvarande datainspektionen
delas upp i ett tillståndsorgan, lydande under Kungl. Maj:t,
och ett ombudsmannaorgan såsom tillsyns- och klagomursmyndighet med
besvärsrätt, eller att vid sidan av inspektionen inrättas ett sådant organ.

Dataombudsman såsom ett riksdagens organ

Riksdagens övervakning av efterlevnaden av lagstiftningen sker, förutom
genom KU:s granskning av statsrådsprotokollet, genom JO:s tillsyn över
myndigheterna. Som framgår av prop. 1973:33 s. 65 har JO ansett det
inte vara förenligt med JO:s uppgifter sådana de hittills uppfattats att JO
skall kunna föra formlig besvärstalan, vilken befogenhet enligt motionerna

KU 1974:20

skulle tillkomma en dataombudsman. JO:s tillsyn omfattar myndigheterna,
däremot inte den enskilda sektorn, alltså exempelvis inte dem som inom
denna sektor är ansvariga för personregister som förs med ADB. Konstitutionellt
har hittills behovet av tillsyn över den enskilda sektorn tillgodosetts
genom lagstiftning varigenom inrättats förvaltningsmyndigheter med befogenhet
att utöva tillsynen och därvid bl. a. meddela föreskrifter för den
enskilda sektorn till medborgarnas skydd. Exempel härpå är arbetarsskyddsstyrelsen,
livsmedelsverket, statens planverk, socialstyrelsen, KO, NO, försäkringsinspektionen
och, till skydd för medborgarnas personliga integritet,
datainspektionen. Enligt de grundläggande reglerna för riksstyrelsen lyder
sådana förvaltningsmyndigheter under Kungl. Maj:t, inte under riksdagen.

Att skapa ett direkt under riksdagen lydande organ med förvaltningsuppgifter
av typen tillsyn i enskilda fall inom den enskilda sektorn och
med befogenhet att på riksdagens vägnar meddela de föreskrifter som tillsynen
föranleder eller att överklaga enskilda tillståndsbeslut, meddelade av
en under Kungl. Maj:t lydande förvaltningsmyndighet, synes innebära en
principiell och genomgripande nyhet i riksstyrelsens organisation. En förändring
av sådan innebörd synes angå arbetsfördelningen mellan riksdagen
och Kungl. Maj:t när det gäller all tillsyn av efterlevnad av lagstiftning
till de enskildas skydd i något hänseende; en sådan förändring torde inte
böra övervägas i det mot denna bakgrund begränsade sammanhang som
frågan om data och integritet utgör.

JO.s tillsyn över myndigheterna kan i förevarande sammanhang sägas
bestå av två led. Det ena innebär att JO övervakar att de myndigheter,
som är ansvariga för ADB-register, följer gällande bestämmelser om bl. a.
skydd för personlig integritet. Denna tillsynsuppgift tillkommer enligt datalagen
även datainspektionen. Det andra ledet i JO:s tillsyn innebär då
att JO, som ju har tillsyn över alla myndigheter, övervakar att datainspektionen
fullgör sin tillsynsuppgift. Eftersom datainspektionens tillsyn omfattar
även den enskilda sektorn, kan JO:s övervakning av inspektionen sägas
indirekt innebära även tillsyn inom denna sektor.

Om till följd av det ovan anförda riksdagens tillsyn inom dataområdet
tills vidare alltjämt finnes böra utövas av JO, kan uppkomma den i motionen
nr 1190 berörda frågan om JO:s erfarenhet och sakkunskap på dataområdet.
Det bör då erinras om — utöver att motsvarande problem torde kunna
uppstå inom andra områden av JO:s verksamhet — att JO självfallet kan
tillvarata datainspektionens sakkunskap vid den tillsyn som förandra myndigheter
än datainspektionen, dvs. alla registeransvariga statliga och kommunala
myndigheter. Datainspektionen har givetvis ingen erinran mot att
JO-ämbetet förstärks med datasakkunskap om så skulle befinnas erforderligt.
Att för riksdagens tillsyn över datainspektionen bygga upp ett särskilt organ
vid sidan av JO synes, som KU fann i betänkandet 1973:19 s. 13, innebära
en överorganisation.

KU 1974:20

Dataombudsman såsom ett Kungl. Maj:ts organ

Det föreligger självfallet inte några konstitutionella hinder mot att under
Kungl. Maj:t dela upp datainspektionen i en tillståndsmyndighet och en
myndighet för tillsyn och klagomursverksamhet eller att dubblera de båda
sistnämnda verksamheterna.

En lösning efter denna linje skulle vara att förstärka JK-ämbetet med
datasakkunskap, eftersom JK genom datalagen har fått möjligheten att för
tillvaratagande av medborgarnas rätt föra talan mot datainspektionens beslut.
I fråga om JK:s övervakning på detta område torde i övrigt gälla detsamma
som ovan nämnts om de två leden i JO:s övervakning, med den skillnaden
att JK:s verksamhet endast omfattar statliga myndigheter.

Frågan om omorganisation av datainspektionen synes f. n. böra bedömas
dels med hänsyn till inspektionens förmåga att fullgöra sin uppgift att skydda
medborgarna, dels med hänsyn till organisatoriskt-praktiska förhållanden.

Datainspektionen vill understryka att dess verksamhet i stor utsträckning
hittills har inriktats på att inspektionen skall kunna fungera som en ”allmänhetens
dataombudsman”. Detta kommer att framhävas i en bred informationskampanj
som äger rum under våren 1974. Denna uppgift är inte
oförenlig med skyldigheten att i varje särskilt fall med den objektivitet som
är möjlig göra nödvändiga avvägningar mellan skilda intressen. Avvägningar
av denna art åvilar som ett tjänsteansvar alla statliga myndigheter, även
myndigheter med uppgift att vara ombudsman för ett visst intresse eller
att utöva tillsyn inom visst område.

Såvitt datainspektionen kunnat finna under sin hittillsvarande verksamhet
— varunder ett för integritetsfrågorna fruktbärande samarbete med de registeransvariga
inom både den offentliga och den enskilda sektorn redan
har förekommit — motsvarar den nu gällande ordningen i fråga om rättssäkerhet,
kontroll, tillsyn och besvärsrätt väl de anspråk, som med fog kan
ställas. Det finns ännu inte sakligt underlag för organisatoriska förändringar,
och sådana skulle i det rådande uppbyggnadsskedet sannolikt försvåra verksamheten.

2. Personregister vars inrättande beslutas av Kungl. Majit (motionerna nr 1, 918
och 1190)

I motionerna hemställs i denna fråga att riksdagen genom ändring av
2 § datalagen beslutar att personregister vars inrättande beslutas av Kungl.
Majit skall vara underkastade datainspektionens tillståndsprövning.

Denna fråga behandlades av KU, med anledning av prop. 1973:33 och
motionerna 1973:1641 och 1973:1638, i betänkandet 1973:19 s. 8—10.

I propositionen 1973:33 anförde departementschefen:

KU 1974:20

att personregister vars inrättande beslutas av Kungl. Maj:t och riksdagen
eller av endera av dem bör undantas från datainspektionens tillståndsprövning.
Undantaget bör gälla oberoende av om beslutet om registrets inrättande
ges formen av lag eller annan författning eller kommer till uttryck på annat
sätt. Det får förutsättas att statsmakterna beslutar om inrättande av ADBregister
endast i sådana fall då det är starkt motiverat med hänsyn till registrets
betydelse eller med hänsyn till övriga omständigheter. 1 de allra flesta fall
torde offentliga register komma att vara av sådan beskaffenhet att de kan
inrättas av myndighet och därmed faller under datainspektionens tillståndsprövning.
Jag anser det inte behövligt att statsmakternas beslutanderätt i
fråga om inrättande av ADB-register preciseras närmare i lagen.

Med ledning härav konstaterade datainspektionen i sina den 7 november
1973 utfärdade preliminära föreskrifter och anvisningar för ansökan om tillstånd/anmälan
av personregister, att personregister skulle anses inrättade
genom beslut av Kungl. Maj:t eller riksdagen om

— registret inrättats genom lag eller annan författning; exempel: inskrivni
ngsregistret' enligt 2 $ lagen (1973:98) om inskrivningsregister

eller

— författningsmässig skyldighet föreligger att föra register och det i förarbetena
till författningen har klart utsagts att detta skall föras med ADB
eller registrets inrättande förutsatts i lag eller annan författning; exempel:
kriminalregistret som enligt 1, 2 och 15 §§ kungörelsen (1970:517) om
rättsväsendets informationssystem förutsatts inrättas och föras med ADB

eller

— registret inrättats genom beslut av riksdagen eller genom konseljbeslut
i annat fall än genom utfärdande av författning, exempelvis genom
regleringsbrev eller annat beslut om medelsanvisning. En förutsättning
måste dock vara att i beslutet klart anges för vilket ändamål databehandlingen
skall ske.

Hittills har handlingar beträffande ca 200 statliga personregister inkommit
till datainspektionen. En del av dessa register, vilka av myndigheterna betraktats
som register för vilka anmälan skall göras enligt 1 5 andra stycket
datakungörelsen (1973:291) samt övergångsbestämmelserna till denna, utgör
i själva verket enligt datainspektionens preliminära bedömning personregister
för vilka rätteligen tillstånd krävs. Samtidigt förekommer uppenbarligen ett
antal personregister beträffande vilka anmälan skulle ha gjorts senast till
årsskiftet 1973/74, men myndigheterna betraktar dem som ansökningsfall.

— Inspektionen har tagit kontakt med de myndigheter som förmodas ha
register som skulle ha anmälts och påpekat detta förhållande.

Datainspektionen har alltså kunnat konstatera att avgränsningen mellan
de register för vilka ansökan resp. anmälan skall göras är besvärlig. Det
är stundom ett ganska tidsödande arbete både för de registeransvariga myndigheterna
och inspektionen att utröna vilka personregister som skall anmälas.
Utvecklingen av de stora statliga personregistren har av naturliga skäl

KU 1974:20

skett successivt. Till grund för inrättandet av dem ligger ofta en serie propositioner,
beslut i anslagsfrågor samt regleringsbrev. En annan komplikation
är att myndigheter som är registeransvariga för register vars inrättande beslutats
av statsmakterna av praktiska och rationella skäl emellanåt genom
egna beslut utvidgat registren med rutiner som ej omfattas av statsmakternas
beslut.

Skillnaden i handläggningen av ärendena om de på olika sätt inrättade
registren är huvudsakligen formell. Personregister som inrättas av myndighet
omfattas av tillståndsprövning. Beträffande de personregister som inrättas
genom statsmakternas beslut skall inspektionens yttrande inhämtas före beslutet.
Enligt 4 § datakungörelsen skall inspektionens bedömning av registret
därvid ske enligt samma grunder som vid prövning av tillståndsärende. När
beslut meddelats av Kungl. Majit eller riksdagen om att inrätta registret,
skall registeransvarig myndighet anmäla registret till inspektionen som då
har att granska detta och med stöd av 7 § datalagen förse det med föreskrifter
enligt 5 och 6 §§ datalagen, i den mån inte statsmakterna meddelat föreskrift
i samma hänseende.

De beskrivna avgränsningssvårigheterna är delvis av övergående natur.
Det är främst beträffande de register som inrättats före datalagens ikraftträdande
som det är svårt att utröna vem som beslutat om inrättande av
register samt i vad mån statsmakterna genom lagar, författningar eller särskilda
beslut av Kungl. Majit i form av brev eller ämbetsskrivelser meddelat
föreskrifter eller i vilken utsträckning inspektionen skall meddela sådana.
Det kan dock förutsättas att vissa problem blir bestående, särskilt i de fall
delar av ett databehandlingssystem inrättas genom beslut av statsmakterna
och andra delar genom myndighets beslut.

Beträffande personregister, vilkas inrättande övervägs eller förbereds, har
den i och för sig naturliga ordningen börjat tillämpas att Kungl. Majit till
inspektionen remitterar exempelvis ett av en offentlig utredning avgivet
betänkande i vilket, kanske i samband med förslag till någon reform, i allmänna
ordalag föreslås inrättande av ett ADB-register. Endast undantagsvis
utgör detta tillräckligt underlag för den bedömning inspektionen är ålagd
att göra. Underlaget torde ofta inte ens vara tillräckligt för ett s. k. principgodkännande,
som inspektionen i och för sig är behörig att ge. Inspektionen
nödgas då i sitt yttrande hemställa om att på nytt få frågan om
registret på remiss sedan nödvändiga, av inspektionen angivna preciseringar
eller kompletteringar skett. Detta förfaringssätt har å andra sidan den fördelen
att vederbörande statsdepartement i god tid under ärendets beredning
görs uppmärksamt på dataintegritetsfrågan.

Som anförts i KUis betänkande 1973:19 s. 9— 10 sker riksdagens kontroll
av register, som beslutas av regeringen, förutom genom medverkan i lagstiftning,
genom anslagsprövning, frågor och interpellationer samt KUis
granskning. En ordning som härutöver innebure att riksdagen fungerade
som särskilt tillståndsorgan synes utgöra en avvikelse från gällande konstitu -

KU 1974:20

tionella grunder för vår förvaltning. Om således i enlighet med allmänt
tillämpade regler om riksstyrelsen en under Kungl. Maj:t lydande förvaltningsmyndighet
— datainspektionen — är tillståndsmyndighet, synes det
nödvändigt att finna en lösning som är förenlig med det f. n. rådande förhållandet
att myndigheten lyder under Kungl. Maj:t i så måtto att myndighetens
beslut kan överklagas hos Kungl. Majit.

En praktiskt möjlig lösning skulle då kunna vara att Kungl. Majit konsekvent
uppdrar åt den blivande registeransvariga myndigheten att utveckla
ett genom kommittébetänkande eller på annat sätt väckt förslag om statligt
personregister med ADB så långt att myndigheten — ej Kungl. Majit —
kan söka principtillstånd hos datainspektionen. Som förutsatts i förarbetena
till datalagen (SOU 1972:47 s. 91, prop. 1973:33 s. 125) kan ett sådant utvecklingsarbete
ske i samråd med datainspektionen. Problemet ADB och
personlig integritet torde normalt kunna lösas genom lämplig utformning
av personregister, och endast undantagsvis torde det behöva bli fråga om
att ej acceptera inrättandet av ett personregister för ett rimligt ändamål.
Avslår emellertid datainspektionen myndighetens ansökan om principtillstånd,
kan myndigheten genom besvär föra frågan under Kungl. Majits prövning.
I denna situation föreligger datainspektionens motivering för avslaget,
och Kungl. Majit har då att överväga om skäl finns för en annan syn på
integritetsfrågan än som kommit till uttryck i inspektionens beslut. När
datainspektionens beslut med anledning av myndighetens framställning om
principtillstånd föreligger och myndigheten fört saken vidare till Kungl.
Majit, skulle Kungl. Majit kunna ta ställning till anslagsfrågan för det tilltänkta
registret.

Datainspektionen — som ser den här diskuterade frågan som en praktisk
handläggningsfråga, utom såvitt avser de konstitutionella synpunkterna —
kan ännu inte säkert avgöra om den här skisserade lösningen bättre än den
nu rådande skulle tillgodose de framkomna önskemålen. Datainspektionen
är emellertid beredd att pröva denna lösning, vilken ligger väl i linje med
departementschefens uttalande i prop. 1973:33 s. 97 nederst och som kan
åvägabringas inom ramen för den gällande datalagen genom att Kungl. Majit
anbefaller myndigheterna förfarandet med att öka principgodkännande från
datainspektionen.

3. Databrott (motion nr 1)

I motionen hemställs i denna fråga att riksdagen hos Kungl. Majit begär
utredning av de juridiska problemen i samband med missbruk av och fel
i användningen av datorer.

Enligt 20 § datalagen (1973:289) har kriminaliserats att någon uppsåtligen
eller av oaktsamhet

— inrättar eller för personregister utan tillstånd av datainspektionen

KU 1974:20

— bryter mot av inspektionen med stöd av 5, 6 eller 18 §§ datalagen meddelad
föreskrift

— obehörigen utlämnar personuppgift för ADB i strid med datalagen eller
för ADB utomlands

— underlåter att till inspektionen anmäla att han upphört att föra personregister —

obehörigen yppar vad han till följd av befattning med personregister fått
veta om enskilds personliga förhållanden

— lämnar osann uppgift vid fullgörande av skyldighet att underrätta registrerad
enligt 10 § datalagen

— lämnar osann uppgift vid inspektionens tillsyn

— obehörigen yppar vad han vid tillstånds- eller tillsynsärende enligt datalagen
hos inspektionen fått veta om enskilds personliga förhållanden
eller om yrkes- eller affärshemlighet.

I vissa fall kan även annan än registeransvarig ådra sig ansvar, t. ex. den
i registeransvarigs tjänst som obehörigen yppar vad han till följd av befattning
med personregister fått veta om enskilds personliga förhållanden.

Försök och förberedelse till brott mot 20!? datalagen är ej kriminaliserat.
Ej heller torde medhjälp vara kriminaliserat.

Påföljden för brott mot datalagen är böter eller fängelse i högst ett år.
En hel del brottsliga förfaranden som har anknytning till ADB kan straffas
enligt gällande regler i brottsbalken. Tillgrepp av exempelvis datamedier
straffas sålunda enligt 8 kap. brottsbalken. Förfalskning med hjälp av ADB
kan straffas enligt 14 kap. brottsbalken. Andra brottsrubriceringar som kan
komma i fråga är trolöshet mot huvudaman (10 kap. 5 S brottsbalken) och
skadegörelse (12 kap. 1 !; brottsbalken).

För att komplettera dessa regler föreslog Offentlighets- och sekretesslagstiftningskommittén
att till brottskatalogen i brottsbalken skulle fogas
en regel som kriminaliserar att någon olovligen bereder sig tillgång till upptagning
för ADB eller olovligen ändrar eller utplånar eller i register för in
sådan upptagning, s. k. dataintrång.

Departementschefen (prop. 1973:33 s. 106) fann med hänsyn till att
dataintrång omfattar förfaranden av ganska skiftande karaktär att bestämmelsen
inte på ett naturligt sätt kunde fogas in i något av brottsbalkens
kapitel. I stället kom bestämmelsen om dataintrång att tas in i 21 S datalagen.
Försök eller förberedelse till dataintrång har också kriminaliserats.

1 anslutning till kravet på tillräcklig säkerhet mot sammanbrott därför
att ”det blir fel på maskineriet samt för normal kontroll” kan erinras om
regeln i 14 § datalagen som för myndigheter föreskriver skyldighet att i
vissa fall tillföra handlingar i mål eller ärendeupptagning för ADB i läsbar
form. Denna regel gäller även andra register än personregister. Därutöver
torde den skadeståndsregel som intagits i 23 $ datalagen vara av viss betydelse
i detta sammanhang. Regeln föreskriver strikt ansvar och omfattar både

KU 1974:20

ekonomisk och ideell skada. Den gäller visserligen endast personregister
men dessa innehåller ej sällan ekonomiska uppgifter. Regelns existens torde
mana de registeransvariga till åtgärder som medför ökad säkerhet i databehandlingen.

Datainspektionen kan i och för sig instämma i motionärernas uppfattning
att de angivna bestämmelserna om straff och skadestånd inte utgör full
garanti för att alla databrott skall upptäckas och förhindras. Såvitt ännu kan
överblickas synes de bästa garantierna skapas genom den säkerhet och kontroll
som den registeransvarige upprätthåller. Väsentligt är därvid att datainspektionen
har möjligheter att genom föreskrifter enligt 6 § datalagen
bidra till att skapa sådan trygghet som avses i motionen. Exempelvis kan
föreskrifter ges om bevarande av uppgifter som möjliggör intern kontroll.
Datainspektionen, som fäster stor vikt vid säkerhetsfrågorna, kommer självfallet
att i både tillstånds- och tillsynsverksamheten och genom att tillgodogöra
sig utländska erfarenheter skaffa sig kännedom om förekomsten av
databrott och möjligheterna att komma till rätta med dem. Det synes ännu
vara för tidigt att på detta område tillsätta en särskild utredning. Om problemen
visar sig inte kunna bemästras inom ramen för datainspektionens
befogenheter, kommer inspektionen att anmäla förhållandet för Kungl.
Maj:t.

Vad avser dokumentation av datasystem, dvs. skriftlig redovisning av
hur systemen är konstruerade och hur de fungerar, delar datainspektionen
motionärernas uppfattning att generellt sett stora brister föreligger, som avsevärt
försvårar den för olika ändamål erforderliga interna och externa kontrollen.
Även om större myndigheter och företag ofta utarbetat väl genomtänkta
dokumentationsrutiner försvåras kontrollen dels därför att efterlevnaden
av dokumentationsreglerna ofta är dålig, dels genom att någon gemensam
standard för dokumentation ej existerar med påföljd att helt olika
dokumentationsrutiner tillämpas inom olika myndigheter och företag.

En avgörande orsak till dessa svårigheter är att dokumentationsmetoderna,
för att fylla kraven på likformighet och detaljeringsgrad, måste bygga på
en i systemarbetet allmänt vedertagen begreppsapparat och systemutvecklingsteori
eller metodik som i dag ej existerar. Den teoretiska grunden för
den praktiska tillämpningen saknas sålunda.

Sveriges Standardiseringskommission utgav 1973 en handbok med titeln
”Riktlinjer för administrativ systemutveckling”. Företrädare för flera statliga
myndigheter med omfattande uppgifter och erfarenhet från databehandlingsområdet,
som deltagit i förberedelsearbetet, var starkt kritiska mot att kommissionen
ställde sig bakom och utgav dessa riktlinjer främst med hänsyn
till att utsikterna att nå bred efterföljd av riktlinjerna bedömdes som ytterst
små.

De krav på dokumentation som inte minst genom datalagens tillkomst
nu ställts på myndigheter och företag har emellertid förbättrat förutsättningarna
för en successiv framväxt av praxis. Datainspektionen eftersträvar

KU 1974:20

för sin del bl. a. att precisera de anvisningar som skall gälla för ansökan
om att få föra personregister, så att de registeransvariga efter hand skall
finna det ekonomiskt och praktiskt att genomgående tillämpa ensartade dokumentationsrutiner,
vilket underlättar kontakterna med datainspektionen.

4. Revision av ADB-system (motion nr I)

I motionen hemställs i denna fråga att riksdagen ger Kungl. Maj:t till
känna vad som i motionen anförts beträffande krav på insikter i datadokumentation
hos auktoriserad revisor.

I förslag till bokföringslag (SOU 1973:57) föreslås vissa särskilda bokföringsregler
gälla för ADB-redovisningssvstem. Bl. a. föreslås bestämmelser
angående dokumentation av datasystem och genomförda databehandlingar
för att möjliggöra en effektiv revision. F. n. saknas dokumentationsnormer
så gott som helt vilket i hög grad försvårar det praktiska genomförandet
av de föreslagna kraven på dokumentation. Datainspektionen vill mot denna
bakgrund, och eftersom kraven på dokumentation är lika starka för att datalagens
bestämmelser skall kunna uppfyllas, understryka behovet av normer
på detta område.

Revisorers behov av utbildning i ADB lär inom den statliga sektorn redan
ha uppmärksammats av riksrevisionsverket. Föreningen Auktoriserade revisorer
har i skrivelse den 27 februari 1974 till datainspektionen uppgivit
att föreningen tidigt har uppmärksammat detta behov, att föreningens
medlemmar i viss utsträckning utbildat sig i ADB-revision vid kurser utomlands,
att föreningen publicerar skrifter och anordnar avancerade och
praktiskt inriktade seminarier i ADB-revision samt att föreningen driver
utvecklingsarbete bl. a. angående intern kontroll och revision i samband
med s. k. on line-bearbetning samt angående metoder för granskning av
administrativa kontroller i datorinstallationer.

Datainspektionen är ense med motionärerna om vikten av att revisorer
äger insikter i ADB. Inspektionen, som avser att följa frågan, kan ännu
inte bedöma om de insatser som hittills gjorts är tillräckliga.

5. Specifikationer av sekretessen (motion nr I)

I motionen hemställs i denna fråga att riksdagen beslutar ge Kungl. Maj:t
till känna vad som i motionen anförts om nödvändigheten att specificera
sekretesskraven för data i kommunal eller statlig ägo. Intresset för säkerhet
och sekretess i samband med databehandling har under senare år ökat snabbt
både i Sverige och internationellt främst som en följd av integritetsdebatten.
Inte minst har de stora datamaskinleverantörsföretagen, vilkas åtgärder visat
sig ha stor betydelse för utvecklingen inom dataområdet, funnit det förenligt
med sina intressen att satsa stora resurser på utveckling av metoder för
kontroll och säkerhet vid databehandling.

KU 1974:20

Utvecklingen i Sverige har på detta område drivits av statskontoret vad
avser den offentliga sektorn och Sveriges Industriförbund vad avser den
enskilda sektorn. Sedan tillkomsten 1972 av datasamordningskommittén
(DASK), i vars direktiv säkerhetsfrågorna särskilt nämndes har ytterligare
kraft satts bakom kraven på en forcerad utveckling.

Sedan statskontoret i samråd med DASK erhållit uppdrag att bedriva metodutvecklingsarbete
inom säkerhetsområdet och erforderliga medel, enligt
upplysningar som datainspektionen under hand inhämtat, ställts i utsikt,
föreligger förutsättningar för en snabbare utveckling inom området. Besvärande
är emellertid dels avsaknaden av en etablerad terminologi och systematik
inom området, dels bristen på utredningspersonal med utbildning
och erfarenhet av säkerhetsfrågor. Datainspektionen har av uppenbara skäl
ett starkt intresse av att utredningsarbetet forceras och medverkar f. n. aktivt
i det pågående arbetet på detta område.

Ett särskilt och otillräckligt belyst problem utgör kostnadsfrågor i samband
med datasäkerhet. Vad avser sådana avsiktliga dataintrång eller tillgrepp
av information som exemplifieras i motionen blir det nödvändigt att väga
kostnaden för att begå databrottet mot det potentiella värdet av informationen
för den som gör intrånget. Vidare måste beräknas kostnaden för säkerhetsanordningar
som försvårar eller förhindrar intrånget och den kostnad för
enskild och samhället som ett dataintrång kan medföra. Kostnaden för säkerhetsåtgärder
står därvid i relation till kostnaden för att göra dataintrång.

Även om den kvalificerade art av avsiktligt dataintrång med bl. a. utnyttjande
av kostnadskrävande apparatur som berörs i motionen snarare
för tanken till militär underrättelsetjänst än till otillbörligt integritetsintrång
är de metoder med vilkas hjälp intrånget skall förhindras väsentligen desamma.

Från datainspektionens synpunkt måste således stor vikt fästas vid att
kostnaden för olika säkerhetsåtgärder kan beräknas. Datainspektionen bedriver
därför med all möjlig skyndsamhet i samråd med statskontoret det
nyssnämnda pågående utredningsarbetet, som syftar till att i första hand
klargöra terminologi och systematik på säkerhetsområdet, inventera existerande
skyddsmetoder och beräkna kostnader för dessa. Därefter är avsikten
att söka fastställa sådana grader eller nivåer i sekretesskyddet som inspektionen
kan ställa krav på med hänsyn till bl. a. informationens känslighet,
den tänkta tekniska utformningen, ägandeförhållanden, etc.

Det bör framhållas att datainspektionen i de fall tillämpliga skyddsmetoder
bedöms otillräckliga har möjlighet att t. ex. föreskriva att särskilt känslig
och åtråvärd information ej får sändas i datakommunikationsnätet.

6. Datakommunikationer (motion nr 1)

De datakommunikationssystem som är i drift eller planeras, t. ex. centrala
bil- och körkortsregistren, riksförsäkringsverkets system, banksystemen och

KU 1974:20

flygbolagens platsbokningssystem, är alla underkastade datalagens bestämmelser.

Datainspektionen har således att ta ställning till tillståndsansökan resp.
anmälan beträffande dessa personregister. Eventuella planer på att samköra
olika register kommer i samband härmed att bli föremål för prövning.

Någon ytterligare reglering i lag erfordras således ej för att förhindra sådan
samköming som berörs i motionen. Vad avser kontrollen så har datainspektionen
att utöva tillsyn enligt 15 — 17 SS datalagen. Datalagen ger i dessa
avseenden inspektionen vidsträckta befogenheter. Hur effektiv kontrollen
blir är därför en fråga om resurser för sådan tillsyn.

Datakommunikation sker i dag i huvudsak över det för telefontrafik avsedda
nätet. Vid trafik över större avstånd utnyttjas i ökande omfattning
kommunikation via satelliter.

Under dessa förutsättningar torde en strikt gränscensur och gränskontroll
av datatransmissionen i dagens läge inte vara genomförbar. Televerket planerar
emellertid en övergång mot slutet av 70-talet till ett särskilt, för datakommunikation
avsett nät. Planeringen sker i nära samarbete med de
övriga nordiska länderna liksom även med andra länders teleförvaltningar
inom de internationella televerksorganisationerna, CCITT och CEPT.

Ett provnät med anslutningsmöjligheter i Stockholm, Göteborg och Malmö
är redan installerat och i drift. Televerket har enligt uppgift för avsikt
att, med erfarenheter av provnätsdriften som grund, i början av 1975 påbörja
upphandlingen för det planerade permanenta, kommersiella datanätet. Enligt
datainspektionens bedömning skapas genom tillkomsten av ett sådant datanät
förutsättningar att åtminstone till viss del tillgodose behovet av ”gränskontroll”.
De krav som statsmakterna här kan ha liksom de krav som
bör ställas från säkerhets- och sekretessynpunkt i övrigt måste emellertid
preciseras innan upphandlingen påbörjas. Datainspektionen avser därför att
verka för att hithörande frågor utreds inom ramen för statskontorets arbete
på säkerhetsområdet i samarbete mellan statskontoret, datainspektionen och
televerket.

7. Problem i elen internationella datatrafiken (motion nr !)

I motionen hemställs i denna fråga att riksdagen hos Kungl. Maj:t begär
initiativ till internationella konventioner om likartad tillämpning av vissa
typer av datalagar.

lili; första stycket 2 p. datalagen och i 13 S andra stycket sekretesslagen
finns bestämmelser om förbud mot utlämnande av uppgift i personregister
om det kan antagas att uppgiften skall användas för automatisk databehandling
utomlands. För det fall att det kan antagas att uppgiften inte kommer
att medföra intrång i personlig integritet får datainspektionen dock lämna
medgivande att uppgiften utlämnas.

I prop. 1973:33 s. 101 har departementschefen anfört: ”Jag kan visserligen

KU 1974:20

ansluta mig till vissa remissinstansers uppfattning att inskränkningen knappast
medför något effektivt skydd mot att personregister upprättas obehörigen.
Särskilt gäller detta naturligtvis register i utlandet. Som OSK framhållit
är detta emellertid en fråga som inte kan lösas annat än genom internationella
överenskommelser. I avvaktan på sådana anser jag att det föreslagna förbudet
mot utlämnande kan ha ett visst värde.”

De i motionen skisserade problemen finns i viss mån redan nu genom
de internationella datakommunikationer som förekommer såväl över telefonnätet
som via satellit. Emellertid kommer problemen att öka när det
planerade europeiska datanätet inrättas under senare delen av 70-talet.

Ännu är Sverige det enda land i världen som har en datalag som täcker
såväl den privata som den offentliga sektorn. I åtskilliga europeiska länder
pågår lagstiftningsarbete, och på många håll kan lagar väntas de närmaste
åren. Vidare har Europarådet sedan flera år ägnat frågan avsevärt intresse.

Europarådets högsta organ, ministerrådet, har den 26 september 1973 antagit
Resolution (73) 22, innehållande rekommendationer till skydd för privatlivet
gentemot ADB-register på den privata sektorn.

Den expertkommitté inom Europarådet som utarbetade förslag till den
ovannämnda resolutionen har under 1973 fortsatt sitt arbete med utarbetande
av ett förslag till resolution avseende rekommendationer till skydd för privatlivet
gentemot ADB-register på den offentliga sektorn. Vid ett sammanträde
med kommittén den 5 — 8 februari 1974 nåddes enighet om ett förslag
som överlämnas till Europarådets kommitté för rättsligt samarbete (CCJ)
för dess godkännande och därefter förs vidare till Europarådets ministerkommitté
för antagande.

Resolution (73) 22 och förslaget till resolution är således rekommendationer
om en viss minimistandard för nationell lagstiftning i Europarådets medlemsländer.
Dessa rekommendationer ersätter icke konventioner utan utgör
snarare en första grpnd för ett arbete med internationella konventioner.

När expertkommittén vid ovannämnda möte avslutat arbetet med sitt
resolutionsförslag, diskuterades frågan i vad mån kommittén omedelbart
skulle ta sig an uppgiften att påbörja arbetet med utarbetande av förslag
till konventionstexter till skyddande av privatlivet gentemot ADB-register.
Ett överväldigande flertal av delegaterna uttalade att ett uppenbart behov
av konventioner på området föreligger, och att det är angeläget att dessa
träder i kraft så snart som möjligt. Det framfördes visserligen också synpunkter
av innebörd att Europarådet inte är rätt instans för utarbetande
av konventioner inom detta område enär problemen är globala, i synnerhet
med beaktande av möjligheterna till datakommunikation med hjälp av satellit,
och att således frågan snarare borde upptagas av exempelvis Förenta
Nationerna. Å andra sidan framhölls att en konvention utarbetad inom Europarådet
kan upptaga även utanför rådet stående stater. En annan invändning
mot att nu påbörja konventionsarbetet kan kortfattat refereras på följande
sätt. Om konventionen skall vara verksam mot dalaflykt, dvs. upprät -

KU 1974:20

tande av databanker innehållande utländska medborgare i länder med mindre
restriktiv eller ingen lagstiftning alls inom området, skall konventionen i
första hand innebära att utländska medborgare erhåller samma integritetsskydd
som landets egna medborgare, och, för att vara verkligt effektiv, ett
bättre skydd för utlänningar än för landets egna medborgare.

Inom kommittén bedömdes möjligheterna att nå enighet och genomföra
en konvention efter dessa riktlinjer vara små i nuvarande läge, när blott
Sverige har en datalag, som trätt i kraft. Kommittén beslöt därför att avvakta
tills vidare, för att låta Europarådets sekretariat ta upp frågan ånyo när det
nationella lagstiftningsarbetet kommit något längre på detta område, förslagsvis
i början av år 1975.

Läget i några länder i Europa är följande:

I Norge arbetar en kommitté med utredning av frågan, likaså i Finland.

I Danmark har ett kommittéförslag i ämnet offentliggjorts.

I Förbundsrepubliken Tyskland ligger ett förslag till datalag på förbundsdagens
bord.

I Nederländerna arbetar en kommitté, likaså i Belgien.

I Luxemburg finns ett lagförslag.

Mellan närmast berörda tjänstemän i de nordiska länderna förekommer
utbyte av erfarenheter och synpunkter i datalagstiftningsfrågor.

Inom OECD pågår arbete med sammanställning av hur långt medlemsländerna
hunnit i fråga om datalagstiftning. En sådan sammanställning kan
förväntas under år 1974.

Sammanfattningsvis kan således sägas att problemen är uppmärksammade
och diskuterade på internationellt plan men att det rent tekniska utarbetandet
av konventioner liksom antagande av dessa konventioner i många berörda
länder bedöms vara praktiskt omöjligt innan det föreligger gällande nationella
lagar i fler länder än Sverige medan flera andra länder har visat ett starkt
intresse för att få till stånd en konvention snarast möjligt. Eftersom lagstiftningsarbetet
i många länder hunnit mycket långt, kan konventionsfrågan
i vart fall förväntas bli upptagen till behandling kort tid efter det att ett
antal stater genomfört nationell lagstiftning, troligen redan i början av 1975.

Datainspektionen deltar aktivt i det internationella samarbete för vilket
här har redogjorts. Inspektionen biträder uppfattningen att internationella
överenskommelser på detta område är nödvändiga och verkar efter förmåga
för att de skall komma till stånd. I den just nu rådande situationen är det
tveksamt om ett svenskt initiativ till konvention är påkallat. Om datainspektionen
under si na fortsatta internationella kontakter finner att ett initiativ
behövs, kommer inspektionen att anmäla detta för Kungl. Majit och föreslå
lämplig form för ett sådant initiativ.

KU 1974:20

8. Hemliga manuella register (motion nr 1)

I motionen hemställs i denna fråga att regeringen utarbetar förslag till
kompletterande bestämmelser som bemyndigar datainspektionen att förhindra
att personregister mot datalagen kopplas samman med manuellt förda
•register.

Offentlighets- och sekretesslagstiftningskommittén gjorde den bedömningen
(Data och integritet, SOU 1972:47 s. 60) att ”den automatiska databehandlingen
medför helt nya faror för intrång i den personliga integritetssfären.
Sådant intrång kan visserligen förekomma även som en följd
av manuell hantering av information, men de nya möjligheter som öppnats
genom automatisk databehandlingsteknik stegrar riskerna. Det är principiellt
fråga om en gradskillnad men denna är så betydande att situationen måste
anses på ett avgörande sätt förändrad.”

Datalagen reglerar uteslutande personregister, dvs. registerförteckning eller
andra anteckningar som förs med hjälp av ADB och som innehåller personuppgift
som kan hänföras till den som avses med uppgiften. Manuellt
förda register liksom hålkortsregister omfattas således ej av datalagen. I propositionen
1973:33 (s. 139) har departementschefen i bemötandet av invändningar
mot skyldigheten att enligt 10 § datalagen på begäran av registrerad
underrätta denne om innehållet i personuppgift som ingår i ett personregister
och innefattar upplysning om honom just anvisat möjligheten att vid sidan
av ett dataregister för annat register med t. o. m. mycket känsliga uppgifter
som kompletterar dataregistret.

Datainspektionen är medveten om att i en del andra länder diskuteras
lagstiftning som reglerar även personregister som förs med andra hjälpmedel
än ADB. Alltjämt bör enligt datainspektionens uppfattning de integritetsfrågorsom
gäller ADB-registren prioriteras. De manuella registrens inverkan
på integriteten är emellertid också en viktig fråga. Den bör tills vidare, vid
behov, lösas från område till område som redan har skett beträffande kreditupplysningsverksamheten.

9. Mjukdata (motion nr I)

I motionen hemställs i denna fråga att riksdagen beslutar att ge Kungl.
Maj:t till känna vad som i motionen anförts om dataregistrering av s. k.
mjukdata.

OSK konstaterade att registrering av vissa faktiska uppgifter, t. ex. angående
samhällets tvångsingripanden, är särskilt känslig. Andra lika känsliga
registreringar ansåg OSK vara värderingar och bedömningar av enskilda.
OSK anförde:

Betyg och andra omdömen som fixerats i skrift har förmåga att ge intryck
av exakthet och objektivitet, som inte behöver ha någon motsvarighet i
verkligheten och som i varje fall med tiden förlorar sin giltighet. En sammanställning
av bedömningar från skilda håll — som kan vara beroende

KU 1974:20

av varandra — är ägnad att förstärka denna effekt, likaså det förhållandet
att registreringen kan medföra att individuella nyanseringar och förbehåll
försvinner.

En annan grupp uppgifter som enligt OSK. kunde vara särskilt känslig
att registrera är fakta och värderingar, blandade med varandra.

Samtidigt måste dock konstateras att en riktig registrering av mjukdata
emellanåt kan vara av största vikt. Ett viktigt område där användningen
av mjukdata kan bli värdefull är sjuk- och hälsovården. Databehandling
av medicinska värderingar kan bidra till och påskynda patienternas tillfrisknande.
Självfallet måste dock krävas att metoderna för användning av mjukdata
är tillförlitliga.

Det är sannolikt ofrånkomligt att viss registrering av mjukdata sker även
i andra sammanhang, om de krav de enskilda ställer på samhället skall
kunna uppfyllas. Datainspektionen finner det därför knappast lämpligt att
ett allmänt förbud mot registrering av bedömningar och värderingar införs.
Däremot är inspektionen inställd på att underkasta sådan registrering en
sträng prövning. Bl. a. måste granskningen utmynna i att information av
detta slag inte redigeras eller struktureras på ett sådant sätt att nyanseringar
går förlorade. I detta sammanhang vill inspektionen också erinra om att
kretsen registeransvariga som bör få registrera särskilt känsliga mjukdata
i viss mån begränsas redan genom bestämmelsen i 4 § datalagen.

Vad sedan gäller ett eventuellt förbud mot insamling av information som
inte effektivt kan ifrågasättas av den som informationen gäller om han utbildningsmässigt
eller av annan anledning är ur stånd att effektivt hävda
sina intressen, konstaterar datainspektionen att ett sådant förbud skapar nya
besvärliga avgränsningar samt svårigheter att kontrollera förbudets efterlevnad.
Ett sådant förbud skulle också tvinga fram ett stort antal manuella
register som skulle föras parallellt med dataregistren. Detta skulle kunna
omöjliggöra användningen av datatekniken.

Enligt 10 S datalagen har registrerad rätt att en gång om året på begäran
få del av innehållet i personuppgift som innefattar upplysning om honom.
Datainspektionen kan, då så behövs, genom föreskrift enligt 6 § datalagen
förordna att registrerad oftare får del av sådan information och att det sker
utan särskild begäran av registrerad. Detta ger den registrerade möjlighet
till kontroll av informationen. Saknar han förmåga att själv bedöma den
kan han vända sig till datainspektionen.

Beträffande uppgifter hos myndigheterna är möjligheterna att kontrollera
till vem de lämnas ut begränsade av offentlighetsprincipen. Föreskrift kan
dock ges om till vem information från myndigheterna får lämnas ut på
datamedium liksom beträffande informationsutlämnande i alla former från
privatsektorn i den mån annan lag eller författning ej utgör hinder härför.

I samband med frågorna om mjukdata läggs i motionen vissa synpunkter
på utformningen av de blanketter som myndigheterna använder när de sam -

KU 1974:20

lar in uppgifter från enskilda. Datainspektionen har uppmärksammat denna
fråga och funnit att den kan ses i ett något vidare sammanhang. Det behöver
närmare undersökas vilka de rättsliga grunderna är för befogenheten att
avkräva en medborgare uppgifter om hans personliga förhållanden.

Generella regler i ämnet saknas. Ett visst mönster kan dock iakttas. I
vissa fall har sålunda medborgarna i lag ålagts uppgiftsskyldighet. Det har
skett exempelvis i lagstiftning om folk- och bostadsräkning och i taxeringssammanhang.
Lagstiftning, exempelvis om ingripanden på vårdområdet innehåller
förutsättningar för vissa åtgärder. Dessa förutsättningar innebär utredningsbefogenheter
för myndigheterna, och utredningarna avser just personliga
förhållanden. Eftersom de rättsliga förutsättningarna och utredningsbefogenheterna
är avhängiga av varandra, är det önskvärt att lagstiftaren
redan vid utformningen av förutsättningarna överväger hur långt in i de
personliga förhållandena utredningen bör gå. Under alla förhållanden kan
det hävdas att ingen myndighet utan stöd i lag bör få göra så djupgående
efterforskningar i människors privatliv som verkställande av exempelvis en
socialutredning innebär.

När det gäller de personuppgifter som den enskilde måste lämna om sig
för att få en förmån kan i förstone ett mått av frivillighet synas föreligga.
Ju mer han för sitt uppehälle eller annat viktigt intresse såsom utbildning
eller anställning är beroende av förmånen, desto mer skenbar blir denna
frivillighet i uppgiftslämnandet.

Ytterligare en fråga är i vad mån myndigheternas instruktioner innefattar
befogenheter att avkräva de enskilda olika personuppgifter, något som ofta
kan vara en förutsättning för att myndigheten skall kunna fullgöra sina
arbetsuppgifter. Särskild betydelse härvidlag har inhämtandet av statistik
för olika samhällsändamål. En genomgående princip synes — oavsett den
rättsliga grunden för uppgiftsinsamlandet — böra vara att andra uppgifter
inte samlas in än som behövs för det ifrågavarande ändamålet eller den
berörda myndighetens uppgifter. En viktig, i motionen antydd fråga blir
då hur medborgarna skall få garanti för att dessa principer verkligen beaktas.
Man kommer här in på frågor om vilken information som bör lämnas på
blanketter som skall fyllas i av den enskilde.

I detta sammanhang kan nämnas att i USA krävs tillstånd av ett federalt
organ — the Budget Bureau — för att uppgifter skall få insamlas från enskilda
beträffande deras personliga förhållanden. Innan tillstånd ges granskas även
formulär och blanketter bl. a. för att gallra ut eventuella uppgifter som ej
är nödvändiga för det ändamål som angivits för insamlandet.

Datainspektionen har påbörjat en förberedande undersökning av dessa
frågor men har ännu inte kunnat bilda sig en uppfattning om vilka åtgärder
som är erforderliga.

Även om — som framgår av vad ovan anförts — inga generella grundläggande
regler finns om i vad mån en myndighet äger insamla uppgifter

KU 1974:20

från medborgarna om deras personliga förhållanden, kan datainspektionen
med stöd av datalagen verka för en sanering vad gäller insamlandet av personuppgifter
som skall registreras med hjälp av automatisk databehandling.
För det första skall datainspektionen enligt 5 § datalagen i samband med
tillståndsgivning alltid ge föreskrift om dels ändamålet med registret, dels
vilka personuppgifter som får ingå i detta. I den mån det behövs för att
förebygga risk för otillbörligt intrång i personlig integritet skall datainspektionen
även meddela andra föreskrifter med stöd av 6 § datalagen, bl. a.
föreskrift om inhämtande av uppgifter för personregister. I sin verksamhet
bevakar inspektionen att personregister ej innehåller andra uppgifter än de
som behövs för registrets ändamål. Å andra sidan skall naturligtvis tillses
att uppgifter som är nödvändiga ej utelämnas så att helhetsbilden blir felaktig.
För att registret skall få ett så riktigt innehåll som möjligt med hänsyn
till sitt ändamål kan det i vissa fall finnas skäl för datainspektionen att
även ge föreskrifter om hur blanketter och formulär för insamlande av uppgifter
skall utformas. Sådan föreskrift torde kunna meddelas med stöd av
6 § 1 st. p. 1 datalagen.

10. Data i sjukvården (motion nr 1)

I motionen hemställs i denna fråga att riksdagen beslutar ge Kungl. Maj:t
till känna vad som i motionen anförts om data i sjukvården.

Datainspektionen anser i likhet med motionärerna att stor vikt måste
fästas vid att datasystem som används i sjukvården har hög tillförlitlighet
och ger betryggande skydd mot otillbörlig åtkomst av data. Datalagen ger
inspektionen alla de formella kontrollbefogenheter som f. n. behövs på detta
område.

Sjukvårdens och socialvårdens planerings- och rationaliseringsinstitut
(Spri) har under två år i ett särskilt projekt inom en arbetsgrupp med expertis
från socialstyrelsen och landsting studerat integritetsskyddsfrågorna, speciellt
från etiska,juridiska, medicinska, organisatoriska och funktionella synpunkter.
Projektet har resulterat i en omfattande rapport daterad 1974-02-07, som
datainspektionen erhållit för yttrande. Arbetsgruppen har utförligt behandlat
de frågor som aktualiseras i motionen.

Vid sidan härom samarbetar datainspektionen med Spri och vissa landsting
i frågor som rör integritetsskydd och säkerhet vid databehandling inom sjukvårdsområdet.

Datainspektionen är således inriktad på att i sin verksamhet tillvarata de
intressen som motionärerna här pekat på.

11. Datainspektionens initiativverksamhet (motion nr 918)

I motionen uttalas på denna punkt viss oro för att datainspektionen inte
kommer att utöva direkt uppsökande verksamhet som ett led i sin tillsyn.

KU 1974:20

Oron synes grundad på det i årets statsverksproposition (bilaga 4 s. 16—17)
lämnade korta referatet av inspektionens anslagsframställning.

Initiativverksamheten bedrivs på följande sätt. Kännedom om befintliga
register vinns genom de anmälningar och tillståndsansökningar som ges in
till datainspektionen. I inledningsskedet kombineras tillståndsprövning och
tillsyn, varvid vid behov inspektion sker i tillståndsärendet. Den nämnda
prövningen ger kunskap om vilka personregister som kan antas medföra
integritetsrisker. Emellertid kommer inspektionen, som framhålls i anslagsframställningen,
att genom särskilt avdelade tjänstemän fortlöpande följa
verksamheten inom de stora och integritetskänsliga personregistersystemen.
Resurserna medger däremot inte att ”ett ständigt öga” hålls på alla register.
Detta synes ej heller vara nödvändigt eftersom det redan står klart att en
förhållandevis stor mängd personregister, bl. a. av typen reskontra och medlemsregister,
inte innebär någon risk för integritetsintrång. Resurserna bör
i stället koncentreras på de register där integritetsrisker kan förutses. 1 dessa
fall kommer inspektionen också att ta nödvändiga initiativ i form av inspektioner.
Inspektionen biträder givetvis motionärernas uppfattning att ingripande
bör ske innan allvarlig skada har uppstått. Det är svårt att nu bedöma
om den avvägning som sålunda hittills har kunnat göras mellan risker och
tillsynskostnader motsvaras av inspektionens nuvarande resurser. Inspektionen,
som fortlöpande bevakar frågan, vill inte utesluta möjligheten av
ökat resursbehov i framtiden.

12. Decentraliseringsfiågor (motion nr 918)

Datainspektionen vill i detta sammanhang hänvisa till en av Datasamordningskommittén
(DASK) utarbetad rapport ”Olika systemstrukturer”,daterad
januari 1974. Rapporten är en redovisning av en förstudie som ingår
i ett av DASK:s utredningsområden, nämligen ”Den tekniska och organisatoriska
utformningen av ADB-verksamheten” (DASK:s verksamhetsrapport
Ds Fi 1973:10). De synpunkter datainspektionen anför i det följande
är närmare diskuterade i rapporten.

Datainspektionen utgår från att motionärerna med begreppet ”dataregistrering”
avser registerföring och bearbetning av data. Dataregistreringen
som sådan, dvs. i betydelsen överföring av data till maskinläsbart medium,
sker redan i dag i stor utsträckning hos lokala och regionala enheter.

Vid behandling av frågan om decentralisering i samband med databehandling
är det av betydelse att göra skillnad mellan å ena sidan decentralisering
av handläggnings- och beslutsfunktionerna inom förvaltningen
och å andra sidan decentralisering av datorkraften, dvs. bearbetnings- och
kanske främst registerkapaciteten.

Möjligheterna till decentralisering av handläggnings- och beslutsfunktioner
är i hög grad en fråga om att göra erforderlig information tillgänglig
på regional och lokal nivå. Genom kombinationen dataregister/databehand -

KU 1974:20

ling och datakommunikation erbjuds i dag helt nya möjligheter till sådan
decentralisering. Genom införandet av ett sådant allmänt datanät som omnämnts
i avsnittet om datakommunikationer elimineras i princip alla tekniska
begränsningar av möjligheterna till regional och lokal tillgång till den samlade
informationsmängden hos de system och register som är anslutna till detta
nät. Den geografiska lokaliseringen av registren är således från dessa synpunkter
ointressant.

Vad så avser decentraliseringen av datorkraften och då främst registerföringen
av persondata har denna fråga utförligt behandlats i olika sammanhang
i samband med DASK:s arbete. En tänkbar väg har ansetts vara
att bryta upp de centrala registren och till en dator i varje region förlägga
de delar av registren som avser respektive region. På en regionaldator skulle
således kunna sammanföras den del av skatteregistren som avser regionens
invånare, den del av fastighetsregistren som berör regionens fastighetsbestånd,
etc. Från integritetssynpunkt bedömer datainspektionen en sådan
lösning ej vara att föredra framför en mera centraliserad struktur. I DASK:s
rapport anförs bl. a. följande.

I de nuvarande ADB-svstemen — med vissa undantag som t. ex. systemet
för folkbokföring och beskattning — är i allmänhet lagringen och
bearbetningen av data centraliserad till en egen anläggning eller förlagd till
en databehandlingsenhet dit ett mindre antal system är förlagda. Dessa system
innehåller data för hela landet. Data i systemen är i regel relativt begränsade
till sin ”bredd” dvs. de avser bara vissa förhållanden som t. ex.
skatt eller bil- och körkortsinnehav, men de kan i vissa fall ha relativt stort
”djup”.

En förändring i form av en likformig regionalisering av flertalet eller de
viktigaste ADB-systemen till gemensamma regionala databehandlingsorgan
innebär att det geografiska området och följaktligen antalet enheter av varje
informationsobjekt blir mindre. Data om varje sådant objekt blir i gengäld
betydligt mer omfattande. En sådan lösning bör från integritetssynpunkt
vara en försämring i förhållande till en struktur liknande den nuvarande
med i huvudsak centraliserade system. Farhågorna från integritetsskvddssynpunkt
har främst gällt koncentration av data om fysisk person.

En annan väg att decentralisera skulle innebära att för hela riket centraliserade
ADB-register avseende olika system förläggs till olika platser i
landet, dvs. vad som av DASK kallas regionalisering. Så har redan skett
t. ex. med centrala bil- och körkortsregistren som förlagts till Örebro, riksförsäkringsverkets
centrala system som förlagts till Sundsvall. En sådan regionalisering
saknar självfallet betydelse från integritetssynpunkt.

13. Samköming (motion 918)

I motionen hemställs i denna fråga att riksdagen hos Kungl. Maj:t begär
att åtgärder vidtas i syfte att ytterligare öka integritetsskvddet vid upprättande
och användande av personregister på data.

I motionen anförs att det är viktigt att datainspektionen redan i dag visar
stor restriktivitet när det gäller samköming av register. Två register behöver

KU 1974:20

var för sig inte te sig särskilt besvärande för den enskilde medan däremot
en samköming kan ge en mycket närgången bild av en enskild människas
personliga förhållanden.

Datainspektionen vitsordar att en sammanslagning av två register kan
ge en ackumulerad effekt beträffande informationens djup. Begreppet samköming
har emellertid både i den allmänna debatten och i förarbetena till
datalagen fått en i förhållande till lagens utformning något missledande innebörd.
Såsom datalagen utformats krävs datainspektionens prövning av
varje personregister. För den händelse ett sådant personregister skall samköras
med ett annat dataregister, vare sig detta är ett personregister eller ej, kommer
ett nytt personregister att upprättas. Sammanslagningen kan alltid förutsättas
innebära en sådan utvidgning av det ena eller båda personregistren att det
sammanslagna registret ej längre faller inom ramen för meddelat tillstånd.
En sådan samköming förutsätter således en ny prövning av inspektionen.

14. Regional ansvarsnämnd (motion nr 918)

Det framgår inte helt klart om den i motionen föreslagna ansvarsnämnden
förutsätter en införd ordning med helt regionaliserad datahantering. Oavsett
detta synes förslaget gå ut på en datainspektion i varje region, sammansatt
efter samma grunder som datainspektionen. Vad som i detta sammanhang
anförs om indata torde bygga på ett missförstånd. Samhällets kontroll enligt
datalagen innefattar även vilken information som går in i ett datasystem,
och datainspektionen fäster i sina föreskrifter stor vikt härvid. Att därutöver
tänka sig regionala beslut gentemot varje registeransvarig i frågor som lösts
genom datainspektionens tillståndsbeslut och föreskrifter förefaller organisatioriskt
mindre lämpligt och knappast ägnat att öka den enskildes trygghet
i dessa svåra frågor där viss enhetlighet måste sägas vara ett rättssäkerhetsintresse.

15. Datainspektionens resursbehov (motion nr 918)

1 sin anslagsframställning för budgetåret 1974/75 uppskattade datainspektionen
på grundval av en av OSK genomförd enkät antalet tillståndspliktiga
personregister till ca 5 000. Inspektionens uppfattning var att det för tillståndsprövningen
av dessa register förelåg två realistiska alternativ, nämligen
att den ingående balansen avarbetas under två budgetår, dvs. till den 1
juli 1976, eller under tre år, dvs. till den 1 juli 1977. Inspektionen grundade
anslagsberäkningen på alternativet två år.

Uppgiften om antalet befintliga personregister var vid denna tidpunkt
och är fortfarande mycket osäker. Mycket tyder dock på att antalet tillståndspliktiga
personregister är väsentligt större. Enligt datalagen och övergångsbestämmelserna
till denna skall ansökan om tillstånd för innehav av
personregister lämnas senast den 31 december 1974. Inspektionen bedömer

KU 1974:20

det som troligt att ansökningarna för flertalet personregister kommer att
komma in under senhösten 1974. Först när ansökningstiden utgått kan en
riktig antalsuppgift beträffande befintliga personregister erhållas.

Avgörande för resursbehovet är också registrens omfattning och innehåll.
En stor del av registren torde vara tämligen ofarliga i integritetshänseende.
För att möjliggöra ett förenklat ansökningsförfarande och enklare handläggning
av en del av dessa register har Kungl. Maj:t på framställning av inspektionen
vidtagit en ändring av 2 § datakungörelsen (1974:30). Inspektionen
har vidare för avsikt att prioritera handläggningen av register innehållande
i integritetshänseende känslig information.

Departementschefen har i 1974 års statsverksproposition (Bilaga 4 s. 17)
inte tagit ställning till avarbetningstidens längd. Under hänvisning till den
bristande möjligheten att med någon nämnvärd grad av säkerhet bedöma
inspektionens behov av resurser under budgetåret 1974/75 föreslås i propositionen
att inspektionen av den begärda medelsökningen 1 229 000 kr.
anvisas 776 000 kr.

Om inspektionen erhåller den resterande delen av de för 1974/75 begärda
medlen budgetåret 1975/76 torde, under förutsättning att antalet register
inte väsentligt överstiger det uppskattade antalet och det förenklade ansökningsförfarandet
leder till planerad förenkling av handläggningen, tiden
för avarbetning av den ingående balansen kunna uppskattas till mellan två
och tre år.

Som framgår av detta remissyttrande innefattar datainspektionens verksamhet,
förutom tillstånds- och tillsynsärenden, en mängd utredningsuppgifter,
som fullgörs av inspektionen ensam eller i samråd med andra; härtill
kommer de nödvändiga utländska kontakterna. Möjligheterna för inspektionen
att fullgöra dessa och andra angelägna uppgifter är självfallet beroende
av att erforderliga resurser ställs till förfogande. Också här är det emellertid
ännu något för tidigt för en någorlunda säker bedömning. Skulle det visa
sig att avarbetningstiden tenderar att bli oacceptabelt lång eller att övriga
uppgifter inte kan fullgöras inom ramen för anvisade medel, kommer inspektionen
givetvis att hos Kungl. Maj:t föreslå erforderliga åtgärder.

16. Försäljning av personregister (motion nr ! 181)

I motionen hemställs att riksdagen hos Kungl. Maj:t begär översyn och
förslag till sådan ändring i datalagen att försäljning av personregister för
kommersiellt bruk omöjliggörs.

Datainspektionen erinrar till en början om att företagens möjligheter att
köpa person- och adressregister, som finns hos myndigheter, är en följd
av offentlighetsprincipen. Den i 2 kap. 8 i? tryckfrihetsförordningen stadgade
rättigheten för envar att mot fastställd avgift erhålla avskrift av allmänna
handlingar är beträffande handling, som ej skall hållas hemlig, i princip
obegränsad. Av sekretesslagen (1937:249) framgår vilka handlingar och upp -

KU 1974:20

gifter som skall hållas hemliga hos olika myndigheter. Sekretessbestämmelser
får endast meddelas för de ändamål som anges i 2 kap. 1 § tryckfrihetsförordningen.

Med handlingjämställs numera upptagning förautomatisk databehandling
och myndigheter är skyldiga att lämna ut en utskrift — men ej kopia av
själva datamediet, t. ex. ett magnetband — av sådan upptagning i den mån
den är allmän och offentlig. Detta innebär att t. ex. länsstyrelserna är skyldiga
enligt tryckfrihetsförordningen att på begäran utlämna person- och adressuppgifter
från sina med hjälp av ADB förda personband. Någon skyldighet
att utföra bearbetningar på begäran finns dock inte annat än om program
redan finns utarbetat hos myndigheten som täcker den begärda bearbetningen.
Att göra vissa smärre justeringar av befintliga program kan — enligt
en nyligen av regeringsrätten meddelad dom — även åligga en myndighet
för att offentlighetsprincipen skall anses tillgodosedd.

I vissa situationer torde 13 § sekretesslagen kunna åberopas som hinder
mot utlämnande av person- och adressuppgifter för reklamändamål. 13 §
lyder:

Anteckningar i kyrkoböcker, folkregister och mantalsböcker ävensom
handlingar, vilka eljest röra kyrko- eller folkbokföringen, själavården eller
kyrkotukten, må, i den mån de innehålla upplysning om enskilds personliga
förhållanden, icke utan hans samtycke till annan utlämnas förrän sjuttio
år förflutit från anteckningens eller handlingens datum, såvida icke, med
hänsyn till det ändamål för vilket utlämnande åstundas och omständigheterna
i övrigt trygghet kan anses vara för handen, att det ej kommer
att missbrukas till skada eller förklenande för den enskilde som avses eller
för hans nära anhöriga. Vid utlämnande böra erforderliga förbehåll göras.

I förarbetena till datalagen (prop. 1973:33 s. 95) har kritiken från olika
håll mot selektiv direktreklam diskuterats. Såväl offentlighets- och sekretesslagstiftningskommittén
(OSK) som departementschefen konstaterade att
kritiken till stor del torde har riktat sig mot direktreklamens innehåll, något
som faller utanför den egentliga frågan om integritetsintrång. Departementschefen
framhöll att i denna del måste ingripanden mot reklamen ske inom
ramen för lagstiftningen om otillbörlig marknadsföring.

Departementschefen konstaterade dock, liksom OSK och konsumentombudsmannen,
att viss form av direktreklam även kan utgöra otillbörligt intrång
i den personliga integriteten. Som exempel nämndes det fallet att
reklam sänds ut till en grupp som bestämts med ledning av en eller flera
mycket personspecifika uppgifter.

Beträffande privata register, vilkas ändamål är försäljning av uppgifter
för selektiv direktreklam eller direkt användning för sådan reklam, kan datainspektionen
i samband med tillståndsgivning ge sådana föreskrifter att
den personliga integriteten skyddas. Inom ramen för inspektionens tillsynsverksamhet
kan även ingripanden ske. Beträffande myndigheternas register
kan däremot datainspektionen inte ge några föreskrifter rörande utlämnande

KU 1974:20

av personuppgift som inskränker myndighets skyldighet enligt tryckfrihetsförordningen.
De myndigheter som här främst torde anlitas för utlämning
av personuppgiften kan emellertid, när integritetsintrång befaras i samband
med direktreklam, åberopa 13 § sekretesslagen som stöd för vägran att lämna
ut begärda uppgifter.

Sammanfattningsvis gäller alltså, att sådan ändring i datalagen som skulle
omöjliggöra försäljning av personregister för kommersiellt bruk ej går att
genomföra mot den i tryckfrihetsförordningen stadgade offentlighetsprincipen
i fråga om myndigheternas register, att den kritik som riktats mot
den selektiva direktreklamen oftast inte rört integritetsfrågor utan marknadsföri
ngsfrågor samt att — i de fall selektiv direktreklam kan anses utgöra
otillbörligt intrång i den personliga integriteten — datalagen och 13 §
sekretesslagen ger möjligheter till tillfredsställande skydd mot sådana intrång.

Detta yttrande har beslutats av datainspektionens styrelse. I styrelsens
sammanträde deltog generaldirektören C. G. Källner, ordförande, ledamöterna
Lennart Pettersson, Torkel Stern, Aina Westin, P. G. Vinge samt suppleanten
Olle Nilsson.

Skiljaktig mening beträffande punkt 1 se bilaga.

C. G. Källner

Underbilaga

Nilsson reserverar sig beträffande punkten 1 (dataombudsman) och anför:
Jag kan för min del ej ansluta mig till skrivningen på sidan 2 andra stycket
sista punkten ”en sådan förändring... utgör”, på sidan 3 första stycket
”Att för riksdagens .. . överorganisation”, och på sidan 3 sista stycket
”Såvitt datainspektionen ... verksamheten.”, som bör utgå'. Jag vill i stället
instämma i den mening som uttryckts av tidningsgivareföreningen, publicistklubben
och TT i remissvar vid behandlingen av datalagen att en dataombudsman
i likhet med JO bör utnämnas av riksdagen.

1 De i reservationen angivna delarna av datainspektionens yttrande återfinns ovan
på s. 26 och 27.

GOTAB 74 73% S Stockholm 1974