Till innehåll på sidan

Ett förstärkt skydd för personuppgifter på tryck- och yttrandefrihetsområdet

Kommittédirektiv 2023:145

Kommittédirektiv

Kommittédirektiv är riktlinjer för de utredningar, eller kommittéer, som regeringen tillsätter.

Ett förstärkt skydd för personuppgifter på tryck- och yttrandefrihetsområdet

Innehåll

Beslut vid regeringssammanträde den 19 oktober 2023

Sammanfattning

En särskild utredare ska se över grundlagsskyddet för söktjänster som offentliggör personuppgifter om lagöverträdelser och söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden. Syftet med uppdraget är att stärka skyddet för den personliga integriteten när personuppgifter offentliggörs i sådana söktjänster.

Utredaren ska

. analysera och ta ställning till om det finns behov av att inskränka grundlagsskyddet för söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt för söktjänster som offentliggör personuppgifter om lagöverträdelser,

. ingående redovisa de ändringar i grundlag och, vid behov, i vanlig lag som skulle kunna göras för att stärka skyddet för personuppgifter i sådana söktjänster samt konsekvenserna av varje författningsändring,

. lämna de förslag på författningsändringar som utredaren bedömer motiverade för att stärka skyddet för den personliga integriteten när personuppgifter offentliggörs i sådana söktjänster, och

. redogöra för de regler som kommer att gälla för söktjänsterna för det fall utredaren bedömer att delegationsbestämmelser bör införas i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Utredaren ska biträdas av en parlamentariskt sammansatt referensgrupp.

Uppdraget ska redovisas senast den 15 november 2024.

Skyddet för privatlivet och skyddet för personuppgifter enligt Europakonventionen och EU-rätten

Rätten till respekt för privat- och familjelivet slås fast i artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Av artikeln följer att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Vidare framgår att det allmänna får ingripa i rättigheten bara om det är förenligt med lag och nödvändigt i ett demokratiskt samhälle och ingripandet sker för att tillgodose vissa närmare uppräknade ändamål, däribland skyddet av andras fri- och rättigheter. Av Europadomstolens praxis följer att konventionsstaterna också har en positiv förpliktelse att värna enskildas intresse av respekt för privat- och familjelivet i förhållande till andra enskilda. Det innebär att en stat i viss utsträckning kan vara skyldig att t.ex. införa straffrättslig reglering för att motverka olika former av fridskränkningar och ett skydd mot t.ex. förtal. När det gäller hur rätten till respekt för privatlivet ska vägas mot t.ex. rätten till yttrande- och informationsfrihet, har Europadomstolen flera gånger uttalat att dessa båda rättigheter förtjänar samma respekt och att en avvägning mellan dem måste göras i varje enskilt fall (se bl.a. dom den 24 juni 2004 i målet von Hannover mot Tyskland och dom den 7 februari 2012 i målet von Hannover mot Tyskland samt dom den 27 juni 2017 i målet Satakunnan Markkinapörssi Oy och Satamedia Oy mot Finland).

Även på EU-rättens område finns bestämmelser som innebär att enskildas rätt till respekt för sitt privatliv ska säkerställas. Europeiska unionens stadga om de grundläggande rättigheterna innehåller bestämmelser både om rätten till respekt för privat- och familjelivet och om skydd för personuppgifter (artiklarna 7 och 8). Genom stadgan slås också rätten till yttrande- och informationsfrihet fast (artikel 11). När rättigheter enligt stadgan har en motsvarighet i Europakonventionen ska de ges samma innebörd och räckvidd som enligt konventionen (artikel 52.3). Av artikel 7 framgår, i likhet med vad som följer av Europakonventionen, att var och en har rätt till respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 framgår att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Av bestämmelsen följer vidare bl.a. att personuppgifter måste behandlas lagenligt och för ett bestämt ändamål, att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne samt att få felaktiga uppgifter rättade. En oberoende myndighet ska också kunna kontrollera att dessa regler följs. I likhet med vad som gäller enligt Europakonventionen anses rätten till skydd för privatlivet, inklusive skydd för personuppgifter, och rätten till yttrande- och informationsfrihet vara två likvärdiga rättigheter. Ingen av dem anses väga tyngre än den andra och en eventuell konflikt dem emellan måste lösas genom en avvägning i varje enskilt fall (se EU-domstolens avgöranden i målen Google Spain, C-131/12 och Satakunnan Markkinapörssi Oy och Satamedia Oy, C-73/07).

Mer detaljerade regler om de närmare villkoren för behandlingen av personuppgifter inom EU finns bl.a. i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen syftar dels till att skapa förutsättningar för ett fritt flöde av personuppgifter inom EU, dels till att skydda fysiska personers rätt till skydd av personuppgifter. I Sverige kompletteras förordningen av bl.a. lagen (2018:218) om kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen.

Med personuppgifter avses alla upplysningar som direkt eller indirekt kan hänföras till en levande fysisk person. Namn och personnummer är typiska exempel på personuppgifter. Men även en uppgift om t.ex. fysiska kännetecken och liknande kan vara en personuppgift, om uppgiften kan användas för att identifiera en viss person. Med behandling av personuppgifter avses i princip all hantering av personuppgifter.

Dataskyddsförordningen ger de registrerade - dvs. de personer vars personuppgifter behandlas - ett antal rättigheter, bl.a. en rätt att få information om hur personuppgifterna behandlas, att få felaktiga uppgifter rättade samt att i vissa fall få personuppgifter raderade ("rätten att bli bortglömd"). Den registrerade har också enligt förordningen en rätt till ersättning för skada från den personuppgiftsansvarige, dvs. från den som bestämmer ändamålen och medlen för behandlingen av personuppgifterna. Särskilda krav gäller enligt förordningen för att behandling av s.k. känsliga personuppgifter och personuppgifter som rör lagöverträdelser ska vara tillåten. De sistnämnda får enligt förordningen i princip endast behandlas under kontroll av en myndighet.

Tillsynsmyndigheterna - i Sverige Integritetsskyddsmyndigheten - har till uppgift att övervaka att dataskyddsförordningens bestämmelser följs och att bidra till en enhetlig tillämpning av förordningen inom unionen. I tillsynsmyndighetens uppdrag ligger bl.a. att behandla klagomål från enskilda. Myndigheten kan då förelägga den personuppgiftsansvarige att tillmötesgå de registrerades begäran att få utöva sina rättigheter enligt förordningen. Myndigheten kan också, när förordningens bestämmelser överträds, utfärda varningar eller reprimander, meddela beslut om förelägganden att vidta rättelse eller påföra den personuppgiftsansvarige administrativa sanktionsavgifter.

Dataskyddsförordningen förutsätter att medlemsstaterna gör undantag från förordningens bestämmelser med hänsyn till intresset av yttrande- och informationsfrihet. Detta uttrycks i förordningens artikel 85 som att medlemsstaterna ska förena rätten till integritet med yttrande- och informationsfriheten, inbegripet sådan behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Sådana bestämmelser har förts in i dataskyddslagen. Enligt 1 kap. 7 § första stycket dataskyddslagen ska dataskyddsförordningen och dataskyddslagen inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Av andra stycket följer vidare att stora delar av dataskyddsförordningen och dataskyddslagen inte heller ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande vid offentliggöranden som inte omfattas av mediegrundlagarna.

Skyddet för personuppgifter i söktjänster som omfattas av mediegrundlagarnas skydd

Yttrandefrihetsgrundlagens skydd för publiceringar på internet

Publiceringar på internet faller enligt huvudregeln utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområden, vilket innebär att grundlagsskyddet i stället finns i regeringsformen. Från denna huvudregel görs det undantag genom bl.a. den s.k. databasregeln i 1 kap. 4 § yttrandefrihetsgrundlagen.

Databasregeln ger under vissa närmare angivna förutsättningar grundlagsskydd för yttranden som sker genom tillhandahållanden till allmänheten ur databaser. Det som typiskt sett avses är tillhandahållanden av lagrad information från webbplatser på begäran. För vissa aktörer -redaktioner för periodiska skrifter och redaktioner för program - gäller grundlagsskyddet automatiskt, dvs. utan att någon särskild åtgärd behöver vidtas. Även massmedieföretag, t.ex. bokförlag som ger ut tryckta böcker och skivbolag som ger ut tekniska upptagningar, och nyhetsbyråer har automatiskt grundlagsskydd för sina webbsidor. Andra aktörer har möjlighet att hos Myndigheten för press, radio och tv ansöka om ett utgivningsbevis och på så sätt få ett frivilligt grundlagsskydd.

Möjligheten till grundlagsskydd genom utgivningsbevis infördes 2003 som en anpassning till den tekniska utvecklingen och till förhållandet att alltmer nyhetsförmedling, opinionsbildning och upplysning bedrivs av andra aktörer än traditionella massmedieföretag. Tanken var alltså främst att skydda nya former av massmedial verksamhet.

Kraven för att få ett utgivningsbevis framgår av 1 kap. 5 § yttrandefrihetsgrundlagen. Kraven är av formell karaktär. Vid en ansökan om utgivningsbevis görs det inte någon prövning av verksamhetens syfte eller databasens förväntade eller faktiska innehåll. Det går alltså att få grundlagsskydd även för databaser som inte har någon massmedial karaktär.

Lagstiftarens farhågor vid införandet av det frivilliga grundlagsskyddet och efterföljande utredningar

När möjligheten till frivilligt grundlagsskydd genom utgivningsbevis infördes uttalade konstitutionsutskottet att konflikter skulle kunna uppstå med de bestämmelser som finns i syfte att skydda den personliga integriteten (bet. 2001/02:KU21 s. 32). Utskottet pekade särskilt på att grundlagsskyddet i värsta fall skulle kunna komma att omfatta webbsidor som är rena personregister. Efter utskottets förslag beslutade riksdagen att tillkännage för regeringen att den skulle ytterligare analysera eller låta analysera huruvida det frivilliga grundlagsskyddet kunde komma i konflikt med bestämmelser som syftar till att skydda den personliga integriteten (bet. 2001/02:KU21 punkt 3 och rskr. 2001/02:233).

Frågan om det frivilliga grundlagsskyddet och riskerna för konflikter med skyddet för den personliga integriteten behandlades inledningsvis av den parlamentariskt sammansatta Yttrandefrihetskommittén (Ju 2003:04). Kommittén lämnade dock inte några förslag till förändringar (SOU 2009:14 s. 65-114 och SOU 2012:55 Del 1 s. 429-440).

Den parlamentariskt sammansatta Mediegrundlagskommittén (Ju 2014:17) fick därefter i uppdrag att analysera frågan på nytt. Kommittén konstaterade i fråga om webbsidor med utgivningsbevis att verksamheterna i allt väsentligt bedrivs på ett seriöst och ansvarsfullt sätt men att det finns ett antal webbsidor som avser rena söktjänster och som tillhandahåller integritetskänsliga personuppgifter. Kommittén ansåg att starka skäl talade för en inskränkning av grundlagsskyddet för vissa typer av söktjänster och lämnade också förslag på delegationsbestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen som skulle möjliggöra en sådan inskränkning (SOU 2016:58 s. 391-406).

I propositionen Ändrade mediegrundlagar (prop. 2017/18:49) gjorde regeringen, i likhet med Mediegrundlagskommittén, bedömningen att integritetshänsyn motiverade en begränsning av grundlagsskyddet för vissa söktjänster och föreslog bestämmelser i de båda mediegrundlagarna som skulle göra det möjligt att i vanlig lag, under vissa förutsättningar, förbjuda offentliggöranden av personuppgifter av särskilt integritetskänslig karaktär. Utöver uppgifter om att en enskild har gjort sig skyldig till lagöverträdelser, föreslogs delegationsbestämmelserna omfatta känsliga personuppgifter om bl.a. hälsa, sexualliv, sexuell läggning och politiska åsikter. Bestämmelserna skulle enligt förslaget kunna tillämpas endast om personuppgifterna var sök- eller sammanställningsbara och om offentliggörandet gjordes på sådant sätt att det innebar särskilda risker för otillbörliga intrång i enskildas personliga integritet (prop. 2017/18:49 s. 144-154).

Under riksdagsbehandlingen av propositionen ställde sig konstitutionsutskottet i stort bakom regeringens förslag. Utskottet konstaterade dock att det i fråga om förslaget att inskränka grundlagsskyddet för söktjänster som offentliggör personuppgifter om lagöverträdelser saknades ett brett samförstånd bland riksdagspartierna. Utskottet vände sig bl.a. mot att regeringens förslag innebar att den tilltänkta användarkretsen av en söktjänst skulle påverka grundlagsskyddets omfattning. Utskottet menade att avgränsningen i stället borde utgå från syftet med offentliggörandet och vilken typ av uppgifter som tillhandahölls och föreslog att riksdagen skulle tillkännage för regeringen att den på nytt skulle utreda frågan om att begränsa grundlagsskyddet för sådana söktjänster (bet. 2017/18:KU16 punkt 2c och s. 39-42). Riksdagen beslutade i enlighet med utskottets förslag (rskr. 2017/18:336). Förslaget genomfördes således inte i den del det avsåg söktjänster som offentliggör personuppgifter om lagöverträdelser. Övriga delar av förslaget antogs dock. De nya bestämmelserna trädde i kraft den 1 januari 2019.

I juni 2019 fick en ny parlamentarisk kommitté, 2018 års tryck- och yttrandefrihetskommitté (Ju 2018:01), genom tilläggsdirektiv i uppdrag att på nytt överväga en begränsning av grundlagsskyddet för söktjänster som offentliggör uppgifter om lagöverträdelser. Kommittén ansåg att en begränsning av grundlagsskyddet var motiverad och föreslog därför delegationsbestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen som skulle möjliggöra en tillämpning av dataskyddsregleringen på sådana söktjänster. Regeringen instämde i kommitténs bedömning och lade fram ett förslag som låg i linje med det förslag som presenterats av kommittén (prop. 2021/22:59). Förslaget accepterades dock inte av riksdagen då det även denna gång saknades ett tillräckligt brett stöd bland riksdagspartierna för förslaget. Till huvudsaklig grund för sitt ställningstagande lyfte konstitutionsutskottet fram de synpunkter som förts fram av vissa remissinstanser om att bestämmelserna var för vaga eller svårtolkade för att skapa en förutsebar begränsning av grundlagsskyddet. Enligt utskottet skapade de föreslagna bestämmelserna en alltför bred och oprecis möjlighet att göra inskränkningar i grundlagsskyddet genom vanlig lag (bet. 2021/22:KU14 s. 30).

Sedan den 1 januari 2019 är det alltså t.ex. möjligt för Integritetsskyddsmyndigheten att med stöd av delegationsbestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen ingripa mot söktjänster som offentliggör känsliga personuppgifter, se Kammarrätten i Stockholms dom den 22 juni 2023 i mål nr 1128-23. (Domen är överklagad till Högsta förvaltningsdomstolen, mål nr 4588-23.) Myndigheten är dock förhindrad att ingripa mot söktjänster som offentliggör andra typer av personuppgifter och som med stöd av ett utgivningsbevis eller på annan grund omfattas av mediegrundlagarnas skydd.

Uppdraget att göra en översyn av reglerna om söktjänsters grundlagsskydd

Syftet med det frivilliga grundlagsskyddet genom utgivningsbevis var att sträcka ut grundlagsskyddet till nya former av massmedial kommunikation och att möjliggöra för andra aktörer än traditionella massmedieföretag att verka under yttrandefrihetsgrundlagens skydd.

Samtidigt som den tekniska och mediala utvecklingen medför behov av att sträcka ut grundlagsskyddet till nya kommunikationstekniker kan den också föra med sig företeelser för vilka grundlagsskydd varken framstår som önskvärt eller lämpligt. Nya överväganden behöver därför göras, när det gäller såväl vad som bör ges grundlagsskydd som vad som bör falla utanför. Att den typen av överväganden görs är en viktig del av värnandet av en livskraftig tryck- och yttrandefrihetsreglering. Alternativet, att låta företeelser som ligger långt från kärnan för vad mediegrundlagarna är tänkta att skydda omfattas av grundlagsskydd, riskerar att underminera acceptansen och respekten för det särskilda tryck- och yttrandefrihetsrättsliga systemet. Söktjänster som utan urskillning offentliggör enskildas personuppgifter är ett exempel på en företeelse som kräver överväganden av det slaget.

Det finns i dag ett antal söktjänster som utan urskillning offentliggör enskildas personuppgifter. Gemensamt för alla söktjänster är att de offentliggör en stor mängd personlig information om enskilda. Vem som helst kan ta del av informationen, ofta kostnadsfritt, med en enkel sökning. Informationen inhämtas i regel från olika myndigheter med stöd av offentlighetsprincipen.

Vilken slags personlig information som tillhandahålls av en söktjänst varierar men det finns ett antal söktjänster som tillhandahåller uppgifter om bl.a. adress, ålder, telefonnummer, bostadens och hushållets storlek, bolagsengagemang samt fordonsinnehav. Åtminstone en söktjänst har även en s.k. följfunktion. Den som använder funktionen får då kostnadsfritt en avisering när personen man följer till exempel byter namn, ändrar civilstånd, byter adress eller får ett nytt telefonnummer. Även om varje enskild uppgift i sig inte är integritetskränkande kan mängden personlig information som offentliggörs upplevas som påträngande.

Det finns anledning att se över grundlagsskyddet för rena söktjänster som offentliggör denna typ av personuppgifter. Att en stor mängd personlig information på detta sätt sprids kan skapa en oro hos enskilda för hur uppgifter om deras personliga förhållanden behandlas. Informationen kan också användas av kriminella för att välja ut och kartlägga brottsoffer som på grund av ålder eller annan omständighet är särskilt sårbara för vissa typer av brott, t.ex. rån och bedrägeri, eller för planering av tillgreppsbrott som sker i organiserade former och riktas in mot t.ex. exklusiva fordon. Det kan tilläggas att bedrägerier riktade mot t.ex. äldre också har ökat i omfattning, en ökning som skett i takt med att betaltjänster i allt högre grad utförs digitalt. Informationen som är tillgänglig genom söktjänsterna kan vidare användas för att kartlägga offentliganställda för att sedan genom hot eller på annat sätt försöka påverka de beslut som de fattar i tjänsten. Den utsatthet som offentliganställda upplever kan innebära stora problem ur de enskildas synvinkel men i ett bredare perspektiv på sikt även få negativa verkningar när det gäller allmänhetens förtroende för myndighetsutövningen i stort.

Det finns vidare ett antal söktjänster som huvudsakligen är inriktade på att tillhandahålla uppgifter om enskildas lagöverträdelser. Brottmålsdomarna tillhandahålls i regel mot betalning och utan att personuppgifter anonymiseras. Offentliggörandet ger många gånger upphov till påtaglig integritetsskada för de individer som förekommer i söktjänsterna. Det kan också försvåra för dömda personer att bryta en kriminell livsstil och återgå till ett hederligt levnadssätt. Det har ifrågasatts om den nuvarande regleringen vad gäller dessa söktjänster ger ett tillräckligt skydd mot integritetskränkningar på det sätt som både Europakonventionen och EU-rätten kräver.

Sammantaget finns ett behov av att utreda om den nuvarande regleringen ger ett tillräckligt skydd mot integritetskränkningar på det sätt som både Europakonventionen och EU-rätten kräver. Ett inskränkt grundlagsskydd för ovannämnda söktjänster bör därför övervägas. Det kan i sammanhanget noteras att Sveriges genomförande av dataskyddsförordningen på bl.a. tryck- och yttrandefrihetsområdet ifrågasätts av Europeiska kommissionen. Kommissionen lyfter bl.a. fram vikten av att - i ljuset av EU-domstolens praxis - balansera och förena rätten till informations- och yttrandefrihet med den i stadgan jämställda rätten till integritetsskydd och uttrycker tvivel i fråga om Sverige har åstadkommit en riktig balans genom det företräde som mediegrundlagarna ges framför dataskyddsförordningen (Ju2019/01709).

Tidigare förslag att begränsa grundlagsskyddet för söktjänster som offentliggör uppgifter om enskildas brottlighet har inte accepterats av riksdagen bl.a. med hänvisning till att delegationsbestämmelserna inte varit utformade på ett ändamålsenligt sätt. Ett alternativ kan därför vara att direkt i grundlag reglera vilka begränsningar som kan göras i vanlig lag för rena söktjänster. För det fall att nya delegationsbestämmelser övervägs är det viktigt att bestämmelserna är tydliga och skapar en förutsebar begränsning av grundlagsskyddet.

Utredaren ska i sina analyser göra en noggrann avvägning mellan intresset av yttrandefrihet och intresset att skydda enskildas personliga integritet. Utgångspunkten för utredarens arbete ska vara att det även fortsättningsvis ska vara möjligt att få grundlagsskydd genom utgivningsbevis.

Utredaren ska därför

. analysera och ta ställning till om det finns behov av att inskränka grundlagsskyddet för söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden samt för söktjänster som offentliggör personuppgifter om lagöverträdelser,

. ingående redovisa de ändringar i grundlag och, vid behov, i vanlig lag som skulle kunna göras för att stärka skyddet för personuppgifter i sådana söktjänster samt konsekvenserna av varje författningsändring,

. lämna de förslag på författningsändringar som utredaren bedömer motiverade för att stärka skyddet för den personliga integriteten när personuppgifter offentliggörs i sådana söktjänster, och

. redogöra för de regler som kommer att gälla för söktjänsterna för det fall utredaren bedömer att delegationsbestämmelser bör införas i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Konsekvensbeskrivningar

Utredaren ska beakta de krav på konsekvensbeskrivningar som finns i 14-15 a §§ kommittéförordningen (1998:1474). I detta ingår att bedöma och redovisa de ekonomiska konsekvenserna av förslagen för staten, företag och andra enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa om förslagen har någon påverkan på jämställdheten mellan kvinnor och män.

Kontakter och redovisning av uppdraget

Under uppdraget ska utredaren samråda med myndigheter och organisationer i den utsträckning som utredaren finner behövligt.

Utredaren ska också hålla sig informerad om och beakta relevant arbete som pågår inom Regeringskansliet och inom utredningsväsendet. Utredaren ska beakta utvecklingen vid såväl EU:s lagstiftande institutioner som EU-domstolen.

Till stöd för utredarens arbete ska en referensgrupp med representanter för riksdagspartierna inrättas. Utredarens förslag ska ha en bred parlamentarisk förankring.

Uppdraget ska redovisas senast den 15 november 2024.

(Justitiedepartementet)

Kommittédirektiv

Kommittédirektiv är riktlinjer för de utredningar, eller kommittéer, som regeringen tillsätter.